ACS故障排除

ACS 故障排除

前言

本文档描述如何对 ACS 进行故障排除并解决错误消息所报告的问题。

前提条件

需求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco安全接入控制服务器(ACS)版本3.3以上。

本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始（默认）配置。 如果您在一个工作网络中操作，在使用之前请确认您已经理解所有指令的潜在影响。

惯例

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

问题： CiscoSecure 安装所需的资源被锁定

当升级 ACS 服务器时，可能会遇到此问题。

解决方案

如果您具有大量旧日志文件，则需要清除“Local Logging Configuration”日志。 修改 ACS 的日志记录，保留最后三个文件。

1. 在 ACS GUI 上，选择 System Configuration > Service Control。 选中 Manage Directory

复选框，并选择仅保留最后三个文件。 然后，重新启动 ACS 并测试升级。 2. 如果选项 1 不起作用，可尝试手动删除一些日志文件。

在删除文件前，必须始终将文件复制到专用文件夹。

a. 在 Windows 服务器的本地驱动器上（ACS for Windows 安装在这里），选择“Program

Files”>“Cisco Secure ACS”文件夹。 b. 删除以下文件夹下的所有日志：

? ? ?

* Csauth * CSLog * CSDbsync

? ? ? ?

* CSAdmin * CSRadius * CSTacacs * CSMon

c. 重新启动 PC 并重新测试升级。

问题： 无法删除 AAA 服务器，AAA 服务器为同步合作伙伴

当删除 Network Configuration 下的条目时，可能显示 Cannot Delete AAA Server, AAA Server is a Synchronization Partner 错误消息。

解决方案

要解决此问题，请完成以下步骤：

1. 选择 Interface Configuration，并选中“RDBMS Synchronization”复选框

2. 选择 System Configuration >“RDBMS Synchronization”并从位于“Synchronization Partner”上

的 AAA 组中移除无法删除的 AAA 服务器 3. 现在，即可删除 AAA 服务器组。

问题： 127.0.0.1 为保留地址

您拥有两个 ACS SE 1113 单元并想要将内部数据库从主单元复制到辅助单元，但您注意到辅助单元上显示以下错误消息：

Inbound database replication from ACS denied - shared secret mismatch

当尝试在“Network Configuration”下修改 AAA 服务器自身的密钥时，返回错误消息。

解决方案

要解决 127.0.0.1 自身的问题，可在新安装的 ACS for Windows 4.2 上备份并还原 .DMP 文件，并使用所需 IP 地址修改 127.0.0.1 条目。

注意： Cisco Bug ID CSCso36620 (仅限注册用户)阐明，切换NIC命令更改AAA服务器IP地址对在GUI的127.0.0.1。 为了恢复在设备的原始IP地址，请发出set ip命令。

问题： 连结交换机的认证失败

连结5010认证不与TACACS+一起使用。 此错误消息能也出现：

Message-Type : Authen failed

Authen-Failure-Code : Key Mismatch

解决方案

共享秘密定义在NDG下单个优先于已配置设备。 查看共享机密配置在NDG世纪产品FSW下，并且确保它匹配与在连结交换机配置的那个。

问题： ACS 1113 SE - 无法分配静态 IP 地址

当无法在 ACS 1113 SE 上配置静态 IP 地址时，会发生此问题。

解决方案

要解决此问题，请安装 applACS-4.1-set-ip-CSCsm73656-Patch.zip 修补程序，该修补程序可从 Cisco 下载（仅限注册用户）页面下载。 该修补程序适合所有 ACS SE 4.1 版本。

问题： 主服务器未设置 Prempt

当 ACS 主服务器断开时，您使用辅助服务器对用户进行身份验证。 当主服务器再次启用时，即使主服务器再次运行，也将使用辅助服务器对您的用户进行身份验证。

解决方案

默认情况下，ASA 在耗尽模式下工作。 将其更改为定时模式，以便在 ACS 主服务器处于活动状态时，可将身份验证返回主服务器。 可使用以下配置：

host(config)# aaa-server protocol radius host(config)# reactivation mode timed

host(config)# aaa-server acsgroup deadtime 0

可选： 指定禁用组中的最后一个服务器与重新启用所有服务器之间所经过的时间（0 至 1440）（以分钟为单位）。 默认值为十分钟。

问题： 无法设置新的 NIC 配置

在 ACS 1113 SE 上配置静态 IP 地址时，会发生此问题。

解决方案

要解决此问题，请尝试重新映像软件。

问题： ACS 文件夹被另一个应用程序锁定

ACS 软件升级（如，从版本 3.3 升级到 4.0）期间显示 ACS Folder is Locked by Another Application 错误消息

请使用以下解决方案解决该问题。

解决方案1

请完成以下步骤：

1. 在 ACS 窗口中，选中 System Configuration > Service Control > Check the Manage

Directory 复选框。

2. 在“Keep only the last __ files”框中输入值，如 3。 3. 重新启动 。 升级可能工作正常。

解决方案 2

如果解决方案 1 未解决该问题，请完成以下步骤：