1. No category

PDF

Secure Access Control Server(ACS 3.x および 4.x)のトラブ
ルシューティング
目次
概要
前提条件
要件
使用するコンポーネント
表記法
問題:CiscoSecure のインストールに必要なリソースがロックさ
れている
解決策
問題:Cannot Delete AAA Server, AAA Server is a
Synchronization Partner
解決策
問題:アドレス 127.0.0.1 が予約されている
解決策
問題:Nexus スイッチの認証に失敗する
解決策
問題:ACS 1113 SE:スタティック IP アドレスを割り当てること
ができない
解決策
問題:プライマリ サーバが Preempt でない
解決策
問題:新しい NIC 設定を設定できない
解決策
問題:ACS フォルダが別のアプリケーションによってロックされ
ている
解決策 1
解決策 2
問題:イベント エラー
解決策
問題:Bad request from NAS
解決策
問題:ACS バージョン 3.3.3 を ACS 1113 にインストールできな
い
解決策
問題:Reason: is currently being edited elsewhere
解決策
問題:リモート エージェント サービスが開始しない
解決策
問題:ユーザ認証中に「Error:Auth type not supported by
External DB」が表示される
解決策
問題:ACS に ping できない
解決策
問題:ACS のアップグレードが完了した後でも「Appliance
upgrade in progress」メッセージが表示される
解決策
問題:複製後にパスワードがリセットされる
解決策
問題:ACS に関する DST の問題
解決策
問題:ACS アプライアンスで「Error: Failed to get NIC
configuration: (null) (FFFFFFFF)」が表示される
解決策
問題:ACS アプライアンスで SSHv1 をディセーブルにして
SSHv2 のみイネーブルにすることができない
解決策
問題:ACS アプライアンスを出荷時のデフォルトにリセットでき
ない
解決策
問題:NDG の問題で ACS での TACACS+ 認証に失敗する
解決策
問題:Windows 外部データベースが動作しない
解決策
問題:External DB user invalid or bad password
解決策
問題:IE8 を使用してアクセスすると ACS でエラーが発生する
解決策
問題:エラー「eap_peap type not configured」
解決策
問題:Cisco Secure ACS リモート エージェントのリモート ロギ
ング機能を使用する代わりに Cisco Secure ACS Solution
Engine のローカル ロギングを実行することができない
解決策
問題:すべてのユーザと、そのユーザの現在のパスワード認証方
法を示す完全なリストを生成するにはどうすればよいか
解決策
問題:ACS が mac-address のデリミタを制御できない
解決策
問題:「Failed to export user database.Please check there
is sufficient disk space then rerun setup.Set up will now
exit.」
解決策
問題:ACS が Active Directory ドメインに参加できず、ユーザ
を認証できない
解決策
問題:Could not generate valid password to perform the Auth
test
解決策
問題:Cannot login to Cisco ACS, All Administration ports
are currently in use
解決策
問題:ODBC operation failed with following information:
message=[Sybase][ODBC Driver][Adaptive Server
Anywhere].....
解決策
問題:ACS を Active Directory と統合できない
解決策
問題:CSCOacs_Internal_Operations_Diagnostics ERROR Could
not start message bus
解決策
問題:13017 Received TACACS+ packet from unknown Network
Device or AAA Client
解決策
問題:認証履歴(RADIUS の成功または失敗)および syslogs を
ACS から削除できない
解決策
問題:管理プロセスが実行中でなく、「running (HTTP is
nonresponsive)」と表示される
解決策
問題:ACS データベースをバックアップするとき、SFTP と一緒に
セキュア ID トークンを使用可能か
解決策
問題:インタラクティブ ビューアを使用してレポートのフィルタ
リングを実行できない
解決策
問題:認証プロンプトが最初の接続時にのみ表示され、後続の接
続では表示されない
解決策
問題:ACS で Apple デバイスを使用しているときに認証プロンプ
トが表示される
解決策
問題:ACS エラー メッセージ:Not all user Active Directory
groups are retrieved successfully...
