ACS 5.x والإصدارات الأحدث - أستكشاف أخطاء ACS الآمنة وإصلاحها

المقدمة

يقدم هذا المستند معلومات حول كيفية أستكشاف أخطاء نظام التحكم في الوصول الآمن (ACS) من Cisco وإصلاحها وكيفية حل رسائل الخطأ.

للحصول على معلومات حول كيفية أستكشاف أخطاء Cisco Secure ACS 3.x و 4.x وإصلاحها، ارجع إلى أستكشاف أخطاء خادم التحكم في الوصول الآمن (ACS 3.x و 4.x) وإصلاحها.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدار 5.x من نظام التحكم في الوصول الآمن من Cisco والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

المشكلة: "خطأ: حفظ التكوين الجاري تشغيله إلى بدء التشغيل بنجاح ٪ ملف البيان غير موجود في الحزمة" على جهاز ACS أثناء ترقية الجهاز

الخطأ : حفظ التكوين الجاري تشغيله إلى بدء التشغيل بنجاح ٪ ملف البيان الذي لم يتم العثور عليه في الحزمة يظهر خطأ عند إجراء محاولة لترقية ACS Express من 5.0 إلى 5.0.1.

الحل

أتمت هذا steps in order to حسنت ال ACS أداة دون أي إصدار:

1. قم بتنزيل التصحيح 9 (5-0-0-21-9.tar.gpg) و ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) من: Cisco.com > الدعم > تنزيل البرامج > الأمان > نظام التحكم بالوصول الآمن من Cisco 5.0 > برنامج نظام التحكم بالوصول الآمن > 5.0.0.21

2. بعد تثبيت الملفين، قم بتثبيت ترقية ACS 5.1 ACS_5.1.0.44.tar.gz. هذا متاح من نفس المسار من الخطوة السابقة.

3. استعملت هذا أمر in order to ركبت التحسين:

   application upgrade 
           
           
             remote-repository-name 
           
   

يؤدي هذا إلى اكتمال إجراء الترقية.

ارجع إلى ترقية خادم ACS من 5.0 إلى 5.1 للحصول على مزيد من المعلومات حول كيفية ترقية جهاز ACS.

المشكلة: يتعذر إعادة تشغيل خادم ACS 5.x من واجهة المستخدم الرسومية

يشرح هذا القسم سبب عدم إمكانية إعادة تشغيل الإصدار 5.x من واجهة المستخدم الرسومية (GUI) لخادم ACS.

الحل

ليس هناك خيار يتوفر أن يعيد تشغيل ال ACS 5.x نادل من ال gui. يمكن إعادة تشغيل ACS من واجهة سطر الأوامر فقط.

المشكلة: إصدار إعداد مصادقة Active Directory مع ACS 5.2

عند إعداد مصادقة Active Directory (AD) لخدمة ACS جديدة 5.2، يتم تلقي رسالة الخطأ هذه:

خطأ RPC غير متوقع: تم رفض الوصول بسبب خطأ تكوين أو شبكة غير متوقع. الرجاء تجربة خيار —verbose أو تشغيل "adinfo —diag".

الحل

يحتاج ACS إلى كتابة أذون للمصادقة مع AD. لحل هذه المشكلة، قم بتوفير أذونات الكتابة المؤقتة إلى حساب الخدمة.

المشكلة: لا يمكن عرض أكثر من 100 صفحة في تقرير المحاسبة

عند محاولة إنشاء تقرير محاسبة AAA مخصص باستخدام ACS الإصدار 5.1، لا يمكنك عرض أكثر من 100 صفحة. وهذا لا يشمل العديد من التقارير القديمة. كيف يمكنك تغيير هذا الإعداد لرؤية كافة الصفحات؟

الحل

لا يمكنك تغيير عدد الصفحات الموجودة على ACS لأن الحد الأقصى لعدد الصفحات المعروضة هو 100 فقط بشكل افتراضي. للتغلب على هذا التحديد وعرض الإحصائيات القديمة، يلزمك تغيير خيارات التصفية حتى يمكن إجراء تطابقات أكثر تحديدا. على سبيل المثال، إذا حاولت إنشاء التقرير خلال الثلاثين يوما الماضية، فإنه يحتوي على وحدة تخزين كبيرة وقد تقوم آخر 100 صفحة بعرض النشاط في آخر ساعة فقط. هنا، ينصح باستخدام خيارات التصفية. يؤدي إتخاذ خيار التصفية كمعرف مستخدم وتحديد النطاق الزمني إلى تقديم تقارير أقدم.

المشكلة: تعذر إنشاء تقرير مصادقة المرور/الفشل لمجموعة من الأجهزة

تحدث هذه المشكلة عند محاولة إنشاء تقرير المصادقة لمجموعة من ستة موجهات/محولات فقط، وليس لجميع الأجهزة. يتم إستخدام الإصدار 4.x من ACS.

الحل

لا يمكن إستخدام ACS 4.x. تحتاج إلى الترحيل إلى ACS 5.x لأن هذه الميزة متوفرة مع هذا الإصدار. يمكنك إستخراج التقارير الخاصة بمجموعة الأجهزة المحددة عن طريق إنشاء تقارير الكتالوج.

ارجع إلى هذه الصورة للحصول على فهم أفضل:

المشكلة: قاعدة بيانات المراقبة والتقارير غير متوفرة حاليا. محاولة إعادة الاتصال في 5 ثوان.

عند النقر فوق "مراقبة بدء التشغيل وعارض التقارير" من ACS 5.x، يتم تلقي رسالة الخطأ هذه: قاعدة بيانات المراقبة والتقارير غير متوفرة حاليا. محاولة إعادة الاتصال في 5 ثوان. إذا إستمرت المشكلة، الرجاء الاتصال بمسؤول ACS.

الحل

أنجزت واحد من هذا حل in order to حللت هذا إصدار:

• قم بإعادة تشغيل خدمات ACS من CLI بإصدار الأوامر التالية:

  application stop acs
  application start acs

• قم بالترقية إلى أحدث حزمة متوفرة. ارجع إلى تطبيق تصحيحات الترقية للحصول على مزيد من المعلومات حول هذا الأمر.

المشكلة: 22056 لم يتم العثور على الموضوع في مخزن (مخازن) الهوية المعمول بها

لا تتم مصادقة مستخدمي AD مع ACS الإصدار 5.x ويستلمون رسالة الخطأ هذه: لم يتم العثور على الموضوع 22056 في مخزن (مخازن) الهوية المعمول بها.

