ACS故障排除.docx

1、ACS 故障排除前言 本文档描述如何对 ACS 进行故障排除并解决错误消息所报告的问题。前提条件 需求 本文档没有任何特定的要求。使用的组件 本文档中的信息根据 Cisco 安全接入控制服务器(ACS)版本 3.3 以上。本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始（默认）配置。 如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。惯例 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。问题： CiscoSecure 安装所需的资源被锁定 当升级 ACS 服务器时，可能会遇到此问题。解决方案 如果您具有大量旧日志文件，

2、则需要清除“Local Logging Configuration”日志。修改 ACS 的日志记录，保留最后三个文件。 1. 在 ACS GUI 上，选择 System Configuration Service Control。 选中 Manage Directory 复选框，并选择仅保留最后三个文件。 然后，重新启动 ACS 并测试升级。 2. 如果选项 1 不起作用，可尝试手动删除一些日志文件。 在删除文件前，必须始终将文件复制到专用文件夹。 a. 在 Windows 服务器的本地驱动器上（ACS for Windows 安装在这里），选择“Program Files”“Cisco Se

3、cure ACS”文件夹。 b. 删除以下文件夹下的所有日志： * Csauth * CSLog * CSDbsync * CSAdmin * CSRadius * CSTacacs * CSMon c. 重新启动 PC 并重新测试升级。问题： 无法删除 AAA 服务器，AAA 服务器为同步合作伙伴 当删除 Network Configuration 下的条目时，可能显示 Cannot Delete AAA Server, AAA Server is a Synchronization Partner 错误消息。解决方案 要解决此问题，请完成以下步骤：1. 选择 Interface Confi

4、guration，并选中“RDBMS Synchronization”复选框 2. 选择 System Configuration “RDBMS Synchronization”并从位于“Synchronization Partner”上的 AAA 组中移除无法删除的 AAA 服务器3. 现在，即可删除 AAA 服务器组。问题： 127.0.0.1 为保留地址 您拥有两个 ACS SE 1113 单元并想要将内部数据库从主单元复制到辅助单元，但您注意到辅助单元上显示以下错误消息：Inbound database replication from ACS denied - shared secr

5、et mismatch当尝试在“Network Configuration”下修改 AAA 服务器自身的密钥时，返回错误消息。解决方案 要解决 127.0.0.1 自身的问题，可在新安装的 ACS for Windows 4.2 上备份并还原 .DMP 文件，并使用所需 IP 地址修改 127.0.0.1 条目。注意： Cisco Bug ID CSCso36620 (仅限注册用户) 阐明，切换 NIC 命令更改 AAA 服务器 IP 地址对在GUI 的 127.0.0.1。 为了恢复在设备的原始 IP 地址，请发出 set ip 命令。问题： 连结交换机的认证失败 连结 5010 认证不与

6、TACACS+一起使用。 此错误消息能也出现： Message-Type : Authen failedAuthen-Failure-Code : Key Mismatch解决方案 共享秘密定义在 NDG 下单个优先于已配置设备。 查看共享机密配置在 NDG 世纪产品 FSW 下，并且确保它匹配与在连结交换机配置的那个。 问题： ACS 1113 SE - 无法分配静态 IP 地址 当无法在 ACS 1113 SE 上配置静态 IP 地址时，会发生此问题。 解决方案 要解决此问题，请安装 applACS-4.1-set-ip-CSCsm73656-Patch.zip 修补程序，该修补程序可从

7、Cisco 下载（仅限注册用户）页面下载。 该修补程序适合所有 ACS SE 4.1 版本。问题： 主服务器未设置 Prempt 当 ACS 主服务器断开时，您使用辅助服务器对用户进行身份验证。 当主服务器再次启用时，即使主服务器再次运行，也将使用辅助服务器对您的用户进行身份验证。 解决方案 默认情况下，ASA 在耗尽模式下工作。 将其更改为定时模式，以便在 ACS 主服务器处于活动状态时，可将身份验证返回主服务器。 可使用以下配置： host(config)# aaa-server protocol radiushost(config)# reactivation mode timedhos

8、t(config)# aaa-server acsgroup deadtime 0可选： 指定禁用组中的最后一个服务器与重新启用所有服务器之间所经过的时间（0 至 1440）（以分钟为单位）。 默认值为十分钟。 问题： 无法设置新的 NIC 配置 在 ACS 1113 SE 上配置静态 IP 地址时，会发生此问题。 解决方案 要解决此问题，请尝试重新映像软件。问题： ACS 文件夹被另一个应用程序锁定 ACS 软件升级（如，从版本 3.3 升级到 4.0）期间显示 ACS Folder is Locked by Another Application 错误消息请使用以下解决方案解决该问题。解决

9、方案 1 请完成以下步骤：1. 在 ACS 窗口中，选中 System Configuration Service Control Check the Manage Directory 复选框。2. 在“Keep only the last _ files”框中输入值，如 3。3. 重新启动 。 升级可能工作正常。解决方案 2 如果解决方案 1 未解决该问题，请完成以下步骤：1. 备份当前的 ACS 数据库。 有关如何执行 ACS 数据库备份的详细信息，请参阅 Cisco Secure ACS for Windows Server 用户指南的 Cisco Secure ACS 备份 部分。2.

