セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Secure ACS のデータベース レプリケーションの設定例

2013 年 10 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 4 月 28 日) | フィードバック

概要

Cisco Secure Access Control Server(ACS)は、ネットワーク管理者が多様なシスコ デバイスの AAA(認証、許可、アカウンティング)を集中管理できるようにする強力なツールです。ACS サーバは、スタンドアロンの設定でも、冗長トポロジでも導入可能です。フェールオーバー機能を提供するには、2 台以上の ACS マシンが事前設定されたタイミングでデータベース コンポーネントを共有します。冗長構成の利点を生かすには、ルータ、スイッチ、ファイアウォールなどの AAA クライアントの設定に、2 台以上の ACS サーバがリストされている必要があります。管理者による変更作業が必要なのはプライマリ ACS サーバだけです。設定済みのセカンダリ ACS サーバは手動または自動のデータベース レプリケーションによってデータベースの情報を受信します。

AAA クライアントは、それぞれの設定で最初にリストされている ACS サーバへの通信を試行します。指定回数の試行を経てこのサーバに到達できなかった場合、クライアントは設定内の 2 番目の ACS サーバに通信を試みます。クライアントが 2 番目のサーバに対する通信を最初に試行するように強制することはできません。AAA クライアントは、最初のサーバから応答を受信した場合、2 番目のサーバに対する通信を試みません。

このドキュメントでは、2 台の ACS サーバ間のデータベース レプリケーションについて、次の 2 つの設定シナリオに沿って説明します。

  • シナリオ I:シナリオ I では、ファイアウォールが介在しない 2 台の ACS サーバ間のデータベース レプリケーションを設定します。

  • シナリオ II:シナリオ II では、ネットワーク アドレス変換(NAT)デバイスとしてファイアウォールが介在する 2 台の ACS サーバ間のデータベース レプリケーションを設定します。

次に示す用語は、これらのシナリオの手順を理解するために重要と考えられるものです。各定義を参考にしてください。

  • プライマリ ACS サーバ:データベースのコンポーネントを 1 台以上の他の Cisco Secure ACS サーバへ送信するように設定されている、Cisco Secure ACS サーバ。

  • セカンダリ ACS サーバ:別の Cisco Secure ACS サーバからデータベース コンポーネントを受信するように設定されている、Cisco Secure ACS サーバ。

  • データベース レプリケーション:他のセカンダリ ACS サーバにデータベースまたはデータベースの一部をコピーすること。これらのセカンダリ ACS サーバによって冗長性が確保されます。レプリケーションは、ポート 2000 を使用して TCP 接続で実行されます。TCP セッションには、128 ビットの暗号化が適用されたシスコ固有のプロトコルが使用されます。

  • データベース バックアップ:ACS データベースをダンプ ファイルにバックアップすること。オペレーティング システムまたはハードウェアに障害が発生した場合、このファイルを使用して ACS の機能を復元できます。

  • リレーショナル データベース管理システム(RDBMS)同期:ACS データベースを外部データベースと同期できるようにします。ACS の設定を ODBC 準拠データベースに入力することにより、ACS データベースを外部データベースと同期できます。たとえば、大規模環境で ACS サーバに必要なのは、その設定の受信先となる外部 ODBC データベースを指定することだけです。

注: 双方向のレプリケーションはサポートされていません。ただし、レプリケーション パートナーが異なる場合は、1 つの Cisco Secure ACS サーバを同時にプライマリ サーバおよびセカンダリ サーバとして機能させることができます。

注: ACS アプライアンスは ACS for Windows との間でレプリケーション可能です。ただし、両方のアプライアンスのバージョンとパッチ レベルが同一である必要があります。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • すべてのマシンで同じバージョンの Secure ACS ソフトウェアが使用されていること。

  • ACS サーバ間のパスのどこにも、TCP ポート 2000(レプリケーションに使用される宛先ポート)のブロック箇所がないこと。さらに、レプリケーションが正常に実行されるためには、TCP ポート インスペクションが無効になっている必要もあります。

