收藏 分享(赏)
下载资源 加入VIP,免费下载

安全访问控制控制系统acsx和以后排除故障.pdf

上传人:kuailexingkong 文档编号:1607143 上传时间:2018-08-10 格式:PDF 页数:21 大小:370.76KB
下载 相关 举报
安全访问控制控制系统acsx和以后排除故障.pdf_第1页
第1页 / 共21页
安全访问控制控制系统acsx和以后排除故障.pdf_第2页
第2页 / 共21页
安全访问控制控制系统acsx和以后排除故障.pdf_第3页
第3页 / 共21页
安全访问控制控制系统acsx和以后排除故障.pdf_第4页
第4页 / 共21页
安全访问控制控制系统acsx和以后排除故障.pdf_第5页
第5页 / 共21页
点击查看更多>>
资源描述

1、安全访问控制控制系统(ACS 5.x和以后)排除故障 目录简介先决条件要求使用的组件规则问题:“Error:设备上显示“Error: Saved the running configuration to startup successfully % Manifestfile not found in the bundle”解决方案问题:无法重新启动从GUI的ACS服务器5.x解决方案问题:问题安装与ACS 5.2的活动目录验证解决方案问题:不能查看超过在核算报告的100个页解决方案问题:无法生成通行证/失败设备的一组的验证报告解决方案问题:监听和报告数据库是目前不可用的。尝试在5秒重新连接。解

2、决方案问题:22056在可适用的标识存储没找到的主题解决方案问题:无法集成与活动目录的ACS解决方案问题:无法集成与LDAP的ACS解决方案问题:“csco acs_internal_operations_diagnostics错误:不能写到局部存储器文件”错误消息解决方案问题:无法集成与活动目录的ACS 5.1解决方案问题:无法配置ACS 5.x认可在服务选择规则的常规表达解决方案问题:SFTP备份不工作,当曾经思科沃克斯作为SFTP服务器解决方案问题:“丢弃的无效EAP有效负载”解决方案问题:“ACS运行时进程在此实例不运行此时”。解决方案问题:无法导出用户用密码解决方案问题:ACS内部用

3、户间歇地禁用解决方案问题:“以错误结束的TACACS+认证请求”解决方案问题:“RADIUS验证请求已拒绝由于关键记录的错误”解决方案问题:当ACS升级从5.2到5.3时, ACS视图接口显示“数据升级失败”在页顶部解决方案问题:问题用“在下登录acs的更改密码”在Cisco ACS 5.0解决方案问题:升级期间,ACS 设备上显示“% Application upgrade failed, Error - -999.Please check ADElogs for details, or re-run with - debug application install - enabled”解决

4、方案问题:错误“验证失败:12308个客户端指示失败的发送的结果TLV”解决方案问题:错误“24495激活目录服务器不是可用的”解决方案问题:错误“5411 EAP会话被计时”解决方案问题:如果登录限制在活动目录,配置802.1x验证不工作解决方案问题:Error:当ACS与ChangeUserPassword角色的5.x admin更改密码时, “您没有授权查看请求的页”解决方案问题:收到在ACS 5.x的错误失败的认证“24495激活目录服务器的请勿是可用的”。解决方案问题:使用BMC,无法连接到ACS设备解决方案问题:警告报警“删除20000会话”有原因的“激活的会话在限制”,出现在监视

5、器和报告常规控制板。解决方案问题:ACS 5.x错误“11013 RADIUS信息包已经在进程”解决方案问题:用错误“11012 RADIUS信息包失败的RADIUS验证包含无效报头”解决方案问题:与错误“11007的RADIUS/TACACS+验证失败不能找出网络设备或AAA客户端”解决方案问题:RADIUS验证失败与错误“11050 RADIUS请求丢弃的由于系统超载”。解决方案问题:RADIUS验证失败与错误“11309不正确RADIUS MS-CHAP v2属性”。解决方案问题:ACS报告内存使用90%。报警解决方案问题:错误:com.cisco.nm.ac s.mgmt.msgbus

