第七章 ACS故障排除.docx

ACS 故障排除前言本文档描述如何对 ACS 进行故障排除并解决错误消息所报告的问题。前提条件需求本文档没有任何特定的要求。使用的组件本文档中的信息根据Cisco安全接入控制服务器(ACS)版本3.3以上。本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。惯例有关文档规则的详细信息，请参阅Cisco 技术提示规则。问题： CiscoSecure 安装所需的资源被锁定当升级 ACS 服务器时，可能会遇到此问题。解决方案如果您具有大量旧日志文件，则需要清除“Local Logging Configuration”日志。修改 ACS 的日志记录，保留最后三个文件。在 ACS GUI 上，选择System Configuration Service Control。选中Manage Directory复选框，并选择仅保留最后三个文件。然后，重新启动 ACS 并测试升级。如果选项 1 不起作用，可尝试手动删除一些日志文件。在删除文件前，必须始终将文件复制到专用文件夹。在 Windows 服务器的本地驱动器上（ACS for Windows 安装在这里），选择“Program Files”“Cisco Secure ACS”文件夹。删除以下文件夹下的所有日志：* Csauth* CSLog* CSDbsync * CSAdmin * CSRadius * CSTacacs * CSMon 重新启动 PC 并重新测试升级。问题：无法删除 AAA 服务器，AAA 服务器为同步合作伙伴当删除Network Configuration下的条目时，可能显示 Cannot Delete AAA Server, AAA Server is a Synchronization Partner 错误消息。解决方案要解决此问题，请完成以下步骤：选择Interface Configuration，并选中“RDBMS Synchronization”复选框选择System Configuration “RDBMS Synchronization”并从位于“Synchronization Partner”上的 AAA 组中移除无法删除的 AAA 服务器现在，即可删除 AAA 服务器组。问题： 为保留地址您拥有两个 ACS SE 1113 单元并想要将内部数据库从主单元复制到辅助单元，但您注意到辅助单元上显示以下错误消息：Inbound database replication from ACS secondary ACS unit name denied - shared secret mismatch当尝试在“Network Configuration”下修改 AAA 服务器自身的密钥时，返回错误消息。解决方案要解决 自身的问题，可在新安装的 ACS for Windows 4.2 上备份并还原 .DMP 文件，并使用所需 IP 地址修改 条目。注意：?Cisco Bug ID CSCso36620 (仅限注册用户)阐明，切换NIC命令更改AAA服务器IP地址对在GUI的。为了恢复在设备的原始IP地址，请发出set ip命令。问题：连结交换机的认证失败连结5010认证不与TACACS+一起使用。此错误消息能也出现：Message-Type : Authen failedAuthen-Failure-Code : Key Mismatch解决方案共享秘密定义在NDG下单个优先于已配置设备。查看共享机密配置在NDG世纪产品FSW下，并且确保它匹配与在连结交换机配置的那个。问题： ACS 1113 SE - 无法分配静态 IP 地址当无法在 ACS 1113 SE 上配置静态 IP 地址时，会发生此问题。解决方案要解决此问题，请安装applACS-4.1-set-ip-CSCsm73656-Patch.zip修补程序，该修补程序可从Cisco 下载（仅限注册用户）页面下载。该修补程序适合所有 ACS SE 4.1 版本。问题：主服务器未设置 Prempt当 ACS 主服务器断开时，您使用辅助服务器对用户进行身份验证。当主服务器再次启用时，即使主服务器再次运行，也将使用辅助服务器对您的用户进行身份验证。解决方案默认情况下，ASA 在耗尽模式下工作。将其更改为定时模式，以便在 ACS 主服务器处于活动状态时，可将身份验证返回主服务器。可使用以下配置：host(config)# aaa-server tag protocol radiushost(config)# reactivation mode timedhost(config)# aa