الحل

تحدث رسالة الخطأ هذه عندما يفشل ACS في العثور على المستخدم في قاعدة البيانات المدرجة الأولى التي تم تكوينها في تسلسل مخزن الهوية. وهذه رسالة إعلامية ولا تؤثر على أداء ACS. يختلف تنفيذ ACS 5.x للمصادقة الخاصة بالمستخدمين الداخليين أو الخارجيين عن إصدار 4.x السابق. مع إصدار 5.x، هناك خيار يسمى تسلسل مخزن الهويات لتحديد تسلسل قواعد بيانات المستخدمين التي سيتم مصادقتها. لمزيد من المعلومات، ارجع إلى تكوين تسلسلات مخزن الهوية.

إذا كنت تتلقى هذا الخطأ عندما تستخدم ACS لمصادقة الطلبات على مجال تابع، فيجب عليك إضافة لاحقة UPN أو بادئة NETbios إلى اسم المستخدم. لمزيد من المعلومات، ارجع إلى الملاحظات في قسم Microsoft AD.

المشكلة: تعذر دمج ACS مع Active Directory

يتعذر على المستخدمين دمج ACS مع Active Directory، ويتم إستلام رسالة خطأ حالة منفذ Samba.

الحل

لحل هذه المشكلة، تأكد من أن هذه المنافذ مفتوحة لدعم وظيفة Active Directory:

• منفذ TCP 445 - Samba Port

• LDAP - TCP 389

• LDAP - UDP 389

• KDC - TCP 88

• kpasswd - TCP 464

• NTP- UDP 123

• الكتالوج العمومي - TCP - 3268

• DNS - UDP 53

يحتاج ACS إلى الوصول إلى كل DCs في المجال حتى يكتمل تكامل ACS-AD. حتى في حالة عدم إمكانية الوصول إلى أحد مراكز التحكم بالمجال (DC) من ACS، فلن يتم التكامل. راجع معرف تصحيح الأخطاء من Cisco CSCte92062 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

مشكلة: تعذر دمج ACS مع LDAP

في هذا المستند، يستخدم ACS 5.2 كخادم AAA RADIUS لتنفيذ 802.1X. يمكن إستخدام 802.1X بنجاح مع ACS باستخدام مخزن المستخدم الداخلي، لكن هناك مشكلات تتعلق بدمج ACS و LDAP. تظهر رسالة الخطأ هذه:

Radius authentication failed for USER: example MAC:
UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2)
EAP session timed out : 5411 EAP session timed out

الحل

في هذه الحالة، يستخدم LDAP مع PEAP وأسلوب المصادقة الداخلي المستخدم هو EAP-mschap v2. سوف يفشل هذا لأن LDAP غير مدعوم ل PEAP (EAP-MSCHAP v2). يوصى باستخدام EAP-tls أو AD.

مشكلة: "خطأ cisco acs_internal_operations_diagnostics: تعذر الكتابة إلى ملف التخزين المحلي" رسالة الخطأ

أثناء النسخ المتماثل ل ACS، لا يتم نسخ ACS الأساسي بشكل صحيح ويعرض رسالة الخطأ هذه:

csco acs_internal_operations_diagnostics error: could
	 not write to local storage file

الحل

قم بإعادة تشغيل خدمات ACS وتأكد من تعطيل التسجيل الحرج. أحلت ل كثير معلومة، cisco بق id CSCth66302 (يسجل زبون فقط). إن لا يساعد هذا، اتصل ب cisco TAC in order to حصلت الأحدث ACS تصحيح مناسب أن يحل هذا مشكلة.

المشكلة: تعذر دمج ACS 5.1 مع Active Directory

عند محاولة تنفيذ تكامل AD، يتم تلقي رسالة الخطأ هذه:

Error while configuring Active Directory:Using writable
	 domain controller:test1.test.pvt Authentication error due unexpect
	 configuration or network error. Please try the --verbose option or run 'adinfo
	 -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null'
	 failed.

الحل

أتمت هذا workaround in order to صححت هذا مشكلة:

1. حذف حساب الجهاز الموجود على AD.

2. إنشاء وحدة تحكم جديدة.

3. انتقل إلى خصائص OU وقم بإلغاء تحديد أذونات التوريث.

4. قم بإنشاء حساب جهاز جديد ل ACS في OU الجديد.

5. السماح للإعلان بالتكرار.

6. حاول الانضمام إلى الإعلان من واجهة المستخدم الرسومية (ACS).

وفي بعض الحالات، يكون من المفيد أيضا الاتصال بشركة Microsoft وتطبيق الإصلاح السريع .

المشكلة: تعذر تكوين ACS 5.x للتعرف على التعبيرات العادية في قواعد تحديد الخدمة

الحل

هذا غير ممكن لأنه غير مدعوم بعد في ACS 5.x.

المشكلة: لا يعمل النسخ الاحتياطي ل SFTP عند إستخدام Cisco Works كخادم SFTP

عندما يكون مورد الشبكة على خادم CiscoWorks، تعمل أداة جدولة النسخ الاحتياطي بشكل جيد مع عملاء SFTP الآخرين، وليس ACS 5.2. وعلى وجه التحديد، عند محاولة الاتصال بخادم SFTP من ACS، يتم تلقي رسالة خطأ أسلوب تبادل المفاتيح.

الحل

في هذه الحالة، ليس خادم SFTP جهاز متوافق مع FIPS باستخدام مجموعة DH 14. يدعم ACS الخوادم فقط بدعم DH 14 حيث إنه متوافق مع FIPS. للحصول على مزيد من المعلومات حول هذه المشكلة، ارجع إلى القيود المعروفة في ACS 5.2.

المشكلة: "تم إسقاط حمولة EAP غير صالحة"

الخطأ : يتم تلقي رسالة خطأ إسقاط حمولة EAP غير صالحة أثناء مصادقة المستخدمين اللاسلكيين إلى تصحيح ACS 5.0 7.

الحل

هذا سلوك ملاحظ ويتم معالجته في معرفات أخطاء Cisco CSCsz54975 (العملاء المسجلون فقط) وCSCsy46036 (العملاء المسجلون فقط).

لحل هذه المشكلة، قم بالترقية إلى ACS 5.0 patch 9، والمطلوب كجزء من الترقية إلى 5.1 أو 5.2. راجع ترقية قاعدة البيانات للحصول على التفاصيل الكاملة. وهذا يتضمن أيضا معلومات حول كيفية الترقية إلى التصحيح 9.

المشكلة: "لا يتم تشغيل عملية وقت تشغيل ACS على هذا المثيل في هذا الوقت."