6、.FatalBusException :失败连接节点解决方案问题:错误:com.cisco.nm.ac s.mgmt.msgbus.FatalBusException :失败连接节点解决方案问题:请求的dACL没找到错误11026解决方案问题:错误11025请求的dACL的Access-Request未命中与值aaa的一个cisco-av-pair属性:event=acl-download。请求拒绝解决方案问题:请求的dACL没找到错误11023。这是一未知dACL名称解决方案问题:与错误10001内部错误的管理员验证失败。不正确的配置版本解决方案问题:与错误10002内部错误的管理员验证失败

7、:疏忽装载适合的服务解决方案问题:与错误10003内部错误的管理员验证失败:管理员验证接收的空白的管理员名称解决方案问题:失败原因:24428连接相关错误在LRPC、LDAP或者KERBEROS出现解决方案问题:TACACS+认证代理验证在运行IOS 15.x的路由器不工作从ACS 5.x服务器解决方案问题:收到错误消息请存储失败(ACSxxx, TacacsAccounting)从ACS 5.x解决方案问题:用户认证失败与错误“11036消息验证器RADIUS属性无效”。解决方案问题:RADIUS认为失败与通过不支持的端口接收的错误“11037丢弃的核算请求”。解决方案问题:RADIUS认为

8、失败与错误“11038 RADIUS记帐请求报头包含无效验证器字段”。Error:“24493 ACS有通信与活动目录的问题使用其计算机凭证”。解决方案问题:“当创建与特殊字符时的Shell配置文件名称请喜欢“”, ACS可以失败”。解决方案问题:收到“在线路2的解析错误:不合格(无效标记)”,当运行“show run”在ACS 5.x CLI时。解决方案问题:ACS 5.x /opt分成非常迅速得填满解决方案问题:查询希望的域解决方案问题:帕伦特和子域同时解决方案问题:对远程数据库的记录日志解决方案问题:VMWare支持解决方案问题:磁盘空间需求解决方案问题:“24401不能建立连接用ACS

9、活动目录代理程序”。解决方案问题:“运行时”进程显示“执行失败的”状态解决方案问题:失败的ACS验证,当UCS强制再验证解决方案问题:“24444活动目录操作失败由于在ACS的一个未指定的错误”解决方案问题:无法验证ACS 5.1用户用AD 2008 R2服务器解决方案Error:22056在可适用的标识存储没找到的主题。解决方案问题:ipt_connlimit :哟:无效ct状态?解决方案问题:ACs 5.x/ISE看不到radius在一个RADIUS请求的呼叫站点id属性从Cisco IOS软件版本15.xNAS解决方案问题:用户帐户获得锁定在错误的凭证一审,即使配置为3尝试解决方案问题:

10、保存从ACS的备份的Unbale解决方案相关信息简介本文提供信息关于怎样排除故障思科安全访问控制系统(ACS)和如何解决错误消息。关于如何排除故障Cisco Secure ACS的信息3.x和4.x,参考安全访问控制服务器(ACS 3.x和4.x)排除故障。先决条件要求本文档没有任何特定的要求。使用的组件本文档中的信息根据思科安全访问控制系统版本5.x和以上。本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。规则有关文档规则的详细信息,请参阅 Cisco 技术提示规则。问题:“Err

11、or:设备上显示“Error: Saved the running configurationto startup successfully % Manifest file not found in the bundle”错误::当尝试做出升级从5.0的ACS Express到5.0.1时,错误没%出现。解决方案要升级 ACS 设备而不出现任何问题,请完成以下步骤:从以下位置下载修补程序 9 (5-0-0-21-9.tar.gpg) 和 ADE-OS(ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg):C support download software Sec

12、urity Cisco Secure Access Control System 5.0 Secure Access Control SystemSoftware 5.0.0.211.在您安装两个文件后,请安装ACS 5.1升级ACS_5.1.0.44.tar.gz。这从从上一步的同一个路径是可得到。2.使用以下命令可安装升级:application upgrade remote-repository-name3.这就完成了升级过程。有关如何升级 ACS 设备的详细信息,请参阅将 ACS 服务器从版本 5.0 升级到 5.1。问题:无法重新启动从GUI的ACS服务器5.x此部分说明您为什么不能

