Cisco Secure Access Control System 5.3 移行ガイド
移行ユーティリティのトラブルシューティング
移行ユーティリティのトラブルシューティング
発行日;2012/03/14 | 英語版ドキュメント(2012/01/31 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

移行ユーティリティのトラブルシューティング

ACS 4.x データベースを移行マシンで復元できない

リモート デスクトップ接続が移行ユーティリティでサポートされていない

大規模データベースの移行オブジェクト

インポート フェーズで一部のデータだけが追加される

インポート後に ACS 5.3 マシンが応答しない

移行の問題の解決

IP アドレスのオーバーラップ

変換できない IP アドレス

41 以上の IP アドレスがあるネットワーク デバイス

無効な TACACS+ シェル特権レベル

TACACS+ カスタム属性が移行されない

シェル コマンド認可セットをユーザまたはグループに関連付けられない

手動で作成した Super Admin の移行が失敗する

移行ユーティリティ メッセージ

ダウンロード可能 ACL

MAB

NDG

マスター キー

ネットワーク デバイス

RAC

コマンド セット

Shell Exec

ユーザ

ユーザ属性

ユーザ属性値

ユーザ グループ

VSA ベンダー

VSA

Cisco TAC へのレポートの問題

ACS 4.x データベースを移行マシンで復元できない

条件

ACS 4.x データベースを移行マシンで復元できません。

アクション

ACS 4.x 運用マシン(バックアップが作成された)および ACS 4.x 移行マシン(バックアップが復元された)が同じバージョンのシステム ソフトウェアを使用していることを確認します。この問題は、パッチのレベル不足が原因であることがあります。

リモート デスクトップ接続が移行ユーティリティでサポートされていない

条件

リモートデスクトップ接続(RDC)を使用して、移行ユーティリティを実行できません。

アクション

仮想ネットワーク コンピューティング(VNC)を使用して、移行マシンで移行ユーティリティを実行します。

大規模データベースの移行オブジェクト

大規模なデータベースからオブジェクトを移行する場合に、さまざまな問題が発生することがあります。

条件

ACS 4.x データベースから多数のオブジェクトを移行する場合に、パフォーマンスの問題が発生することがあります。

アクション

各オブジェクト グループに対して移行ユーティリティを実行することを推奨します。たとえば、移行ユーティリティで、2 と入力してオプション 2 の AllUsersObjects を選択します。この例では、ユーザ オブジェクトに対して移行ユーティリティを実行するだけです。

インポート フェーズで一部のデータだけが追加される

条件

インポートを行うと、一部のデータだけが追加されます。

アクション

1. 次の内容を確認してください。

移行インターフェイスが ACS 5.3 サーバでイネーブルであること

ネットワーク接続がイネーブルであること

ACS 5.3 サービスが起動し、実行していること

互換性のある ACS 5.3 ライセンスを使用していること

2. ACS 5.3 データベースを前のバージョンに復元します。

3. 移行ユーティリティを再起動します。

4. インポート フェーズを再度実行します。

インポート後に ACS 5.3 マシンが応答しない

条件

インポート後に ACS 5.3 マシンが応答しません。

アクション

ACS 5.3 を再起動します。

移行の問題の解決

このセクションでは、手動で移行の問題を解決する方法について説明します。次の移行の問題について説明します。

「IP アドレスのオーバーラップ」

「変換できない IP アドレス」

「41 以上の IP アドレスがあるネットワーク デバイス」

「無効な TACACS+ シェル特権レベル」

「TACACS+ カスタム属性が移行されない」

「シェル コマンド認可セットをユーザまたはグループに関連付けられない」

IP アドレスのオーバーラップ

分析フェーズで、ACS 4.x のネットワーク デバイスの IP アドレスのオーバーラップがレポートされる場合があります。例 D-1 は、AA ネットワーク デバイスの IP アドレスが BB ネットワーク デバイスの IP アドレスにオーバーラップしており、各ネットワーク デバイスがさまざまな NDG に属していることを示しています。ACS 4.x 側から見ると、これらは 2 つの個別のオブジェクトです。

例 D-1 IP アドレスのオーバーラップ

The following Network Devices are overlapped:
Network device: AA, IP Address = 23.8.23.*, 45.67.*.8, protocol =RADIUS, Group= HR
Network device: BB, IP Address = 45.*.6.8, 1.2.3.4, protocol =TACACS, Group = Admin

