安全访问控制控制系统(ACS 5.x和以后)排除故障
目录
简介
本文提供信息关于怎样排除故障思科安全访问控制系统(ACS)和如何解决错误消息。
关于如何排除故障Cisco Secure ACS的信息3.x和4.x,参考安全访问控制服务器(ACS 3.x和4.x)排除故障。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息根据思科安全访问控制系统版本5.x和以上。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
问题:“Error:设备上显示“Error: Saved the running configuration to startup successfully % Manifest file not found in the bundle”
错误::当尝试做出升级从5.0的ACS Express到5.0.1时,保存运行的配置对在套件错误没找到的启动%清单文件顺利地出现。
解决方案
要升级 ACS 设备而不出现任何问题,请完成以下步骤:
-
从以下位置下载修补程序 9 (5-0-0-21-9.tar.gpg) 和 ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg):Cisco.com > support > download software > Security > Cisco Secure Access Control System 5.0 > Secure Access Control System Software > 5.0.0.21
-
在您安装两个文件后,请安装ACS 5.1升级ACS_5.1.0.44.tar.gz。这从从上一步的同一个路径是可得到。
-
使用以下命令可安装升级:
application upgrade <application-bundle> remote-repository-name
这就完成了升级过程。
有关如何升级 ACS 设备的详细信息,请参阅将 ACS 服务器从版本 5.0 升级到 5.1。
问题:无法重新启动从GUI的ACS服务器5.x
此部分说明您为什么不能重新启动从GUI的ACS服务器版本5.x。
解决方案
没有重新启动从GUI的ACS 5.x服务器的选项联机。ACS可能从CLI只重新启动。
问题:问题安装与ACS 5.2的活动目录验证
当设置一新的5.2 ACS服务的时激活目录(AD)验证,此错误消息接收:
意外的RPC Error:拒绝访问由于意外的配置或网络错误。请尝试--verbose选项或运行“adinfo--diag”。
解决方案
ACS需要写入许可为了验证与AD。为了解决此问题,请提供临时写入许可给服务帐户。
问题:不能查看超过在核算报告的100个页
当尝试生成与ACS版本5.1时的一自定义Aaa accounting报告,您不能查看超过100个页。这不报道几更旧的报告。如何更改此设置发现所有页?
解决方案
默认情况下,因为显示的页的最大只是100您不能更改页数量在ACS的。为了解决此限制和查看更旧的统计信息,您需要更改过滤选项,以便更多特定匹配可以被做。例如,如果为最后三十天设法生成报告,它包含大容量,并且最后100个页也许显示活动仅最后小时。这里,使用过滤选项建议。采取过滤选项作为用户ID和指定time-range将产生更旧的报告。
问题:无法生成通行证/失败设备的一组的验证报告
此问题出现,当尝试生成验证仅报告六路由器/交换机的一组的,不所有设备的。使用ACS版本4.x。
解决方案
这对ACS 4.x不是可能的。因为此功能是可用的与该版本,您需要移植到ACS 5.x。您能通过生成目录报告解压缩设备的特定组的报告。
参考一更加好了解的此镜像:
问题:监听和报告数据库是目前不可用的。尝试在5秒重新连接。
当您点击启动监听并且报告从ACS 5.x时的查看器,此错误消息接收:监听和报告数据库是目前不可用的。尝试在5秒重新连接。如果问题持续,请与您的ACS管理员联系。
解决方案
执行这些应急方案之一为了解决此问题:
-
通过发出这些命令重新启动从CLI的ACS服务:
application stop acs application start acs
-
对最新的可用的补丁程序的升级。参考应用升级补丁程序关于此的更多信息。
问题:22056在可适用的标识存储没找到的主题
AD用户不得到验证与ACS版本5.x并且收到此错误消息:22056在可适用的标识存储没找到的主题。
解决方案
此错误消息出现,当ACS失败找到在标识存储顺序配置的第一个列出的数据库的用户。这是供参考消息,并且不影响ACS的性能。方式ACS 5.x执行内部的验证或外部用户跟上一个4.x版本不同。使用5.x版本,有呼叫定义将验证的用户数据库顺序的Identity Store顺序的选项。欲知更多信息,参考配置标识存储顺序。
如果收到此错误,当您使用ACS利用子域时验证请求,则您必须添加UPN后缀或NETBIOS前缀到用户名。欲知更多信息,参考在Microsoft AD部分的笔记。
问题:无法集成与活动目录的ACS
用户不能集成与活动目录的ACS,并且桑巴端口状态错误错误消息接收。
解决方案
为了解决此问题,请确保这些端口是开放的支持活动目录功能:
-
桑巴波尔特- TCP 445
-
LDAP - TCP 389
-
LDAP - UDP 389
-
KDC - TCP 88
-
kpasswd - TCP 464
-
NTP- UDP 123
-
全局目录- TCP - 3268
-
DNS - UDP 53
ACS需要到达在域的所有DC为了ACS-AD集成完成。即使其中一DC从ACS不是可及的,集成不发生。参考Cisco Bug ID CSCte92062 (仅限注册用户)欲知更多信息。
问题:无法集成与LDAP的ACS
在本文中, ACS 5.2使用作为AAA RADIUS服务器802.1X实施。使用内部用户存储, 802.1X可以顺利地与ACS一起使用,但是有集成ACS和LDAP的问题。将显示以下错误消息:
Radius authentication failed for USER: example MAC: UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2) EAP session timed out : 5411 EAP session timed out
解决方案
在这种情况下, LDAP与PEAP一起使用,并且使用的内部认证方法是EAP MSCHAP v2。这将发生故障,因为LDAP不为PEAP (EAP MSCHAP v2)支持。推荐使用EAP tls或AD。
问题:“csco acs_internal_operations_diagnostics错误:不能写到局部存储器文件”错误消息
在ACS的复制时,主要的ACS不适当地复制并且显示此错误消息:
csco acs_internal_operations_diagnostics error: could not write to local storage file
解决方案
重新启动ACS服务并且确保关键记录日志禁用。欲知更多信息,参考Cisco Bug ID CSCth66302 (仅限注册用户)。如果这不帮助,与Cisco TAC联系为了获得最新的ACS补丁程序适当解决此问题。
问题:无法集成与活动目录的ACS 5.1
当尝试实现AD集成时,此错误消息接收:
Error while configuring Active Directory:Using writable domain controller:test1.test.pvt Authentication error due unexpect configuration or network error. Please try the --verbose option or run 'adinfo -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null' failed.
解决方案
完成此应急方案为了解决此问题:
-
删除在AD的现有计算机帐户。
-
创建新的OU。
-
去OU的属性并且不选定继承权限。
-
创建ACS的一个新的计算机帐户在新的OU。
-
允许AD复制。
-
设法加入从ACS GUI的AD。
有时,如果与Microsoft联系并且应用热修正,也是有用
。
问题:无法配置ACS 5.x认可在服务选择规则的常规表达
解决方案
因为ACS 5.x,不支持这不是可能的。
问题:SFTP备份不工作,当曾经思科沃克斯作为SFTP服务器
当网络资源在CiscoWorks服务器时,备份调度器良好工作与其他SFTP不是客户端,但是ACS 5.2。特别地,当尝试连接到SFTP从ACS时的服务器,无法协商密钥交换方法错误消息接收。
解决方案
在这种情况下, SFTP服务器不是FIP兼容设备使用DH 14组。ACS有DH 14支持的仅支持服务器,因为它是兼容的FIP。关于此问题的更多信息,参考在ACS 5.2的已知限制。
问题:“丢弃的无效EAP有效负载”
错误::无效EAP有效负载丢弃的错误消息接收,当验证ACS 5.0补丁程序的7.时无线用户。
解决方案
这是观察行为和寻址在Cisco Bug ID CSCsz54975 (仅限注册用户)和CSCsy46036 (仅限注册用户)。
为了解决此问题,升级对ACS 5.0补丁程序9,作为升级一部分到5.1或5.2,要求。参考升级数据库关于完整详细信息。这也包括关于如何的信息升级修补9。
问题:“ACS运行时进程在此实例不运行此时”。
用户不能登录到ACS GUI,并且此错误消息接收:
“ACS运行时进程在此实例不运行此时。变动可以做对ACS配置(这些在数据库将保存),但是更改不会生效,直到运行时进程重新启动”。
解决方案
手工重新启动从CLI的运行时进程和重新启动设备解决此问题。这是一个较小问题,并且不创建ACS的任何性能问题。有被归档的两个较小Bug观察此行为。欲知更多信息,参考Cisco Bug ID CSCtb99448 (仅限注册用户)和CSCtc75323 (仅限注册用户)。
为了手工重新启动运行时间进程,请发出从ACS CLI的这些命令:
-
acs终止运行时间
-
acs启动运行时间
问题:无法导出用户用密码
您能导出和导入用户数据库到与CSV文件的另一ACS 5.x,但是不包括User Password字段(看上去空白)。如何移动本地用户的从一ACS的标识存储到包括密码信息的另一个?