    注: ポート 2000 およびその他の必要なポートが、他のアプリケーションで使用されていないことを確認してください。他のアプリケーションがポートを使用していると、CSAuth、SRadius、CSTacacs などのサービスが停止する可能性があります。

  • ネットワーク インターフェイス カード(NIC)にオペレーティング システム内のファイアウォールが適用されないこと。

  • Java と JavaScript が有効で、HTTP プロキシが無効になっていること。

  • Secure ACS ユーザ インターフェイスへのリモート アクセスに TCP ポート 2002 が使用されること (https://ipaddress:2002 など)。

    注: Secure ACS HTML ユーザ インターフェイスへのアクセスに Microsoft Internet Explorer Version 6.0 を使用する場合は、ブラウザが次の要件を満たしていることを確認してください。

    • Microsoft Windows Service Pack 1(英語版および日本語版)

    • Microsoft Java 仮想マシン(JVM)バージョン 5.00.3810

    • Sun Java プラグイン バージョン 1.5

    注: 詳細については、『Cisco Secure ACS 4.2 との相互運用性が確認されているサポート対象デバイスおよびソフトウェア』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Windows 2003 Server

  • Cisco Secure ACS バージョン 4.x

  • Cisco PIX Firewall 515e バージョン 6.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

ここで説明する設定は、次のバージョンのハードウェアおよびソフトウェアにも適用できます。

  • Windows ACS サーバ 3.x 以降

  • 任意の NAT デバイス

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

シナリオ I

シナリオ I のネットワーク設定:

acs_db_replication01.gif

シナリオ II

シナリオ II のネットワーク設定:

acs_db_replication02.gif

シナリオ I: ファイアウォールが介在しないデータベース レプリケーションの設定

シナリオ I では、2 つの Cisco Secure ACS サーバが通信する際に NAT デバイスを経由しません。データはシスコ独自のプロコルで暗号化され、TCP を使用して宛先のポート 2000 に送信されます。

ファイアウォールが介在しないデータベース レプリケーションを設定するには、次の手順を実行します。

  1. プライマリ ACS サーバの設定

  2. セカンダリ ACS サーバの設定

  3. Secure ACS によるデータベース レプリケーションの起動

シナリオ II: ファイアウォールが介在するデータベース レプリケーションの設定(NAT 設定)

正常にデータベース レプリケーションが実行されるのは、セカンダリ ACS サーバが受信データの IP ヘッダーや内容に変更がないと認識した場合だけです。プライマリ ACS サーバは、セカンダリ サーバに送信するヘッダーや内容の計算にキーを使用します。また、セカンダリ サーバも同じキーを使用して計算結果を得ます。これらの計算に差異があると、データベース レプリケーションは拒否されます。

Cisco Secure ACS は、NAT 環境での分散構成はサポートしていません。プライマリまたはセカンダリのアドレスが NAT デバイスを通じて変換される場合は、データベース レプリケーションのログ ファイルに “shared secret mismatch” が示されます。プライマリ サーバとセカンダリ サーバの間に NAT デバイスがあると、計算に差異が生じてレプリケーションが拒否されます。ただし、ネットワーク トラフィックに対する NAT デバイスの影響を回避し、データベース レプリケーションを完了させるオプションがいくつかあります。

  • 総称ルーティング カプセル化(GRE)トンネル

  • トンネル モードで IP セキュリティ(IPsec)を使用するバーチャル プライベート ネットワーク(VPN)

  • GRE + IPsec トンネル

  • Microsoft Internet Security and Acceleration(ISA)Server による Windows サーバ間の直接的な IPsec トンネル 詳細については、Microsoft Internet Security and Acceleration(ISA)Server TechCenter leavingcisco.com をご覧ください。

