Sécurité : Cisco Secure Access Control Server pour Windows

Dépannage du Secure Access Control Server (ACS 3.x et 4.x)

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment dépanner le Serveur de contrôle d'accès sécurisé (ACS) Cisco et résoudre les messages d'erreur.

Pour les informations sur la façon dont dépanner le Système de contrôle d'accès sécurisé Cisco (ACS 5.x et plus tard), référez-vous sécurisent le dépannage du système de contrôle d'accès (ACS 5.x et plus tard).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions 3.3 et 4.x du Cisco Secure Access Control Server (ACS).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème : Les ressources requises par le CiscoSecure Install sont verrouillées

Vous pouvez rencontrer ce problème quand vous promouvez votre serveur ACS.

Solution

Si vous avez trop de vieux fichiers journal, vous devez effacer les logs « de configuration de journalisation locale ».

Modifiez se connecter d'ACS pour garder les trois derniers fichiers.

  1. Sur le GUI ACS, choisissez la configuration système > le contrôle des services. Cochez la case de répertoire de gérer et la sélectionnez pour garder seulement les trois derniers fichiers. Alors redémarrez ACS et testez la mise à jour.

  2. Si l'option #1 ne fonctionne pas, vous pouvez essayer de retirer manuellement quelques fichiers journal.

    Vous devez toujours copier les fichiers sur un répertoire dédié avant que vous les supprimiez.

    1. Sur le lecteur local des Windows Server, où ACS pour Windows est installé, choisissez le répertoire de fichiers de programme > de Cisco Secure ACS.

    2. Supprimez tous les logs sous chacun de ces répertoires :

      • * CSAuth

      • * CSLog

      • * CSDbsync

      • * CSAdmin

      • * CSRadius

      • * CSTacacs

      • * CSMon

    3. Redémarrez le PC et retestez la mise à jour.

Problème : Ne peut pas supprimer le serveur d'AAA, le serveur d'AAA est un partenaire de synchronisation

Ne peut pas supprimer le serveur d'AAA, le serveur d'AAA est un partenaire de synchronisation que le message d'erreur peut apparaître quand vous supprimez l'entrée sous la configuration réseau.

Solution

Terminez-vous ces étapes dans la résolution de commande cette question :

  1. Choisissez la configuration d'interface, et cochez la case de synchronisation RDBMS

  2. Choisissez la configuration système > la synchronisation RDBMS et retirez le serveur d'AAA qui ne peut pas être supprimé du groupe d'AAA qui est sur le partenaire de synchronisation

  3. Vous pouvez maintenant supprimer le Groupe de serveurs AAA.

Problème : 127.0.0.1 est une adresse réservée

Vous avez deux unités d'expert en logiciel 1113 ACS et voulez répliquer la base de données interne de primaire vers secondaire, mais vous notez ce message d'erreur dans l'unité secondaire :

Inbound database replication from ACS <secondary ACS unit name> denied - shared
    secret mismatch

Quand vous essayez de modifier la clé de l'individu de serveur d'AAA sous la configuration réseau le message d'erreur est renvoyé.

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-02.gif

Solution

Afin de résoudre le problème d'individu de 127.0.0.1, vous pouvez de sauvegarde et restauration que le .DMP introduit sur une installation fraîche d'ACS pour Windows 4.2 et modifie l'entrée de 127.0.0.1 avec l'adresse IP désirée.

Remarque: L'ID de bogue Cisco CSCso36620 (clients enregistrés seulement) déclare que la commande NIC de basculeur change l'adresse IP du serveur d'AAA à 127.0.0.1 dans le GUI. Afin de restaurer l'adresse IP d'origine sur l'appliance, émettez la commande d'IP de positionnement.

Problème : Échec d'authentification pour le commutateur de Nexus

L'authentification du Nexus 5010 ne fonctionne pas avec TACACS+. Ce message d'erreur peut également apparaître :

Message-Type : Authen failed
Authen-Failure-Code : Key Mismatch

Solution

Le secret partagé défini sous le NDG a la priorité au-dessus du périphérique individuellement configuré. Regardez le secret partagé configuré sous la POUSSÉE FSW de siècle NDG, et assurez-vous qu'elle s'assortit avec celui configuré sur le commutateur de Nexus.

Problème : Expert en logiciel ACS 1113 - Incapable d'assigner l'adresse IP statique

Cette question se produit quand vous ne pouvez pas configurer l'IP address statique sur l'expert en logiciel ACS 1113.

Solution

Afin de résoudre ce problème, installez le correctif applACS-4.1-set-ip-CSCsm73656-Patch.zip, qui est fourni par des téléchargements de Cisco (clients enregistrés seulement). Le correctif adapte à toutes les versions expert en logiciel 4.1 ACS.