解决方案
这不是可能,虽然这将变得安全突破口。在这种情况下,一应急方案是执行备份和恢复程序。然而,对此应急方案的限制是备份和恢复为与一相似的配置的另一ACS只运作。
问题:ACS内部用户间歇地禁用
ACS用户间歇地禁用与密码超时的消息。密码到期策略设置60天,但是这些用户必须手工启用为了他们能获得访问。
解决方案
此行为在Cisco Bug ID CSCtf06311 (仅限注册用户)被观察并且被归档。此问题可以通过应用补丁程序3到ACS解决5.1。为了查看所有解决的问题在补丁程序3下,在渐增补丁程序ACS 5.1.0.44.3的参考的解决的问题。关于如何的相关信息升级补丁程序,参考应用升级补丁程序。
问题:“以错误结束的TACACS+认证请求”
ACS验证报告显示以错误错误消息结束的TACACS+认证请求。
解决方案
当TACACS认证有服务类型设置为PPP,这发生。参考Cisco Bug ID CSCte16911 (仅限注册用户)欲知更多信息。
问题:“RADIUS验证请求拒绝由于关键记录的错误”
RADIUS验证拒绝与RADIUS验证请求拒绝的由于关键记录的错误错误消息。
解决方案
此错误在Cisco Bug ID CSCth66302 (仅限注册用户)被选派。
问题:当ACS升级从5.2到5.3时, ACS视图接口显示“数据升级失败”在页顶部
当ACS升级从5.2到5.3时, ACS视图接口显示数据升级失败在页顶部。
解决方案
此错误在Cisco Bug ID CSCtu15651 (仅限注册用户)被选派。
问题:问题用“在下登录acs的更改密码”在Cisco ACS 5.0
解决方案
在ACS 5.0,密码到期功能(用户必须更改在下登录的密码)在本地用户ID存储可选择的,但是不工作。增强请求CSCtc31598调整在ACS版本5.1的问题。
问题:升级期间,ACS 设备上显示“% Application upgrade failed, Error - -999.Please check ADE logs for details, or re-run with - debug application install - enabled”
尝试将 ACS Express 从版本 5.0 升级到 5.0.1 时,出现 % Application upgrade failed, Error - -999.请检查ADE日志关于详细信息,或者与-调试应用软件安装- Enabled错误的重新运行出现,当尝试做出升级从5.0的一ACS Express到5.0.1时。
解决方案
此错误出现,当使用的信息库是TFTP,并且文件大小比32MB极大。ACS Express比32MB不能处理文件极大。即使文件大小大于 32MB,使用 FTP 作为存储库也可解决此问题。
问题:错误“验证失败:12308个客户端指示失败的发送的结果TLV”
验证失败:当您设法第一次时,验证12308个客户端指示失败错误的发送的结果TLV在ACS发生。验证第二次良好工作。
解决方案
当您禁用法塞特重新连接时,此错误可以是解决的。修补2的升级ACS版本5.2帮助解决问题,不用快速重新连接禁用。
当您在请求方时,禁用牵强cryptobinding此错误可以也是解决的。参考Cisco Bug ID CSCtj31281 (仅限注册用户)欲知更多信息。
问题:错误"24495激活目录服务器不是可用的”
验证开始与此错误的失败:24495个激活目录服务器不是可用的。在ACS 5.3日志。
解决方案
通过ACS检查ACSADAgent.log文件5.x的CLI消息例如:毁损11 00:06:06 xlpacs01 adclient[30401] :INFO <bg :对xxxxxxxx的bindingRefresh> base.bind.healing中断连接。运行在断开模式:拉开插销。如果看到在disconnectedmode的运行:拉开插销错误消息,这含义ACS 5.3不能维护与活动目录的一稳定的连接。应急方案是到交换机对LDAP或降级ACS对5.2版本。参考Cisco Bug ID CSCtx71254 (registeredcustomersonly)欲知更多信息。
问题:错误"5411 EAP会话被计时”
5411 EAP会话被计时的错误消息在ACS 5.x接收。
解决方案
EAP会话超时是相当普通与请求方重新启动验证的PEAP,在初始数据包出去到,并且,大多时间,不是预示的问题的RADIUS服务器后。
编解码器的流是:
Supplicant ------------- Authenticator -------------- ACS Connect <------------------Request for Identity -----------------------> Response Identity -------------> <-------------- EAP Challenge <----------------- EAPOL-Start -------------> normal flow ending in successful authentication.......