解決策
問題:ACS ではプロキシ認証要求が記録されない
解決策
問題:リポジトリが GUI から作成された場合、ACS の設定が失わ
れる。
解決策
問題:RADIUS IETF 属性「Login-Service」に対して SSH セッシ
ョンを使用することができない
解決策
問題:エラー「value too long (ACS Server
Name,TacacsAuthentication), Alarm details is "Please see
the collector log for details"」
解決策
問題:SSH v1 が実行中の IOS デバイスで、ACS 4.x ローカル ユ
ーザのパスワード変更が機能しない
解決策
問題:ACS 4.2 のリモート ロギングが機能しない
解決策
ACS からのユーザを認証するために TACACS+ を使用する IOS デ
バイスが、ローカル データベースにフォールバックする
解決策
問題:Config Error: Illegal enumeration value 'Name' in key
CiscoACS\Dictionaries\005\002\Enumerations - wrong type,
must be int
解決策
問題:Microsoft Windows Server サービスがリモート コードの
実行を許可する
解決策
問題:エラー:Can not initialize SchemeLayer
解決策
関連情報
概要
このドキュメントでは、Cisco Secure Access Control Server(ACS)をトラブルシューティングし、エラー メッセージを解決す
る方法について説明します。
Cisco Secure Access Control System(ACS 5.x 以降)をトラブルシューティングする方法については、『Secure Access
Control System(ACS 5.x 以降)のトラブルシューティング』を参照してください。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco Secure Access Control Server(ACS)バージョン 3.3 および 4.x に基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて
のデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのよう
な作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
問題:CiscoSecure のインストールに必要なリソースがロックされている
この問題は、ACS サーバをアップグレードするときに発生することがあります。
解決策
古いログ ファイルが多くある場合、「Local Logging Configuration」ログをクリアする必要があります。
最後の 3 ファイルだけが保持されるように ACS ログを変更します。
1. ACS GUI で、[System Configuration] > [Service Control] を選択します。[Manage Directory] チェックボックスをオン
にして、最後の 3 ファイルだけを保持します。ACS を再起動して、アップグレードをテストします。
2. オプション #1 でも問題が解決しない場合、いくつかのログ ファイルを手動で削除してみてください。
ファイルを削除する前に、必ず専用フォルダにファイルをコピーしてください。
a. ACS for Windows がインストールされている Windows サーバのローカル ドライブで、[Program Files] > [Cisco
Secure ACS folder] を選択します。
b. 次の各フォルダのすべてのログを削除します。
* CSAuth
* CSLog
* CSDbsync
* CSAdmin
* CSRadius
* CSTacacs
* CSMon
c. PC を再起動して、アップグレードを再開します。
問題:Cannot Delete AAA Server, AAA Server is a Synchronization Partner
「Cannot Delete AAA Server, AAA Server is a Synchronization Partner」エラー メッセージは、[Network Configuration] で
エントリを削除するときに表示されることがあります。
解決策
この問題を解決するには、次の手順を実行します。
1. [Interface Configuration] を選択して、[RDBMS Synchronization] チェックボックスをオンにします。
2. [System Configuration] > [RDBMS Synchronization] を選択して、同期パートナーの AAA グループから削除できない
AAA サーバを削除します。
3. これで、AAA サーバ グループを削除できます。
問題:アドレス 127.0.0.1 が予約されている
ACS SE 1113 が 2 ユニットあり、内部データベースをプライマリからセカンダリに複製すると、セカンダリ ユニットで次のエラ
ー メッセージが表示されます。
Inbound database replication from ACS <secondary ACS unit name> denied - shared