Problème : Le serveur primaire n'est pas Prempt

Quand les serveurs ACS primaires descend, vous authentifiez des utilisateurs avec le serveur secondaire. Quand le primaire est de nouveau, vos utilisateurs sont encore authentifiés contre le secondaire, quoique le primaire s'exécute de nouveau.

Solution

Par défaut, l'ASA fonctionne en mode d'épuisement. Changez-le au mode synchronisé de sorte que quand le serveur ACS primaire devient actif vous puissiez renvoyer l'authentification au primaire.

Vous pouvez utiliser :

host(config)# aaa-server <tag> protocol radius
host(config)# reactivation mode timed
host(config)# aaa-server acsgroup deadtime 0

Facultatif : Spécifiez la durée en quelques minutes avec le temps mort, entre zéro et 1440, entre lequel s'écoule quand le dernier serveur dans le groupe est désactivé et quand tous les serveurs sont réactivés. Le par défaut est de dix minutes.

Problème : Ne peut pas placer la nouvelle configuration NIC

Cette question se produit quand vous configurez l'adresse IP statique sur l'expert en logiciel ACS 1113.

Solution

Afin de résoudre ce problème, essai pour réimager le logiciel.

Problème : Le répertoire ACS est verrouillé par une autre application

Le dossier ACS est verrouillé par un autre message d'erreur d'application apparaît pendant une mise à niveau de logiciel ACS, telle que la mise à jour des versions 3.3 à 4.0

Employez ces solutions afin de résoudre le problème.

Solution 1

Procédez comme suit :

  1. Dans la fenêtre ACS, cochez la configuration système > le contrôle des services > le contrôle la case de répertoire de gérer.

  2. Écrivez une valeur, telle que 3, dans la conservation seulement la dernière case de fichiers de _de _.

  3. Reprise. La mise à jour est susceptible de fonctionner.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-1.gif

Solution 2

Si la solution 1 ne résout pas le problème, terminez-vous ces étapes :

  1. Sauvegarde la base de données du courant ACS.

    Référez-vous à la section de sauvegarde de Cisco Secure ACS du guide utilisateur pour le Cisco Secure ACS pour des Windows Server pour plus d'informations sur la façon exécuter la sauvegarde de la base de données ACS.

  2. Exécutez le fichier clean.exe afin de désinstaller la version existante ACS 3.3 (ou votre). Ce fichier se trouve sur le CD sous des utilitaires ACS/support/nettoie.

  3. Réinstallez ACS 3.3 du CD.

  4. Restaurez votre base de données à partir du fichier que vous avez enregistré dans l'étape 1.

    Référez-vous à la section de restauration de système de Cisco Secure ACS du guide utilisateur pour le Cisco Secure ACS pour des Windows Server pour plus d'informations sur la façon restaurer la base de données ACS.

  5. Améliorez l'ACS à la version 4.0.

    Référez-vous au guide d'installation pour le Cisco Secure ACS pour la version 4.0 de Windows Server pour plus d'informations sur des procédures de mise à niveau.

Problème : Erreur d'événement

Pendant le startup, l'expert en logiciel ACS reçoit l'au moins un service ou le gestionnaire a manqué pendant le startup. utilisez le visualisateur d'événements pour examiner le journal d'événements pour le message d'erreur de détails.

Solution

Cette erreur sur l'expert en logiciel ACS n'affecte pas des fonctionnalités l'unes des ACS. C'est une erreur de Microsoft Windowsleavingcisco.com . Cette erreur apparaît parce que le moniteur, clavier et souris ne peut pas être utilisé sur l'appliance et est désactivé par défaut.

L'appliance ACS est un système durci et verrouillé-vers le bas et est conçue avec la Sécurité à l'esprit. Les fenêtres d'utilisations d'appareils renforcent l'image, qui a tous les services et connexions redondants arrêtés. Il est fait pour empêcher d'entrer tous les virus, vers, et attaquants DDOS. Par conséquent il n'y a aucun VNC, invite DOS, ou n'importe quelle autre manière d'atteindre la configuration de fenêtres. Les services comme la souris, le clavier et le moniteur sont fermés.

En de rares occasions, il indique que quelque chose est corrompue sur l'image d'appareils. Si vous re-image l'appliance, il répare la question dans la majorité d'exemples. Vous pouvez essayer à la re-image l'ACS aussi bien.

Problème : Mauvaise demande de NAS

Ce message d'erreur apparaît :

Bad request from NAS
OR
Authen-Failure-Code=Invalid message authenticator in EAP request 

Solution

Ce message d'erreur apparaît habituellement en raison d'une non-concordance dans la clé secrète partagée ou comme dans ce cas NDG défini avec une clé ignorant la clé de client d'AAA.