在末端验证是成功的。然而,有线索左开放在ACS由于导致EAP会话超时消息跟随的一成功认证EAP会话的突然的重新启动从请求方的。许多次这归结于驱动程序级计算机。确保NIC/Wireless驱动程序是最新在客户端机器。您在客户端和过滤器能捕获在EAP||EAPOL为了看到什么客户端接收或发送,当连接时。
问题:如果登录限制在活动目录,配置802.1x验证不工作
如果用户有在活动目录,配置的登录限制802.1x验证不工作。
解决方案
如果有单个计算机的登录限制设置的活动目录并且尝试802.1x验证。验证发生故障,因为在验证来自ACS活动目录的前景,不是计算机登录限制设置。对于是的验证成功的,登录限制可以设置包括ACS计算机帐户。
问题:Error:当ACS与ChangeUserPassword角色的5.x admin更改密码时, “您没有授权查看请求的页”
ACS 5.x有ChangeUserPassword角色的GUI管理员用户不能更改在内部数据库存储的AAA用户的密码。在更改密码以后,用户收到此上推错误消息:您无权查看所请求的页面。
解决方案
当ACS 5.x数据库从ACS 4.x时,被移植这能发生。请使用SuperAdmin权限为了更改用户密码。参考Cisco Bug ID CSCty91045 (仅限注册用户)欲知更多信息。
问题:收到在ACS 5.x的错误失败的认证"24495激活目录服务器的请勿是可用的”。
解决方案
您需要验证与ACS 5.x的激活目录集中。如果它是一个分布式设置,请保证主要的,并且在设置的附属ACS 5.x适当地集成与活动目录。
问题:使用BMC,无法连接到ACS设备
当BMC客户端(硬件级工具)时用于让ACS 1121个IBM服务器进入,注意到BMC客户端有两个IP地址。
解决方案
此行为识别并且登陆Cisco Bug ID CSCtj81255 (仅限注册用户)。为了解决此,您需要禁用在ACS 1121的BMC DHCP客户端。
问题:警告报警“删除20000会话”有原因的“激活的会话在限制”,出现在监视器和报告常规控制板。
有限制到会话目录能拿着的记录数。由于过滤请求是大量的在客户的设置,限制被到达的快速。在达到限制以后,故意, ACS视图删除一定数量的记录(例如, 20k)从会话目录并且发送警报。您能增加此限制,但是不帮助除了延长警报。
解决方案
为了解决此,请执行以下:
-
被建议禁用登陆命令查看数据库。
-
去Cisco Secure ACS记录类别的>System Administration > Configuration>日志Configuration> >全局> “通过认证” >远程系统日志目标并且从选定目标删除LogCollector。
-
去Cisco Secure ACS记录类别的>System Administration > Configuration>日志Configuration> >全局> “失败的尝试” >远程系统日志目标并且从选定目标删除LogCollector。
-
去Cisco Secure ACS记录类别的>System Administration > Configuration>日志Configuration> >全局> Edit :“认为的RADIUS” >远程系统日志目标和删除从选定目标的LogCollector。
-
-
因为这些不是实时认证请求,您能忽略过滤认证请求。执行以下:
去Cisco Secure ACS >监听Configuration > System Configuration>添加过滤器并且创建过滤器。因为过滤请求了解用虚用户用户名,传送创建根据用户名的过滤器是更加适当的。如果创建在ACS的一个分开的访问策略处理这些过滤请求,则过滤器可以根据访问服务创建。
问题:ACS 5.x错误"11013 RADIUS信息包已经在进程”
在ACS 5.3部署,用户失败dot1x验证。使用的数据库是活动目录。RADIUS故障代码显示此处:
丢弃的RADIUS请求:11013 RADIUS信息包已经在进程
解决方案
ACS忽略此请求,因为它是当前处理另一数据包的重复项。这能发生由于其中每一个:
-