シナリオ II では、ある ACS サーバから別の ACS サーバにトラフィックが送信される際にトラフィックはすでに暗号化されているので、簡単な GRE トンネルを使用してデータベース レプリケーションを達成します。セカンダリ ACS サーバは PIX/ASA ファイアウォールの外側に位置し、GRE トンネルはルータ間で確立されます。このトンネルによって、NAT デバイスからのアドレス情報とデータが隠されるため、データベース レプリケーションは正常に進行します。

注: IPsec を使用する VPN トンネルの場合は、暗号アクセス リストに ACS サーバを追加することで同じ結果を得ることができます。

ファイアウォールが介在するデータベース レプリケーション(NAT 設定)を設定するには、次の手順を実行します。

  1. プライマリ ACS サーバの設定

  2. セカンダリ ACS サーバの設定

  3. NAT デバイスを通じたデータベース レプリケーションの設定

手順

ここでは、データベース レプリケーションの設定方法を説明します。シナリオ Iシナリオ II のいずれかの手順を完了する必要があります。

プライマリ ACS サーバの設定

プライマリ ACS サーバを設定するには、次の手順を実行します。

  1. プライマリ ACS サーバで Cisco Secure ACS ユーザ インターフェイスを開きます。

    Cisco Secure ACS インターフェイスが表示されます。

    acs_db_replication03.gif

  2. 左側のペインで [Interface Configuration] ボタンをクリックします。

    [Interface Configuration] ページが表示されます。

    acs_db_replication04.gif

  3. [Advanced Options] リンクをクリックします。

    [Advanced Options] ページが表示されます。

    acs_db_replication05.gif

  4. [Advanced Options] ページで、[ACS internal database Replication] チェックボックスをオンにして [Submit] をクリックします。

  5. 左側のペインで [Network Configuration] ボタンをクリックします。

    [Network Configuration] ページが表示されます。

    acs_db_replication06.gif

  6. セカンダリ ACS サーバを追加するために、[AAA Servers] エリアで、[Add Entry] をクリックします。

    [Add AAA Server] ページが表示されます。

    acs_db_replication07.gif

  7. セカンダリ ACS サーバの値を入力してから、[Submit + Apply] をクリックします。

  8. 左側のペインで、[System Configuration] ボタンをクリックします。

    [System Configuration] ページが表示されます。

    acs_db_replication08.gif

  9. [ACS Internal Database Replication] リンクをクリックします。

    [Database Replication Setup] ページが表示されます。

    acs_db_replication09.gif

  10. [Replication Components] エリアで、セカンダリ ACS サーバに複製するコンポーネントの [Send] チェックボックスをオンにします。

  11. [Outbound Replication Scheduling] エリアで、[Manually] オプション ボタンをクリックします。

    注: 必要に応じて、発信レプリケーションが一定間隔で実行されるようなスケジュールを作成することもできます。

  12. [Outbound Replication Partners] エリアで、[AAA Servers] リストから [Add AAA Server] ページに追加したサーバを選択し、右矢印ボタン(acs_db_replication10.gif)をクリックして、そのサーバを [Replication] リストに移動します。

  13. [Inbound Replication] エリアと [Replication Settings] エリアに示されているデフォルト値は、そのままにしておきます。

  14. [Submit] をクリックします。

セカンダリ ACS サーバの設定

セカンダリ ACS サーバを設定するには、次の手順を実行します。

  1. セカンダリ サーバで Cisco Secure ACS ユーザ インターフェイスを開きます。

    Cisco Secure ACS インターフェイスが表示されます。

    acs_db_replication11.gif

  2. 左側のペインで [Interface Configuration] ボタンをクリックします。

    [Interface Configuration] ページが表示されます。

    acs_db_replication12.gif

  3. [Advanced Options] リンクをクリックします。

    [Advanced Options] ページが表示されます。

    acs_db_replication13.gif

  4. [Advanced Options] ページで、[ACS internal database Replication] チェックボックスをオンにして [Submit] をクリックします。

