ACS故障排除.docx
- 文档编号:3946699
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:9
- 大小:53.77KB
ACS故障排除.docx
《ACS故障排除.docx》由会员分享,可在线阅读,更多相关《ACS故障排除.docx(9页珍藏版)》请在冰豆网上搜索。
ACS故障排除
ACS故障排除
前言
本文档描述如何对ACS进行故障排除并解决错误消息所报告的问题。
前提条件
需求
本文档没有任何特定的要求。
使用的组件
本文档中的信息根据Cisco安全接入控制服务器(ACS)版本3.3以上。
本文档中的信息都是基于特定实验室环境中的设备创建的。
本文档中使用的所有设备最初均采用原始(默认)配置。
如果您在一个工作网络中操作,在使用之前请确认您已经理解所有指令的潜在影响。
惯例
有关文档规则的详细信息,请参阅Cisco技术提示规则。
问题:
CiscoSecure安装所需的资源被锁定
当升级ACS服务器时,可能会遇到此问题。
解决方案
如果您具有大量旧日志文件,则需要清除“LocalLoggingConfiguration”日志。
修改ACS的日志记录,保留最后三个文件。
1.在ACSGUI上,选择SystemConfiguration>ServiceControl。
选中ManageDirectory复选框,并选择仅保留最后三个文件。
然后,重新启动ACS并测试升级。
2.如果选项1不起作用,可尝试手动删除一些日志文件。
在删除文件前,必须始终将文件复制到专用文件夹。
a.在Windows服务器的本地驱动器上(ACSforWindows安装在这里),选择“ProgramFiles”>“CiscoSecureACS”文件夹。
b.删除以下文件夹下的所有日志:
▪*Csauth
▪*CSLog
▪*CSDbsync
▪*CSAdmin
▪*CSRadius
▪*CSTacacs
▪*CSMon
c.重新启动PC并重新测试升级。
问题:
无法删除AAA服务器,AAA服务器为同步合作伙伴
当删除NetworkConfiguration下的条目时,可能显示CannotDeleteAAAServer,AAAServerisaSynchronizationPartner错误消息。
解决方案
要解决此问题,请完成以下步骤:
1.选择InterfaceConfiguration,并选中“RDBMSSynchronization”复选框
2.选择SystemConfiguration>“RDBMSSynchronization”并从位于“SynchronizationPartner”上的AAA组中移除无法删除的AAA服务器
3.现在,即可删除AAA服务器组。
问题:
127.0.0.1为保留地址
您拥有两个ACSSE1113单元并想要将内部数据库从主单元复制到辅助单元,但您注意到辅助单元上显示以下错误消息:
InbounddatabasereplicationfromACS
当尝试在“NetworkConfiguration”下修改AAA服务器自身的密钥时,返回错误消息。
解决方案
要解决127.0.0.1自身的问题,可在新安装的ACSforWindows4.2上备份并还原.DMP文件,并使用所需IP地址修改127.0.0.1条目。
注意:
CiscoBugIDCSCso36620(仅限注册用户)阐明,切换NIC命令更改AAA服务器IP地址对在GUI的127.0.0.1。
为了恢复在设备的原始IP地址,请发出setip命令。
问题:
连结交换机的认证失败
连结5010认证不与TACACS+一起使用。
此错误消息能也出现:
Message-Type:
Authenfailed
Authen-Failure-Code:
KeyMismatch
解决方案
共享秘密定义在NDG下单个优先于已配置设备。
查看共享机密配置在NDG世纪产品FSW下,并且确保它匹配与在连结交换机配置的那个。
问题:
ACS1113SE-无法分配静态IP地址
当无法在ACS1113SE上配置静态IP地址时,会发生此问题。
解决方案
要解决此问题,请安装applACS-4.1-set-ip-CSCsm73656-Patch.zip修补程序,该修补程序可从Cisco下载(仅限注册用户)页面下载。
该修补程序适合所有ACSSE4.1版本。
问题:
主服务器未设置Prempt
当ACS主服务器断开时,您使用辅助服务器对用户进行身份验证。
当主服务器再次启用时,即使主服务器再次运行,也将使用辅助服务器对您的用户进行身份验证。
解决方案
默认情况下,ASA在耗尽模式下工作。
将其更改为定时模式,以便在ACS主服务器处于活动状态时,可将身份验证返回主服务器。
可使用以下配置:
host(config)#aaa-server
host(config)#reactivationmodetimed
host(config)#aaa-serveracsgroupdeadtime0
可选:
指定禁用组中的最后一个服务器与重新启用所有服务器之间所经过的时间(0至1440)(以分钟为单位)。
默认值为十分钟。
问题:
无法设置新的NIC配置
在ACS1113SE上配置静态IP地址时,会发生此问题。
解决方案
要解决此问题,请尝试重新映像软件。
问题:
ACS文件夹被另一个应用程序锁定
ACS软件升级(如,从版本3.3升级到4.0)期间显示ACSFolderisLockedbyAnotherApplication错误消息