Problème : Incapable d'installer la version 3.3.3 ACS sur ACS 1113

Incapable d'installer des images plus tôt que la version 4.0 sur l'expert en logiciel 1113 ACS.

Solution

Seulement ACS 4.0 et boîte postérieure fonctionnent sur l'expert en logiciel 1113 ACS. Référez-vous à l'évolution et à migrer vers l'engine de solution de Cisco Secure ACS pour plus d'informations sur la façon améliorer l'expert en logiciel ACS.

Problème : Raison : actuellement est édité ailleurs

Quand vous ouvrez la page ACS, vous pouvez recevoir cette erreur : Raison : actuellement est édité ailleurs.

Solution

Redémarrez les services ACS afin de résoudre ce problème.

Problème : Le service distant d'agent ne commencera pas

L'utilisateur ne peut pas diriger le service distant d'agent.

Solution

L'utilisateur doit être un utilisateur local d'admin pour que le service commence.

Problème : « Error : Type authentique non pris en charge par DB externe » pendant l'authentification de l'utilisateur

Le type authentique non pris en charge par erreur externe de DB apparaît pendant l'authentification de l'utilisateur.

Solution

Cette erreur apparaît parce que le protocole d'authentification CHAP n'est pas pris en charge sur le répertoire actif de base de données de Microsoft Windows (AD) quand vous utilisez la version 3.3 ACS. Afin de résoudre ce problème, utilisation PAP au lieu du CHAP. Référez-vous à la compatibilité de Protocol-base de données d'authentification pour plus d'informations sur la compatibilité de Protocol-base de données pour la version 3.3 ACS.

Problème : Incapable d'activer le ping à ACS

Incapable de cingler l'expert en logiciel ACS.

Solution

Arrêtez l'agent CSA en configuration système --> configuration d'appareils afin d'activer la réponse ping sur des versions expert en logiciel ACS plus tôt à 4.2. Pour ACS les versions 4.2 et ultérieures téléchargent et installent le correctif fourni par Cisco.com. Référez-vous au pour en savoir plus marche-arrêt de rotation de ping.

Problème : Le message « en cours » de mise à jour d'appareils est affiché même après que la mise à jour ACS est complète.

Le message en cours de mise à jour d'appareils apparaît, même après que la mise à jour ACS est complète.

Solution

ACS est frappé après mise à jour et ne peut commencer ou arrêter aucun services.

Pour résoudre ce problème, exécutez les étapes suivantes :

  1. Connectez-vous dans l'appliance ACS avec un compte différent d'admin.

  2. Sur la mise à jour d'appareils actuelle sous l'onglet de configuration système, appuyez sur la régénération ou le bouton de téléchargement.

    Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsg89042 (clients enregistrés seulement).

    Si vous ne pouvez pas utiliser le GUI, essayez de redémarrer l'appliance ACS afin de résoudre le problème.

Problème : Le mot de passe a remis à l'état initial après réplication

Après la réplication, le nouveau mot de passe obtient la remise à l'ancien mot de passe.

Solution

Cette question se produit parce que les utilisateurs n'authentifient pas à l'ACS primaire. Une fois que la réplication se produit, le primaire pousse ses stratégies à l'ACS secondaire parce que la réplication n'est pas bidirectionnelle. Ceci cause le mot de passe d'être remis à l'état initial à l'ancien mot de passe.

Afin de résoudre ce problème, authentifiez l'utilisateur à l'ACS primaire, si possible.

Problème : Question DST sur ACS

Des questions DST sont vues sur ACS.

Solution

Afin de résoudre le problème du temps heure d'été (DST) avec ACS, téléchargez et installez ces correctifs :

  1. applAcs-4.1.4.13.7-CSUpdate.zip

  2. applAcs-4.1.4.13.7.zip

    Remarque: Appliquez le correctif de csupdate d'abord. Installez alors le correctif cumulatif.

Problème : « Error : Pour obtenir la configuration NIC : (null) (FFFFFFFF) » sur l'appliance ACS

L'erreur : Pour obtenir la configuration NIC : (null) (FFFFFFFF) l'erreur apparaît sur l'appliance ACS.

Solution

Cette erreur apparaît habituellement si la bonne version de l'image ACS n'est pas utilisée sur l'appliance ACS. Il est plus d'un problème de compatibilité. Re-image l'appliance ACS afin de résoudre ce problème.

Référez-vous à la nouvelle création d'images le disque dur d'appareils pour plus d'informations sur comment à la re-image l'appliance ACS.