secret mismatch
[Network Configuration] で AAA Server Self のキーを変更しようとすると、エラー メッセージが表示されます。
解決策
127.0.0.1 自体の問題を解決するには、ACS for Windows 4.2 のフレッシュ インストールで .DMP ファイルをバックアップおよ
び復元し、目的の IP アドレスで 127.0.0.1 エントリを変更します。
注:Cisco バグ ID CSCso36620(登録ユーザ専用)は、toggle nic コマンドにより GUI で AAA サーバ IP アドレスが
127.0.0.1 に変更されることを示します。アプライアンスの元の IP アドレスを復元するには、set ip コマンドを実行します。
問題:Nexus スイッチの認証に失敗する
Nexus 5010 認証は TACACS+ では機能しません。次のエラー メッセージも表示されることがあります。
Message-Type : Authen failed
Authen-Failure-Code : Key Mismatch
解決策
NDG で定義される共有秘密は、個々の設定デバイスよりも優先されます。NDG Century PROD FSW で設定される共有秘密を参照し
て、Nexus スイッチで設定されている共有秘密と一致していることを確認します。
問題:ACS 1113 SE:スタティック IP アドレスを割り当てることができない
この問題は、スタティック IP アドレスを ACS 1113 SE で設定できない場合に発生します。
解決策
この問題を解決するには、applACS-4.1-set-ip-CSCsm73656-Patch.zip パッチ(Cisco Downloads(登録ユーザ専用)から使用で
きます)をインストールします。パッチはすべての ACS SE 4.1 バージョンに対応します。
問題:プライマリ サーバが Preempt でない
プライマリ ACS がダウンすると、セカンダリ サーバでユーザを認証します。プライマリが再び起動すると、プライマリが稼働し
ている状態でも、ユーザはセカンダリで認証されます。
解決策
デフォルトでは、ASA はデプレッション モードで機能します。プライマリ ACS サーバがアクティブになったらプライマリで認証
できるように、このモードを時限モードに変更します。
次のコマンドを使用します。
host(config)# aaa-server <tag> protocol radius
host(config)# reactivation mode timed
host(config)# aaa-server acsgroup deadtime 0
オプション:0 1440 で期限を分単位で指定します。これは、グループの最後のサーバがディセーブルになってから、すべてのサ
ーバが再びイネーブルになるまでの時間です。デフォルトは 10 分です。
問題:新しい NIC 設定を設定できない
この問題は、スタティック IP アドレスを ACS 1113 SE で設定すると発生します。
解決策
この問題を解決するには、ソフトウェアのイメージを変更します。
問題:ACS フォルダが別のアプリケーションによってロックされている
「ACS Folder is Locked by Another Application」エラー メッセージは、バージョン 3.3 から 4.0 へのアップグレードなど、
ACS ソフトウェアのアップグレード中に表示されます。
この問題を解決するには、次の解決策を実行します。
解決策 1
次の手順を実行します。
1. ACS ウィンドウで、[System Configuration] > [Service Control] > [Check the Manage Directory] チェックボックスを
オンにします。
2. [Keep only the last __ files] ボックスに 3 などの値を入力します。
3. 再起動します。これで、アップグレードできます。
解決策 2
解決策 1 で問題が解決しない場合、次の手順を実行します。
1. 現在の ACS データベースをバックアップします。
ACS データベースをバックアップする方法の詳細については、『Cisco Secure ACS for Windows Server ユーザ ガイド』の
『Cisco Secure ACS のバックアップ』セクションを参照してください。
2. clean.exe ファイルを実行して、ACS 3.3(または既存のバージョン)をアンインストールします。このファイルは、ACS
Utilities/support/clean の CD にあります。
3. CD から ACS 3.3 を再インストールします。
4. 手順 1 で保存したファイルからデータベースを復元します。
ACS データベースを復元する方法の詳細については、『Cisco Secure ACS for Windows Server ユーザ ガイド』の『Cisco
Secure ACS システムの復元』セクションを参照してください。
5. ACS をバージョン 4.0 にアップグレードします。
アップグレード手順の詳細については、『Cisco Secure ACS for Windows Server バージョン 4.0 インストール ガイド』
を参照してください。
問題:イベント エラー