请使用以下解决方案解决该问题。
解决方案1
请完成以下步骤:
1.在ACS窗口中,选中SystemConfiguration>ServiceControl>ChecktheManageDirectory复选框。
2.在“Keeponlythelast__files”框中输入值,如3。
3.重新启动。
升级可能工作正常。
解决方案2
如果解决方案1未解决该问题,请完成以下步骤:
1.备份当前的ACS数据库。
有关如何执行ACS数据库备份的详细信息,请参阅CiscoSecureACSforWindowsServer用户指南的CiscoSecureACS备份部分。
2.运行clean.exe文件,以卸载ACS3.3(或您的现有版本)。
此文件位于CD上的“ACSUtlities/support/clean”下。
3.从CD上重新安装ACS3.3。
4.从步骤1中保存的文件恢复数据库。
有关如何恢复ACS数据库的详细信息,请参阅CiscoSecureACSforWindowsServer用户指南的CiscoSecureACS系统恢复部分。
5.将ACS升级到版本4.0。
有关升级过程的详细信息,请参阅CiscoSecureACSforWindowsServer版本4.0安装指南。
问题:
事件错误
启动期间,ACSSE收到Atleastoneserviceordriverfailedduringstartup.useeventviewertoexaminetheeventlogfordetails错误消息。
解决方案
ACSSE上的此错误不影响任何ACS功能。
它是MicrosoftWindows错误。
出现此错误的原因是,设备上的显示器、鼠标和键盘无法使用且默认情况下被禁用。
ACS设备是一种坚固耐用的固化系统,在设计时考虑了安全性。
该设备使用窗口强化映像,已停止所有冗余服务和连接。
这样可以阻止所有病毒、蠕虫和DDOS攻击者的侵袭。
因此,无法通过VNC、DOS提示符或任何其他方式访问窗口配置。
鼠标、键盘和显示器等服务均已关闭。
极少数情况下,该错误表示设备映像上的某些组件损坏。
大多数情况下,重新映像设备可修复此问题。
也可尝试重新映像ACS。
问题:
NAS发出的错误请求
显示以下错误消息:
BadrequestfromNAS
OR
Authen-Failure-Code=InvalidmessageauthenticatorinEAPrequest
解决方案
通常,显示此错误消息是由于共享密钥不匹配,或类似于NDGdefinedwithakeyoverridingtheAAAclientkey的情况。
问题:
无法在ACS1113上安装ACS版本3.3.3
无法在ACSSE1113上安装版本4.0之前的映像。
解决方案
只有ACS4.0及更高版本才可在ACSSE1113上运行。
有关如何升级ACSSE的详细信息,请参阅升级和迁移到CiscoSecureACS解决方案引擎。
问题:
理由:
目前正在其他位置编辑
在打开ACS页时,可能会收到以下错误:
理由:
iscurrentlybeingeditedelsewhere..
解决方案
重新启动ACS服务可解决此问题。
问题:
将不启动远程代理服务
用户无法运行远程代理服务。
解决方案
用户必须是本地管理员用户才能启动该服务。
问题:
"Error:
“Error:
AuthtypenotsupportedbyExternalDB”
用户身份验证期间显示AuthtypenotsupportedbyExternalDB错误。
解决方案
此错误出现,因为CHAP认证协议不是支持的在微软视窗数据库激活目录(AD),当您使用ACS版本3.3时。
要解决此问题,请使用PAP而不是CHAP。
有关ACS版本3.3的协议-数据库兼容性的详细信息,请参阅身份验证协议-数据库兼容性。
问题:
无法对ACS启用ping
无法对ACSSE执行ping操作。
解决方案
在SystemConfiguration-->ApplianceConfiguration中关闭CSA代理,以在4.2之前的ACSSE版本上启用ping响应。
对于ACS版本4.2及更高版本,请下载并安装上提供的修补程序。
有关详细信息,请参阅打开和关闭Ping。
问题:
即使在ACS升级完成后仍显示“Applianceupgradeinprogress”消息。
即使在ACS升级完成后仍显示Applianceupgradeinprogress消息。
解决方案
ACS在升级后受到攻击,无法启动或停止任何服务。
要解决此问题,请完成以下步骤:
1.使用其他管理员帐户登录到ACS设备。
2.在“SystemConfiguration”选项卡下显示的“ApplianceUpgrade”上,按Refresh或“Download”按钮。
有关详细信息,请参阅CiscoBugIDCSCsg89042(仅限注册用户)。
如果无法使用GUI,请尝试重新启动ACS设备以解决该问题。
问题:
复制后口令重置
复制后,新口令重置为旧口令。
解决方案
出现此问题的原因是,用户未向主ACS进行身份验证。
因为复制不是双向的,因此进行复制后,主ACS会将其策略推送至辅助ACS。
这会导致口令重置为旧口令。
要解决此问题,请向主ACS验证用户的身份(若可能)。
问题:
ACS上出现DST问题
在ACS上看到DST问题。
解决方案
为了解决与ACS的夏时制(DST)问题,请下载并且安装这些补丁程序:
1.applAcs-4.1.4.13.7-CSUpdate.zip
2.applAcs-4.1.4.13.7.zip
注意:
首先应用csupdate修补程序。
然后安装累积修补程序。
问题:
"Error:
“Error:
FailedtogetNICconfiguration:
(null)(FFFFFFFF)”
ACS设备上显示Error:
“Error:
FailedtogetNICconfiguration:
(null)(FFFFFFFF)错误。
解决方案
如果ACS设备上使用的ACS映像的版本不正确,通常会显示此错误。
这更多地是兼容性问题。
重新映像ACS设备可解决此问题。
有关如何重新映像ACS设备的详细信息,请参阅重新映像设备硬盘。
问题:
升级期间,ACS设备上显示“%Applicationupgradefailed,Error--999.PleasecheckADElogsfordetails,orre-runwith-debugapplicationinstall-enabled”
尝试将ACSExpress从版本5.0升级到5.0.1时,出现%Applicationupgradefailed,Error--999.PleasecheckADElogsfordetails,orre-runwith-debugapplicationinstall-enabled错误。
解决方案
由于ACSExpress不能处理大于32MB的文件,因此当使用的存储库为TFTP且文件大小大于32MB时,会出现此错误。
即使文件大小大于32MB,使用FTP作为存储库也可解决此问题。
问题:
无法在ACS设备上禁用SSHv1,仅启用SSHv2
无法在ACS设备上禁用SSHv1,仅保留SSHv2启用。
解决方案
目前,不可能禁用SSHv1并仅启用SSHv2。
SSHv1和SSHv2一起启用,无法单独禁用。
问题:
"Error:
设备上显示“Error:
Savedtherunningconfigurationtostartupsuccessfully%Manifestfilenotfoundinthebundle”
ACS设备上显示Error:
Savedtherunningconfigurationtostartupsuccessfully%Manifestfilenotfoundinthebundle错误。
解决方案
要升级ACS设备而不出现任何问题,请完成以下步骤:
1.从以下位置下载修补程序9(5-0-0-21-9.tar.gpg)和ADE-OS(ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg):
C>support>downloadsoftware>Security>CiscoSecureAccessControlSystem5.0>SecureAccessControlSystemSoftware>5.0.0.21
2.在安装了这两个文件之后,安装ACS5.1升级ACS_5.1.0.44.tar.gz(可从相同路径获得)。
3.使用以下命令可安装升级:
4.applicationupgrade
这就完成了升级过程。
有关如何升级ACS设备的详细信息,请参阅将ACS服务器从版本5.0升级到5.1。
问题:
无法重置ACS设备到出厂默认设置
如果无法重置ACS设备到工厂默认设置,此部分选派该做什么。
解决方案
acs重置设置命令包括选项重置,当发出,重置所有ACS配置信息的配置,但是保留设备设置例如网络配置。
如果希望它查找就象出厂默认设置,您需要再镜像设备。
问题:
无法重新启动从GUI的ACS服务器5.x
此部分说明您为什么无法重新启动从GUI的ACS服务器版本5.x。
解决方案
没有重新启动从GUI的ACS5.x服务器的选项联机。
ACS可能从CLI只重新启动。
问题:
与ACS的失败的TACACS+认证与NDG问题
此部分说明认证为什么失效与TACACS+,当网络设备组(NDG)时配置。
解决方案
同一个AAA客户端被映射对二不同NDGs,一作为RADIUS客户端和其他作为TACACS客户端,并且NDG成水平外部数据库认证为与RADIUS客户端的NDG启用。
TACACS+用户在ACS内部数据库配置。
当TACACS+认证请求来时,ACS在NDG查找,同一个客户端配置作为RADIUS。
为了避免此问题,请从RADIUSNDG删除外部数据库认证复选框。
问题:
不可操作Windows的外部数据库
此部分说明若干用户认证为什么失效与外部数据库不可操作的错误。
解决方案
这是可能的原因和他们的解决方案列表:
∙远程代理(RA)版本模子没有匹配ACS版本。
安装RA正确版本。
∙远程代理服务被终止。
重新启动RA服务。
∙升级ACS对最新的可用的版本。
问题:
无效外部DB的用户或错误密码
此部分说明您为什么收到无效外部DB的用户或认证的错误密码错误在ACS。
解决方案
查看这些故障排除提示为了解决此问题:
∙如果其中任一更改相关对AD会员或系统名称在ACS服务器做,请确保重新启动它为了更改能生效。
∙检查ACS和域服务器之间的连通性。
∙在域服务器的安全策略必须允许ACS查询在活动目录的用户名。
∙确保有存在ACS和域服务器之间的一双向信任。
∙确保ACS在有本地和DomainAdmin权限的服务器安装。
∙确保用户名和密码正确。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ACS 故障 排除