يقدم هذا المستند معلومات حول كيفية أستكشاف أخطاء نظام التحكم في الوصول الآمن (ACS) من Cisco وإصلاحها وكيفية حل رسائل الخطأ.
للحصول على معلومات حول كيفية أستكشاف أخطاء Cisco Secure ACS 3.x و 4.x وإصلاحها، ارجع إلى أستكشاف أخطاء خادم التحكم في الوصول الآمن (ACS 3.x و 4.x) وإصلاحها.
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى الإصدار 5.x من نظام التحكم في الوصول الآمن من Cisco والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
الخطأ : حفظ التكوين الجاري تشغيله إلى بدء التشغيل بنجاح ٪ ملف البيان الذي لم يتم العثور عليه في الحزمة يظهر خطأ عند إجراء محاولة لترقية ACS Express من 5.0 إلى 5.0.1.
أتمت هذا steps in order to حسنت ال ACS أداة دون أي إصدار:
قم بتنزيل التصحيح 9 (5-0-0-21-9.tar.gpg) و ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) من: Cisco.com > الدعم > تنزيل البرامج > الأمان > نظام التحكم بالوصول الآمن من Cisco 5.0 > برنامج نظام التحكم بالوصول الآمن > 5.0.0.21
بعد تثبيت الملفين، قم بتثبيت ترقية ACS 5.1 ACS_5.1.0.44.tar.gz. هذا متاح من نفس المسار من الخطوة السابقة.
استعملت هذا أمر in order to ركبت التحسين:
application upgraderemote-repository-name
يؤدي هذا إلى اكتمال إجراء الترقية.
ارجع إلى ترقية خادم ACS من 5.0 إلى 5.1 للحصول على مزيد من المعلومات حول كيفية ترقية جهاز ACS.
يشرح هذا القسم سبب عدم إمكانية إعادة تشغيل الإصدار 5.x من واجهة المستخدم الرسومية (GUI) لخادم ACS.
ليس هناك خيار يتوفر أن يعيد تشغيل ال ACS 5.x نادل من ال gui. يمكن إعادة تشغيل ACS من واجهة سطر الأوامر فقط.
عند إعداد مصادقة Active Directory (AD) لخدمة ACS جديدة 5.2، يتم تلقي رسالة الخطأ هذه:
خطأ RPC غير متوقع: تم رفض الوصول بسبب خطأ تكوين أو شبكة غير متوقع. الرجاء تجربة خيار —verbose أو تشغيل "adinfo —diag".
يحتاج ACS إلى كتابة أذون للمصادقة مع AD. لحل هذه المشكلة، قم بتوفير أذونات الكتابة المؤقتة إلى حساب الخدمة.
عند محاولة إنشاء تقرير محاسبة AAA مخصص باستخدام ACS الإصدار 5.1، لا يمكنك عرض أكثر من 100 صفحة. وهذا لا يشمل العديد من التقارير القديمة. كيف يمكنك تغيير هذا الإعداد لرؤية كافة الصفحات؟
لا يمكنك تغيير عدد الصفحات الموجودة على ACS لأن الحد الأقصى لعدد الصفحات المعروضة هو 100 فقط بشكل افتراضي. للتغلب على هذا التحديد وعرض الإحصائيات القديمة، يلزمك تغيير خيارات التصفية حتى يمكن إجراء تطابقات أكثر تحديدا. على سبيل المثال، إذا حاولت إنشاء التقرير خلال الثلاثين يوما الماضية، فإنه يحتوي على وحدة تخزين كبيرة وقد تقوم آخر 100 صفحة بعرض النشاط في آخر ساعة فقط. هنا، ينصح باستخدام خيارات التصفية. يؤدي إتخاذ خيار التصفية كمعرف مستخدم وتحديد النطاق الزمني إلى تقديم تقارير أقدم.
تحدث هذه المشكلة عند محاولة إنشاء تقرير المصادقة لمجموعة من ستة موجهات/محولات فقط، وليس لجميع الأجهزة. يتم إستخدام الإصدار 4.x من ACS.
لا يمكن إستخدام ACS 4.x. تحتاج إلى الترحيل إلى ACS 5.x لأن هذه الميزة متوفرة مع هذا الإصدار. يمكنك إستخراج التقارير الخاصة بمجموعة الأجهزة المحددة عن طريق إنشاء تقارير الكتالوج.
ارجع إلى هذه الصورة للحصول على فهم أفضل:
عند النقر فوق "مراقبة بدء التشغيل وعارض التقارير" من ACS 5.x، يتم تلقي رسالة الخطأ هذه: قاعدة بيانات المراقبة والتقارير غير متوفرة حاليا. محاولة إعادة الاتصال في 5 ثوان. إذا إستمرت المشكلة، الرجاء الاتصال بمسؤول ACS.
أنجزت واحد من هذا حل in order to حللت هذا إصدار:
قم بإعادة تشغيل خدمات ACS من CLI بإصدار الأوامر التالية:
application stop acs application start acs
قم بالترقية إلى أحدث حزمة متوفرة. ارجع إلى تطبيق تصحيحات الترقية للحصول على مزيد من المعلومات حول هذا الأمر.
لا تتم مصادقة مستخدمي AD مع ACS الإصدار 5.x ويستلمون رسالة الخطأ هذه: لم يتم العثور على الموضوع 22056 في مخزن (مخازن) الهوية المعمول بها.
