取消
显示结果 
搜索替代 
您的意思是: 
cancel
4835
查看次数
20
有帮助
3
评论
fechao
Cisco Employee
Cisco Employee
问题描述:


客户配置ISE posture功能,当anyconnect posture module还在做posture检查的阶段.发现win10的客户端浏览器的client provisioning页面会自动弹出,但是实际客户端已经安装完了anyconnect相关的客户端,对用户的使用造成一定困扰,同样的设定,win7和win8客户端都没有问题。




问题分析:


首先这个现象是一个正常的现象,因为: 1. 当时anyconnect posture module 仍然在做posture 检查,所以你的客户端状态仍然是non compliant 状态,这样会匹配到CPP这条rule 2. 在这个规则下,根据您配置的WEB-REDIRECT规则,如果有匹配需要跳转的流量来触发,就会弹出CPP的页面。所以现在您看到的行为都是expected behaviour.但是您这边看到的win7,win8和win10的客户端会有些区别,在于,win10后台会有一个自动检测网络连接性的机制(类似Apple),会从后台触发一个URL的检测,这个会触发相应的redirect ACL来弹出CPP。这个也有很多客户反映有类似问题: https://cisco-marketing.hosted.jivesoftware.com/message/216209

解决办法:针对win10这个问题,有两种方式可以规避: 1. 在您的web-redirect URL中放行 www.msftncsi.com, 避免跳转。 2. win10可以通过修改注册表来禁用该功能,具体方式可以参照上面文档这样修改完后,win7/win8/win10应该行为就都一致了。不过仍然需要注意,在posture module还在检查的阶段,如果客户手动打开浏览器去访问网页,仍然会触发这个页面弹出,这个暂时是无法避免的,除非您这边后续客户端都已经手动安装完成后,您可以修改您的authroization profile,改成不弹portal的形式。


延展:
win10的这个功能不光在ISE posture场景下会产生一些问题,在一些诸如无线场景下的web认证跳转,也会产生和win7和win8不同的现象,遇到的时候可以举一反三,加以注意。


评论
byl_qware_com
Level 8
Level 8
沙发!!!!!!
Yanli Sun
Community Manager
Community Manager
感谢楼主分享 :handshake
mis0000016
Spotlight
Spotlight
学习了,以后上win10后这个问题还是很需要注意的
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接