Problème : Incapable de désactiver SSHv1 l'enable seulement SSHv2 sur l'appliance ACS

Incapable de désactiver SSHv1 et de laisser seulement le SSHv2 activé sur l'appliance ACS.

Solution

En ce moment il n'est pas possible de désactiver SSHv1 et de laisser seulement SSHv2 activé. SSHv1 et SSHv2 sont activés ensemble et ne peuvent pas être désactivés individuellement.

Problème : Incapable de remettre à l'état initial l'appliance ACS au par défaut d'usine

Cette section détaille quoi faire si vous ne pouvez pas remettre à l'état initial l'appliance ACS aux paramétrages d'usine.

Solution

La commande de remise-config d'acs inclut une option de remettre à l'état initial la configuration qui, une fois émise, remet à l'état initial toutes les informations de configuration ACS, mais retient les configurations d'appareils telles que la configuration réseau. Si vous voulez qu'il regarde exactement comme le par défaut d'usine, vous avez besoin de re-image l'appliance.

Problème : Authentification défectueuse TACACS+ avec ACS avec la question NDG

Cette section explique pourquoi l'authentification échoue avec TACACS+ quand un groupe de périphériques réseau (NDG) est configuré.

Solution

Le même client d'AAA est tracé à deux NDGs différent, à un en tant que client RADIUS et à l'autre en tant que client TACACS, et l'authentification de base de données externe de niveau NDG est activée pour le NDG avec le client RADIUS.

Des utilisateurs TACACS+ sont configurés dans la base de données interne ACS. Quand la demande d'authentification TACACS+ est livré, ACS regarde dans le NDG, où le même client est configuré comme RAYON.

Afin d'éviter ce problème, retirez la case d'authentification de base de données externe du RAYON NDG.

Problème : Base de données externe de Windows non opérationnelle

Cette section explique pourquoi de l'authentification de l'utilisateur échoue avec externe une erreur non opérationnelle de base de données.

Solution

Voici une liste de causes possibles et de leurs solutions :

  • La version distante d'agent (RA) meurt pas correspondance la version ACS. Installez la bonne version du RA.

  • Les services distants d'agent sont arrêtés. Redémarrez les services de RA.

  • Améliorez l'ACS à la dernière version disponible.

Problème : Utilisateur externe de DB non valide ou mot de passe incorrect

Cette section explique pourquoi vous recevez l'utilisateur externe de DB non valide ou l'erreur de mot de passe incorrect pour l'authentification sur ACS.

Solution

Passez en revue ces conseils de dépannage afin de résoudre ce problème :

  • Si en change connexe à l'adhésion d'AD ou le nom de système sont faits sur le serveur ACS, veillez au redémarrer pour des modifications pour le prendre effet.

  • Vérifiez la Connectivité entre l'ACS et le serveur de domaine.

  • Les stratégies de sécurité sur le serveur de domaine doivent permettre à l'ACS pour questionner le nom d'utilisateur sur le Répertoire actif.

  • Assurez-vous qu'il y a une confiance bi-directionnelle qui existe entre l'ACS et le serveur de domaine.

  • Assurez-vous que l'ACS est installé sur un serveur qui a des gens du pays et des privilèges de DomainAdmin.

  • Assurez-vous que le nom d'utilisateur et mot de passe est correct.

Problème : Erreur sur ACS une fois accédé à utilisant IE8

Le faultCode : Server.Error.Request faultString : FaultDetail « d'erreur de demande de HTTP » : « Error : [Erreur #2032"] de text= de cancelable=false eventPhase=2 de bubbles=false " de " ioError de type= » d'IOErrorEvent. URL : erreur de /acsview/LoadAuthenticationTrendsPortlet.do la » se produit sur l'ACS quand l'ACS est accédé à utilisant l'Internet Explorer 8 (IE8).

Solution

Cette erreur se produit parce qu'IE8 n'est pas pris en charge par ACS. Utilisez un autre navigateur afin de résoudre ce problème.

Problème : Erreur « type d'eap_peap non configuré »

L'erreur non configurée de type d'eap_peap se produit sur l'ACS quand vous tentez d'exécuter une authentification Sans fil.

Solution

Cette erreur se produit sur l'ACS dû à une de ces raisons :

  1. Le suppliant demandant pour l'authentification EAP-PEAP n'est pas configuré sur l'ACS. Activez EAP-MSCHAPv2 et EAP-GTC de la page globale d'authentification, et désactivez le PETIT SOMME sur le serveur primaire afin de résoudre le problème.