تحدث رسالة الخطأ هذه عندما يفشل ACS في العثور على المستخدم في قاعدة البيانات المدرجة الأولى التي تم تكوينها في تسلسل مخزن الهوية. وهذه رسالة إعلامية ولا تؤثر على أداء ACS. يختلف تنفيذ ACS 5.x للمصادقة الخاصة بالمستخدمين الداخليين أو الخارجيين عن إصدار 4.x السابق. مع إصدار 5.x، هناك خيار يسمى تسلسل مخزن الهويات لتحديد تسلسل قواعد بيانات المستخدمين التي سيتم مصادقتها. لمزيد من المعلومات، ارجع إلى تكوين تسلسلات مخزن الهوية.
إذا كنت تتلقى هذا الخطأ عندما تستخدم ACS لمصادقة الطلبات على مجال تابع، فيجب عليك إضافة لاحقة UPN أو بادئة NETbios إلى اسم المستخدم. لمزيد من المعلومات، ارجع إلى الملاحظات في قسم Microsoft AD.
يتعذر على المستخدمين دمج ACS مع Active Directory، ويتم إستلام رسالة خطأ حالة منفذ Samba.
لحل هذه المشكلة، تأكد من أن هذه المنافذ مفتوحة لدعم وظيفة Active Directory:
منفذ TCP 445 - Samba Port
LDAP - TCP 389
LDAP - UDP 389
KDC - TCP 88
kpasswd - TCP 464
NTP- UDP 123
الكتالوج العمومي - TCP - 3268
DNS - UDP 53
يحتاج ACS إلى الوصول إلى كل DCs في المجال حتى يكتمل تكامل ACS-AD. حتى في حالة عدم إمكانية الوصول إلى أحد مراكز التحكم بالمجال (DC) من ACS، فلن يتم التكامل. راجع معرف تصحيح الأخطاء من Cisco CSCte92062 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
في هذا المستند، يستخدم ACS 5.2 كخادم AAA RADIUS لتنفيذ 802.1X. يمكن إستخدام 802.1X بنجاح مع ACS باستخدام مخزن المستخدم الداخلي، لكن هناك مشكلات تتعلق بدمج ACS و LDAP. تظهر رسالة الخطأ هذه:
Radius authentication failed for USER: example MAC: UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2) EAP session timed out : 5411 EAP session timed out
في هذه الحالة، يستخدم LDAP مع PEAP وأسلوب المصادقة الداخلي المستخدم هو EAP-mschap v2. سوف يفشل هذا لأن LDAP غير مدعوم ل PEAP (EAP-MSCHAP v2). يوصى باستخدام EAP-tls أو AD.
أثناء النسخ المتماثل ل ACS، لا يتم نسخ ACS الأساسي بشكل صحيح ويعرض رسالة الخطأ هذه:
csco acs_internal_operations_diagnostics error: could not write to local storage file
قم بإعادة تشغيل خدمات ACS وتأكد من تعطيل التسجيل الحرج. أحلت ل كثير معلومة، cisco بق id CSCth66302 (يسجل زبون فقط). إن لا يساعد هذا، اتصل ب cisco TAC in order to حصلت الأحدث ACS تصحيح مناسب أن يحل هذا مشكلة.
عند محاولة تنفيذ تكامل AD، يتم تلقي رسالة الخطأ هذه:
Error while configuring Active Directory:Using writable domain controller:test1.test.pvt Authentication error due unexpect configuration or network error. Please try the --verbose option or run 'adinfo -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null' failed.
أتمت هذا workaround in order to صححت هذا مشكلة:
حذف حساب الجهاز الموجود على AD.
إنشاء وحدة تحكم جديدة.
انتقل إلى خصائص OU وقم بإلغاء تحديد أذونات التوريث.
قم بإنشاء حساب جهاز جديد ل ACS في OU الجديد.
السماح للإعلان بالتكرار.
حاول الانضمام إلى الإعلان من واجهة المستخدم الرسومية (ACS).
وفي بعض الحالات، يكون من المفيد أيضا الاتصال بشركة Microsoft وتطبيق الإصلاح السريع .
هذا غير ممكن لأنه غير مدعوم بعد في ACS 5.x.
عندما يكون مورد الشبكة على خادم CiscoWorks، تعمل أداة جدولة النسخ الاحتياطي بشكل جيد مع عملاء SFTP الآخرين، وليس ACS 5.2. وعلى وجه التحديد، عند محاولة الاتصال بخادم SFTP من ACS، يتم تلقي رسالة خطأ أسلوب تبادل المفاتيح.
في هذه الحالة، ليس خادم SFTP جهاز متوافق مع FIPS باستخدام مجموعة DH 14. يدعم ACS الخوادم فقط بدعم DH 14 حيث إنه متوافق مع FIPS. للحصول على مزيد من المعلومات حول هذه المشكلة، ارجع إلى القيود المعروفة في ACS 5.2.
الخطأ : يتم تلقي رسالة خطأ إسقاط حمولة EAP غير صالحة أثناء مصادقة المستخدمين اللاسلكيين إلى تصحيح ACS 5.0 7.
هذا سلوك ملاحظ ويتم معالجته في معرفات أخطاء Cisco CSCsz54975 (العملاء المسجلون فقط) وCSCsy46036 (العملاء المسجلون فقط).
لحل هذه المشكلة، قم بالترقية إلى ACS 5.0 patch 9، والمطلوب كجزء من الترقية إلى 5.1 أو 5.2. راجع ترقية قاعدة البيانات للحصول على التفاصيل الكاملة. وهذا يتضمن أيضا معلومات حول كيفية الترقية إلى التصحيح 9.