يتعذر على المستخدمين تسجيل الدخول إلى واجهة المستخدم الرسومية (ACS) ويتم إستلام رسالة الخطأ هذه:

"لا يتم تشغيل عملية وقت تشغيل ACS على هذا المثيل في هذا الوقت. يمكن إجراء تغييرات على تكوين ACS (سيتم حفظ هذه التغييرات في قاعدة البيانات)، ولكن لن تصبح التغييرات نافذة المفعول حتى تتم إعادة تشغيل عملية وقت التشغيل.

الحل

تؤدي إعادة تشغيل عملية وقت التشغيل يدويا من واجهة سطر الأوامر وإعادة تشغيل الجهاز إلى حل هذه المشكلة. وهذه مشكلة ثانوية ولا تنشئ أي مشكلة في الأداء ل ACS. هناك إثنين من الأخطاء الصغيرة التي تم تسجيلها لمراقبة هذا السلوك. أحلت ل كثير معلومة، cisco بق id CSCtb99448 (يسجل زبون فقط) و CSCtc75323 (يسجل زبون فقط).

لإعادة تشغيل عمليات وقت التشغيل يدويا، قم بإصدار هذه الأوامر من واجهة سطر الأوامر (CLI) ل ACS:

• وقت تشغيل إيقاف ACS

• وقت تشغيل ACS

مشكلة: يتعذر تصدير المستخدمين باستخدام كلمة المرور

يمكنك تصدير واستيراد قاعدة بيانات المستخدم إلى ACS 5.x آخر بملف CSV، ولكنه لا يتضمن حقل كلمة مرور المستخدم (يظهر فارغا). كيف يمكنك نقل مخزن هوية المستخدم المحلي من مصدر المحتوى الإضافي إلى آخر يتضمن معلومات كلمة المرور؟

الحل

وهذا غير ممكن لأن ذلك سيصبح خرقا أمنيا. في هذه الحالة، يوجد حل بديل واحد وهو تنفيذ إجراء النسخ الاحتياطي والاستعادة. ومع ذلك، فإن القيد على هذا الحل البديل هو أن النسخ الاحتياطي والاستعادة يعملان فقط ل ACS آخر بتكوين مشابه.

المشكلة: يتم تعطيل المستخدمين الداخليين ل ACS بشكل متقطع

يتم تعطيل مستخدمي ACS بشكل متقطع باستخدام رسالة انتهت صلاحية كلمة المرور. يتم تعيين نهج انتهاء صلاحية كلمة المرور لمدة 60 يوما، ولكن يجب تمكين هؤلاء المستخدمين يدويا حتى يتمكنوا من الوصول.

الحل

تتم ملاحظة هذا السلوك وحفظه في معرف تصحيح الأخطاء من Cisco CSCtf06311 (العملاء المسجلون فقط). يمكن حل هذه المشكلة بتطبيق التصحيح 3 على ACS 5.1. لعرض جميع المشاكل التي تم حلها ضمن الحزمة 3، ارجع إلى المشاكل التي تم حلها في "تصحيح التراكمي ACS 5.1.0.44.3". للحصول على المعلومات ذات الصلة حول كيفية ترقية التصحيح، ارجع إلى تطبيق تصحيحات الترقية.

المشكلة: "تم إنهاء طلب مصادقة TACACS+ بخطأ"

يظهر تقرير مصادقة ACS انتهاء طلب مصادقة TACACS+ برسالة خطأ.

الحل

وهذا يحدث عندما تحتوي مصادقة TACACS على نوع الخدمة الذي تم تعيينه على PPP. راجع معرف تصحيح الأخطاء من Cisco CSCte16911 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: "رفض طلب مصادقة RADIUS بسبب خطأ فادح في التسجيل"

يتم رفض مصادقة RADIUS مع رفض طلب مصادقة RADIUS بسبب رسالة خطأ التسجيل الحرج.

الحل

هذا خطأ تفصيلي في cisco بق id CSCth66302 (يسجل زبون فقط).

المشكلة: تظهر واجهة عرض ACS "فشل ترقية البيانات" في أعلى الصفحة عند ترقية ACS من 5.2 إلى 5.3

تظهر واجهة عرض ACS فشل ترقية البيانات في أعلى الصفحة عند ترقية ACS من 5.2 إلى 5.3.

الحل

هذا خطأ تفصيلي في cisco بق id CSCtu15651 (يسجل زبون فقط).

مشكلة: إصدار مع "تغيير كلمة المرور على مصدر المحتوى الإضافي لتسجيل الدخول التالي" على Cisco ACS 5.0

الحل

في ACS 5.0، يمكن تحديد وظيفة انتهاء صلاحية كلمة المرور (يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي) في مخزن معرفات المستخدم المحلي، ولكنها لا تعمل. يصلح طلب التعزيز CSCtc31598 الإصدار في ACS، الإصدار 5. 1.

المشكلة: فشلت ترقية التطبيق٪، الخطأ - -999. يرجى التحقق من سجلات ADE للحصول على التفاصيل أو إعادة التشغيل مع - تثبيت تطبيق التصحيح - ممكن على جهاز ACS أثناء الترقية

فشلت ترقية التطبيق ٪، الخطأ - -999. يرجى التحقق من سجلات ADE للحصول على التفاصيل أو إعادة التشغيل مع -تثبيت التطبيق الذي تم تمكينه - يظهر خطأ عند إجراء محاولة لترقية ACS Express من 5.0 إلى 5.0.1.

الحل

يحدث هذا الخطأ عندما يكون المستودع المستخدم TFTP ويكون حجم الملف أكبر من 32 ميجابايت. يتعذر على ACS Express معالجة الملفات التي يزيد حجمها عن 32 ميجابايت. أستخدم FTP كمستودع لحل هذه المشكلة حتى إذا كان حجم الملف أكثر من 32 ميغابايت.

المشكلة: خطأ "فشلت المصادقة: أرسل العميل 12308 TLV الخاص بالنتيجة مع الإشارة إلى الفشل"

فشلت المصادقة: قام العميل 12308 بإرسال TLV الخاص بالنتيجة للإشارة إلى حدوث خطأ فشل في ACS عند محاولة المصادقة لأول مرة. تعمل المصادقة بشكل جيد في المرة الثانية.

الحل

يمكن حل هذا الخطأ عند تعطيل إعادة الاتصال السريع. تساعد الترقية إلى التصحيح 2 من ACS الإصدار 5.2 على حل المشكلة بدون تعطيل إعادة الاتصال السريع.

يمكن أيضا حل هذا الخطأ عند تعطيل التشفير الإجباري على الملتمس. راجع معرف تصحيح الأخطاء من Cisco CSCtj31281 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: خطأ "24495 خوادم Active Directory غير متوفرة"

تبدأ المصادقة في الفشل بهذا الخطأ: 24495 لا تتوفر خوادم Active Directory. في سجلات ACS 5.3.