起動中、ACS SE は、「At least one service or driver failed during startup.use event viewer to examine the event log
for details」を受け取ります。
解決策
ACS SE でのこのエラーは、ACS 機能には影響を与えません。これは、Microsoft Windows エラー
です。このエラーは、アプ
ライアンスでモニタ、マウスおよびキーボードを使用できず、デフォルトでディセーブルになっている場合に発生します。
ACS アプライアンスは、セキュリティ強化されたロックダウン システムで、セキュリティを重視して設計されています。このア
プライアンスは、Windows 強化イメージを使用します。これは、すべての冗長サービスおよび接続を停止します。また、すべての
ウイルス、ワームおよび DDOS 攻撃をブロックします。そのため、VNC 、DOS プロンプト、または Windows を設定する方法はあ
りません。マウス、キーボードおよびモニタなどのサービスが閉じています。
あまりないことですが、アプライアンス イメージの一部が壊れている場合もあります。ほとんどの場合、アプライアンスのイメ
ージを変更すると、この問題を解決できます。また、ACS のイメージの変更も実行してみてください。
問題:Bad request from NAS
次のエラー メッセージが表示されます。
Bad request from NAS
OR
Authen-Failure-Code=Invalid message authenticator in EAP request
解決策
このエラー メッセージは、通常、共有秘密キーの不一致、または「NDG defined with a key overriding the AAA client key」
が原因で表示されます。
問題:ACS バージョン 3.3.3 を ACS 1113 にインストールできない
4.0 より前のバージョンのイメージを ACS SE 1113 にインストールできません。
解決策
ACS 4.0 以降だけが ACS SE 1113 で実行できます。ACS SE をアップグレードする方法の詳細については、『Cisco Secure ACS
Solution Engine へのアップグレードおよび移行』を参照してください。
問題:Reason: is currently being edited elsewhere
ACS ページを開くときに、このエラーが発生することがあります。Reason: is currently being edited elsewhere.
解決策
この問題を解決するには、ACS サービスを再起動します。
問題:リモート エージェント サービスが開始しない
ユーザは、リモート エージェント サービスを実行できません。
解決策
サービスを開始するには、ユーザはローカルの管理ユーザである必要があります。
問題:ユーザ認証中に「Error:Auth type not supported by External DB」が表示さ
れる
「Auth type not supported by External DB」エラーは、ユーザ認証中に表示されます。
解決策
ACS バージョン 3.3 を使用する場合、CHAP 認証プロトコルは Microsoft Windows データベース Active Directory(AD)でサポ
ートされないので、このエラーが発生します。この問題を解決するには、CHAP ではなく PAP を使用します。ACS バージョン
3.3 のプロトコル データベースの互換性の詳細については、『認証プロトコル データベースの互換性』を参照してください。
問題:ACS に ping できない
ACS SE を ping できません。
解決策
4.2 より前の ACS SE バージョンで ping 応答をイネーブルにするには、[System Configuration] --> [Appliance
Configuration] で CSA エージェントをオフにします。ACS バージョン 4.2 以降の場合、Cisco.com から使用できるパッチをダ
ウンロードおよびインストールします。詳細については、『ping のオンおよびオフの切り替え』を参照してください。
問題:ACS のアップグレードが完了した後でも「Appliance upgrade in progress」メ
ッセージが表示される
「Appliance upgrade in progress」メッセージが、ACS アップグレード後にも表示されます。
解決策
アップグレード後、ACS がサービスを開始または停止できません。
この問題を解決するには、次の手順を実行します。
1. 異なる Admin アカウントで ACS アプライアンスにログインします。
2. [System Configuration] タブの [Appliance Upgrade] で、[Refresh] または [Download] ボタンを押します。
詳細は、Cisco Bug ID CSCsg89042(登録ユーザ専用)を参照してください。
GUI を使用できない場合、ACS アプライアンスを再起動してみてください。
問題:複製後にパスワードがリセットされる
複製後、新しいパスワードが古いパスワードにリセットされます。
解決策
この問題は、ユーザがプライマリ ACS で認証されない場合に発生します。複製が行われると、複製は双方向ではないので、プラ
イマリは、そのポリシーをセカンダリ ACS にプッシュします。これにより、パスワードが古いパスワードにリセットされます。