يتعذر على المستخدمين تسجيل الدخول إلى واجهة المستخدم الرسومية (ACS) ويتم إستلام رسالة الخطأ هذه:
"لا يتم تشغيل عملية وقت تشغيل ACS على هذا المثيل في هذا الوقت. يمكن إجراء تغييرات على تكوين ACS (سيتم حفظ هذه التغييرات في قاعدة البيانات)، ولكن لن تصبح التغييرات نافذة المفعول حتى تتم إعادة تشغيل عملية وقت التشغيل.
تؤدي إعادة تشغيل عملية وقت التشغيل يدويا من واجهة سطر الأوامر وإعادة تشغيل الجهاز إلى حل هذه المشكلة. وهذه مشكلة ثانوية ولا تنشئ أي مشكلة في الأداء ل ACS. هناك إثنين من الأخطاء الصغيرة التي تم تسجيلها لمراقبة هذا السلوك. أحلت ل كثير معلومة، cisco بق id CSCtb99448 (يسجل زبون فقط) و CSCtc75323 (يسجل زبون فقط).
لإعادة تشغيل عمليات وقت التشغيل يدويا، قم بإصدار هذه الأوامر من واجهة سطر الأوامر (CLI) ل ACS:
وقت تشغيل إيقاف ACS
وقت تشغيل ACS
يمكنك تصدير واستيراد قاعدة بيانات المستخدم إلى ACS 5.x آخر بملف CSV، ولكنه لا يتضمن حقل كلمة مرور المستخدم (يظهر فارغا). كيف يمكنك نقل مخزن هوية المستخدم المحلي من مصدر المحتوى الإضافي إلى آخر يتضمن معلومات كلمة المرور؟
وهذا غير ممكن لأن ذلك سيصبح خرقا أمنيا. في هذه الحالة، يوجد حل بديل واحد وهو تنفيذ إجراء النسخ الاحتياطي والاستعادة. ومع ذلك، فإن القيد على هذا الحل البديل هو أن النسخ الاحتياطي والاستعادة يعملان فقط ل ACS آخر بتكوين مشابه.
يتم تعطيل مستخدمي ACS بشكل متقطع باستخدام رسالة انتهت صلاحية كلمة المرور. يتم تعيين نهج انتهاء صلاحية كلمة المرور لمدة 60 يوما، ولكن يجب تمكين هؤلاء المستخدمين يدويا حتى يتمكنوا من الوصول.
تتم ملاحظة هذا السلوك وحفظه في معرف تصحيح الأخطاء من Cisco CSCtf06311 (العملاء المسجلون فقط). يمكن حل هذه المشكلة بتطبيق التصحيح 3 على ACS 5.1. لعرض جميع المشاكل التي تم حلها ضمن الحزمة 3، ارجع إلى المشاكل التي تم حلها في "تصحيح التراكمي ACS 5.1.0.44.3". للحصول على المعلومات ذات الصلة حول كيفية ترقية التصحيح، ارجع إلى تطبيق تصحيحات الترقية.
يظهر تقرير مصادقة ACS انتهاء طلب مصادقة TACACS+ برسالة خطأ.
وهذا يحدث عندما تحتوي مصادقة TACACS على نوع الخدمة الذي تم تعيينه على PPP. راجع معرف تصحيح الأخطاء من Cisco CSCte16911 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
يتم رفض مصادقة RADIUS مع رفض طلب مصادقة RADIUS بسبب رسالة خطأ التسجيل الحرج.
هذا خطأ تفصيلي في cisco بق id CSCth66302 (يسجل زبون فقط).
تظهر واجهة عرض ACS فشل ترقية البيانات في أعلى الصفحة عند ترقية ACS من 5.2 إلى 5.3.
هذا خطأ تفصيلي في cisco بق id CSCtu15651 (يسجل زبون فقط).
في ACS 5.0، يمكن تحديد وظيفة انتهاء صلاحية كلمة المرور (يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي) في مخزن معرفات المستخدم المحلي، ولكنها لا تعمل. يصلح طلب التعزيز CSCtc31598 الإصدار في ACS، الإصدار 5. 1.
فشلت ترقية التطبيق ٪، الخطأ - -999. يرجى التحقق من سجلات ADE للحصول على التفاصيل أو إعادة التشغيل مع -تثبيت التطبيق الذي تم تمكينه - يظهر خطأ عند إجراء محاولة لترقية ACS Express من 5.0 إلى 5.0.1.
يحدث هذا الخطأ عندما يكون المستودع المستخدم TFTP ويكون حجم الملف أكبر من 32 ميجابايت. يتعذر على ACS Express معالجة الملفات التي يزيد حجمها عن 32 ميجابايت. أستخدم FTP كمستودع لحل هذه المشكلة حتى إذا كان حجم الملف أكثر من 32 ميغابايت.
فشلت المصادقة: قام العميل 12308 بإرسال TLV الخاص بالنتيجة للإشارة إلى حدوث خطأ فشل في ACS عند محاولة المصادقة لأول مرة. تعمل المصادقة بشكل جيد في المرة الثانية.
يمكن حل هذا الخطأ عند تعطيل إعادة الاتصال السريع. تساعد الترقية إلى التصحيح 2 من ACS الإصدار 5.2 على حل المشكلة بدون تعطيل إعادة الاتصال السريع.
يمكن أيضا حل هذا الخطأ عند تعطيل التشفير الإجباري على الملتمس. راجع معرف تصحيح الأخطاء من Cisco CSCtj31281 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
تبدأ المصادقة في الفشل بهذا الخطأ: 24495 لا تتوفر خوادم Active Directory. في سجلات ACS 5.3.