10、 运行 clean.exe 文件，以卸载 ACS 3.3（或您的现有版本）。 此文件位于 CD 上的“ACS Utlities/support/clean”下。3. 从 CD 上重新安装 ACS 3.3。4. 从步骤 1 中保存的文件恢复数据库。 有关如何恢复 ACS 数据库的详细信息，请参阅 Cisco Secure ACS for Windows Server 用户指南的 Cisco Secure ACS 系统恢复 部分。5. 将 ACS 升级到版本 4.0。有关升级过程的详细信息，请参阅 Cisco Secure ACS for Windows Server 版本 4.0 安装指南。问题

11、： 事件错误 启动期间，ACS SE 收到 At least one service or driver failed during startup. use event viewer to examine the event log for details 错误消息。解决方案 ACS SE 上的此错误不影响任何 ACS 功能。 它是 Microsoft Windows 错误。 出现此错误的原因是，设备上的显示器、鼠标和键盘无法使用且默认情况下被禁用。ACS 设备是一种坚固耐用的固化系统，在设计时考虑了安全性。 该设备使用窗口强化映像，已停止所有冗余 服务和连接。 这样可以阻止所有病毒、蠕虫和

12、 DDOS 攻击者的侵袭。 因此，无法通过 VNC、DOS 提示符或任何其他方式访问窗口配置。 鼠标、键盘和显示器等服务均已关闭。极少数情况下，该错误表示设备映像上的某些组件损坏。 大多数情况下，重新映像设备可修复此问题。 也可尝试重新映像 ACS。问题： NAS 发出的错误请求 显示以下错误消息：Bad request from NASORAuthen-Failure-Code=Invalid message authenticator in EAP request 解决方案 通常，显示此错误消息是由于共享密钥不匹配，或类似于 NDG defined with a key overridin

13、g the AAA client key 的情况。问题： 无法在 ACS 1113 上安装 ACS 版本 3.3.3 无法在 ACS SE 1113 上安装版本 4.0 之前的映像。解决方案 只有 ACS 4.0 及更高版本才可在 ACS SE 1113 上运行。 有关如何升级 ACS SE 的详细信息，请参阅升级和迁移到 Cisco Secure ACS 解决方案引擎。问题： 理由： 目前正在其他位置编辑 在打开 ACS 页时，可能会收到以下错误： 理由： is currently being edited elsewhere. 解决方案 重新启动 ACS 服务可解决此问题。问题： 将不启动

14、远程代理服务 用户无法运行远程代理服务。 解决方案 用户必须是本地管理员用户才能启动该服务。 问题：“Error: “Error: Auth type not supported by External DB” 用户身份验证期间显示 Auth type not supported by External DB 错误。解决方案 此错误出现，因为 CHAP 认证协议不是支持的在微软视窗数据库激活目录(AD)，当您使用 ACS 版本 3.3时。 要解决此问题，请使用 PAP 而不是 CHAP。 有关 ACS 版本 3.3 的协议-数据库兼容性的详细信息，请参阅 身份验证协议-数据库兼容性 。问题：

15、无法对 ACS 启用 ping 无法对 ACS SE 执行 ping 操作。解决方案 在 System Configuration Appliance Configuration 中关闭 CSA 代理，以在 4.2 之前的 ACS SE 版本上启用 ping 响应。 对于 ACS 版本 4.2 及更高版本，请下载并安装 上提供的修补程序。 有关详细信息，请参阅 打开和关闭 Ping。问题： 即使在 ACS 升级完成后仍显示“Appliance upgrade in progress”消息。 即使在 ACS 升级完成后仍显示 Appliance upgrade in progress 消息。解

16、决方案 ACS 在升级后受到攻击，无法启动或停止任何服务。要解决此问题，请完成以下步骤：1. 使用其他管理员帐户登录到 ACS 设备。2. 在“System Configuration”选项卡下显示的“Appliance Upgrade”上，按 Refresh 或“Download”按钮。有关详细信息，请参阅 Cisco Bug ID CSCsg89042（仅限注册用户）。 如果无法使用 GUI，请尝试重新启动 ACS 设备以解决该问题。问题： 复制后口令重置 复制后，新口令重置为旧口令。解决方案 出现此问题的原因是，用户未向主 ACS 进行身份验证。 因为复制不是双向的，因此进行复制后，主

17、ACS 会将其策略推送至辅助 ACS。 这会导致口令重置为旧口令。 要解决此问题，请向主 ACS 验证用户的身份（若可能）。问题： ACS 上出现 DST 问题 在 ACS 上看到 DST 问题。解决方案 为了解决与 ACS 的夏时制(DST) 问题，请下载并且安装这些补丁程序：1. applAcs-4.1.4.13.7-CSUpdate.zip 2. applAcs-4.1.4.13.7.zip 注意： 首先应用 csupdate 修补程序。 然后安装累积修补程序。问题：“Error: “Error: Failed to get NIC configuration: (null) (FFFF