この問題を解決するには、ユーザがプライマリ ACS で認証されます。
問題:ACS に関する DST の問題
DST 問題が ACS で発生します。
解決策
ACS の夏時間(DST)問題を解決するには、次のパッチをダウンロードおよびインストールします。
1. applAcs-4.1.4.13.7-CSUpdate.zip
2. applAcs-4.1.4.13.7.zip
注:最初に、csupdate パッチを適用します。次に、累積パッチをインストールします。
問題:ACS アプライアンスで「Error: Failed to get NIC configuration: (null)
(FFFFFFFF)」が表示される
「Error: Failed to get NIC configuration: (null) (FFFFFFFF)」エラーが、ACS アプライアンスで発生します。
解決策
このエラーは、通常、ACS イメージの正しいバージョンが ACS バージョンで使用されない場合に発生します。これは、互換性問
題です。この問題を解決するには、ACS アプライアンスのイメージを変更します。
ACS アプライアンスのイメージの変更の詳細については、『アプライアンス ハード ドライブのイメージの変更』を参照してくだ
さい。
問題:ACS アプライアンスで SSHv1 をディセーブルにして SSHv2 のみイネーブルに
することができない
SSHv1 をディセーブルにして、SSHv2 のみを ACS アプライアンスでイネーブルにできません。
解決策
SSHv1 をディセーブルにして、SSHv2 のみをイネーブルにすることはできません。SSHv1 および SSHv2 の両方がイネーブルにさ
れ、個別にディセーブルにすることはできません。
問題:ACS アプライアンスを出荷時のデフォルトにリセットできない
このセクションでは、ACS アプライアンスを工場出荷時設定にリセットできない場合の対処法について説明します。
解決策
acs reset-config コマンドには、設定のリセット オプションがあります。このオプションが発行されると、すべての ACS 設定
情報がリセットされますが、ネットワーク設定などのアプライアンス設定は保持されます。工場出荷時設定にリセットする場合、
アプライアンスのイメージを変更する必要があります。
問題:NDG の問題で ACS での TACACS+ 認証に失敗する
このセクションでは、ネットワーク デバイス グループ(NDG)が設定されているときに TACACS+ で認証が失敗する理由について
説明します。
解決策
同じ AAA クライアントが、RADIUS クライアントと TACACS クライアントとして、2 つの異なる NDG にマッピングされていま
す。NDG レベル外部データベース認証は、RADIUS クライアントの NDG でイネーブルです。
TACACS+ ユーザは、ACS 内部データ ベースで設定されます。TACACS+ 認証が要求されると、ACS は、RADIUS と同じクライアント
が設定されている NDG を参照します。
この問題を解決するには、外部データベース認証チェックボックスを RADIUS NDG から削除します。
問題:Windows 外部データベースが動作しない
このセクションでは、ユーザ認証が失敗し、外部データベースが動作しない理由について説明します。
解決策
次に、可能性の原因と解決策を示します。
リモート エージェント(RA)バージョンが ACS バージョンと一致しません。RA の正しいバージョンをインストールしま
す。
リモート エージェント サービスが停止しています。RA サービスを再起動します。
ACS を最新の使用可能バージョンにアップグレードします。
問題:External DB user invalid or bad password
このセクションでは、ACS での認証時に「External DB user invalid or bad password」エラーが発生する理由について説明しま
す。
解決策
この問題を解決するには、次のトラブルシューティング ティップスを参照します。
AD メンバーシップまたはシステム名に関連する変更が ACS サーバで行われた場合、再起動して変更を適用します。
ACS とドメイン サーバの接続を確認します。
ドメイン サーバのセキュリティ ポリシーで、ACS による Active Directory でのユーザ名のクエリを許可する必要があり
ます。
ACS とドメイン サーバで双方向の信頼関係が確立されていることを確認します。
Local および DomainAdmin 権限があるサーバに ACS がインストールされていることを確認します。
ユーザ名とパスワードが正しいことを確認します。
問題:IE8 を使用してアクセスすると ACS でエラーが発生する
「faultCode:Server.Error.Request faultString:'HTTP request error' faultDetail:'Error: [IOErrorEvent type="ioError"
bubbles=false cancelable=false eventPhase=2 text="Error #2032"].URL:/acsview/LoadAuthenticationTrendsPortlet.do'」エ
ラーは、Internet Explorer 8(IE8)を使用して ACS にアクセスするときに ACS で発生します。
解決策