الحل

تحقق من ملف ACSADAgent.log من خلال واجهة سطر الأوامر (CLI) الخاصة ب ACS 5.x للرسائل مثل:Mar 11 00:06:06 xlpacs01 adclient[30401]: معلومات <bg:bindingRefresh> base.bind.healing تم فقدان الاتصال ب xxxxxx. التشغيل في وضع غير متصل: إلغاء التثبيت. إذا رأيت رسالة الخطأ قيد التشغيل في وضع غير متصل: إلغاء ربط، فهذا يعني أنه يتعذر على ACS 5.3 الحفاظ على اتصال ثابت مع Active Directory. الحل البديل هو إما التحويل إلى LDAP أو الرجوع إلى إصدار ACS 5.2. راجع معرف تصحيح الأخطاء من Cisco CSCtx71254 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

مشكلة: "انتهت مهلة جلسة عمل EAP ل 5411"

يتم تلقي رسائل الخطأ الخاصة بانتهاء مهلة جلسة عمل 5411 EAP على ACS 5.x.

الحل

إن فترات انتهاء جلسات EAP شائعة جدا مع PEAP حيث يقوم المطالب بإعادة تشغيل المصادقة بعد خروج الحزمة الأولية إلى خادم RADIUS، وفي معظم الوقت، لا تشير إلى وجود مشكلة.

والتدفق الذي يرى عادة هو:

Supplicant ------------- Authenticator -------------- ACS
Connect
<------------------Request for Identity
-----------------------> Response Identity ------------->
<--------------   EAP Challenge <-----------------
EAPOL-Start ------------->
normal flow ending in successful authentication.......

في النهاية تكون المصادقة ناجحة. ومع ذلك، هناك مؤشر ترابط ترك مفتوحا على ACS بسبب إعادة التشغيل المفاجئ لجلسة EAP من المطلوب مما يتسبب في مصادقة ناجحة متبوعة برسالة انتهاء مهلة جلسة عمل EAP. مرات عديدة يرجع ذلك إلى مستوى برنامج التشغيل للجهاز. تأكد من أن برامج تشغيل NIC/Wireless محدثة على جهاز العميل. يمكنك الالتقاط على العميل والتصفية على EAP || EAPOL للاطلاع على ما يتلقاه العميل أو يرسله عند الاتصال.

المشكلة: لا تعمل مصادقة 802.1x إذا تم تكوين قيود تسجيل الدخول على Active Directory

لا تعمل مصادقة 802.1x إذا كان المستخدمون لديهم قيود تسجيل دخول تم تكوينها على Active Directory.

الحل

في حالة وجود قيود تسجيل دخول، يتم تعيين Active Directory لجهاز واحد ومحاولة إجراء مصادقة 802.1x. تفشل المصادقة لأنه في منظور Active Directory يأتي المصادقة من ACS، وليس من الجهاز الذي تم تعيين قيد تسجيل الدخول عليه. لكي تكون المصادقة ناجحة، يمكن تعيين قيود تسجيل الدخول على تضمين حسابات جهاز ACS.

المشكلة: خطأ: "غير مخول لعرض الصفحة المطلوبة" عندما يقوم مسؤول ACS 5.x الذي له دور ChangeUserPassword بتغيير كلمة المرور

لا يمكن لمستخدم مسؤول ACS 5.x GUI مع دور ChangeUserPassword تغيير كلمة مرور مستخدم AAA المخزن في قاعدة البيانات الداخلية. بعد تغيير كلمة المرور، يتلقى المستخدم رسالة الخطأ المنبثقة هذه: غير مخول لعرض الصفحة المطلوبة.

الحل

ويمكن أن يحدث ذلك عند ترحيل قاعدة بيانات ACS 5.x من ACS 4.x. أستخدم امتياز SuperAdmin لتغيير كلمة مرور المستخدم. راجع معرف تصحيح الأخطاء من Cisco CSCty91045 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: الحصول على خطأ في ACS 5.x للمصادقة الفاشلة "خوادم 24495 Active Directory غير متوفرة."

الحل

تحتاج إلى التحقق من تكامل Active Directory مع ACS 5.x. إذا كان إعداد موزع، فتأكد من دمج كل من مصدر المحتوى الإضافي الأساسي والثانوي 5.x في الإعداد بشكل صحيح مع Active Directory.

المشكلة: تعذر الاتصال بجهاز ACS باستخدام BMC

عند إستخدام عميل BMC (أداة مستوى الأجهزة) للدخول إلى خوادم ACS 1121 IBM، يلاحظ أن عميل BMC له عنوانان ل IP.

الحل

تم تحديد هذا السلوك وسجل في معرف تصحيح الأخطاء من Cisco CSCtj81255 (العملاء المسجلون فقط). لحل هذه المشكلة، يلزمك تعطيل عميل BMC DHCP على ACS 1121.

مشكلة: يظهر تنبيه تحذيري "حذف جلسات عمل 20000" مع سبب "تجاوز الجلسات النشطة الحد" في لوحة معلومات الشاشة والتقرير العام.

يوجد حد لعدد السجلات التي يمكن لدليل جلسة العمل أن يستوعبها. ونظرا لأن طلبات التدقيق ثقيلة في إعداد العميل، يتم الوصول إلى الحد الأقصى بسرعة. بعد الوصول إلى الحد، من خلال التصميم، يقوم ACS-View بحذف عدد معين من السجلات (على سبيل المثال، 20 ك) من دليل جلسة العمل وإرسال تنبيه. يمكنك زيادة هذا الحد، ولكنه لا يساعد كثيرا إلا لإطالة مدة التنبيه.

الحل

لحل هذه المشكلة، قم بتنفيذ ما يلي:

• من المقترح تعطيل التسجيل لعرض قاعدة البيانات.

  1. انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > العامة > "المصادقات التي يتم تمريرها" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.

  2. انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > عامة > "محاولات فاشلة" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.

  3. انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > عامة > تحرير: "محاسبة RADIUS" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.

• يمكنك تجاهل طلبات المصادقة قيد الاختبار لأنها ليست طلبات مصادقة حقيقية. القيام بما يلي:

  انتقل إلى Cisco Secure ACS > مراقبة التكوين > تكوين النظام > إضافة مرشح وإنشاء المرشح. يعد إنشاء عامل التصفية استنادا إلى اسم المستخدم أكثر ملاءمة لأنه من المفهوم أن طلبات التدقيق يتم إرسالها باستخدام اسم مستخدم وهمي. إذا قمت بإنشاء سياسة وصول منفصلة في ACS لمعالجة طلبات التدقيق هذه، يمكن إنشاء عوامل التصفية استنادا إلى خدمة Access أيضا.