13、重新启动从GUI的ACS服务器版本5.x。解决方案没有重新启动从GUI的ACS 5.x服务器的选项联机。ACS可能从CLI只重新启动。问题:问题安装与ACS 5.2的活动目录验证当设置一新的5.2 ACS服务的时激活目录(AD)验证,此错误消息接收:RPC Error:-verbose“adinfo-diag”解决方案ACS需要写入许可为了验证与AD。为了解决此问题,请提供临时写入许可给服务帐户。问题:不能查看超过在核算报告的100个页当尝试生成与ACS版本5.1时的一自定义Aaa accounting报告,您不能查看超过100个页。这不报道几更旧的报告。如何更改此设置发现所有页?解决方案默认

14、情况下,因为显示的页的最大只是100您不能更改页数量在ACS的。为了解决此限制和查看更旧的统计信息,您需要更改过滤选项,以便更多特定匹配可以被做。例如,如果为最后三十天设法生成报告,它包含大容量,并且最后100个页也许显示活动仅最后小时。这里,使用过滤选项建议。采取过滤选项作为用户ID和指定time-range将产生更旧的报告。问题:无法生成通行证/失败设备的一组的验证报告此问题出现,当尝试生成验证仅报告六路由器/交换机的一组的,不所有设备的。使用ACS版本4.x。解决方案这对ACS 4.x不是可能的。因为此功能是可用的与该版本,您需要移植到ACS 5.x。您能通过生成目录报告解压缩设备的特定

15、组的报告。参考一更加好了解的此镜像:问题:监听和报告数据库是目前不可用的。尝试在5秒重新连接。当您点击启动监听并且报告从ACS 5.x时的查看器,此错误消息接收:5ACS解决方案执行这些应急方案之一为了解决此问题:通过发出这些命令重新启动从CLI的ACS服务:application stop acsapplication start acsa71对最新的可用的补丁程序的升级。参考应用升级补丁程序关于此的更多信息。a71问题:22056在可适用的标识存储没找到的主题AD用户不得到验证与ACS版本5.x并且收到此错误消息:22056解决方案此错误消息出现,当ACS失败找到在标识存储顺序配置的第一个

16、列出的数据库的用户。这是供参考消息,并且不影响ACS的性能。方式ACS 5.x执行内部的验证或外部用户跟上一个4.x版本不同。使用5.x版本,有呼叫定义将验证的用户数据库顺序的Identity Store顺序的选项。欲知更多信息,参考配置标识存储顺序。如果收到此错误,当您使用ACS利用子域时验证请求,则您必须添加UPN后缀或NETBIOS前缀到用户名。欲知更多信息,参考在Microsoft AD部分的笔记。问题:无法集成与活动目录的ACS用户不能集成与活动目录的ACS,并且错误消息接收。解决方案为了解决此问题,请确保这些端口是开放的支持活动目录功能:桑巴波尔特- TCP 445a71LDAP

17、- TCP 389a71LDAP - UDP 389a71KDC - TCP 88a71kpasswd - TCP 464a71NTP- UDP 123a71全局目录- TCP - 3268a71DNS - UDP 53a71ACS需要到达在域的所有DC为了ACS-AD集成完成。即使其中一DC从ACS不是可及的,集成不发生。参考Cisco Bug ID CSCte92062 (仅限注册用户)欲知更多信息。问题:无法集成与LDAP的ACS在本文中, ACS 5.2使用作为AAA RADIUS服务器802.1X实施。使用内部用户存储, 802.1X可以顺利地与ACS一起使用,但是有集成ACS和LD

18、AP的问题。将显示以下错误消息:Radius authentication failed for USER: example MAC:UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2)EAP session timed out : 5411 EAP session timed out解决方案在这种情况下, LDAP与PEAP一起使用,并且使用的内部认证方法是EAP MSCHAP v2。这将发生故障,因为LDAP不为PEAP (EAP MSCHAP v2)支持。推荐使用EAP tls或AD。问题:“csco acs_internal_operations

19、_diagnostics错误:不能写到局部存储器文件”错误消息在ACS的复制时,主要的ACS不适当地复制并且显示此错误消息:csco acs_internal_operations_diagnostics error: couldnot write to local storage file解决方案重新启动ACS服务并且确保关键记录日志禁用。欲知更多信息,参考Cisco Bug ID CSCth66302 (仅限注册用户)。如果这不帮助,与Cisco TAC联系为了获得最新的ACS补丁程序适当解决此问题。问题:无法集成与活动目录的ACS 5.1当尝试实现AD集成时,此错误消息接收:Error