このエラーは、IE8 が ACS でサポートされていないために発生します。この問題を解決するには、別のブラウザを使用します。
問題:エラー「eap_peap type not configured」
「eap_peap type not configured」エラーは、ワイヤレス認証を実行しようとするときに ACS で発生します。
解決策
このエラーは、次のいずれかの原因で ACS で発生します。
1. EAP-PEAP 認証を要求するサプリカントが ACS で設定されていません。この問題を解決するには、EAP-MSCHAPv2 および
EAP-GTC を [Global Authentication] ページからイネーブルにし、NAP をプライマリ サーバでディセーブルにします。
2. ワイヤレス ユーザが ACS サーバで認証しようとすると、ログインが失敗し、エラー メッセージ「EAP_PEAP Type not
configured」が表示されます。これは、Microsoft Windows AD データベースで設定されているユーザを認証する場合、およ
びローカル ACS データベースのユーザを認証する場合に発生します。
3. WLC が FIPS のキーラップを使用しますが、ACS の設定が異なります。この問題を解決するには、ACS で同様に設定しま
す。
問題:Cisco Secure ACS リモート エージェントのリモート ロギング機能を使用する
代わりに Cisco Secure ACS Solution Engine のローカル ロギングを実行することが
できない
Cisco Secure ACS リモート エージェントのリモート ログ機能ではなく、Cisco Secure ACS Solution Engine でローカルログを
実行できません。
解決策
Cisco Secure ACS リモート エージェントのリモート ログ機能ではなく、Cisco Secure ACS Solution Engine でローカルログを
実行することはできません。ただし、Cisco Secure ACS Solution Engine のローカル ログは、サイズが制限されます。これによ
り、ログ ファイルが 7 日後にリサイクルされます。Cisco Secure ACS リモート エージェントは、完全な制限のないログ機能を
リモート サーバに提供します。
問題:すべてのユーザと、そのユーザの現在のパスワード認証方法を示す完全なリス
トを生成するにはどうすればよいか
ACS 4.2 では、ユーザは Windows/LDAP/OTP などのさまざまな方法で認証されます。ユーザとそのパスワード認証方法の完全なリ
ストを準備する方法はありますか。
解決策
これは、手動で実行する場合、時間がかかります。ACS リリース 4.2.1.15 では、これを自動で実行できます。
次の手順を実行します。
1. ACS 内部データ ベースのバックアップを作成します。
2. CSUtil.exe -dumpUSERS コマンドを実行します。
すべての利用可能なユーザに使用できるパスワード認証方法を含むテキスト ファイル「userauditinfo.txt」が生成されま
す。
問題:ACS が mac-address のデリミタを制御できない
ACS が、mac-address のデリミタを制御できません。デリミタを変更または追加できません。
解決策
ACS は、mac-address のデリミタを制御するように設計されていないので、デリミタを変更または追加できません。クライアント
または WLC はデリミタを制御できます。
問題:「Failed to export user database.Please check there is sufficient disk
space then rerun setup.Set up will now exit.」
ACS for Windows をアップグレードするときにバックアップ データベースを復元できません。「insufficient disk space」エラ
ー メッセージが表示されます。
解決策
次の回避策を実行します。
1. データベースからバックアップを収集します。
2. ACS バージョンのインストール ファイルのフル パッケージで使用できるクリーン ユーティリティを使用して、ACS ソフト
ウェアをアンインストールします。
3. 同じバージョンのソフトウェアを再インストールします。
4. データベースを復元します。
5. ACS のバージョンを再びアップグレードします。
問題:ACS が Active Directory ドメインに参加できず、ユーザを認証できない
ACS が、Active Directory ドメインに参加できず、ユーザを認証できません。クロック スキュー エラーが発生します。
解決策
この問題を解決するには、ACS のタイムゾーンと時間 Active Directory のタイムゾーンと時間に合わせて変更します。
問題:Could not generate valid password to perform the Auth test
「Could not generate valid password to perform the Auth test」エラー メッセージが ACS で表示されます。
解決策
この問題を解決するには、[System Configuration] に移動して、[Local Password Management] をクリックします。パスワードの長さ