المشكلة: خطأ ACS 5.x "حزمة RADIUS 11013 قيد المعالجة بالفعل"

في نشر ACS 5.3، يفشل المستخدمون في مصادقة dot1x. قاعدة البيانات المستخدمة هي خدمة Active Directory. يتم عرض رمز فشل RADIUS هنا:

تم إسقاط طلب RADIUS: حزمة RADIUS 11013 قيد المعالجة بالفعل

الحل

قام ACS بتجاهل هذا الطلب لأنه تكرار لحزمة أخرى تتم معالجتها حاليا. يمكن أن يحدث هذا بسبب أي من هذه:

• تقترب إحصائيات زمن وصول طلب RADIUS المتوسط من مهلة طلب RADIUS للعميل أو تتجاوزها.

• مخزن الهوية الخارجية يمكن أن يكون بطيء جدا.

• تم تحميل ACS بشكل زائد.

أنجزت هذا steps in order to حللت:

1. قم بزيادة مهلة طلب RADIUS الخاص بالعميل.

2. إستخدام مخزن تعريف خارجي أسرع أو إضافي.

3. اتبع الطرق اللازمة لتقليل الحمل الزائد على ACS.

مشكلة: فشلت مصادقة RADIUS مع حدوث خطأ "تحتوي حزمة RADIUS ل 11012 على رأس غير صالح"

الحل

لم يتم تحليل رأس حزمة RADIUS الواردة بشكل صحيح. لحل هذه المشكلة، تحقق مما يلي:

• تحقق من جهاز الشبكة أو عميل AAA بحثا عن مشاكل في الأجهزة.

• تحقق من الشبكة التي تصل الجهاز بمصدر المحتوى الإضافي بحثا عن مشاكل في الأجهزة.

• تحقق مما إذا كان جهاز الشبكة أو عميل AAA به أي مشاكل معروفة في توافق RADIUS.

المشكلة: فشلت مصادقة RADIUS/TACACS+ مع حدوث خطأ "تعذر على 11007 تحديد موقع جهاز الشبكة أو عميل AAA"

يتم تلقي رسالة الخطأ هذه على ACS عندما يرسل ASA رسالة طلب وصول RADIUS:

تعذر على الطراز 11007 تحديد موقع جهاز الشبكة أو عميل AAA

الحل

يحدث هذا بسبب وجود عدم تطابق بين IP لعميل ACS و IP للواجهة الذي يرسل الطلب بالفعل. في بعض الأحيان يقوم جدار الحماية بتنفيذ ترجمة عنوان إلى عميل AAA هذا. تحقق من تكوين عميل AAA بشكل صحيح باستخدام عنوان IP الصحيح المترجم في هذا المسار:

موارد الشبكة > أجهزة الشبكة وعملاء AAA

المشكلة: فشلت مصادقة RADIUS مع حدوث خطأ "تم إسقاط طلب RADIUS 11050 بسبب التحميل الزائد للنظام".

يتعذر على المستخدمين الوصول إلى الشبكة بسبب فشل المصادقة. تم تلقي رسالة الخطأ هذه من ACS:

تم إسقاط طلب RADIUS ل 11050 بسبب التحميل الزائد للنظام

الحل

يقوم Cisco ACS بإسقاط طلبات المصادقة هذه بسبب الحمل الزائد. قد يحدث هذا بسبب تكرار العديد من طلبات المصادقة المتوازية. لتجنب ذلك، قم بتنفيذ أي مما يلي:

• عدل إعدادات جهاز الشبكة/عميل AAA حتى يستخدم خيار دعم اتصال TACACS+ الأحادي القديم. وبهذا، سيقوم العميل بإعادة إستخدام نفس جلسة العمل لجميع الطلبات بدلا من إنشاء العديد من جلسات العمل.

• امتنع المستخدمين عن إستدعاء طلبات مصادقة جديدة لفترة من الوقت.

• أعد تشغيل خادم ACS.

المشكلة: فشلت مصادقة RADIUS مع حدوث الخطأ "سمة 11309 غير صحيحة RADIUS MS-CHAP v2."

الحل

يحدث هذا الخطأ بسبب الطول غير الصحيح أو القيمة غير الصحيحة من إحدى سمات MSCHAP v2 (MS-CHAP-Challenge أو MS-CHAP-Response أو MS-CHAP-CPW-2 أو MS-CHAP-NT-Enc-PW) في حزمة طلب وصول RADIUS المستلمة.

المشكلة: يبلغ ACS عن إستخدام الذاكرة بنسبة تزيد عن 90٪. إنذار

يبلغ ACS عن إستخدام الذاكرة أكثر من 90٪.تنبيه مثل التالي: Cisco Secure ACS - إعلام التنبيه حدة: مصدر المحتوى الإضافي لاسم التنبيه - System HealthCause/Trigger alarm الذي يتسبب فيه ACS - تفاصيل حد حماية النظام إستخدام CPU لمثيل إستخدام CPU (٪) إستخدام الذاكرة (٪) إستخدام مساحة القرص المستخدمة /opt (٪) مساحة القرص المستخدمة /localdisk: (٪) مساحة القرص المستخدمة / Kom-AAA02.410.4 0٫02 9٫57 5٫21 25٫51

الحل

يظهر هذا الإصدار عادة في ACS 5. 2. in order to صححت هذا إصدار، أعدت ال ACS in order to حررت الذاكرة أو يحسن إلى ACS 5،2 رقعة 7 أو متأخر. راجع معرف تصحيح الأخطاء من Cisco CSCtk52607 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد

في الإعداد الموزع بعد مهمة صيانة (الانضمام إلى مهمة أساسية، فرض النسخ المتماثل الكامل، برامج التصحيح)، يبلغ مثيل ACS A عن مثيل ACS B على أنه غير متصل في شاشة النشر الموزعة، بينما يكون B متصلا بالفعل ويقدم تقارير عن المثيل A على أنه متصل. في سجلات الإدارة، ترى خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد.

الحل

يمكن أن يحدث ذلك إذا كان المثيل السابق من خدمة إدارة النسخ المتماثل لا يزال مرتبطا بالمنفذ 2030 عند ظهور المثيل الجديد ويحاول الربط بذلك المنفذ. من واجهة سطر الأوامر (CLI) لمثيل ACS B، run:sho acs-log file ACSMmanagement. log | خدمة النسخ المتماثل. سترى رسائل مثل خدمة النسخ المتماثل التي فشلت.:المنفذ قيد الاستخدام بالفعل: 2030. حاليا، الحل البديل هو إعادة تشغيل مثيل ACS B (المثال الذي يقوم بالإعلام عن الآخر على أنه متصل). راجع معرف تصحيح الأخطاء من Cisco CSCtx56129 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد

في الإعداد الموزع بعد مهمة صيانة (الانضمام إلى مهمة أساسية، فرض النسخ المتماثل الكامل، برامج التصحيح)، يبلغ مثيل ACS A عن مثيل ACS B على أنه غير متصل في شاشة النشر الموزعة، بينما يكون B متصلا بالفعل ويقدم تقارير عن المثيل A على أنه متصل. في سجلات الإدارة، ترى خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد.