تحقق من ملف ACSADAgent.log من خلال واجهة سطر الأوامر (CLI) الخاصة ب ACS 5.x للرسائل مثل:Mar 11 00:06:06 xlpacs01 adclient[30401]: معلومات <bg:bindingRefresh> base.bind.healing تم فقدان الاتصال ب xxxxxx. التشغيل في وضع غير متصل: إلغاء التثبيت. إذا رأيت رسالة الخطأ قيد التشغيل في وضع غير متصل: إلغاء ربط، فهذا يعني أنه يتعذر على ACS 5.3 الحفاظ على اتصال ثابت مع Active Directory. الحل البديل هو إما التحويل إلى LDAP أو الرجوع إلى إصدار ACS 5.2. راجع معرف تصحيح الأخطاء من Cisco CSCtx71254 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
يتم تلقي رسائل الخطأ الخاصة بانتهاء مهلة جلسة عمل 5411 EAP على ACS 5.x.
إن فترات انتهاء جلسات EAP شائعة جدا مع PEAP حيث يقوم المطالب بإعادة تشغيل المصادقة بعد خروج الحزمة الأولية إلى خادم RADIUS، وفي معظم الوقت، لا تشير إلى وجود مشكلة.
والتدفق الذي يرى عادة هو:
Supplicant ------------- Authenticator -------------- ACS Connect <------------------Request for Identity -----------------------> Response Identity -------------> <-------------- EAP Challenge <----------------- EAPOL-Start -------------> normal flow ending in successful authentication.......
في النهاية تكون المصادقة ناجحة. ومع ذلك، هناك مؤشر ترابط ترك مفتوحا على ACS بسبب إعادة التشغيل المفاجئ لجلسة EAP من المطلوب مما يتسبب في مصادقة ناجحة متبوعة برسالة انتهاء مهلة جلسة عمل EAP. مرات عديدة يرجع ذلك إلى مستوى برنامج التشغيل للجهاز. تأكد من أن برامج تشغيل NIC/Wireless محدثة على جهاز العميل. يمكنك الالتقاط على العميل والتصفية على EAP || EAPOL للاطلاع على ما يتلقاه العميل أو يرسله عند الاتصال.
لا تعمل مصادقة 802.1x إذا كان المستخدمون لديهم قيود تسجيل دخول تم تكوينها على Active Directory.
في حالة وجود قيود تسجيل دخول، يتم تعيين Active Directory لجهاز واحد ومحاولة إجراء مصادقة 802.1x. تفشل المصادقة لأنه في منظور Active Directory يأتي المصادقة من ACS، وليس من الجهاز الذي تم تعيين قيد تسجيل الدخول عليه. لكي تكون المصادقة ناجحة، يمكن تعيين قيود تسجيل الدخول على تضمين حسابات جهاز ACS.
لا يمكن لمستخدم مسؤول ACS 5.x GUI مع دور ChangeUserPassword تغيير كلمة مرور مستخدم AAA المخزن في قاعدة البيانات الداخلية. بعد تغيير كلمة المرور، يتلقى المستخدم رسالة الخطأ المنبثقة هذه: غير مخول لعرض الصفحة المطلوبة.
ويمكن أن يحدث ذلك عند ترحيل قاعدة بيانات ACS 5.x من ACS 4.x. أستخدم امتياز SuperAdmin لتغيير كلمة مرور المستخدم. راجع معرف تصحيح الأخطاء من Cisco CSCty91045 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
تحتاج إلى التحقق من تكامل Active Directory مع ACS 5.x. إذا كان إعداد موزع، فتأكد من دمج كل من مصدر المحتوى الإضافي الأساسي والثانوي 5.x في الإعداد بشكل صحيح مع Active Directory.
عند إستخدام عميل BMC (أداة مستوى الأجهزة) للدخول إلى خوادم ACS 1121 IBM، يلاحظ أن عميل BMC له عنوانان ل IP.
تم تحديد هذا السلوك وسجل في معرف تصحيح الأخطاء من Cisco CSCtj81255 (العملاء المسجلون فقط). لحل هذه المشكلة، يلزمك تعطيل عميل BMC DHCP على ACS 1121.
يوجد حد لعدد السجلات التي يمكن لدليل جلسة العمل أن يستوعبها. ونظرا لأن طلبات التدقيق ثقيلة في إعداد العميل، يتم الوصول إلى الحد الأقصى بسرعة. بعد الوصول إلى الحد، من خلال التصميم، يقوم ACS-View بحذف عدد معين من السجلات (على سبيل المثال، 20 ك) من دليل جلسة العمل وإرسال تنبيه. يمكنك زيادة هذا الحد، ولكنه لا يساعد كثيرا إلا لإطالة مدة التنبيه.
لحل هذه المشكلة، قم بتنفيذ ما يلي:
من المقترح تعطيل التسجيل لعرض قاعدة البيانات.
انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > العامة > "المصادقات التي يتم تمريرها" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.
انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > عامة > "محاولات فاشلة" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.
انتقل إلى Cisco Secure ACS > إدارة النظام > التكوين > تكوين السجل > فئات التسجيل > عامة > تحرير: "محاسبة RADIUS" > هدف syslog البعيد وإزالة LogCollector من الأهداف المحددة.