が 9 文字を超えていないことを確認します。必要な場合 、パスワードの長さを 4 8 文字に変更します。
問題:Cannot login to Cisco ACS, All Administration ports are currently in
use
管理者として認証すると、成功を示すメッセージが表示されます。次に、「Cannot login to CiscoSecure ACS, all
Administration ports are currently in use.Contact the System Administrator for more details.」を示すページに直接転送
されます。これは、ACS 4.X で発生します。
解決策
このエラー メッセージは、GUI オート リダイレクトに割り当てられているポートの範囲がすべて予約済みで、他のユーザに使用
されていることを示しています。この問題を解決するには、次の手順を実行します。
1. csadmin サービスを停止し、ログインします。
2. 管理者の HTTP ポート割り当てポリシーを確認します。完全なパスを次に示します。
[Administration Control] > [Access Policy] > [HTTP port Allocation] > [Restrict Administration Sessions to the
following port range From Port n to Port n]
3. 要件に応じて、ポートの範囲を増やします。詳細については、『HTTP の設定』を参照してください。
4. [Session Policy] の [Session idle-time-out] の値を減らします。完全なパスを次に示します。
[Administration Control] > [Session Policy] > [Session idle timeout]
詳細については、『セッション ポリシー』を参照してください。
5. ACS を再ロードすることで、問題を解決できることもあります。
問題:ODBC operation failed with following information: message=[Sybase][ODBC
Driver][Adaptive Server Anywhere].....
このエラーは、ACS バージョン 4.X で発生します。ODBC operation failed with following information:
message=[Sybase][ODBC Driver][Adaptive Server Anywhere]......
解決策
Sybase サーバが同じマシンにインストールされていない場合、ACS バージョン 4.0 は正しくインストールされません。
CiscoWorks および ACS が同じマシンにある場合、このエラー メッセージが表示され、ACS インストール問題が発生します。こ
れは、CiscoWorks がデータベースに Sybase を使用するために発生します。このエラーを回避するには、PC で SQL Anywhere を
使用する他のアプリケーションがないことを確認し、ソフトウェアを正常にインストールする必要があります。詳細については、
『ACS のインストールまたはアップグレードの準備』の『注意事項』セクションを参照してください。
問題:ACS を Active Directory と統合できない
ACS を Active Directory と統合できず、「Samba Port Status Error」エラー メッセージが表示されます。
解決策
この問題を解決するには、次のポートが Active Directory 機能をサポートするようにオープンになっていることを確認します。
Samba ポート:TCP 445
LDAP:TCP 389
LDAP:UDP 389
KDC:TCP 88
kpasswd:TCP 464
NTP:UDP 123
グローバル カタログ:TCP:3268
DNS:UDP 53
ACS-AD 統合を完了するには、ACS がドメインのすべての DC にアクセスできる必要があります。ACS からアクセスできない DC
が 1 つでもあると、統合は失敗します。詳細については、Cisco Bug ID CSCte92062(登録ユーザ専用)を参照してください。
問題:CSCOacs_Internal_Operations_Diagnostics ERROR Could not start message
bus
なぜ ACS で「CSCOacs_Internal_Operations_Diagnostics ERROR Could not start message bus」エラー メッセージが表示され
るのですか。
解決策
これは、表面上のエラーで、認証/認可/ACS パフォーマンスに影響がない限り重要な問題ではありません。このエラー メッセー
ジは、内部メッセージ バス接続が再確立されることを通知しているだけです。
問題:13017 Received TACACS+ packet from unknown Network Device or AAA Client
なぜ ACS で「13017 Received TACACS+ packet from unknown Network Device or AAA Client」エラー メッセージが表示される
のですか。
解決策
このエラーは、通常、ACS の AAA クライアントで正しいインターフェイスが設定されていないか、ACS で設定されている IP ア