  2. Quand les essais d'un utilisateur de sans fil à authentifier par le serveur ACS, la procédure de connexion échoue et le message d'erreur est type EAP_PEAP non configuré. Ceci se produit en authentifiant avec un utilisateur configuré dans la base de données d'AD de Microsoft Windows, aussi bien qu'en authentifiant avec un utilisateur dans la base de données des gens du pays ACS.

  3. Quand le WLC utilise le clé-bouclage pour des PAP, mais l'ACS n'a pas été configuré pour la même chose. Configurez la même chose sur l'ACS afin de résoudre le problème.

Problème : Incapable de faire l'engine logging on locale de solution de Cisco Secure ACS au lieu d'utiliser le distant se connectant la capacité de l'agent de distant de Cisco Secure ACS

La question est l'incapacité d'exécuter local ouvrant une session l'engine de solution de Cisco Secure ACS au lieu d'utiliser le distant se connectant la capacité de l'agent de distant de Cisco Secure ACS.

Solution

Il est possible d'exécuter local ouvrant une session l'engine de solution de Cisco Secure ACS au lieu d'utiliser le distant se connectant la capacité de l'agent de distant de Cisco Secure ACS. Cependant, local ouvrir une session l'engine de solution de Cisco Secure ACS est contraint dans la taille. Ceci force des fichiers journal à réutiliser après sept jours. L'agent distant de Cisco Secure ACS fournit complètement, capacité se connectante sans contrainte à un serveur distant.

Problème : Comment générez-vous la liste complète de tous les utilisateurs avec leur méthode d'authentification de mot de passe en cours ?

Avec ACS 4.2, les utilisateurs sont authentifiés par des différentes méthodes telles que Windows/LDAP/OTP. Y a-t-il une manière de préparer une liste complète des utilisateurs avec leurs méthodes d'authentification de mot de passe ?

Solution

C'est long si exécuté manuellement. Il y a une manière d'exécuter ceci automatiquement avec la release 4.2.1.15 ACS.

Procédez comme suit :

  1. Prenez la sauvegarde de la base de données interne ACS.

  2. Exécutez le CSUtil.exe - commande de dumpUSERS.

    Ceci génère un fichier texte « userauditinfo.txt » qui contient la méthode d'authentification de mot de passe utilisée pour tous les utilisateurs disponibles.

Problème : ACS ne peut pas contrôler le délimiteur du mac-address

L'ACS ne peut pas contrôler le délimiteur du mac-address. Le délimiteur ne peut pas être changé ou ajouté.

Solution

L'ACS n'est pas conçu pour contrôler le delimeter du mac-address et il ne peut pas changer ou ajouter le delimeter. Le client ou le WLC contrôle le délimiteur.

Problème : « Pour exporter la base de données utilisateur. Vérifiez s'il vous plaît là est suffisamment d'espace disque puis réexécute l'installation. L'installation quittera maintenant. »

Le problème est la base de données de sauvegarde ne peut pas être restauré en améliorant l'ACS pour Windows. Un message d'erreur insuffisant d'espace disque est reçu.

Solution

Terminez-vous ce contournement :

  1. Collectez une sauvegarde de votre base de données.

  2. Désinstallez le logiciel ACS à l'aide de l'utility which propre est disponible sur les paquets complets des fichiers d'installation de la version ACS.

  3. Réinstallez le logiciel avec la même version.

  4. Exécutez une restauration de la base de données.

  5. Améliorez la version ACS de nouveau.

Problème : ACS ne peut pas joindre le domaine et l'utilisateur de Répertoire actif incapables d'authentifier

L'ACS ne peut pas joindre le domaine de Répertoire actif et l'utilisateur ne peut pas authentifier. Une erreur de distorsion d'horloge est reçue.

Solution

Cette question peut être résolue en changeant le fuseau horaire et l'heure sur l'ACS d'apparier le fuseau horaire et le temps sur le Répertoire actif.

Problème : N'a pas pu générer le mot de passe valide pour réaliser l'essai authentique

N'a pas pu générer le mot de passe valide pour exécuter le message d'erreur authentique de test apparaît sur l'ACS.

Solution

Afin de résoudre ce problème, allez à la configuration système et cliquez sur la gestion des mots de passe locale. Assurez-vous que la longueur du mot de passe n'est pas plus de 9 caractères. S'il est alors veillez à changer la longueur à entre 4 et 8 caractères.

Problème : Ne peut pas ouvrir une session à Cisco ACS, toute la gestion que les ports sont actuellement en service

En authentifiant en tant qu'administrateur, un message réussi est reçu. Puis, vous êtes rapidement expédié à une page qui affiche ne peut pas ouvrir une session à la CiscoSecure ACS, toute la gestion que les ports sont actuellement en service. Contactez l'administrateur système pour plus de détails. Ceci se produit dans ACS 4.X.