ただし、ACS 5.3 は TACACS+ および RADIUS を 1 つのオブジェクトとして定義します。

ソリューションとしては、ACS 4.x アプリケーションを使用して同じ IP アドレスを持つネットワーク デバイスの再定義を行い、それらが同じ NDG に属するようにします。例 D-2 にソリューションを示します。

例 D-2 解決済みの IP アドレス

Network device: CC, IP Address = 1.2.3.*, protocol =RADIUS, Group= HR
Network device: DD, IP Address = 1.2.3.*, protocol =TACACS, Group = HR

 

この例では、IP アドレスが同一で、両方のネットワーク デバイスが同じ NDG に含まれる、RADIUS および TACACS+ ネットワーク デバイスを統合します。CC および DD を、CC+DD という名前の 1 つのオブジェクトとしてエクスポートできます。

変換できない IP アドレス

ACS 4.x の IP アドレスの定義ではワイルドカードや範囲を使用できます。ACS 5.3 では、IP アドレスの定義はサブネット マスク形式です。分析フェーズでは、変換できない IP アドレスのあるネットワーク グループを識別します。

ACS 4.x アプリケーションを使用して、IP アドレスの範囲を ACS 5.3 のサブネット マスク定義に変更できます。ただし、IP アドレスのすべての組み合わせを ACS 5.3 のサブネット マスク定義に変換できるわけではありません。例を示します。

Network device: AA, IP Address =23.8.23.12-221 protocol =RADIUS, Group= HR

 

この例では、IP アドレスに 12 ~ 221 の範囲が含まれており、サブネット マスク定義に変換できません。

ワイルドカード(*)または範囲(x ~ y)がアドレスの途中に含まれる場合、IP アドレスを移行できません。次のパターンの IP アドレスは移行できません。

1.*.2.*

*.*.*.1

*.*.*.*

次のパターンの IP アドレスは変換できます。

1.*.*.*

1.2.*.*

1.2.3.*

1.2.3.13 ~ 17


) 移行では、0 ~ 255 の IP 範囲がサポートされます。


41 以上の IP アドレスがあるネットワーク デバイス

条件

ACS 4.x のネットワーク デバイスには 41 以上の IP アドレスがあります。ACS 5.3 では 41 以上の IP アドレスのあるネットワーク デバイスを移行しません。

アクション

移行マシンの ACS 4.x アプリケーションを使用して、ネットワーク デバイス設定を編集します。次の手順に従います。


ステップ 1 [Network Configuration] を選択します。

ステップ 2 ネットワーク デバイスのある [NDG] を選択します。

ステップ 3 ネットワーク デバイスを選択します。

ステップ 4 [AAA Client IP Address] フィールドを編集します。AAA クライアントに 40 以下の IP アドレスがあることを確認します。

ステップ 5 [Submit + Apply] をクリックします。


 

移行ユーティリティを再実行します(分析およびエクスポート フェーズおよびインポート フェーズ)。

無効な TACACS+ シェル特権レベル

条件

TACACS+(T+)シェル特権レベルが 0 ~ 15 の範囲内にありません。

アクション

ACS 4.x アプリケーションを移行マシンで使用して、T+ 設定を編集します。T+ 特権レベルを 0 ~ 15 の間に設定します。

ユーザ レベルで T+ 設定を編集するには、次の手順を実行します。


ステップ 1 [User Setup] を選択します。

ステップ 2 ユーザを選択します。

[Edit] 画面が表示されます。

ステップ 3 [TACACS+ Settings] テーブルの [Privilege level] チェックボックスを確認して、0 ~ 15 の値を入力します。

ステップ 4 [Submit] をクリックします。


 

グループ レベルで T+ 設定を編集するには、次の手順を実行します。


ステップ 1 [Group Setup] を選択します。

ステップ 2 グループを選択して、[Edit Settings] をクリックします。

ステップ 3 [TACACS+ Settings] テーブルの [Privilege level] チェックボックスを確認して、0 ~ 15 の値を入力します。

ステップ 4 [Submit + Restart] をクリックします。


 

移行ユーティリティを再実行します(分析およびエクスポート フェーズおよびインポート フェーズ)。

TACACS+ カスタム属性が移行されない

条件

ACS 4.x では、T+ カスタム属性がユーザおよびグループに対して定義されています。ACS 5.3 は TACACS+ カスタム属性をサポートしていません。

アクション

何も実行する必要はありません。ユーザおよびグループに対して定義されているその他すべての T+ シェル実行属性は移行されません。T+ カスタム属性は削除されます。

シェル コマンド認可セットをユーザまたはグループに関連付けられない

条件

シェル コマンド認可セットは ACS 4.x のユーザまたはグループに関連付けられています。移行後は、シェル コマンド認可セットとユーザまたはグループ間の関連付けが失われます。