平均的RADIUS请求延迟统计信息是接近或超出客户端的RADIUS请求超时。
-
外部标识存储可以非常慢。
-
超载了ACS。
执行这些步骤为了解决:
-
增加客户端的RADIUS请求超时。
-
请使用更加快速或另外的外部标识存储。
-
跟随方式减少在ACS的超载。
问题:用错误"11012 RADIUS信息包失败的RADIUS验证包含无效报头”
解决方案
流入RADIUS信息包的报头没有正确地解析。为了解决此,请验证以下:
-
检查网络设备或AAA客户端硬件故障。
-
检查连接设备对硬件故障的ACS的网络。
-
证实网络设备或AAA客户端是否有任何已知RADIUS兼容性问题。
问题:与错误"11007的RADIUS/TACACS+验证失败不能找出网络设备或AAA客户端”
当ASA传送radius访问请求信息时,此错误消息在ACS接收:
11007不能找出网络设备或AAA客户端
解决方案
这发生,因为有ACS客户端的IP和实际上发送请求的接口IP之间的一不匹配。有时防火墙进行地址转换给此AAA客户端。如果AAA客户端适当地配置与在此路径的正确转换后的IP地址请验证:
网络资源>网络设备和AAA客户端
问题:RADIUS验证失败与错误"11050 RADIUS请求丢弃了由于系统超载”。
用户不能访问网络由于认证失败。从ACS的此错误消息接收:
11050 RADIUS请求丢弃的由于系统超载
解决方案
Cisco ACS下降这些认证请求由于超载。这可以由许多并行auhentication请求的复制造成。为了避免此,请执行其中每一个:
-
修改网络Device/AAA客户端设置,以便它使用传统TACACS+单个连接支持选项。使用此,客户端将重新使用所有请求的同一会话而不是创建许多会话。
-
避免用户调用新证书要求若干时刻。
-
重新启动ACS服务器。
问题:RADIUS验证失败与错误"11309不正确RADIUS MS-CHAP v2属性”。
解决方案
此错误生成由于无效长度或不正确的值从其中一个MSCHAP v2属性(MS CHAP挑战、MS CHAP答复、MS-CHAP-CPW-2或者MS CHAP NT Enc PW)在已接收RADIUS访问请求信息包。
问题:ACS报告内存使用90%。报警
ACS在90%.Alarm的报告内存使用例如以下:Cisco Secure ACS -报警NotificationSeverity :严重告警命名ACS -系统HealthCause/ACS引起的触发报警-系统工作状况thresholdAlarm选派ACS实例CPU利用率(%)存储器利用率(%)磁盘I/O利用率(%)磁盘空间使用的/opt (%)磁盘空间使用的/localdisk :(%)磁盘空间使用了/(%) KOM-AAA02 0.41 90.14 0.02 9.57 5.21 25.51
解决方案
此问题在ACS 5.2通常被看到。为了调整此问题,重新加载ACS为了释放内存或升级到ACS 5.2补丁程序7或以上。参考的Cisco Bug ID CSCtk52607 (仅限注册用户)欲知更多信息。
问题:错误:com.cisco.nm.ac s.mgmt.msgbus.FatalBusException :失败连接节点
在维护任务以后的一个分布式设置(加入对主要的,强制全双工复制,修补), ACS实例A报告ACS实例B作为脱机在分布式部署屏幕,而B确实联机并且报告实例A如联机。在管理日志,您看到错误:com.cisco.nm.ac s.mgmt.msgbus.FatalBusException :失败连接节点。
解决方案
这能发生,如果复制管理服务的一个上一个实例仍然一定到端口2030,当新的实例出来并且设法绑定到该端口时。从ACS实例B CLI,请运行:sho ACS日志文件ACSManagement。日志|我复制服务。您将看到消息例如失败的复制服务。:波尔特已经在使用中:2030.目前,应急方案是重新启动ACS实例B (报告其他如联机)的那个。参考Cisco Bug ID CSCtx56129 (仅限注册用户)欲知更多信息。
问题:错误:com.cisco.nm.ac s.mgmt.msgbus.FatalBusException :失败连接节点