Solution

Ce message d'erreur indique que la plage de port allouée pour l'automatique GUI réorientent sont totalement réservée et étant utilisée par d'autres. Afin de résoudre ceci, remplissez cette procédure :

  1. Arrêtez le service de csadmin et puis l'essayez d'ouvrir une session.

  2. Vérifiez la stratégie d'allocation de port HTTP pour l'administrateur. Le chemin complet est affiché ici :

    Le contrôle de gestion > la stratégie d'Access > l'allocation de port HTTP > limitent des sessions de gestion à la plage suivante de port du port n pour mettre en communication n

  3. Augmentez la plage des ports selon la condition requise. Le pour en savoir plus, se rapportent à la configuration de HTTP.

  4. Spécifiez un peu d'inactif-temps- de session dans la stratégie de session. Le chemin complet est affiché ici :

    Contrôle de gestion > délai d'attente de veille de stratégie de session > de session

    Le pour en savoir plus, se rapportent à la stratégie de session.

  5. Parfois, le rechargement de l'ACS peut également aider à résoudre ce problème.

Problème : Échec de l'opération ODBC avec les informations suivantes : message= [Sybase] [gestionnaire ODBC] [serveur adaptatif n'importe où] .....

Cette erreur est reçue sur la version 4.X ACS : Échec de l'opération ODBC avec les informations suivantes : message= [Sybase] [gestionnaire ODBC] [serveur adaptatif n'importe où] ......

Solution

La version 4.0 ACS n'installe pas correctement si le serveur Sybase est installé sur le même ordinateur. Dans certains cas, quand des CiscoWorks et les ACS sont utilisés sur le même ordinateur, ce message d'erreur apparaît et les problèmes d'installation ACS surgissent. Ceci se produit parce que les CiscoWorks utilisent Sybase pour une base de données. Afin d'éviter cette erreur, vous devez s'assurer qu'il n'y a aucune autre application qui emploie le SQL n'importe où sur ce PC afin d'installer avec succès le logiciel. Référez-vous aux notes que la section en vue de installent ou améliorez le pour en savoir plus ACS.

Problème : Incapable d'intégrer ACS avec le Répertoire actif

Incapable d'intégrer ACS avec le Répertoire actif, et le message d'erreur d'erreur d'état de port de samba est reçu.

Solution

Afin de résoudre ce problème, assurez-vous que ces ports sont ouverts pour prendre en charge la fonctionnalité de Répertoire actif :

  • Port de samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP UDP 123

  • Catalogue global - TCP - 3268

  • DN - UDP 53

ACS doit pouvoir atteindre tout le DCS dans le domaine afin de l'intégration ACS-AD soit complet. Même si un de DCS n'est pas accessible de l'ACS, l'intégration ne se produirait pas. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte92062 (clients enregistrés seulement).

Problème : L'ERREUR de CSCOacs_Internal_Operations_Diagnostics n'a pas pu mettre en marche le bus de message

Pourquoi est-ce que je reçois l'ERREUR de CSCOacs_Internal_Operations_Diagnostics ne pourrais pas commencer le message d'erreur de bus de message sur ACS ?

Solution

C'est une erreur cosmétique et ce n'est pas un sérieux problème tant que rien la représentation de l'authentification/authorizations/ACS est affectée et il indique seulement que la connexion interne de bus de message est rétablie.

Problème : 13017 a reçu le paquet TACACS+ du périphérique de réseau ou du client inconnu d'AAA

Pourquoi est-ce que je reçois le paquet reçu 13017 TACACS+ du message d'erreur inconnu de périphérique de réseau ou de client d'AAA sur ACS ?

Solution

Cette erreur habituellement est soulevée quand ou la bonne interface n'est pas configurée en tant que client d'AAA sur ACS, ou quand l'adresse IP configurée sur ACS est obtenir natted. En d'autres termes, l'adresse IP correcte ne contacte pas ACS qui entraîne cette erreur. Ceci peut également monter si la commande de l'ip tacacs source-interface <interface-name/id> est des questions sur le routeur, mais une autre adresse IP est utilisée sur ACS comme adresse du client d'AAA. En outre, en désactivant simple-connectez sur l'IOS pourrait aider à résoudre ce problème.

Problème : Incapable de supprimer l'historique d'authentification (succès ou échecs de RAYON) et les Syslog de l'ACS

Incapable de supprimer l'historique d'authentification (succès ou échecs de RAYON) et les Syslog de l'ACS.

Solution

Il n'est pas possible de supprimer l'historique d'authentification de l'ACS. En outre, les logs qui sont envoyés car les Syslog à l'ACS lui-même ne peuvent pas être supprimés.