アクション

ACS 5.3 アプリケーションを使用して、次の手順を実行します。

1. 移行したコマンド セットにアクセスします。詳細については、「コマンド セットの移行」を参照してください。

2. ユーザおよび ID グループのポリシーを作成します。

ポリシーの作成の詳細については、『 User Guide for the Cisco Secure Access Control System 5.3 』を参照してください。

手動で作成した Super Admin の移行が失敗する

条件

ACS 5.3 では、ユーザ Admin1 は [System Administration] > [Administrators] > [Accounts] で、Super Admin の ロールで 作成されます。Admin1 を管理者のユーザ名に設定しようとしたときに移行が失敗しました。

アクション

何も実行する必要はありません。ACS 5.3 ではデフォルトのスーパー管理者 acsadmin だけをサポートし、手動入力のユーザをサポートしません。

移行ユーティリティ メッセージ

次の表で、さまざまな ACS オブジェクトの移行時に表示される可能性のあるエラーおよび通知メッセージについて説明します。ここでは、次の内容について説明します。

「ダウンロード可能 ACL」

「MAB」

「NDG」

「マスター キー」

「ネットワーク デバイス」

「RAC」

「コマンド セット」

「Shell Exec」

「ユーザ」

「ユーザ属性」

「ユーザ属性値」

「ユーザ グループ」

「VSA ベンダー」

「VSA」

ダウンロード可能 ACL

表 D-1 で、ダウンロード可能な ACL の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-1 ダウンロード可能な ACL のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Shared DACL name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Error

Cannot migrate a shared DACL with a name that contains any of the following characters: illegal characters for the object .

名前エラー

インポート

Error

Error from PI .For example, object already exists in the ACS 5.3 database.

なし

MAB

表 D-2 で、MAB の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-2 MAB のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

MAB name after migration has been changed to: name after truncation .

切り捨て

エクスポート

Information

Cannot migrate a MAB with a name that contains any of the following characters: illegal characters for the object .

名前エラー

エクスポート

Information

Invalid MAC ID.

変換できない

インポート

Error

Error from PI. For example, Object already exists in the ACS 5.3 database.

なし

インポート

Error

Group ID: group ID referenced object was not imported.

参照インポートなし

インポート

Error

Group could not be found for: MAB name Group ID: group ID .

ログ エラー

NDG

表 D-3 で、NDG の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-3 NDG のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Network device name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Information

Cannot migrate an NDG with a name that contains any of the following characters: illegal characters for the object.

名前エラー

エクスポート

Information

NDG has a shared key password.

パスワードが含まれる

インポート

Error

Error from PI. For example, failed to add object: NDG root name in function: method name.

なし

インポート

Information

Object already exists in the ACS 5.3 database.

重複

マスター キー

表 D-4 で、マスター キーの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-4 マスター キーのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Fatal Error: Authority ID is null - Import Failed.

なし

インポート

Error

Error from PI. For example, object already exists in the ACS 5.3 database.

なし

ネットワーク デバイス

表 D-5 で、ネットワーク デバイスの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-5 ネットワーク デバイスのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Network device name after migration has been changed to: name after truncation.

切り捨て。

エクスポート

Information

 

Network Device has shared key password.

パスワードが含まれる。

エクスポート

 

Information

 

NDG referenced NDG unified with Name of the Network device overlapped with from NDG NDG name.

統合された NDG: 参照された NDG

エクスポート

Error

Cannot migrate an NDG with a name that contains any of the following characters: Illegal characters for the object.

名前エラー。

エクスポート

Error

NDG referenced object was not exported.

参照オブジェクトはエクスポートされませんでした。

エクスポート

Error

NDG: referenced NDG there are number of subnets subnets in the following IP address IP address.

サブネット制限を超えている。

エクスポート

Error

Unable to translate network device IP address.

変換できない NDG: 参照された NDG

エクスポート

Error

NDG referenced NDG : Network device IP address overlaps the same device.

オーバーラップする NDG: 参照された NDG

エクスポート

Error

Network device has been discarded as it is unified with: unified NDG .

統合されたパートナー NDG: 参照された NDG

エクスポート

Error

Network device IP is overlapping with other device.

オーバーラップする NDG: 参照された NDG

エクスポート

Error

Overlaps with: Network device name from NDG: NDG name .