20、while configuring Active Directory:Using writabledomain controller:test1.test.pvt Authentication error due unexpectconfiguration or network error. Please try the -verbose option or run adinfo-diag to diagnose the problem. Join to domain test.pvt, zone nullfailed.解决方案完成此应急方案为了解决此问题:删除在AD的现有计算机帐户。1.创建

21、新的OU。2.去OU的属性并且不选定继承权限。3.创建ACS的一个新的计算机帐户在新的OU。4.允许AD复制。5.设法加入从ACS GUI的AD。6.有时,如果与Microsoft联系并且应用热修正,也是有用 。问题:无法配置ACS 5.x认可在服务选择规则的常规表达解决方案因为ACS 5.x,不支持这不是可能的。问题:SFTP备份不工作,当曾经思科沃克斯作为SFTP服务器当网络资源在CiscoWorks服务器时,备份调度器良好工作与其他SFTP不是客户端,但是ACS5.2。特别地,当尝试连接到SFTP从ACS时的服务器,错误消息接收。解决方案在这种情况下, SFTP服务器不是FIP兼容设备使

22、用DH 14组。ACS有DH 14支持的仅支持服务器,因为它是兼容的FIP。关于此问题的更多信息,参考在ACS 5.2的已知限制。问题:“丢弃的无效EAP有效负载”错误::EAP错误消息接收,当验证ACS 5.0补丁程序的7.时无线用户。解决方案这是观察行为和寻址在Cisco Bug ID CSCsz54975 (仅限注册用户)和CSCsy46036 (仅限注册用户)。为了解决此问题,升级对ACS 5.0补丁程序9,作为升级一部分到5.1或5.2,要求。参考升级数据库关于完整详细信息。这也包括关于如何的信息升级修补9。问题:“ACS运行时进程在此实例不运行此时”。用户不能登录到ACS GUI,

23、并且此错误消息接收:“ACSACS()”解决方案手工重新启动从CLI的运行时进程和重新启动设备解决此问题。这是一个较小问题,并且不创建ACS的任何性能问题。有被归档的两个较小Bug观察此行为。欲知更多信息,参考Cisco Bug IDCSCtb99448 (仅限注册用户)和CSCtc75323 (仅限注册用户)。为了手工重新启动运行时间进程,请发出从ACS CLI的这些命令:acs终止运行时间a71acs启动运行时间a71问题:无法导出用户用密码您能导出和导入用户数据库到与CSV文件的另一ACS 5.x,但是不包括User Password字段(看上去空白)。如何移动本地用户的从一ACS的标识

24、存储到包括密码信息的另一个?解决方案这不是可能,虽然这将变得安全突破口。在这种情况下,一应急方案是执行备份和恢复程序。然而,对此应急方案的限制是备份和恢复为与一相似的配置的另一ACS只运作。问题:ACS内部用户间歇地禁用ACS用户间歇地禁用与消息。密码到期策略设置60天,但是这些用户必须手工启用为了他们能获得访问。解决方案此行为在Cisco Bug ID CSCtf06311 (仅限注册用户)被观察并且被归档。此问题可以通过应用补丁程序3到ACS解决5.1。为了查看所有解决的问题在补丁程序3下,在渐增补丁程序ACS 5.1.0.44.3的参考的解决的问题。关于如何的相关信息升级补丁程序,参考应

25、用升级补丁程序。问题:“以错误结束的TACACS+认证请求”ACS验证报告显示错误消息TACACS+。解决方案当TACACS认证有服务类型设置为PPP,这发生。参考Cisco Bug ID CSCte16911 (仅限注册用户)欲知更多信息。问题:“RADIUS验证请求拒绝由于关键记录的错误”RADIUS验证拒绝与RADIUS错误消息。解决方案此错误在Cisco Bug ID CSCth66302 (仅限注册用户)被选派。问题:当ACS升级从5.2到5.3时, ACS视图接口显示“数据升级失败”在页顶部当ACS升级从5.2到5.3时, ACS视图接口显示在页顶部。解决方案此错误在Cisco B