18、FFFF)” ACS 设备上显示 Error: “Error: Failed to get NIC configuration: (null) (FFFFFFFF) 错误。解决方案 如果 ACS 设备上使用的 ACS 映像的版本不正确，通常会显示此错误。 这更多地是兼容性问题。 重新映像 ACS 设备可解决此问题。有关如何重新映像 ACS 设备的详细信息，请参阅重新映像设备硬盘。问题： 升级期间，ACS 设备上显示“% Application upgrade failed, Error - -999. Please check ADE logs for details, or re-run w

19、ith - debug application install - enabled” 尝试将 ACS Express 从版本 5.0 升级到 5.0.1 时，出现 % Application upgrade failed, Error - -999. Please check ADE logs for details, or re-run with - debug application install - enabled 错误。解决方案 由于 ACS Express 不能处理大于 32MB 的文件，因此当使用的存储库为 TFTP 且文件大小大于 32MB 时，会出现此错误。 即使文件大小大于

20、 32MB，使用 FTP 作为存储库也可解决此问题。问题： 无法在 ACS 设备上禁用 SSHv1，仅启用 SSHv2 无法在 ACS 设备上禁用 SSHv1，仅保留 SSHv2 启用。解决方案 目前，不可能禁用 SSHv1 并仅启用 SSHv2。 SSHv1 和 SSHv2 一起启用，无法单独禁用。 问题： “Error: 设备上显示 “Error: Saved the running configuration to startup successfully % Manifest file not found in the bundle” ACS 设备上显示 Error: Saved th

21、e running configuration to startup successfully % Manifest file not found in the bundle 错误。解决方案 要升级 ACS 设备而不出现任何问题，请完成以下步骤：1. 从以下位置下载修补程序 9 (5-0-0-21-9.tar.gpg) 和 ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg)：C support download software Security Cisco Secure Access Control System 5.0 Secure Acces

22、s Control System Software 5.0.0.21 2. 在安装了这两个文件之后，安装 ACS 5.1 升级 ACS_5.1.0.44.tar.gz（可从相同路径获得）。 3. 使用以下命令可安装升级： 4. application upgrade remote-repository-name这就完成了升级过程。 有关如何升级 ACS 设备的详细信息，请参阅 将 ACS 服务器从版本 5.0 升级到 5.1。问题： 无法重置 ACS 设备到出厂默认设置 如果无法重置 ACS 设备到工厂默认设置，此部分选派该做什么。 解决方案 acs 重置设置命令包括选项重置，当发出，重置所有

23、 ACS 配置信息的配置，但是保留设备设置例如网络配置。 如果希望它查找就象出厂默认设置，您需要再镜像设备。问题： 无法重新启动从 GUI 的 ACS 服务器 5.x 此部分说明您为什么无法重新启动从 GUI 的 ACS 服务器版本 5.x。解决方案 没有重新启动从 GUI 的 ACS 5.x 服务器的选项联机。 ACS 可能从 CLI 只重新启动。问题： 与 ACS 的失败的 TACACS+认证与 NDG 问题 此部分说明认证为什么失效与 TACACS+，当网络设备组(NDG)时配置。解决方案 同一个 AAA 客户端被映射对二不同 NDGs，一作为 RADIUS 客户端和其他作为 TACAC

24、S 客户端，并且NDG 成水平外部数据库认证为与 RADIUS 客户端的 NDG 启用。 TACACS+用户在 ACS 内部数据库配置。 当 TACACS+认证请求来时， ACS 在 NDG 查找，同一个客户端配置作为 RADIUS。 为了避免此问题，请从 RADIUS NDG 删除外部数据库认证复选框。问题： 不可操作 Windows 的外部数据库 此部分说明若干用户认证为什么失效与外部数据库不可操作的错误。解决方案 这是可能的原因和他们的解决方案列表： 远程代理(RA)版本模子没有匹配 ACS 版本。 安装 RA 正确版本。 远程代理服务被终止。 重新启动 RA 服务。 升级 ACS 对最新的可用的版本。问题： 无效外部 DB 的用户或错误密码 此部分说明您为什么收到无效外部 DB 的用户或认证的错误密码错误在 ACS。解决方案 查看这些故障排除提示为了解决此问题： 如果其中任一更改相关对 AD 会员或系统名称在 ACS 服务器做，请确保重新启动它为了更改能生效。 检查 ACS 和域服务器之间的连通性。 在域服务器的安全策略必须允许 ACS 查询在活动目录的用户名。 确保有存在 ACS 和域服务器之间的一双向信任。 确保 ACS 在有本地和 DomainAdmin 权限的服务器安装。 确保用户名和密码正确。