الحل

قم بالترقية إلى حزمة ACS 5.2 6 أو الأحدث لإصلاح هذه المشكلة. راجع معرف تصحيح الأخطاء من Cisco CSCto47203 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

ملاحظة: سيفشل النسخ الاحتياطي ل ViewDB بمجرد تجاوز إستخدام "/opt"" نسبة 30٪. يلزم تكوين التشغيل المرحلي ل NFS لإجراء عملية نسخ إحتياطي عندما يتجاوز "/opt" نسبة الاستخدام 30٪.

المشكلة: خطأ 11026 لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة

تفشل مصادقة RADIUS مع رسالة الخطأ هذه: لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة.

الحل

تم رفض الطلب لأنه لم يتم العثور على إصدار قائمة التحكم في الوصول (ACL) القابلة للتنزيل المطلوب في طلب وصول RADIUS. حدث طلب قائمة التحكم في الوصول (ACL) القابلة للتنزيل بعد وقت طويل من طلب الوصول الأصلي. ولهذا السبب، لم يعد إصدار قائمة التحكم في الوصول (ACL) القابلة للتنزيل متوفرا. العثور على سبب هذا التأخير في طلب قائمة التحكم في الوصول (ACL) القابلة للتنزيل من عميل RADIUS.

مشكلة: خطأ 11025 يفتقد طلب الوصول ل dACL المطلوب سمة زوج-Cisco مع القيمة aaa:event=acl-download. تم رفض الطلب

تفشل مصادقة RADIUS مع رسالة الخطأ هذه: 11025 يفتقد Access-Request ل dACL المطلوب سمة Cisco-av-pair مع القيمة aaa:event=acl-download. تم رفض الطلب.

الحل

يجب أن يكون لكل طلب وصول لقائمة التحكم في الوصول (ACL) القابلة للتنزيل سمة زوج-Cisco مع القيمة aaa:event=acl-download. في هذه الحالة، تفتقد هذه السمة الطلب وفشل ACS في الطلب. تحقق مما إذا كان جهاز الشبكة أو عميل AAA به أي مشاكل معروفة في توافق RADIUS.

المشكلة: خطأ 11023 لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة. هذا اسم غير معروف ل dACL

تفشل مصادقة RADIUS مع رسالة الخطأ هذه: لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة. هذا اسم قائمة تحكم في الوصول إلى البنية الأساسية (dACL) غير معروف.

الحل

تحقق من تكوين ACS للتحقق من وجود قائمة التحكم في الوصول (ACL) القابلة للتنزيل المحددة في ملف تعريف التخويل في قائمة قوائم التحكم في الوصول (ACL) القابلة للتنزيل. هذا تكوين خاطئ لجانب ACS.

المشكلة: فشلت مصادقة المسؤول مع حدوث خطأ داخلي 10001. إصدار تكوين غير صحيح

فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10001. إصدار تكوين غير صحيح.

الحل

يمكن أن يحدث هذا الخطأ بسبب قاعدة بيانات ACS تالفة، أو بسبب مشكلة في بيانات التكوين الأساسية. اتصل ب Cisco TAC (يسجل زبون فقط) ل كثير معلومة.

المشكلة: فشلت مصادقة المسؤول مع حدوث الخطأ 10002 خطأ داخلي: فشل تحميل الخدمة المناسبة

فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10002: فشل في تحميل الخدمة المناسبة.

الحل

يتعذر على ACS 5.x تحميل خدمة تكوين AAC. قد يحدث هذا بسبب قاعدة بيانات ACS تالفة، أو بسبب مشكلة في بيانات التكوين الأساسية. كما يمكن أن يحدث ذلك عند استنفاد موارد النظام. اتصل ب Cisco TAC (يسجل زبون فقط) ل كثير معلومة.

المشكلة: فشلت مصادقة المسؤول مع حدوث خطأ داخلي 10003: إستلمت مصادقة المسؤول اسم مسؤول فارغ

فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10003: إستلمت مصادقة المسؤول اسم مسؤول فارغ.

الحل

عند الوصول إلى واجهة المستخدم الرسومية (GUI) ل ACS 5.x، ACS يستقبل اسم مستخدم فارغ. تحقق من صحة اسم المستخدم المرسل إلى ACS. إن يكون صالح، اتصل ب cisco TAC (يسجل زبون فقط) ل كثير معلومة.

مشكلة: سبب الفشل: حدث خطأ متعلق بالاتصال 24428 إما في LRPC أو LDAP أو Kerberos

يتم تلقي رسالة الخطأ هذه على ACS:

سبب الفشل: حدث الخطأ المرتبط بالاتصال 24428 إما في LRPC أو LDAP أو Kerberos قد تكون مشكلة اتصال RPC هذه بسبب تلقي Stub لبيانات غير صحيحة

الحل

لحل هذه المشكلة، قم بترقية ACS إلى الإصدار 5.2.

المشكلة: لا تعمل مصادقة وكيل المصادقة TACACS+ على موجه يشغل IOS 15.x من خادم ACS 5.x

لا تعمل مصادقة وكيل المصادقة TACACS+ على موجه يعمل ببرنامج Cisco IOS Software، الإصدار 15.x من خادم ACS 5.x.

الحل

يتم دعم وكيل مصادقة TACACS+ فقط بعد تصحيح ACS 5.3 5. ترقية ACS 5.x أو إستخدام RADIUS لوكيل المصادقة.

المشكلة: الحصول على فشل مخزن رسائل الخطأ (acs-xxx، TacacsAccounting) من ACS 5.x

الحل

يفتقد تقرير محاسبة ACS 5.1 TACACS بعض السمات مثل اسم المستخدم ومستوى الامتياز ونوع الطلب عندما يستلم حزمة محاسبة تم تكوينها بشكل غير صحيح من العميل. وفي بعض الحالات، يؤدي ذلك إلى إنشاء تنبيه "فشل التخزين (acs-xxx، tacacsAccounting)" في طريقة العرض. لحل هذه المشكلة، تحقق مما يلي:

• تحتوي حزمة المحاسبة التي يتم إرسالها بواسطة العميل على وسيطة TACACS مكونة بشكل غير صحيح (على سبيل المثال، عدم تطابق في الطول والقيمة لأي من الوسيطة التي تم إرسالها بواسطة عميل AAA).