26、ug ID CSCtu15651 (仅限注册用户)被选派。问题:问题用“在下登录acs的更改密码”在Cisco ACS 5.0解决方案在ACS 5.0,密码到期功能(用户必须更改在下登录的密码)在本地用户ID存储可选择的,但是不工作。增强请求CSCtc31598调整在ACS版本5.1的问题。问题:升级期间,ACS 设备上显示“% Application upgrade failed,Error - -999.Please check ADE logs for details, or re-run with -debug application install - enabled”尝试将 ACS

27、 Express 从版本 5.0 升级到 5.0.1 时,出现 % Application upgrade failed, Error - -999.ADE- Enabled出现,当尝试做出升级从5.0的一ACS Express到5.0.1时。解决方案此错误出现,当使用的信息库是TFTP,并且文件大小比32MB极大。ACS Express比32MB不能处理文件极大。即使文件大小大于 32MB,使用 FTP 作为存储库也可解决此问题。问题:错误“验证失败:12308个客户端指示失败的发送的结果TLV”当您设法第一次时,验证12308错误的TLV在ACS发生。验证第二次良好工作。解决方案当您禁用法

28、塞特重新连接时,此错误可以是解决的。修补2的升级ACS版本5.2帮助解决问题,不用快速重新连接禁用。当您在请求方时,禁用牵强cryptobinding此错误可以也是解决的。参考Cisco Bug ID CSCtj31281(仅限注册用户)欲知更多信息。问题:错误“24495激活目录服务器不是可用的”验证开始与此错误的失败:24495在ACS 5.3日志。解决方案通过ACS检查ACSADAgent.log文件5.x的CLI消息例如:11 00:06:06 xlpacs01 adclient30401 INFObase.bind.healing在disconnectedmode的运行含义ACS 5

29、.3不能维护与活动目录的一稳定的连接。应急方案是到交换机对LDAP或降级ACS对5.2版本。参考Cisco Bug IDCSCtx71254 (registeredcustomersonly)欲知更多信息。问题:错误“5411 EAP会话被计时”5411 EAP错误消息在ACS 5.x接收。解决方案EAP会话超时是相当普通与请求方重新启动验证的PEAP,在初始数据包出去到,并且,大多时间,不是预示的问题的RADIUS服务器后。编解码器的流是:Supplicant - Authenticator - ACSConnectResponse Identity -normal flow ending

30、in successful authentication.在末端验证是成功的。然而,有线索左开放在ACS由于导致EAP会话超时消息跟随的一成功认证EAP会话的突然的重新启动从请求方的。许多次这归结于驱动程序级计算机。确保NIC/Wireless驱动程序是最新在客户端机器。您在客户端和过滤器能捕获在EAP|EAPOL为了看到什么客户端接收或发送,当连接时。问题:如果登录限制在活动目录,配置802.1x验证不工作如果用户有在活动目录,配置的登录限制802.1x验证不工作。解决方案如果有单个计算机的登录限制设置的活动目录并且尝试802.1x验证。验证发生故障,因为在验证来自ACS活动目录的前景,不是

31、计算机登录限制设置。对于是的验证成功的,登录限制可以设置包括ACS计算机帐户。问题:Error:当ACS与ChangeUserPassword角色的5.x admin更改密码时, “您没有授权查看请求的页”ACS 5.x有ChangeUserPassword角色的GUI管理员用户不能更改在内部数据库存储的AAA用户的密码。在更改密码以后,用户收到此上推错误消息:您无权查看所请求的页面。解决方案当ACS 5.x数据库从ACS 4.x时,被移植这能发生。请使用SuperAdmin权限为了更改用户密码。参考Cisco Bug ID CSCty91045 (仅限注册用户)欲知更多信息。问题:收到在AC

