Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide

用于中断 AnyConnect ISE 流的操作

由于各种原因，在初始终端安全评估重新评估或被动重新评估过程中，AnyConnect ISE 终端安全评
估流可能中断。

• User Cancels AnyConnect ISE（用户取消 AnyConnect ISE）- 在终端安全评估检查和补救期间，

用户可以取消 AnyConnect ISE。 UI 会立即通知用户正在进行取消，但只在避免将终端置于出
问题状态的时期才会出现这种情况。 如果使用了第三方软件，一些取消操作可能需要重新启
动。 取消后，AnyConnect UI 的终端安全评估图块部分显示合规状态。

• Remediation Timer Expires（补救定时器到期）- 满足终端安全评估要求的管理员控制时间已到

期。 一份评估报告被发送到头端。 在被动重新评估期间，用户保留网络访问权限；而对于终
端安全评估，满足所有强制性要求后将授予网络访问权限。

• Error During Posture Checking（终端安全评估检查期间出错）- 如果在终端安全评估检查阶段出

错并且 AnyConnect 能够继续，用户将收到通知，但如果可能，终端安全评估检查将继续。 如
果在强制终端安全评估检查期间出错，检查将标记为失败。 如果满足所有强制性要求，将授予
网络访问权限。 否则，用户可以重新启动终端安全评估进程。

• Error During Remediation（补救期间出错）- 如果在补救阶段出错并且 AnyConnect ISE 终端安全

评估可以继续，用户会收到通知。 如果失败的补救步骤与某个强制性终端安全评估要求相关，

AnyConnect ISE 终端安全评估将停止补救进程。 如果失败的补救步骤与某个可选终端安全评估
要求相关，则会尝试继续下一步并完成 ISE 终端安全评估操作。 如果满足所有强制性要求，将
授予网络访问权限。 否则，用户可以重新启动终端安全评估进程。

• Default Gateway Change（默认网关更改）- 用户可能由于默认网关更改而失去受信任网络访问，

导致 ISE 终端安全评估尝试重新发现 ISE。 当 ISE 终端安全评估进入重新发现模式时，
AnyConnect UI 的 ISE 终端安全评估图块部分会显示 ISE 终端安全评估的状态。

• Loss of Connectivity Between AnyConnect and ISE（AnyConnect 与 ISE 失去连接）- 终端被认为

合规并被授予网络访问权限后，可能发生各种网络状况：终端可能遇到网络连接完全丢失的情
况，ISE 可能性能下降，ISE 终端安全评估可能出现故障（由于会话超时、手动重启等）或 ASA
后面的 ISE 可能丢失 VPN 隧道。

ISE 终端安全评估的状态

当 AnyConnect ISE 终端安全评估正常运行和阻止网络访问时，AnyConnect 用户界面的 ISE 终端安全
评估图块中显示“System Scan: Searching for policy server”（系统扫描：正在搜索策略服务器）。
在 Windows 任务管理器或 Mac OS X 系统日志中，您可以看到该进程正在运行。 如果该服务未运
行，AnyConnect 用户界面的 ISE 终端安全评估图块中显示“System Scan: Service is unavailable”（系
统扫描：服务不可用）。

Cisco AnyConnect 安全移动客户端管理员指南，4.0 版

配置终端安全评估

用于中断 AnyConnect ISE 流的操作