• تأكد من أن العميل يرسل حزمة محاسبة صالحة ذات طول وقيمة ملائمين للوسيطات.

راجع معرف تصحيح الأخطاء من Cisco CSCte88357 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

مشكلة: فشلت مصادقة المستخدم مع حدوث الخطأ "11036 سمة RADIUS لمصادقة الرسائل غير صالحة."

الحل

تحقق مما يلي:

• تحقق مما إذا كانت الأسرار المشتركة على عميل AAA وخادم ACS متطابقة.

• تأكد من أن عميل AAA وجهاز الشبكة ليس لديهما مشاكل أجهزة أو مشاكل مع توافق RADIUS.

• تأكد من أن الشبكة التي توصل الجهاز بمصدر المحتوى الإضافي لا تواجه أي مشاكل في الجهاز.

المشكلة: فشلت عملية محاسبة RADIUS مع حدوث خطأ "تم تلقي طلب محاسبة تم إسقاط 11037 عبر منفذ غير معتمد."

الحل

تم إسقاط طلب المحاسبة لأنه تم إستلامه عبر رقم منفذ UDP غير معتمد. تحقق مما يلي:

• تأكد من تطابق تكوين رقم منفذ المحاسبة على عميل AAA وعلى خادم ACS.

• تأكد من أن عميل AAA لا يواجه أي مشاكل في الأجهزة أو مشاكل مع توافق RADIUS.

المشكلة: فشلت عملية محاسبة RADIUS مع حدوث خطأ "يحتوي رأس طلب محاسبة RADIUS 11038 على حقل مصدق غير صالح."

يتعذر على ACS التحقق من صحة حقل المصدق في رأس حزمة طلب محاسبة RADIUS. يجب عدم الخلط بين حقل المصدق وسمة RADIUS لمصادقة الرسائل. تأكد من أن سر RADIUS المشترك الذي تم تكوينه على عميل AAA يتطابق مع جهاز الشبكة المحدد على خادم ACS. تأكد أيضا من أن عميل AAA لا يواجه أي مشاكل في الأجهزة أو مشاكل مع توافق RADIUS.

خطأ: "يواجه ACS 24493 مشاكل في الاتصال ب Active Directory باستخدام بيانات اعتماد الجهاز الخاصة به."

الحل

تحقق من ACS للحصول على اتصال AD، وتأكد من أن حساب جهاز ACS لا يزال موجودا في الإعلان.

المشكلة: "عند إنشاء ملفات تعريف Shell باستخدام شخصيات خاصة مثل "I"، قد ينهار ACS."

الحل

تم تحديد هذا السلوك وسجل في معرف تصحيح الأخطاء من Cisco CSCts17763 (العملاء المسجلون فقط). تحتاج إلى الترقية إلى حزمة تصحيح 5.3.40 1 أو 5.2.26 7.

المشكلة: الحصول على "خطأ تحليل في السطر 2: لم يتم تكوينه بشكل جيد (رمز مميز غير صالح)" أثناء تشغيل "show run" على واجهة سطر الأوامر (CLI) ل ACS 5.x.

الحل

تأكد من أن مجتمع SNMP الذي تم تكوينه على ACS به أحرف صالحة. يسمح باستخدام الحروف الأبجدية الرقمية فقط (الحروف والأرقام فقط) في اسم المجتمع.

المشكلة: يتم ملء قسم ACS 5.x /opt بسرعة كبيرة

الحل

تنفذ مساحة ACS 5.x من القرص بسبب عدم وجود مساحة كافية في القسم /opt. يحدث هذا بسبب العدد المرتفع لبيانات التسجيل التي تغمر طريقة عرض ACS. كحل بديل، تحتاج إلى إستبدال قاعدة بيانات View بشكل متكرر. نظرا لأن "طريقة عرض ACS" لا يمكنها التعامل مع غيغابايت من البيانات كل يوم، فأنت بحاجة إلى تنظيم بيانات التسجيل. عندما تحتاج إلى كل السجلات، أستخدم خادم syslog خارجي بدلا من طريقة عرض ACS. عندما تحتاج إلى إستخدام جزء فقط من بيانات التسجيل، أستخدم إدارة النظام > تكوين > تكوين السجل > فئات التسجيل > عامة لإرسال السجلات المطلوبة فقط إلى جامع سجلات ACS View.

مشكلة: الاستعلام عن المجال المطلوب

هل يمكن ل ACS 5.x الاستعلام عن وحدات التحكم بالمجال (DCs) المطلوبة عند الانضمام إلى مجال Active Directory؟

الحل

لا. حاليا، يستعلم ACS عن DNS مع المجال للحصول على قائمة بجميع وحدات التحكم بالمجال في المجال. ثم تحاول التواصل معهم جميعا. في حالة فشل الاتصال حتى ب DC واحد، يتم الإعلان عن فشل اتصال ACS بالمجال.

المشكلة: المجالات الأصل والفرع في نفس الوقت

هل هناك طريقة لإعداد ACS 5.x في كل من مجالي الأصل والفرع في نفس الوقت؟

الحل

لا. حاليا، يمكن أن يكون ACS 5.x جزءا من مجال واحد فقط. ومع ذلك، يمكن ل ACS 5.x مصادقة المستخدمين/الأجهزة من مجالات موثوقة متعددة.

المشكلة: التسجيل إلى قاعدة البيانات البعيدة

هل يمكنني تسجيل بيانات "طريقة عرض ACS 5.x" إلى قاعدة بيانات بعيدة؟

الحل

نعم، يسمح لك ACS 5.x بتسجيل عرض بيانات ACS إلى خوادم Microsoft SQL وخوادم Oracle SQL.

المشكلة: دعم VMWare

الحل

يمكن تثبيت ACS 5.x على جهاز ظاهري. يمكن تثبيت الإصدار الأحدث، ACS 5.3، على إصدارات VMWare التالية:

• برنامج ESX 3.5 من VMWare

• VMWare ESX 4.0

• VMWare ESX i4.1

• برنامج ESX 5.0 من VMWare

المشكلة: متطلبات مساحة القرص

ما هي متطلبات مساحة القرص لإصدار تقييم ACS 5.x؟

الحل

يلزم توفر مساحة قرص تبلغ 60 جيجابايت كحد أدنى لإصدار التقييم. يلزم توفر سعة 500 جيجابايت لتثبيت الإنتاج.

المشكلة: "تعذر على 24401 تأسيس اتصال مع وكيل ACS Active Directory."

الحل

لحل هذا الخطأ، تحقق مما يلي:

• تحقق مما إذا كان جهاز ACS منضما إلى مجال Active Directory.