32、S 5.x的错误失败的认证“24495激活目录服务器的请勿是可用的”。解决方案您需要验证与ACS 5.x的激活目录集中。如果它是一个分布式设置,请保证主要的,并且在设置的附属ACS 5.x适当地集成与活动目录。问题:使用BMC,无法连接到ACS设备当BMC客户端(硬件级工具)时用于让ACS 1121个IBM服务器进入,注意到BMC客户端有两个IP地址。解决方案此行为识别并且登陆Cisco Bug ID CSCtj81255 (仅限注册用户)。为了解决此,您需要禁用在ACS1121的BMC DHCP客户端。问题:警告报警“删除20000会话”有原因的“激活的会话在限制”,出现在监视器和报告常规控

33、制板。有限制到会话目录能拿着的记录数。由于过滤请求是大量的在客户的设置,限制被到达的快速。在达到限制以后,故意, ACS视图删除一定数量的记录(例如, 20k)从会话目录并且发送警报。您能增加此限制,但是不帮助除了延长警报。解决方案为了解决此,请执行以下:被建议禁用登陆命令查看数据库。去Cisco Secure ACS记录类别的System Administration Configuration日志Configuration 全局 “通过认证” 远程系统日志目标并且从选定目标删除LogCollector。去Cisco Secure ACS记录类别的System Administration

34、Configuration日志Configuration 全局 “失败的尝试” 远程系统日志目标并且从选定目标删除LogCollector。去Cisco Secure ACS记录类别的System Administration Configuration日志Configuration全局 Edit :“认为的RADIUS” 远程系统日志目标和删除从选定目标的LogCollector。a71因为这些不是实时认证请求,您能忽略过滤认证请求。执行以下:去Cisco Secure ACS 监听Configuration System Configuration添加过滤器并且创建过滤器。因为过滤请求了解

35、用虚用户用户名,传送创建根据 用户名的 过滤器是更加适当的。如果创建在ACS的一个分开的访问策略处理这些过滤请求,则过滤器可以根据 访问服务 创建。a71问题:ACS 5.x错误“11013 RADIUS信息包已经在进程”在ACS 5.3部署,用户失败dot1x验证。使用的数据库是活动目录。RADIUS故障代码显示此处:RADIUS11013 RADIUS解决方案ACS忽略此请求,因为它是当前处理另一数据包的重复项。这能发生由于其中每一个:平均的RADIUS请求延迟统计信息是接近或超出客户端的RADIUS请求超时。a71外部标识存储可以非常慢。a71超载了ACS。a71执行这些步骤为了解决:增

36、加客户端的RADIUS请求超时。1.请使用更加快速或另外的外部标识存储。2.跟随方式减少在ACS的超载。3.问题:用错误“11012 RADIUS信息包失败的RADIUS验证包含无效报头”解决方案流入RADIUS信息包的报头没有正确地解析。为了解决此,请验证以下:检查网络设备或AAA客户端硬件故障。a71检查连接设备对硬件故障的ACS的网络。a71证实网络设备或AAA客户端是否有任何已知RADIUS兼容性问题。a71问题:与错误“11007的RADIUS/TACACS+验证失败不能找出网络设备或AAA客户端”当ASA传送radius访问请求信息时,此错误消息在ACS接收:11007AAA解决方

37、案这发生,因为有ACS客户端的IP和实际上发送请求的接口IP之间的一不匹配。有时防火墙进行地址转换给此AAA客户端。如果AAA客户端适当地配置与在此路径的正确转换后的IP地址请验证:网络资源网络设备和AAA客户端问题:RADIUS验证失败与错误“11050 RADIUS请求丢弃了由于系统超载”。用户不能访问网络由于认证失败。从ACS的此错误消息接收:11050 RADIUS解决方案Cisco ACS下降这些认证请求由于超载。这可以由许多并行auhentication请求的复制造成。为了避免此,请执行其中每一个:修改网络Device/AAA客户端设置,以便它使用传统TACACS+单个连接支持选项

38、。使用此,客户端将重新使用所有请求的同一会话而不是创建许多会话。a71避免用户调用新证书要求若干时刻。a71重新启动ACS服务器。a71问题:RADIUS验证失败与错误“11309不正确RADIUS MS-CHAPv2属性”。解决方案此错误生成由于无效长度或不正确的值从其中一个MSCHAP v2属性(MS CHAP挑战、MS CHAP答复、MS-CHAP-CPW-2或者MS CHAP NT Enc PW)在已接收RADIUS访问请求信息包。问题:ACS报告内存使用90%。报警ACS在90%.Alarm的报告内存使用例如以下:Cisco Secure ACS -NotificationSever