オーバーラップする NDG: 参照された NDG IP アドレス: IP アドレス

インポート

Error

NDG referenced object was not imported.

参照インポートなし。

インポート

Error

Error from PI. For example, Object already exists in the ACS 5.x database.

なし。

RAC

表 D-6 で、RAC の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-6 RAC のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

RAC name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Error

ACS 5.3 does not support this attribute: vid= vendor ID , att= attribute value .No other attributes in RAC will be migrated.

サポートされていないベンダー

エクスポート

Error

RAC does not contain any supported attributes.

値なし

エクスポート

Error

Cannot migrate an RAC with a name that contains any of the following characters: Illegal characters for the object.

名前エラー

エクスポート

Error

Wrong enum value for attribute: attribute name. No other attributes in RAC will be migrated.

エラー

エクスポート

Error

Invalid value for attribute: VSA attribute name. No other attributes in RAC will be migrated.

エラー

エクスポート

Information

The following attribute was not migrated: attribute name.

サポートされていないベンダー

エクスポート

Error

ACS 5.3 does not support this attribute: vid= vendor ID , att= attribute value , name= attribute name. No other attributes in RAC will be migrated.

サポートされていないベンダー

インポート

Error

RAC exception, for example, Invalid attribute number.

なし

インポート

Error

Error from PI. For example, Object already exists in the ACS 5.3 database.

なし

インポート

Fatal

An error occurred in createCapabilitiesAll(): Exception details.

ログ エラー

コマンド セット

表 D-7 で、コマンド セットの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-7 コマンド セットのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Command set name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Information

Identical objects cannot be migrated: identical object name.

統合

エクスポート

Information

Command set value: Invalid Command Set value .

変換できない

エクスポート

Information

Cannot migrate a command set with a name that contains any of the following characters: Illegal characters for the object.

名前エラー

エクスポート

Information

Command set name was not imported and shell exec and command set for this user/group were not imported .

名前エラー

エクスポート

Information

Shared command sets name cannot contain apostrophes or curly braces.

名前エラー

エクスポート

Information

Command Set name contains a duplicate argument.

引数が重複している

エクスポート

Information

The selected network device NDG is not supported.

サポートされていないオプション

エクスポート

Error

Translation failed.The argument does not start with Unmatched.

ログ エラー

エクスポート

Error

Translation failed.An equals sign (=) is missing after Unmatched

ログ エラー

エクスポート

 

Fatal

Translation failed since Unmatched is not set to permit or deny: unmatched value.

ログ エラー

エクスポート

Error

Group T+ shell command translation failed: exception details .

ログ エラー

エクスポート

Error

Group T+ shell command translation failed.The argument is not a prefix with permit/deny: argument action value .

ログ エラー

エクスポート

Error

Command name Group T+ command set translation failed: exception details .

ログ エラー

エクスポート

Error

Command description, Exception details .

ログ エラー

インポート

Error

Referenced object was not imported.

参照インポートなし

インポート

Error

Error from PI. For example, object already exists in the ACS 5.3 database.

エラー

Shell Exec

表 D-8 で、shell exec の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-8 Shell Exec のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

Command set name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Information

Identical objects cannot be migrated: identical object name.

統合

エクスポート

Information

Shell Exec value Invalid shell exec value.No other T+ shell exec attributes will be migrated.

変換できない

エクスポート

Information

Parsing error.No other T+ shell exec attributes will be migrated.

変換できない

エクスポート

Information

Cannot migrate a command set with a name that contains any of the following characters: Illegal characters for the object .No other T+ shell exec attributes will be migrated.

名前エラー

エクスポート

Information

Shell Exec name was not imported and shell exec and command set for this user/group were not imported.No other T+ shell exec attributes will be migrated.

名前エラー

エクスポート

Information

ACS 5.3 does not support custom attributes present in T+ shell exec.No other T+ shell exec attributes will be migrated.

挿入

エクスポート

Information

T+ shell exec not defined for user or user group.No other T+ shell exec attributes will be migrated.

挿入

エクスポート

Information

 

Idle time for shell exec should be in the range of 0-9999.No other T+ shell exec attributes will be migrated.

無効なアイドル時間

エクスポート

Information

 

Time out for shell exec should be in the range of 0-9999.No other T+ shell exec attributes will be migrated.

無効なタイムアウト

エクスポート

 

Information

 

T+ shell priv-lvl is invalid value. No other T+ shell exec attributes will be migrated.

無効な特権レベル

エクスポート

Information

 

T+ shell priv-lvl value is higher than max-priv-lvl max value .No other T+ shell exec attributes will be migrated.