Problème : Processus de gestion en ne s'exécutant pas et des expositions « s'exécutant (le HTTP est nonsensible) »

Le processus de gestion ne s'exécute pas et le processus de gestion affiche l'exécution (le HTTP est nonsensible).

Solution

Cette question peut être résolue en restaurant une sauvegarde plus ancienne de la configuration suivie de réimager et de recharger l'ACS.

Problème : Est-ce que je peux utiliser un jeton sécurisé d'ID avec la sauvegarde de SFTP la base de données ACS ?

Solution

Non, cela n’est pas possible. Le SFTP a besoin d'un nom d'utilisateur/de mot de passe statiques. En utilisant un ID sécurisé, il ne peut pas fournir un nom d'utilisateur/mot de passe statiques.

Problème : Incapable de filtrer les états utilisant le visualiseur interactif

En essayant de filtrer des états ACS utilisant le visualiseur interactif ; tous les boutons sont greyed et les options de menu contextuel ne sont pas remplies correctement. L'Internet Explorer 8 est le navigateur utilisé.

Solution

Ceci a pu être un problème associé par navigateur. Essayez d'autres navigateurs comme Firefox afin d'obtenir ceci pour fonctionner. Vous pourriez également essayer de permettre à la « vue de Compatitibility » sur IE8 de faire des choses apparaître correctement.

Problème : La demande d'authentification apparaît seulement pour la première connexion et pas pour les connexions ultérieures

Quand un hôte de Windows XP envoie à travers des demandes de 802.1x à l'ACS par l'intermédiaire d'un commutateur 3750G, il y a une demande d'authentification seulement la première fois que les tentatives de périphérique de se connecter au commutateur. Tous les rapports ultérieurs sont établis sans authentification. Pourquoi est-ce que ceci peut-elle se produit et comment la demande d'authentification être faite pour apparaître chaque fois que un rapport est établi ?

Solution

Afin de résoudre le problème, aller aux connexions réseau > à la connexion au réseau local > au Properties > à l'authentification, et s'assurer les informations utilisateur de cache pour les connexions ultérieures à cette option Network est décoché.

Problème : La demande d'autorisation apparaît à l'aide des périphériques d'Apple avec ACS

Pourquoi est-ce qu'une demande d'autorisation valide le certificat apparaît tout en à l'aide des périphériques d'Apple avec ACS ? Est-ce que je peux arrêter cette demande d'autorisation d'apparaître ?

Solution

La demande d'autorisation n'est générée par des iDevices d'Apple et pas l'ACS. Il n'y a aucune manière de configurer l'ACS de telle manière que le périphérique d'Apple cesse d'afficher la demande d'autorisation.

Problème : Message d'erreur ACS - Non tous les groupes de Répertoire actif d'utilisateur sont récupérés avec succès…

Pourquoi est non tous les groupes de Répertoire actif d'utilisateur sont récupérés avec succès. Un ou plusieurs du nom canonique du groupe n'étaient pas message d'erreur récupéré vu sur ACS ?

Solution

Cette question se produit parce que des caractères d'unicode sont utilisés dans le nom de groupe sur l'AD. Puisqu'ACS voit les groupes d'AD comme ASCII textotent, les caractères d'unicode ne sont pas traduits correctement. En conséquence, l'adhésion à des associations n'est pas récupérée. Enlevez le caractère d'unicode de la configuration d'AD afin de résoudre ce problème.

Problème : ACS ne se connecte pas des demandes d'authentification de proxy

ACS ne se connecte pas des demandes d'authentification de proxy quoique le rayon proxying ait été activé.

Solution

ACS ne se connecte pas des demandes d'authentification de proxy. ACS prend seulement la demande et en avant elle au serveur proxy. Les logs seront seulement visibles sur le serveur de rayon de proxy. ACS ne contribue rien au traitement de l'authentification/de comptabilité du paquet. En conséquence, aucun message n'est ACS ouverts une session pour les paquets proxied.

Problème : ACS perd la configuration quand le référentiel est créé du GUI

ACS perd la configuration quand le référentiel est créé du GUI après que des modifications soient faites sur le CLI.

Solution

Si vous créez le référentiel du GUI, après que des modifications soient faites utilisant le CLI, ACS perd la configuration et c'est le comportement prévu. Quand vous arrêtez et commencez ACS, le référentiel sera recréé a basé sur la configuration enregistrée par le GUI. Les modifications apportées sur le CLI à un référentiel créé par le GUI ne seront pas transportées à la configuration d'application ACS.