  5. 左側のペインで [Network Configuration] ボタンをクリックします。

    [Network Configuration] ページが表示されます。

    acs_db_replication14.gif

  6. プライマリ ACS サーバを追加するために、[AAA Servers] エリアで、[Add Entry] をクリックします。

    [Add AAA Server] ページが表示されます。

    acs_db_replication15.gif

  7. プライマリ ACS サーバの値を入力してから、[Submit + Apply] をクリックします。

    注: プライマリ サーバとセカンダリ サーバのキーは同じである必要があります。

  8. 左側のペインで、[System Configuration] ボタンをクリックします。

    [System Configuration] ページが表示されます。

    acs_db_replication16.gif

  9. [System Configuration] ページで、[ACS Internal Database Replication] リンクをクリックします。

    [Database Replication Setup] ページが表示されます。

    acs_db_replication17.gif

  10. [Replication Components] エリアで、プライマリ ACS サーバから複製するコンポーネントの [Receive] チェックボックスをオンにします。

    注: プライマリ サーバで選択するコンポーネントとセカンダリ サーバで選択するコンポーネントが一致している必要があります。

  11. [Outbound Replication Scheduling] エリアで、[Manually] オプション ボタンをクリックします。

    注: [Outbound Replication] の [Partners] エリアの [Replication] リストは空白にしておきます。セカンダリ サーバはデータベース コンポーネントを受信するので、[Replication] リストにプライマリ サーバを追加する必要はありません。

  12. [Inbound Replication] エリアの [Accept replication from] ドロップダウン メニューで、プライマリ AAA サーバを選択します。

  13. [Replication Settings] エリアはデフォルトの設定値のままにしておきます。

  14. [Submit] をクリックします。

Secure ACS によるデータベース レプリケーションの起動

この手順は、シナリオ I にだけ適用されます。

Cisco Secure ACS を通じてデータベース レプリケーションを起動するには、次の手順を実行します。

  1. プライマリ ACS サーバで、左側のペインの [System Configuration] ボタンをクリックします。

    [System Configuration] ページが表示されます。

    acs_db_replication18.gif

  2. [ACS Internal Database Replication] リンクをクリックします。

    [Database Replication Setup] ページが表示されます。

    acs_db_replication19.gif

  3. [Replicate Now] ボタンをクリックします。

  4. 設定を確認します。設定の確認方法については、「設定の確認」を参照してください。

NAT デバイスを通じたデータベース レプリケーションの設定

この手順は、シナリオ IIにだけ適用されます。

NAT デバイスを通じたデータベース レプリケーションを設定するには、次の手順を実行します。

  1. ルータ Ausnml-3825-01Ausnml-7204-05 に GRE トンネルを設定します。

  2. 通常どおり、レプリケーションを実行します。

次の表に GRE トンネルの設定例を示します。

AUSNML-3825-01 AUSNML-7204-05
show run
Building configuration...

Current configuration : 1218 bytes
!
!  
! 
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AUSNML-3825-01
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dLun$g726j7YEccX.qw9YNA8I1.
enable password cisco
!
no aaa new-model
!
resource policy
!
ip cef
!
voice-card 0
 no dspfarm

!--- GRE トンネルの設定

interface Tunnel0
 ip address 172.16.16.1 255.255.255.0
 ip mtu 1438
 tunnel source GigabitEthernet0/0
 tunnel destination 192.168.1.65
!
interface GigabitEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.25.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
ip route 0.0.0.0 0.0.0.0 192.168.200.2

ip route 10.1.0.1 255.255.255.255 Tunnel0

!--- ACS データベース トラフィックのルーティング

!
ip http server
no ip http secure-server
!
control-plane
!
!
!
line con 0
 stopbits 1
line aux 0
line vty 0 4
 exec-timeout 0 0
 password cisco
 login
 transport input telnet
!
scheduler allocate 20000 1000
!
end

AUSNML-3825-01#
show run
Building configuration...