39、ity ACS -HealthCause/ACS-thresholdAlarmACSCPU(%)(%)I/O(%)/opt (%)/localdisk (%)/(%) KOM-AAA02 0.41 90.140.02 9.57 5.21 25.51解决方案此问题在ACS 5.2通常被看到。为了调整此问题,重新加载ACS为了释放内存或升级到ACS 5.2补丁程序7或以上。参考的Cisco Bug ID CSCtk52607 (仅限注册用户)欲知更多信息。问题:错误:com.cisco.nm.acs.mgmt.msgbus.FatalBusException :失败连接节点在维护任务以后的一个分布

40、式设置(加入对主要的,强制全双工复制,修补), ACS实例A报告ACS实例B作为脱机在分布式部署屏幕,而B确实联机并且报告实例A如联机。在管理日志,您看到com.cisco.nm.ac s.mgmt.msgbus.FatalBusException 解决方案这能发生,如果复制管理服务的一个上一个实例仍然一定到端口2030,当新的实例出来并且设法绑定到该端口时。从ACS实例B CLI,请运行:sho ACS日志文件ACSManagement。|。您将看到消息例如2030.目前,应急方案是重新启动ACS实例B (报告其他如联机)的那个。参考Cisco Bug IDCSCtx56129 (仅限注册用

41、户)欲知更多信息。问题:错误:com.cisco.nm.acs.mgmt.msgbus.FatalBusException :失败连接节点在维护任务以后的一个分布式设置(加入对主要的,强制全双工复制,修补), ACS实例A报告ACS实例B作为脱机在分布式部署屏幕,而B确实联机并且报告实例A如联机。在管理日志,您看到com.cisco.nm.ac s.mgmt.msgbus.FatalBusException 解决方案升级对ACS 5.2补丁程序6或以上为了调整此问题。参考Cisco Bug ID CSCto47203 (仅限注册用户)欲知更多信息。注意: 一旦“ /opt “使用情况超过30%

42、, viewDB备份将发生故障。当“ /opt “超出30%使用情况时,它要求配置演出的NFS执行备份。问题:请求的dACL没找到错误11026RADIUS验证失效与此错误消息:dACL11026。解决方案因为没找到,请求拒绝可下载的ACLs请求的版本在RADIUS Access-Request的。要求可下载的ACLs在原始Access-Request以后发生长。因此,可下载的ACLs的版本不再是可用的。查找此延迟的原因的要求从RADIUS客户端的可下载的ACLs。问题:错误11025请求的dACL的Access-Request未命中与值aaa的一个cisco-av-pair属性:event=

43、acl-download。请求拒绝RADIUS验证失效与此错误消息:11025dACLAccess-Requestaaacisco-av-pairevent=acl-download。解决方案可下载的ACLs的每Access-Request必须有与值aaa一个cisco-av-pairevent=acl-download。在这种情况下,该属性未命中请求,并且ACS失败请求。证实网络设备或AAA客户端是否有任何已知RADIUS兼容性问题。问题:请求的dACL没找到错误11023。这是一未知dACL名称RADIUS验证失效与此错误消息:dACL11023dACL。解决方案检查ACS配置验证在授权配

44、置文件指定的可下载的ACLs在可下载的ACLs列表存在。这是ACS侧误配置。问题:与错误10001内部错误的管理员验证失败。不正确的配置版本管理员验证失效与此错误:10001。解决方案此错误可以造成由一个损坏的ACS数据库,或者由问题的基础配置数据。请与Cisco TAC (仅限注册用户)联系欲知更多信息。问题:与错误10002内部错误的管理员验证失败:疏忽装载适合的服务管理员验证失效与此错误:10002。解决方案ACS 5.x不能装载AAC配置服务。这可以造成由一个损坏的ACS数据库,或者由问题的基础配置数据。当系统资源被耗尽时,它能也发生。请与Cisco TAC (仅限注册用户)联系欲知更