無効な特権レベル

エクスポート

Information

ACS 5.3 does not support custom attributes present in T+ shell exec.

サポートされていないオプション

エクスポート

Error

Group T+ shell exec translation failed: exception details .

ログ エラー

エクスポート

Error

An error occurred while retrieving the max privilege: exception details .

ログ エラー

インポート

Error

Referenced object was not imported.

参照インポートなし

インポート

Error

Error from PI .For example, object already exists in the ACS 5.3 database.

エラー

ユーザ

表 D-9 で、ユーザの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-9 ユーザのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

User name after migration has been changed to: name after truncation.

切り捨て

エクスポート

Error

 

Cannot migrate users with names that contain any of the following characters: Illegal characters for the object.

名前エラー

エクスポート

Error

 

Cannot migrate users whose password does not conform to the ACS 5 password policy.Passwords should be between 4 and 32 characters in length.

パスワード エラー

エクスポート

Error

Cannot migrate users with empty password to ACS 5.3.

パスワードなし

エクスポート

Error

Cannot migrate VoIP users to ACS 5.3.

VoIP グループ

エクスポート

Error

A problem occurred while reading the expiry data for the user.

ログ エラー

インポート

Error

Referenced object was not imported.

参照インポートなし

インポート

Error

Group could not be found for: MAB name Group ID: group ID.

ログ エラー

ユーザ属性

表 D-10 で、ユーザ属性の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-10 ユーザ属性のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Information

User attribute after migration has been changed to: name after truncation .

切り捨て

エクスポート

Information

Cannot migrate a user attribute with a name that contains any of the following characters: Illegal characters for the object.

名前エラー

エクスポート

Information

User attribute name User-defined name is not unique.It will be disambiguated for import by appending a suffix.

反復

インポート

Information

Attribute added with warning: Object already exists in the ACS 5.3 database.

重複

インポート

Error

Error from PI.

エラー

ユーザ属性値

表 D-11 で、ユーザ属性値の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-11 ユーザ属性値のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Error

User attribute value was not imported and user attribute values for this user were not imported.

ログ エラー

ユーザ グループ

表 D-12 で、ユーザ グループの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-12 ユーザ グループのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Error

Group has no users.

ユーザなし

エクスポート

Error

Cannot migrate a user group with a name that contains any of the following characters: Illegal characters for the object.

名前エラー

インポート

Information

Error from PI .

重複

インポート

Error

Error from PI .

エラー

VSA ベンダー

表 D-13 で、VSA ベンダー ID の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-13 VSA ベンダーのエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Error

Object already exists in the ACS 5.3 database.

重複

エクスポート

Information

Vendor name conflict.ACS 5.3 vendor name: vendor name.

名前エラー

インポート

Error

VSA vendor ID vendor id import failed. Error from PI :

Enum エラー

VSA

表 D-14 で、VSA の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。

 

表 D-14 VSA のエラーおよび通知メッセージ

フェーズ
タイプ
エラー
診断

エクスポート

Error

VSA ID attribute id value has attribute profile conflicts: In ACS 4.x, it is name for the profile , but in ACS 5.0, it is direction value .

プロファイル エラー

エクスポート

Error

VSA ID (attribute id) has attribute name conflicts: In ACS 4.x, it is attribute name , but in ACS 5.3, it is attribute name .

名前エラー

インポート

Error

VSA ID attribute id has attribute type conflicts: In ACS 4.x, it is attribute type , but in ACS 5.0, it is ACS 5.3 attribute type value.

タイプ エラー

エクスポート

Error

There is a problem with the VSA ID attribute id enum values (see log for details)

Enum エラー

エクスポート

Error

Object already exists in the ACS 5.3 database.

なし

インポート

Error

VSA attribute id enum import failed. Error from PI:

Enum エラー

インポート

Information

VSA attribute ID enabling log failed.

なし

インポート

Error

VSA attribute ID attribute import failed. Error from PI.

サポートされていない属性

インポート

Error

VSA attribute ID vendor ID vendor ID import failed. Error from PI .

参照インポートなし

Cisco TAC へのレポートの問題

Cisco TAC へ問題を報告する場合は、次の情報を含めてください。

ACS 4.x データベース(.dmp ファイル)のバックアップ

移行のログファイル(...migration/bin/migration.log)

config フォルダのすべてのレポート(...migration/config)

ACS 5.3 ログファイル

ACS 5.3 ビルド番号

ACS 4.x ビルド番号