Current configuration : 1222 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname AUSNML-7204-05
!
ip subnet-zero
ip cef
!

call rsvp-sync

!--- GRE トンネルの設定

interface Tunnel0
 ip address 172.30.30.1 255.255.255.0
 ip mtu 1438
 tunnel source FastEthernet0/0
 tunnel destination 192.168.200.1
!
interface FastEthernet0/0
 ip address 10.0.0.2 255.255.255.0
 duplex half
!
interface ATM2/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet3/0
 ip address 10.1.0.2 255.255.255.0
 duplex half
!
interface Ethernet3/1
 ip address 10.2.0.2 255.255.255.0
 duplex half
!
interface Ethernet3/2
 no ip address
 shutdown
 duplex half
!
interface Ethernet3/3
 no ip address
 shutdown
 duplex half
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.0.0.1

ip route 192.168.25.2 255.255.255.255 Tunnel0

!--- ACS データベース トラフィックのルーティング

no ip http server
ip pim bidir-enable
!
dial-peer cor custom
!
gatekeeper
 shutdown
!
line con 0
line aux 0
line vty 0 4
 password cisco123
 login
!
end

AUSNML-7204-05#

次の表に、このシナリオに関連したファイアウォールの設定を示します。

ausnml-pix-515e
show run
: Saved
PIX Version 6.3(5)
hostname ausnml-pix-515e
domain-name cisco.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69

names

!--- GRE トンネル プロトコルを許可

access-list 101 permit gre host 192.168.200.1 host 192.168.1.65 

no pager
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.214 255.255.255.252
ip address inside 10.0.0.1 255.255.255.0
global (outside) 1 192.168.1.67-192.168.1.127 netmask 255.255.255.192
global (outside) 1 192.168.1.130-192.168.1.190 netmask 255.255.255.192
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!---トンネルおよびその他のスタティック エンドポイントの変換

static (inside,outside) 192.168.1.65 10.0.0.2 netmask 255.255.255.255 0 0 
static (inside,outside) 192.168.1.66 10.1.0.1 netmask 255.255.255.255 0 0 
static (inside,outside) 192.168.1.129 10.2.0.1 netmask 255.255.255.255 0 0 

access-group 101 in interface outside


!--- 周辺ルータへのスタティック ルート

route outside 0.0.0.0 0.0.0.0 192.168.1.213 1


!--- ACS サーバへのルート

route inside 10.1.0.0 255.255.255.0 10.0.0.2 1
route inside 10.2.0.0 255.255.255.0 10.0.0.2 1
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 10.1.0.1 255.255.255.255 inside
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn username wvshaw password ********* store-local
terminal width 80
Cryptochecksum:f23dd725f24bb68e8ce8710f0d7bb58f
: end
ausnml-pix-515e(config)# 

設定の確認

ここでは、設定の確認方法について説明します。

データベース レプリケーションの設定を確認するには、次の手順を実行します。

  1. プライマリ ACS サーバで、左側のペインの [Reports and Activity] ボタンをクリックします。

    [Reports and Activity] ページが表示されます。

    acs_db_replication20.gif

  2. [Database Replication] リンクをクリックします。

    [Select a Database Replication Log File] エリアが表示されます。

    acs_db_replication21.gif

  3. [Select a Database Replication Log File] エリアで、[Database Replication.csv] をクリックします。

    ログ ファイルでは、正常に実行されたデータベース レプリケーションは次の図のように表示されます。

    acs_db_replication22.gif

    さらに、この図のようにセカンダリ ACS サーバのログ ファイルにエラーがないことを確認します。

    acs_db_replication23.gif

設定のトラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

レプリケーションの問題

構成にプライマリ サーバとセカンダリ サーバが 1 台ずつ含まれていて、プライマリ サーバが次のようなエラー メッセージを受信しました。

Primary(hostname): ACS 'hostname' has denied replication request
Secondary(hostname): Inbound database replication from ACS 'hostname' denied 

解決策

  • ACS は双方向レプリケーションをサポートしていないので、セカンダリ ACS サーバ内のプライマリ ACS サーバのエントリを削除します。さらに、セカンダリ ACS の受信コンポーネント オプションが、プライマリ ACS の送信 コンポーネント オプションと異なっていることを確認します。