يمكنك تجاهل طلبات المصادقة قيد الاختبار لأنها ليست طلبات مصادقة حقيقية. القيام بما يلي:
انتقل إلى Cisco Secure ACS > مراقبة التكوين > تكوين النظام > إضافة مرشح وإنشاء المرشح. يعد إنشاء عامل التصفية استنادا إلى اسم المستخدم أكثر ملاءمة لأنه من المفهوم أن طلبات التدقيق يتم إرسالها باستخدام اسم مستخدم وهمي. إذا قمت بإنشاء سياسة وصول منفصلة في ACS لمعالجة طلبات التدقيق هذه، يمكن إنشاء عوامل التصفية استنادا إلى خدمة Access أيضا.
في نشر ACS 5.3، يفشل المستخدمون في مصادقة dot1x. قاعدة البيانات المستخدمة هي خدمة Active Directory. يتم عرض رمز فشل RADIUS هنا:
تم إسقاط طلب RADIUS: حزمة RADIUS 11013 قيد المعالجة بالفعل
قام ACS بتجاهل هذا الطلب لأنه تكرار لحزمة أخرى تتم معالجتها حاليا. يمكن أن يحدث هذا بسبب أي من هذه:
تقترب إحصائيات زمن وصول طلب RADIUS المتوسط من مهلة طلب RADIUS للعميل أو تتجاوزها.
مخزن الهوية الخارجية يمكن أن يكون بطيء جدا.
تم تحميل ACS بشكل زائد.
أنجزت هذا steps in order to حللت:
قم بزيادة مهلة طلب RADIUS الخاص بالعميل.
إستخدام مخزن تعريف خارجي أسرع أو إضافي.
اتبع الطرق اللازمة لتقليل الحمل الزائد على ACS.
لم يتم تحليل رأس حزمة RADIUS الواردة بشكل صحيح. لحل هذه المشكلة، تحقق مما يلي:
تحقق من جهاز الشبكة أو عميل AAA بحثا عن مشاكل في الأجهزة.
تحقق من الشبكة التي تصل الجهاز بمصدر المحتوى الإضافي بحثا عن مشاكل في الأجهزة.
تحقق مما إذا كان جهاز الشبكة أو عميل AAA به أي مشاكل معروفة في توافق RADIUS.
يتم تلقي رسالة الخطأ هذه على ACS عندما يرسل ASA رسالة طلب وصول RADIUS:
تعذر على الطراز 11007 تحديد موقع جهاز الشبكة أو عميل AAA
يحدث هذا بسبب وجود عدم تطابق بين IP لعميل ACS و IP للواجهة الذي يرسل الطلب بالفعل. في بعض الأحيان يقوم جدار الحماية بتنفيذ ترجمة عنوان إلى عميل AAA هذا. تحقق من تكوين عميل AAA بشكل صحيح باستخدام عنوان IP الصحيح المترجم في هذا المسار:
موارد الشبكة > أجهزة الشبكة وعملاء AAA
يتعذر على المستخدمين الوصول إلى الشبكة بسبب فشل المصادقة. تم تلقي رسالة الخطأ هذه من ACS:
تم إسقاط طلب RADIUS ل 11050 بسبب التحميل الزائد للنظام
يقوم Cisco ACS بإسقاط طلبات المصادقة هذه بسبب الحمل الزائد. قد يحدث هذا بسبب تكرار العديد من طلبات المصادقة المتوازية. لتجنب ذلك، قم بتنفيذ أي مما يلي:
عدل إعدادات جهاز الشبكة/عميل AAA حتى يستخدم خيار دعم اتصال TACACS+ الأحادي القديم. وبهذا، سيقوم العميل بإعادة إستخدام نفس جلسة العمل لجميع الطلبات بدلا من إنشاء العديد من جلسات العمل.
امتنع المستخدمين عن إستدعاء طلبات مصادقة جديدة لفترة من الوقت.
أعد تشغيل خادم ACS.
يحدث هذا الخطأ بسبب الطول غير الصحيح أو القيمة غير الصحيحة من إحدى سمات MSCHAP v2 (MS-CHAP-Challenge أو MS-CHAP-Response أو MS-CHAP-CPW-2 أو MS-CHAP-NT-Enc-PW) في حزمة طلب وصول RADIUS المستلمة.
يبلغ ACS عن إستخدام الذاكرة أكثر من 90٪.تنبيه مثل التالي: Cisco Secure ACS - إعلام التنبيه حدة: مصدر المحتوى الإضافي لاسم التنبيه - System HealthCause/Trigger alarm الذي يتسبب فيه ACS - تفاصيل حد حماية النظام إستخدام CPU لمثيل إستخدام CPU (٪) إستخدام الذاكرة (٪) إستخدام مساحة القرص المستخدمة /opt (٪) مساحة القرص المستخدمة /localdisk: (٪) مساحة القرص المستخدمة / Kom-AAA02.410.4 0٫02 9٫57 5٫21 25٫51
يظهر هذا الإصدار عادة في ACS 5. 2. in order to صححت هذا إصدار، أعدت ال ACS in order to حررت الذاكرة أو يحسن إلى ACS 5،2 رقعة 7 أو متأخر. راجع معرف تصحيح الأخطاء من Cisco CSCtk52607 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
في الإعداد الموزع بعد مهمة صيانة (الانضمام إلى مهمة أساسية، فرض النسخ المتماثل الكامل، برامج التصحيح)، يبلغ مثيل ACS A عن مثيل ACS B على أنه غير متصل في شاشة النشر الموزعة، بينما يكون B متصلا بالفعل ويقدم تقارير عن المثيل A على أنه متصل. في سجلات الإدارة، ترى خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد.