在维护任务以后的一个分布式设置(加入对主要的,强制全双工复制,修补), ACS实例A报告ACS实例B作为脱机在分布式部署屏幕,而B确实联机并且报告实例A如联机。在管理日志,您看到错误:com.cisco.nm.ac s.mgmt.msgbus.FatalBusException :失败连接节点。
解决方案
升级对ACS 5.2补丁程序6或以上为了调整此问题。参考Cisco Bug ID CSCto47203 (仅限注册用户)欲知更多信息。
注意: 一旦"" /opt ""使用情况超过30%, viewDB备份将发生故障。当"" /opt ""超出30%使用情况时,它要求配置演出的NFS执行备份。
问题:请求的dACL没找到错误11026
RADIUS验证失效与此错误消息:请求的dACL没找到11026。
解决方案
因为没找到,请求拒绝可下载的ACLs请求的版本在RADIUS Access-Request的。要求可下载的ACLs在原始Access-Request以后发生长。因此,可下载的ACLs的版本不再是可用的。查找此延迟的原因的要求从RADIUS客户端的可下载的ACLs。
问题:错误11025请求的dACL的Access-Request未命中与值aaa的一个cisco-av-pair属性:event=acl-download。请求拒绝
RADIUS验证失效与此错误消息:11025请求的dACL的Access-Request未命中与值aaa的一个cisco-av-pair属性:event=acl-download。请求拒绝。
解决方案
可下载的ACLs的每Access-Request必须有与值aaa的一个cisco-av-pair属性:event=acl-download。在这种情况下,该属性未命中请求,并且ACS失败请求。证实网络设备或AAA客户端是否有任何已知RADIUS兼容性问题。
问题:请求的dACL没找到错误11023。这是一未知dACL名称
RADIUS验证失效与此错误消息:请求的dACL没找到11023。这是一未知dACL名称。
解决方案
检查ACS配置验证在授权配置文件指定的可下载的ACLs在可下载的ACLs列表存在。这是ACS侧误配置。
问题:与错误10001内部错误的管理员验证失败。不正确的配置版本
管理员验证失效与此错误:10001内部错误。不正确的配置版本。
解决方案
此错误可以造成由一个损坏的ACS数据库,或者由问题的基础配置数据。请与Cisco TAC (仅限注册用户)联系欲知更多信息。
问题:与错误10002内部错误的管理员验证失败:疏忽装载适合的服务
管理员验证失效与此错误:10002内部错误:疏忽装载适合的服务。
解决方案
ACS 5.x不能装载AAC配置服务。这可以造成由一个损坏的ACS数据库,或者由问题的基础配置数据。当系统资源被耗尽时,它能也发生。请与Cisco TAC (仅限注册用户)联系欲知更多信息。
问题:与错误10003内部错误的管理员验证失败:管理员验证接收的空白的管理员名称
管理员验证失效与此错误:10003内部错误:管理员验证接收的空白的管理员名称。
解决方案
当访问ACS 5.x的GUI时, ACS接收一个空白的用户名。检查用户名的正确性传送对ACS。如果它有效,请与Cisco TAC (仅限注册用户)联系欲知更多信息。
问题:失败原因:24428连接相关错误在LRPC、LDAP或者KERBEROS出现
此错误消息在ACS接收:
失败原因:24428连接相关错误在LRPC、此RPC连接问题可能是的LDAP或者KERBEROS出现,因为残余部分接收不正确的数据
解决方案
为了解决此问题,请升级ACS对版本5.2。
问题:TACACS+认证代理验证在运行IOS 15.x的路由器不工作从ACS 5.x服务器
TACACS+认证代理验证在运行从ACS 5.x服务器的Cisco IOS软件版本15.x的路由器不工作。
解决方案
只支持TACACS+验证代理,在ACS 5.3补丁程序5.升级您的ACS 5.x或者验证代理的后使用RADIUS。