• تحقق من حالة الاتصال بين جهاز ACS وخادم Active Directory.

• تحقق مما إذا كان وكيل ACS Active Directory قيد التشغيل.

راجع معرف تصحيح الأخطاء من Cisco CSCtx71254 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: تظهر عملية "وقت التشغيل" حالة "فشل التنفيذ"

عند تحديث ACS من Cisco باستخدام تصحيح، تعلق عملية وقت التشغيل في حالة "فشل التنفيذ" ويتم تسجيل هذه الرسالة:

"Local0 err 83 2012-06-12T12:11:08+0200 192.168.150.74 ACS خطأ إعادة التوجيه: /opt/CSCOacs/runtime/bin/run-logforward.sh: السطر 18: خطأ التجزئة 7097 (تم إغراق الأساس) ./$daemon -b -f $log file"

الحل

يمكن أن تكون هذه مشكلة في تصحيح MD5 الخاص بآخر تصحيح. تحقق من المجموع الاختباري MD5 الخاص بآخر حزمة تصحيح تم تطبيقها على ACS من Cisco. قم بتنزيل ذلك مرة أخرى، ثم قم بتطبيقه بشكل صحيح.

المشكلة: فشلت مصادقة ACS عند فرض UCS إعادة المصادقة

تم تكوين خادم UCS لمصادقة عميل Java من ACS من Cisco. تتضمن عملية المصادقة إستخدام خادم RSA Token. يتم تمرير المصادقة الأولى. ومع ذلك، عند تحديث UCS وفرض إعادة المصادقة على عميل Java، يفشل لأن RSA لا يسمح بإعادة إستخدام أي رمز مميز. لذلك، تفشل المصادقة.

الحل

هذا تحديد من أداء خادم UCS، ولكن ليس من Cisco ACS. يتبع خادم UCS مصادقة ثنائية العوامل والتي تعد ميزة غير مدعومة ل ACS من Cisco عند إستخدامها مع رموز RSA المميزة. حاليا، هو غير مدعوم. كحل بديل، يوصى باستخدام أي خادم قاعدة بيانات، مثل AD أو LDAP، بخلاف خادم RSA Token.

المشكلة: "فشلت عملية Active Directory لعام 2444 بسبب خطأ غير محدد في ACS"

الحل

حدث خطأ غير معين في عملية ذات صلة ب AD. ارجع إلى دمج ACS 5.x مع مثال تكوين Microsoft AD وقم بتكوين تكامل AD مع ACS بشكل صحيح. إن شكلت كل شيء يكون بشكل صحيح طبقا للمستند، بعد ذلك اتصل ب cisco TAC لبعيد يتحرى.

المشكلة: تعذر مصادقة مستخدمي ACS 5.1 بخادم AD 2008 R2

الحل

يقع هذا بسبب تعارض إصدار. تجميع AD 2008 R2 مدعوم من إصدار ACS 5.2 فقط. قم بترقية مصدر المحتوى الإضافي إلى 5. 2 أو إصدار أحدث. راجع معرف تصحيح الأخطاء من Cisco CSCtg12399 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

الخطأ: لم يتم العثور على الموضوع 22056 في مخزن (مخازن) الهوية القابل للتطبيق.

عندما يحاول مستخدمو SSL VPN التصديق على جهاز RSA، يتم تلقي رسالة الخطأ هذه من خادم Cisco ACS:

سبب الفشل: 22056 لم يتم العثور على الموضوع في مخزن (مخازن) الهوية القابل للتطبيق.

الحل

تحقق مما إذا كان المستخدم موجودا في قاعدة البيانات التي تم الإشارة إلى ACS للبحث عنها. في حالة مخزن هوية RSA و RADIUS، تأكد من تحديد خيار معالجة الرفض مع فشل المصادقة. هذا ضمن علامة التبويب خيارات متقدمة لتكوين مخزن الهوية.

مشكلة: ipt_conlimit: oops: حالة منع غير صحيحة ؟

ال ipt_conlimit: oops: حالة انتقال غير صالح؟ تظهر رسالة خطأ على الوحدة طرفية للتحكم عندما يعمل ACS 5.x على VMWare.

الحل

هذه رسالة تجميلية. راجع معرف تصحيح الأخطاء من Cisco CSCth25712 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة:لا يرى ACs 5.x / ISE سمة radius call-station-id في طلب RADIUS من برنامج Cisco IOS الإصدار 15.x NAS

لا ترى ACs 5.x / ISE سمة RADIUS call-station-id في طلب RADIUS من برنامج Cisco IOS الإصدار 15.x NAS.

الحل

أستخدم الأمر radius-server attribute 31 send nas-port-detail على برنامج Cisco IOS الإصدار 15.x لتمكين إرسال السمة.

المشكلة: يتم تأمين حسابات المستخدمين في المثيل الأول من بيانات الاعتماد الخاطئة حتى إذا تم تكوينها ل 3 محاولات

عندما يتم دمج ACS 5.3 مع Active Directory في مستوى وظائف Windows 2008 R2، يتم تحديد موقع حسابات المستخدمين المضبوطة بمعلمات قفل (3 محاولات غير صحيحة) قبل الأوان بعد إدخال المستخدم لبيانات الاعتماد الخطأ مرة واحدة فقط.

الحل

راجع معرف تصحيح الأخطاء من Cisco CSCtz03211 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.

المشكلة: إلغاء التحميل للتوفير من ACS

أثناء محاولة حفظ نسخة إحتياطية من ACS، السبب: لم يتم تكوين النسخ الاحتياطي التزايدي- التفاصيل: لم يتم تكوين النسخ الاحتياطي التزايدي.يعد تكوين النسخ الاحتياطي التزايدي أمرا ضروريا لنجاح عملية إزالة قاعدة البيانات. سيساعد ذلك في تجنب حدوث مشاكل في مساحة القرص. عرض حجم قاعدة البيانات هو 0.08 جيجابايت والحجم الذي تشغله على القرص الثابت هو 0.08 جيجابايت يظهر تحذير.

الحل

لا يمكنك في نفس الوقت تشغيل نسخة إحتياطية تزايدية وإنشاء نسخ إحتياطية كاملة وإزالة البيانات. إذا كانت أي من هذه المهام قيد التشغيل، يجب عليك الانتظار لمدة 90 دقيقة قبل أن تتمكن من بدء المهمة التالية.

معلومات ذات صلة

• صفحة دعم نظام التحكم في الوصول الآمن من Cisco
• أدلة المستخدم النهائي لنظام التحكم بالوصول الآمن من Cisco
• الدعم التقني والمستندات - Cisco Systems