يمكن أن يحدث ذلك إذا كان المثيل السابق من خدمة إدارة النسخ المتماثل لا يزال مرتبطا بالمنفذ 2030 عند ظهور المثيل الجديد ويحاول الربط بذلك المنفذ. من واجهة سطر الأوامر (CLI) لمثيل ACS B، run:sho acs-log file ACSMmanagement. log | خدمة النسخ المتماثل. سترى رسائل مثل خدمة النسخ المتماثل التي فشلت.:المنفذ قيد الاستخدام بالفعل: 2030. حاليا، الحل البديل هو إعادة تشغيل مثيل ACS B (المثال الذي يقوم بالإعلام عن الآخر على أنه متصل). راجع معرف تصحيح الأخطاء من Cisco CSCtx56129 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
في الإعداد الموزع بعد مهمة صيانة (الانضمام إلى مهمة أساسية، فرض النسخ المتماثل الكامل، برامج التصحيح)، يبلغ مثيل ACS A عن مثيل ACS B على أنه غير متصل في شاشة النشر الموزعة، بينما يكون B متصلا بالفعل ويقدم تقارير عن المثيل A على أنه متصل. في سجلات الإدارة، ترى خطأ:com.cisco.nm.acs.mgmt.msgbus.FatalBusException: فشل في ربط العقد.
قم بالترقية إلى حزمة ACS 5.2 6 أو الأحدث لإصلاح هذه المشكلة. راجع معرف تصحيح الأخطاء من Cisco CSCto47203 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
ملاحظة: سيفشل النسخ الاحتياطي ل ViewDB بمجرد تجاوز إستخدام "/opt"" نسبة 30٪. يلزم تكوين التشغيل المرحلي ل NFS لإجراء عملية نسخ إحتياطي عندما يتجاوز "/opt" نسبة الاستخدام 30٪.
تفشل مصادقة RADIUS مع رسالة الخطأ هذه: لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة.
تم رفض الطلب لأنه لم يتم العثور على إصدار قائمة التحكم في الوصول (ACL) القابلة للتنزيل المطلوب في طلب وصول RADIUS. حدث طلب قائمة التحكم في الوصول (ACL) القابلة للتنزيل بعد وقت طويل من طلب الوصول الأصلي. ولهذا السبب، لم يعد إصدار قائمة التحكم في الوصول (ACL) القابلة للتنزيل متوفرا. العثور على سبب هذا التأخير في طلب قائمة التحكم في الوصول (ACL) القابلة للتنزيل من عميل RADIUS.
تفشل مصادقة RADIUS مع رسالة الخطأ هذه: 11025 يفتقد Access-Request ل dACL المطلوب سمة Cisco-av-pair مع القيمة aaa:event=acl-download. تم رفض الطلب.
يجب أن يكون لكل طلب وصول لقائمة التحكم في الوصول (ACL) القابلة للتنزيل سمة زوج-Cisco مع القيمة aaa:event=acl-download. في هذه الحالة، تفتقد هذه السمة الطلب وفشل ACS في الطلب. تحقق مما إذا كان جهاز الشبكة أو عميل AAA به أي مشاكل معروفة في توافق RADIUS.
تفشل مصادقة RADIUS مع رسالة الخطأ هذه: لم يتم العثور على قائمة التحكم في الوصول للبنية الأساسية (dACL) المطلوبة. هذا اسم قائمة تحكم في الوصول إلى البنية الأساسية (dACL) غير معروف.
تحقق من تكوين ACS للتحقق من وجود قائمة التحكم في الوصول (ACL) القابلة للتنزيل المحددة في ملف تعريف التخويل في قائمة قوائم التحكم في الوصول (ACL) القابلة للتنزيل. هذا تكوين خاطئ لجانب ACS.
فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10001. إصدار تكوين غير صحيح.
يمكن أن يحدث هذا الخطأ بسبب قاعدة بيانات ACS تالفة، أو بسبب مشكلة في بيانات التكوين الأساسية. اتصل ب Cisco TAC (يسجل زبون فقط) ل كثير معلومة.
فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10002: فشل في تحميل الخدمة المناسبة.
يتعذر على ACS 5.x تحميل خدمة تكوين AAC. قد يحدث هذا بسبب قاعدة بيانات ACS تالفة، أو بسبب مشكلة في بيانات التكوين الأساسية. كما يمكن أن يحدث ذلك عند استنفاد موارد النظام. اتصل ب Cisco TAC (يسجل زبون فقط) ل كثير معلومة.
فشل مصادقة المسؤول مع هذا الخطأ: خطأ داخلي 10003: إستلمت مصادقة المسؤول اسم مسؤول فارغ.
عند الوصول إلى واجهة المستخدم الرسومية (GUI) ل ACS 5.x، ACS يستقبل اسم مستخدم فارغ. تحقق من صحة اسم المستخدم المرسل إلى ACS. إن يكون صالح، اتصل ب cisco TAC (يسجل زبون فقط) ل كثير معلومة.
يتم تلقي رسالة الخطأ هذه على ACS:
سبب الفشل: حدث الخطأ المرتبط بالاتصال 24428 إما في LRPC أو LDAP أو Kerberos قد تكون مشكلة اتصال RPC هذه بسبب تلقي Stub لبيانات غير صحيحة
لحل هذه المشكلة، قم بترقية ACS إلى الإصدار 5.2.
لا تعمل مصادقة وكيل المصادقة TACACS+ على موجه يعمل ببرنامج Cisco IOS Software، الإصدار 15.x من خادم ACS 5.x.
يتم دعم وكيل مصادقة TACACS+ فقط بعد تصحيح ACS 5.3 5. ترقية ACS 5.x أو إستخدام RADIUS لوكيل المصادقة.