问题:收到错误消息请存储失败(ACSxxx, TacacsAccounting)从ACS 5.x
解决方案
当收到从客户端时的一畸形的核算数据包ACS 5.1 TACACS认为的报告未命中一些个属性例如用户名、权限级别和请求类型。有时,这导致“存储失败(ACSxxx, TacacsAccounting)”报警的生成视线内。为了解决此,请验证以下:
-
客户端发送的认为的数据包有一个畸形的TACACS参数(例如,长度请不匹配和的值AAA客户端发送的任何参数)。
-
保证客户端发送有适当的长度和值的一有效核算数据包参数的。
参考Cisco Bug ID CSCte88357 (仅限注册用户)欲知更多信息。
问题:用户认证失败与错误"11036消息验证器RADIUS属性无效”。
解决方案
验证以下:
-
证实在AAA客户端和ACS服务器的共享秘密是否配比。
-
保证AAA客户端和网络设备没有硬件故障或问题RADIUS兼容性。
-
保证连接设备对ACS的网络没有硬件故障。
问题:RADIUS认为失败与通过不支持的端口接收的错误"11037丢弃的核算请求”。
解决方案
因为通过不支持的UDP端口号,接收认为的请求丢弃了。验证以下:
-
保证计费端口号码配置在AAA客户端和在ACS服务器匹配。
-
保证AAA客户端没有硬件故障或问题RADIUS兼容性。
问题:RADIUS认为失败与错误"11038 RADIUS记帐请求报头包含无效验证器字段”。
ACS不能验证RADIUS记帐请求数据包的报头的验证器字段。不能与消息验证器RADIUS属性混淆验证器字段。保证RADIUS共享在为在ACS服务器的选定网络设备配置的AAA客户端匹配配置的塞克雷。并且,请保证AAA客户端没有硬件故障或问题RADIUS兼容性。
Error:"24493 ACS有通信与活动目录的问题使用其计算机凭证”。
解决方案
检查ACS AD连接,并且保证ACS计算机帐户是存在AD。
问题:“当创建与特殊字符时的Shell配置文件名称请喜欢“ê”, ACS可以失败”。
解决方案
此行为识别并且登陆Cisco Bug ID CSCts17763 (仅限注册用户)。您需要升级到5.3.40补丁程序1或5.2.26补丁程序7。
问题:收到“在线路2的解析错误:不合格(无效标记)”,当运行“show run”在ACS 5.x CLI时。
解决方案
确保在ACS配置的SNMP团体有有效字符。仅字母数字字符(仅字母和编号)允许用于属性名称。
问题:ACS 5.x /opt分成非常迅速得填满
解决方案
ACS 5.x用尽磁盘空间由于在/opt分区的没有足够的空间。这发生由于日志数据大量充斥ACS视图的。作为应急方案,您需要经常替换视图数据库。由于ACS视图不能每天应付十亿字节数据,您需要组织日志数据。当您需要所有日志时,请使用一外部系统日志服务器而不是ACS视图。当您需要使用日志数据的仅部分时,请使用系统管理> Configuration>记录类别的日志Configuration> >全局为了发送仅需要的日志到ACS视图LOG收集器。
问题:查询希望的域
ACS 5.x能否查询希望的域控制器(DC),当加入活动目录域时?
解决方案
不能。目前, ACS查询DNS以域为了得到所有DC列表在域的。然后,它设法与所有联络。如果对一个DC的连接发生故障,则对域的ACS连接被宣称如失败。
问题:帕伦特和子域同时
有没有方式同时设置在parent和子域的ACS 5.x ?
解决方案
不能。目前, ACS 5.x可以只是一个域的部分。然而, ACS 5.x能验证用户/机器从多个可信的域。
问题:对远程数据库的记录日志
能否记录ACS 5.x视图数据到一个远程数据库?
解决方案
是, ACS 5.x允许您记录ACS视图数据到Microsoft SQL服务器和Oracle SQL服务器。
问题:VMWare支持
解决方案
ACS 5.x在虚拟机可以安装。新版本, ACS 5.3,在这些VMWare版本可以安装:
-
VMWare ESX 3.5
-
VMWare ESX 4.0
-
VMWare ESX i4.1
-
VMWare ESX 5.0
问题:磁盘空间需求
什么是ACS 5.x评估版本的磁盘空间需求?