45、多信息。问题:与错误10003内部错误的管理员验证失败:管理员验证接收的空白的管理员名称管理员验证失效与此错误:10003。解决方案当访问ACS 5.x的GUI时, ACS接收一个空白的用户名。检查用户名的正确性传送对ACS。如果它有效,请与Cisco TAC (仅限注册用户)联系欲知更多信息。问题:失败原因:24428连接相关错误在LRPC、LDAP或者KERBEROS出现此错误消息在ACS接收:24428LRPCRPCLDAPKERBEROS解决方案为了解决此问题,请升级ACS对版本5.2。问题:TACACS+认证代理验证在运行IOS 15.x的路由器不工作从ACS 5.x服务器TACAC

46、S+认证代理验证在运行从ACS 5.x服务器的Cisco IOS软件版本15.x的路由器不工作。解决方案只支持TACACS+验证代理,在ACS 5.3补丁程序5.升级您的ACS 5.x或者验证代理的后使用RADIUS。问题:收到错误消息请存储失败(ACSxxx, TacacsAccounting)从ACS 5.x解决方案当收到从客户端时的一畸形的核算数据包ACS 5.1 TACACS认为的报告未命中一些个属性例如用户名、权限级别和请求类型。有时,这导致“存储失败(ACSxxx, TacacsAccounting)”报警的生成视线内。为了解决此,请验证以下:客户端发送的认为的数据包有一个畸形的T

47、ACACS参数(例如,长度请不匹配和的值AAA客户端发送的任何参数)。a71保证客户端发送有适当的长度和值的一有效核算数据包参数的。a71参考Cisco Bug ID CSCte88357 (仅限注册用户)欲知更多信息。问题:用户认证失败与错误“11036消息验证器RADIUS属性无效”。解决方案验证以下:证实在AAA客户端和ACS服务器的共享秘密是否配比。a71保证AAA客户端和网络设备没有硬件故障或问题RADIUS兼容性。a71保证连接设备对ACS的网络没有硬件故障。a71问题:RADIUS认为失败与通过不支持的端口接收的错误“11037丢弃的核算请求”。解决方案因为通过不支持的UDP端口

48、号,接收认为的请求丢弃了。验证以下:保证计费端口号码配置在AAA客户端和在ACS服务器匹配。a71保证AAA客户端没有硬件故障或问题RADIUS兼容性。a71问题:RADIUS认为失败与错误“11038 RADIUS记帐请求报头包含无效验证器字段”。ACS不能验证RADIUS记帐请求数据包的报头的验证器字段。不能与消息验证器RADIUS属性混淆验证器字段。保证RADIUS共享在为在ACS服务器的选定网络设备配置的AAA客户端匹配配置的塞克雷。并且,请保证AAA客户端没有硬件故障或问题RADIUS兼容性。Error:“24493 ACS有通信与活动目录的问题使用其计算机凭证”。解决方案检查ACS

49、 AD连接,并且保证ACS计算机帐户是存在AD。问题:“当创建与特殊字符时的Shell配置文件名称请喜欢“”,ACS可以失败”。解决方案此行为识别并且登陆Cisco Bug ID CSCts17763 (仅限注册用户)。您需要升级到5.3.40补丁程序1或5.2.26补丁程序7。问题:收到“在线路2的解析错误:不合格(无效标记)”,当运行“show run”在ACS 5.x CLI时。解决方案确保在ACS配置的SNMP团体有有效字符。仅字母数字字符(仅字母和编号)允许用于属性名称。问题:ACS 5.x /opt分成非常迅速得填满解决方案ACS 5.x用尽磁盘空间由于在 /opt分区的没有足够的空间。这发生由于日志数据大量充斥ACS视图的。作为应急方案,您需要经常替换视图数据库。由于ACS视图不能每天应付十亿字节数据,您需要组织日志数据。当您需要所有日志时,请使用一外部系统日志服务器而不是ACS视图。当您需要使用日志数据的仅部分时,请使用 系统管理 Configuration记录类别的日志Configuration 全局 为了发送仅需要的日志到ACS视图LOG收集器。问题:查询希望的域ACS 5.x能否查询希望的域控制器(DC),当加入活动目录域时?解决方案不能

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 经营企划

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报