يفتقد تقرير محاسبة ACS 5.1 TACACS بعض السمات مثل اسم المستخدم ومستوى الامتياز ونوع الطلب عندما يستلم حزمة محاسبة تم تكوينها بشكل غير صحيح من العميل. وفي بعض الحالات، يؤدي ذلك إلى إنشاء تنبيه "فشل التخزين (acs-xxx، tacacsAccounting)" في طريقة العرض. لحل هذه المشكلة، تحقق مما يلي:
تحتوي حزمة المحاسبة التي يتم إرسالها بواسطة العميل على وسيطة TACACS مكونة بشكل غير صحيح (على سبيل المثال، عدم تطابق في الطول والقيمة لأي من الوسيطة التي تم إرسالها بواسطة عميل AAA).
تأكد من أن العميل يرسل حزمة محاسبة صالحة ذات طول وقيمة ملائمين للوسيطات.
راجع معرف تصحيح الأخطاء من Cisco CSCte88357 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
تحقق مما يلي:
تحقق مما إذا كانت الأسرار المشتركة على عميل AAA وخادم ACS متطابقة.
تأكد من أن عميل AAA وجهاز الشبكة ليس لديهما مشاكل أجهزة أو مشاكل مع توافق RADIUS.
تأكد من أن الشبكة التي توصل الجهاز بمصدر المحتوى الإضافي لا تواجه أي مشاكل في الجهاز.
تم إسقاط طلب المحاسبة لأنه تم إستلامه عبر رقم منفذ UDP غير معتمد. تحقق مما يلي:
تأكد من تطابق تكوين رقم منفذ المحاسبة على عميل AAA وعلى خادم ACS.
تأكد من أن عميل AAA لا يواجه أي مشاكل في الأجهزة أو مشاكل مع توافق RADIUS.
يتعذر على ACS التحقق من صحة حقل المصدق في رأس حزمة طلب محاسبة RADIUS. يجب عدم الخلط بين حقل المصدق وسمة RADIUS لمصادقة الرسائل. تأكد من أن سر RADIUS المشترك الذي تم تكوينه على عميل AAA يتطابق مع جهاز الشبكة المحدد على خادم ACS. تأكد أيضا من أن عميل AAA لا يواجه أي مشاكل في الأجهزة أو مشاكل مع توافق RADIUS.
تحقق من ACS للحصول على اتصال AD، وتأكد من أن حساب جهاز ACS لا يزال موجودا في الإعلان.
تم تحديد هذا السلوك وسجل في معرف تصحيح الأخطاء من Cisco CSCts17763 (العملاء المسجلون فقط). تحتاج إلى الترقية إلى حزمة تصحيح 5.3.40 1 أو 5.2.26 7.
تأكد من أن مجتمع SNMP الذي تم تكوينه على ACS به أحرف صالحة. يسمح باستخدام الحروف الأبجدية الرقمية فقط (الحروف والأرقام فقط) في اسم المجتمع.
تنفذ مساحة ACS 5.x من القرص بسبب عدم وجود مساحة كافية في القسم /opt. يحدث هذا بسبب العدد المرتفع لبيانات التسجيل التي تغمر طريقة عرض ACS. كحل بديل، تحتاج إلى إستبدال قاعدة بيانات View بشكل متكرر. نظرا لأن "طريقة عرض ACS" لا يمكنها التعامل مع غيغابايت من البيانات كل يوم، فأنت بحاجة إلى تنظيم بيانات التسجيل. عندما تحتاج إلى كل السجلات، أستخدم خادم syslog خارجي بدلا من طريقة عرض ACS. عندما تحتاج إلى إستخدام جزء فقط من بيانات التسجيل، أستخدم إدارة النظام > تكوين > تكوين السجل > فئات التسجيل > عامة لإرسال السجلات المطلوبة فقط إلى جامع سجلات ACS View.
هل يمكن ل ACS 5.x الاستعلام عن وحدات التحكم بالمجال (DCs) المطلوبة عند الانضمام إلى مجال Active Directory؟
لا. حاليا، يستعلم ACS عن DNS مع المجال للحصول على قائمة بجميع وحدات التحكم بالمجال في المجال. ثم تحاول التواصل معهم جميعا. في حالة فشل الاتصال حتى ب DC واحد، يتم الإعلان عن فشل اتصال ACS بالمجال.
هل هناك طريقة لإعداد ACS 5.x في كل من مجالي الأصل والفرع في نفس الوقت؟
لا. حاليا، يمكن أن يكون ACS 5.x جزءا من مجال واحد فقط. ومع ذلك، يمكن ل ACS 5.x مصادقة المستخدمين/الأجهزة من مجالات موثوقة متعددة.
هل يمكنني تسجيل بيانات "طريقة عرض ACS 5.x" إلى قاعدة بيانات بعيدة؟
نعم، يسمح لك ACS 5.x بتسجيل عرض بيانات ACS إلى خوادم Microsoft SQL وخوادم Oracle SQL.
يمكن تثبيت ACS 5.x على جهاز ظاهري. يمكن تثبيت الإصدار الأحدث، ACS 5.3، على إصدارات VMWare التالية:
برنامج ESX 3.5 من VMWare
VMWare ESX 4.0
VMWare ESX i4.1
برنامج ESX 5.0 من VMWare
ما هي متطلبات مساحة القرص لإصدار تقييم ACS 5.x؟
يلزم توفر مساحة قرص تبلغ 60 جيجابايت كحد أدنى لإصدار التقييم. يلزم توفر سعة 500 جيجابايت لتثبيت الإنتاج.