解决方案
至少60 GB磁盘空间为评估版本要求。500 GB为制作安装要求。
问题:"24401不能建立连接用ACS活动目录代理程序”。
解决方案
为了解决此错误,请验证以下:
-
检查ACS计算机是否加入对活动目录域。
-
检查在ACS计算机和激活目录服务器之间的连接状态。
-
检查ACS活动目录代理程序是否运行。
参考Cisco Bug ID CSCtx71254 (仅限注册用户)欲知更多信息。
问题:“运行时”进程显示“执行失败的”状态
当更新有补丁程序的Cisco ACS,运行时进程陷在“失败的执行”时状态和此消息被记录:
"local0犯错犯错83 2012-06-12T12:11:08+0200 192.168.150.74 ACS ACS logforward ERROR:/opt/CSCOacs/runtime/bin/run-logforward.sh :线路18 :7097分段故障(核心转储的)。/$daemon - b - f $logfile”
解决方案
这可以是与最后补丁程序的MD5补丁程序的一个问题。验证最后补丁程序的MD5校验和应用对Cisco ACS。下载那再,然后适当地应用它。
问题:失败的ACS验证,当UCS强制再验证
UCS服务器配置验证从Cisco ACS的一个Java客户端。认证过程介入使用RSA令牌服务器。第一张验证通行证。然而,当UCS刷新并且迫使Java客户端重新鉴别时,它失败,因为RSA不准许重新使用任何标记。所以,验证发生故障。
解决方案
这是一个限制从persepective UCS服务器,但是不从Cisco ACS。UCS服务器跟随是Cisco ACS的一个不支持的功能,当使用与RSA令牌的二要素验证。目前,不支持它。除RSA令牌服务器之外,作为应急方案,您建议使用所有数据库服务器,例如AD或LDAP。
问题:"24444活动目录操作失败由于在ACS的一个未指定的错误”
解决方案
一个未绘制地图的错误在AD涉及的操作出现。参考与Microsoft AD配置示例的ACS 5.x集成并且适当配置与ACS的AD集成。如果一切根据本文适当地配置,则为做进一步的故障排除联系方式Cisco TAC。
问题:无法验证ACS 5.1用户用AD 2008 R2服务器
解决方案
这发生由于不兼容问题。AD 2008 R2集成从仅ACS 5.2版本支持。升级您的ACS到5.2或以后。参考Cisco Bug ID CSCtg12399 (仅限注册用户)欲知更多信息。
Error:22056在可适用的标识存储没找到的主题。
当SSL VPN用户尝试从RSA设备时得到验证,此错误消息从Cisco ACS服务器接收:
失败原因:22056在可适用的标识存储没找到的主题。
解决方案
证实用户是否是存在ACS指向寻找的数据库。在RSA和RADIUS标识的情况下存储,保证款待拒绝选项选择作为验证失败。这在标识存储配置的高级选项卡。下。
问题:ipt_connlimit :哟:无效ct状态?
ipt_connlimit :哟:无效ct状态?当ACS 5.x在VMWare时,运行错误消息出现在控制台。
解决方案
这是一个装饰性的消息。参考Cisco Bug ID CSCth25712 (仅限注册用户)欲知更多信息。
问题:ACs 5.x/ISE看不到radius在一个RADIUS请求的呼叫站点id属性从Cisco IOS软件版本15.x NAS
ACs 5.x/ISE看不到radius在一个RADIUS请求的呼叫站点id属性从Cisco IOS软件版本15.x NAS。
解决方案
请使用RADIUS服务器属性31发送nas波尔特详细信息on命令Cisco IOS软件版本15.x为了启用发送属性。
问题:用户帐户获得锁定在错误的凭证一审,即使配置为3尝试
当ACS 5.3集成与在Windows 2008 R2功能级时的活动目录,设置中断参数的用户帐户(3不正确尝试)过早地lockouted,在用户一次后输入错误的凭证。
解决方案
参考的Cisco Bug ID CSCtz03211 (仅限注册用户)欲知更多信息。
问题:保存从ACS的备份的Unbale
在尝试保存从ACS的一个备份期间,原因:增量备份没被配置的详细信息:增量备份没有配置。配置增量备份是必要使数据库清除成功。这将帮助避免磁盘空间问题。查看数据库大小是0.08GB并且估量它占用在光盘是0.08GB警告出现。
解决方案
您不能同時运行增量备份、完全备份和数据清除。如果这些工作中的任一运行,您必须等待期限90分钟,在您能开始下工作前。
反馈