![\"Cisco](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/Cisco-AnyConnect-VPN-establishment-capability-for-remote-user-disabled.png\")
<\/a><\/figure>\n<\/div>\n\n\nCisco AnyConnect Secure Mobility Client:\n\nVPN establishment capability for a remote user is disabled<\/strong>. \nA VNP connection will not be established.\n\nAnyConnect was not able to establish a connection to the specified secure gateway. Please try connecting again.<\/kbd>\n<\/pre>\n\n\n\nWas bedeutet diese Fehlermeldung?<\/h3>\n\n\n\n
Cisco AnyConnect verweigert die Verbindungs-Herstellung, da die Session des in der Hyper-V VM angemeldeten Windows-Benutzer als „Remote User“ erkannt wurde. <\/p>\n\n\n\n
Technischer Hintergrund: Wenn Hyper-V im Enhanced-Session-Mode<\/strong> betrieben wird, dann ist dies aus Sicht Anyconnect ein RDP (Remote Desktop Protocol, inkl. Datei-Austausch, Clipboard-Sharing etc… mit dem Virtualisierungs-Host) und somit wird dies etwas irref\u00fchrender Weise als „Remote User“ klassifiziert.<\/p>\n\n\n\n
Abhilfe – Variante 1: Allow Remote Users<\/h3>\n\n\n\n
Um die Cisco AnyConnect VPN-Connection in einer Hyper-V VM mit Enhanced Session Mode zuzulassen muss im VPN Profil (auf der Cisco ASA = VPN Konzentrator mittels des Cisco VPN Profile Editors) das Setting „WindowsVPNEstablishment“<\/strong> von „LocalUsersOnly“<\/strong> auf „AllowRemoteUsers“<\/strong> ge\u00e4ndert werden. Im Profile Editor ist dieses Setting „Windows VPN Establishment<\/strong>“ unter Configuration\u00a0<\/strong>>\u00a0Remote Access VPN\u00a0<\/strong>>\u00a0Network (Client) Access\u00a0<\/strong>>\u00a0AnyConnect Client Profile<\/strong> – Preferences (Part 1)<\/a><\/strong> zu finden: <\/p>\n\n\n\n
\n
- Windows VPN Establishment<\/strong> – Determines the behavior of AnyConnect when a user who is remotely logged on to the client PC establishes a VPN connection. The possible values are:\n
\n
- Local Users Only (Default)<\/strong> – Prevents a remotely logged-on user from establishing a VPN connection. This is the same functionality as in prior versions of AnyConnect.<\/li>\n\n\n\n
- Allow Remote Users<\/strong> – Allows remote users to establish a VPN connection. <\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Die VPN-Konfiguration liegt beim Anyconnect-Client unter C:\\ProgramData\\Cisco\\Cisco Anyconnect Secure Mobility Client\\Profile<\/em>, dort ist ein XML-File je Profil zu finden. Das oben genannte Setting „WindowsVPNEstablishment“<\/strong> = „LocalUsersOnly“<\/strong>=> „AllowRemoteUsers“<\/strong> ist hier zu finden. Das lokale XML-File zu editieren ist jedoch nicht zielf\u00fchrend, da das VPN-Profil (also diese XML-Datei) bei jeder Verbindungsherstellung neu von der VPN-Gegenstelle auf den Client gepusht und somit \u00fcberschrieben wird.<\/p>\n\n\n\n
Workaround – Variante 2: Enhanced Session Mode deaktivieren<\/h3>\n\n\n\n
Falls es nicht m\u00f6glich ist die Einstellung im VPN-Profil durch den VPN-Admin anpassen zu lassen, so kann alternativ f\u00fcr Hyper-V der „Erweiterte Sitzungsmodus“ (= Enhanced Session Mode) deaktiviert werden:<\/p>\n\n\n