لحل هذا الخطأ، تحقق مما يلي:
تحقق مما إذا كان جهاز ACS منضما إلى مجال Active Directory.
تحقق من حالة الاتصال بين جهاز ACS وخادم Active Directory.
تحقق مما إذا كان وكيل ACS Active Directory قيد التشغيل.
راجع معرف تصحيح الأخطاء من Cisco CSCtx71254 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
عند تحديث ACS من Cisco باستخدام تصحيح، تعلق عملية وقت التشغيل في حالة "فشل التنفيذ" ويتم تسجيل هذه الرسالة:
"Local0 err 83 2012-06-12T12:11:08+0200 192.168.150.74 ACS خطأ إعادة التوجيه: /opt/CSCOacs/runtime/bin/run-logforward.sh: السطر 18: خطأ التجزئة 7097 (تم إغراق الأساس) ./$daemon -b -f $log file"
يمكن أن تكون هذه مشكلة في تصحيح MD5 الخاص بآخر تصحيح. تحقق من المجموع الاختباري MD5 الخاص بآخر حزمة تصحيح تم تطبيقها على ACS من Cisco. قم بتنزيل ذلك مرة أخرى، ثم قم بتطبيقه بشكل صحيح.
تم تكوين خادم UCS لمصادقة عميل Java من ACS من Cisco. تتضمن عملية المصادقة إستخدام خادم RSA Token. يتم تمرير المصادقة الأولى. ومع ذلك، عند تحديث UCS وفرض إعادة المصادقة على عميل Java، يفشل لأن RSA لا يسمح بإعادة إستخدام أي رمز مميز. لذلك، تفشل المصادقة.
هذا تحديد من أداء خادم UCS، ولكن ليس من Cisco ACS. يتبع خادم UCS مصادقة ثنائية العوامل والتي تعد ميزة غير مدعومة ل ACS من Cisco عند إستخدامها مع رموز RSA المميزة. حاليا، هو غير مدعوم. كحل بديل، يوصى باستخدام أي خادم قاعدة بيانات، مثل AD أو LDAP، بخلاف خادم RSA Token.
حدث خطأ غير معين في عملية ذات صلة ب AD. ارجع إلى دمج ACS 5.x مع مثال تكوين Microsoft AD وقم بتكوين تكامل AD مع ACS بشكل صحيح. إن شكلت كل شيء يكون بشكل صحيح طبقا للمستند، بعد ذلك اتصل ب cisco TAC لبعيد يتحرى.
يقع هذا بسبب تعارض إصدار. تجميع AD 2008 R2 مدعوم من إصدار ACS 5.2 فقط. قم بترقية مصدر المحتوى الإضافي إلى 5. 2 أو إصدار أحدث. راجع معرف تصحيح الأخطاء من Cisco CSCtg12399 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
عندما يحاول مستخدمو SSL VPN التصديق على جهاز RSA، يتم تلقي رسالة الخطأ هذه من خادم Cisco ACS:
سبب الفشل: 22056 لم يتم العثور على الموضوع في مخزن (مخازن) الهوية القابل للتطبيق.
تحقق مما إذا كان المستخدم موجودا في قاعدة البيانات التي تم الإشارة إلى ACS للبحث عنها. في حالة مخزن هوية RSA و RADIUS، تأكد من تحديد خيار معالجة الرفض مع فشل المصادقة. هذا ضمن علامة التبويب خيارات متقدمة لتكوين مخزن الهوية.
ال ipt_conlimit: oops: حالة انتقال غير صالح؟ تظهر رسالة خطأ على الوحدة طرفية للتحكم عندما يعمل ACS 5.x على VMWare.
هذه رسالة تجميلية. راجع معرف تصحيح الأخطاء من Cisco CSCth25712 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
لا ترى ACs 5.x / ISE سمة RADIUS call-station-id في طلب RADIUS من برنامج Cisco IOS الإصدار 15.x NAS.
أستخدم الأمر radius-server attribute 31 send nas-port-detail على برنامج Cisco IOS الإصدار 15.x لتمكين إرسال السمة.
عندما يتم دمج ACS 5.3 مع Active Directory في مستوى وظائف Windows 2008 R2، يتم تحديد موقع حسابات المستخدمين المضبوطة بمعلمات قفل (3 محاولات غير صحيحة) قبل الأوان بعد إدخال المستخدم لبيانات الاعتماد الخطأ مرة واحدة فقط.
راجع معرف تصحيح الأخطاء من Cisco CSCtz03211 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات.
أثناء محاولة حفظ نسخة إحتياطية من ACS، السبب: لم يتم تكوين النسخ الاحتياطي التزايدي- التفاصيل: لم يتم تكوين النسخ الاحتياطي التزايدي.يعد تكوين النسخ الاحتياطي التزايدي أمرا ضروريا لنجاح عملية إزالة قاعدة البيانات. سيساعد ذلك في تجنب حدوث مشاكل في مساحة القرص. عرض حجم قاعدة البيانات هو 0.08 جيجابايت والحجم الذي تشغله على القرص الثابت هو 0.08 جيجابايت يظهر تحذير.
لا يمكنك في نفس الوقت تشغيل نسخة إحتياطية تزايدية وإنشاء نسخ إحتياطية كاملة وإزالة البيانات. إذا كانت أي من هذه المهام قيد التشغيل، يجب عليك الانتظار لمدة 90 دقيقة قبل أن تتمكن من بدء المهمة التالية.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
29-Mar-2012 |
الإصدار الأولي |