  • プライマリ サーバとセカンダリ サーバの共有秘密キーが同じであることを確認します。

注: ロード シェアリングは、ACS でサポートされていないため、フェールオーバーとしてのみ機能します。プライマリ サーバに障害が発生した場合、セカンダリ サーバがその処理を引き継ぎます。

セカンダリ ACS サーバでサービスが再開されない

デュアル プロセッサのプライマリ ACS とセカンダリ ACS のマシン間での DB レプリケーション後、セカンダリ ACS マシンのリブートから 30 分以内に ACS サービスが開始されません。

解決策

DB レプリケーションがある場合は、わずか 30 分後にセカンダリ ACS をリブートすることで、この問題を解決できます。

手順

設定のトラブルシューティングを実行するには、次のうち 1 つ以上の手順を実行します。

  • データベース レプリケーションが正常に終了したことを確認するには、「設定の確認」に従って、プライマリ ACS サーバとセカンダリ ACS サーバのデータベース レプリケーション レポートを表示します。

  • Windows イベント ログを表示して、エラー メッセージを確認します。

ヒント

  • プライマリ サーバの設定にすべてのセカンダリ サーバがリストされていること:プライマリ サーバがデータをセカンダリ サーバに送信し、セカンダリ サーバがさらに別のサーバに送信するというカスケード方式を使用する場合は、プライマリ サーバですべてのサーバを設定する必要があります。プライマリ サーバから直接そのサーバに複製されない場合も、この要件を満たす必要があります。

  • TCP ポート 2000 のアクセス リスト:プライマリ サーバがファイアウォールの外側にある場合は、宛先の TCP ポート 2000 がそのファイアウォールで許可されていることを確認します。プライマリ サーバは、データベース レプリケーションにランダム ソース ポートと宛先ポート 2000 を使用します。

  • ファイアウォールに関する GRE または IPsec のアクセス リスト:トラフィックがファイアウォールを通過する場合は、GRE または IPsec を許可するアクセス リストが必要です。

  • データベース レプリケーション キー:プライマリ ACS サーバのキーは、データベース レプリケーションの正常な完了のために非常に重要です。プライマリ ACS サーバが拒否される場合は、キーの値を完全に一致させる必要があります。

  • ACS エラー「Database file cannot be read into memory」:このエラーが発生するのは、サーバのディスク領域が枯渇している場合です。このエラーを解決するには、サーバのディスク領域を解放します。

  • 外部データベースに関するエラー メッセージ:プライマリとセカンダリのいずれかの ACS サーバが LDAP などの外部データベースによる認証を実行しません。ただし、もう一方の ACS サーバは正常に機能します。さらに、エラー認証コード External DB not operational を受信します。これは、ACS の [Reports and Activity] > [Failed Attempts ] ダイアログ ボックスにあります。この問題を解決するには、[External Databases] > [Unknown User Policy] を選択し、一番上に Windows データベースではなく LDAP データベースがあることを確認します。

  • ベース イメージ:プライマリとセカンダリの ACS サーバが同じベース イメージのバージョンを使用していることを確認します。

  • ACS エラー「Cannot replicate to <Server Name> - server not responding」:このエラー メッセージは、データベース レプリケーションが失敗した場合にレプリケーション レポート ログに表示されます。このエラーは、Skinny インスペクションが有効になっている場合に発生します。Skinny プロトコルと ACS のデータベース レプリケーションは、どちらも同じ TCP ポート 2000 を使用するためです。この問題を解決するには、次のように Skinny インスペクションを無効にします。

    hostname# configure terminal
    hostname(config)# policy-map global-policy
    hostname(config-pmap)# class inspection_default
    hostname(config-pmap-c)# no inspect skinny
    
  • ACS エラー「acs1 ERROR Inbound database replication」:このエラーを受信した場合は IP アドレスが正しいことを確認してください。

    acs1 ERROR Inbound database replication from ACS 'csacs1' denied - 
          shared secret mismatch

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71320