Problème : Incapable d'utiliser une session de SSH pour l'attribut « Procédure de connexion-service » IETF de RAYON

Incapable d'utiliser une session de SSH pour l'attribut « Procédure de connexion-service » IETF de RAYON.

Solution

Il n'est pas possible d'utiliser une session de SSH pour l'attribut « Procédure de connexion-service » IETF de RAYON car les attributs IETF ACS sont un par-RFC standard et il n'y a aucune manière que tous les changements peuvent être faits de lui.

Problème : L'erreur « valeur trop longue (nom de serveur ACS, TacacsAuthentication), les détails d'alarme est « voient s'il vous plaît le collecteur se connecter pour le "" de détails

La valeur trop longue (serveur <ACS Name>, TacacsAuthentication), des détails d'alarme est « voient s'il vous plaît que le collecteur se connecter message d'erreur pour détails » est reçu.

Solution

Vérifiez chacun de ces éléments afin de résoudre ce problème :

  • Vérifiez que le port de console de l'ACS a un câble connecté à lui.

  • Enlevez tous les câbles inutiles.

  • Réinsérez le câble s'il est connecté à un serveur de terminaux.

Problème : La modification de mot de passe d'utilisateur local ACS 4.x ne fonctionne pas avec des périphériques IOS exécutant le SSH v1

Quand un utilisateur se connecte au SSH au système et utilise un mot de passe TACACS expiré, ils sont incités pour changer leur mot de passe. Cependant, cette modification de mot de passe ne fonctionne pas correctement.

Solution

Afin de réparer cette question, vous devez avoir le SSH v2 avec l'authentification interactive de « clavier » pour le SSH v2 réglé. L'ID de bogue Cisco CSCin91851 (clients enregistrés seulement) discute ce comportement.

Problème : Se connecter de distant ne fonctionne pas pour ACS 4.2

L'agent distant ACS ne peut pas aux messages de log des ACS Solution Engine, et ce message d'erreur est reçu :

CSLogAgent - Ne peut pas obtenir le nombre maximum de maxNumberOfConnections de connexions utilisant le par défaut 32

Solution

Essayez de désinstaller l'agent distant du serveur membre, et réinstallez-le avec le compte utilisateur de domaine.

Un périphérique IOS utilisant TACACS+ pour authentifier les utilisateurs d'ACS retour à sa base de données locale

Dans quel scénario est-ce qu'un périphérique de Ý IOS utilisant TACACS+ authentifierait les utilisateurs du retour ACS à sa base de données locale ?

Solution

Un périphérique IOS utilisant TACACS+ afin d'authentifier les utilisateurs d'ACS retour à sa base de données locale dans ces deux scénarios :

  • Quand le serveur ACS (TACACS+) ne répond pas. Dans les messages de débogage IOS, vous verrez le « délai d'attente » en contactant le serveur TACACS+. Dans ce cas, si un retour est configuré à une base de données locale, l'IOS retour aux utilisateurs de base de données locale.

  • Quand le serveur TACACS+ envoie un message d'erreur en réponse à une demande d'authentification.

Problème : Erreur de config : La valeur illégale d'énumération « nom » dans la clé CiscoACS\Dictionaries\005\002\Enumerations - mauvais type, doit être international

Ce message d'erreur est vu tout en ajoutant un nouvel UDV et leurs VSAs sur ACS 4.1 utilisant le sync CSUTIL ou RDBMS :

Config Error: Illegal
  enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations -
  wrong type, must be int

Solution

Cette question se produit quand les VSAs sont ajoutés dans ACS 4.1.4.13. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsq36428 (clients enregistrés seulement).

Problème : Le service de Microsoft Windows Server a pu permettre l'exécution de code distant

Des ACS Solution Engine 4.2.0.124 ont été balayées et avérées vulnérables à la vulnérabilité MS08-67, décrite en tant que : Le service de Microsoft Windows Server a pu permettre l'exécution de code distantleavingcisco.com .

Solution

Appliquez le nom du fichier appl_w2K3_hotfix_kb958644.zip (clients enregistrés de correctif seulement) sur les ACS Solution Engine. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsy71711 (clients enregistrés seulement).

Problème : Erreur : Ne peut pas initialiser SchemeLayer

Ne peut pas initialiser le message d'erreur de SchemeLayer est reçu en exécutant CSUtil.exe - u.

Solution

Procédez comme suit :

  1. Renommez le répertoire sous le compte d'admin qui a installé l'application actuelle dans les documents d'emplacement et le settings\administrator\applicationdata\Microsoft\Crypto\RSA\S-1-5xxxxxxxxxx.

  2. Redémarrez les services ACS.

Ceci crée un autre répertoire et répare le crypto api cassé. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCse90116 (clients enregistrés seulement).

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99449