ドレスが NAT される場合に発生します。つまり、正しい IP アドレスが ACS で設定されていないため、このエラーが発生しま
す。これは、ip tacacs source-interface <interface-name/id> コマンドがルータで実行されたが、AAA クライアント アドレス
と同じ IP アドレスが ACS で使用されている場合に発生することがあります。また、IOS でシングル接続をディセーブルにする
と、この問題を解決できることもあります。
問題:認証履歴(RADIUS の成功または失敗)および syslogs を ACS から削除できな
い
認証履歴(RADIUS の成功または失敗)および syslogs を ACS から削除できません。
解決策
認証履歴を ACS から削除することはできません。また、syslog として ACS 自体に送信されるログも削除できません。
問題:管理プロセスが実行中でなく、「running (HTTP is nonresponsive)」と表示さ
れる
管理プロセスが実行中でなく、「running (HTTP is nonresponsive)」が表示されます。
解決策
この問題を解決するには、古い設定のバックアップを復元して、ACS のイメージを変更し再ロードします。
問題:ACS データベースをバックアップするとき、SFTP と一緒にセキュア ID トーク
ンを使用可能か
解決策
いいえ、できません。SFTP には、スタティック ユーザ名/パスワードが必要です。セキュア ID を使用する場合、スタティック
ユーザ名/パスワードを提供できません。
問題:インタラクティブ ビューアを使用してレポートのフィルタリングを実行できな
い
インタラクティブ ビューアを使用して ACS レポートのフィルタリングを実行しようとすると、すべてのボタンがグレイ表示にな
り、右クリック メニュー オプションが正しく表示されません。ブラウザは Internet Explorer 8 を使用しています。
解決策
これは、ブラウザに関連する問題です。この操作を実行するには、Firefox などの他のブラウザを使用してください。また、IE8
で [Compatitibility View] をイネーブルにして、この操作を実行できる場合もあります。
問題:認証プロンプトが最初の接続時にのみ表示され、後続の接続では表示されない
Windows XP ホストが 3750G スイッチを介して 802.1x 要求を ACS に送信すると、デバイスが最初にスイッチに接続しようとし
た場合だけ、認証プロンプトが表示されます。以降の接続はすべて認証なしで確立されます。この原因は何ですか。また、接続が
確立されるたびに認証プロンプトが表示されるようにするにはどのようにすればよいのですか。
解決策
この問題を解決するには、[Network Connections] > [Local Area Connection] > [Properties] > [Authentication] に移動し、
[Cache user information for subsequent connections to this network] オプションがオフになっていることを確認します。
問題:ACS で Apple デバイスを使用しているときに認証プロンプトが表示される
ACS で Apple デバイスを使用するときに証明書を確認する認証プロンプトが表示されるのはなぜですか。この認証プロンプトを
表示しないようにすることはできますか。
解決策
認証プロンプトは、ACS ではなく、Apple iDevices により生成されます。Apple デバイスが認証プロンプトを表示しないように
ACS を設定することはできません。
問題:ACS エラー メッセージ:Not all user Active Directory groups are
retrieved successfully...
「Not all user Active Directory groups are retrieved successfully.One or more of the group's canonical name was not
retrieved」エラー メッセージが ACS で表示されるのはなぜですか。
解決策
この問題は、AD のグループ名でユニコード文字が使用される場合に発生します。ACS は AD グループを ASCII テキストとして参
照するので、ユニコード文字は正しく変換されません。そのため、グループ メンバーシップは取得されません。この問題を解決
するには、AD 設定からユニコード文字を削除します。
問題:ACS ではプロキシ認証要求が記録されない
RADIUS プロキシングがイネーブルの場合でも、ACS でプロキシ認証要求が記録されません。
解決策
ACS ではプロキシ認証要求が記録されません。ACS は、要求を受け入れ、プロキシ サーバに転送するだけです。ログは、プロキ
シ RADIUS サーバだけで表示できます。ACS は、パケットの認証/アカウンティングの処理に影響しません。そのため、ACS に記
録されるプロキシ パケットのメッセージはありません。
問題:リポジトリが GUI から作成された場合、ACS の設定が失われる。
CLI で変更が行われた後でリポジトリが GUI から作成されると、ACS の設定が失われます。
解決策
リポジトリを GUI から作成する場合、CLI を使用して変更を行うと、ACS の設定が失われ、予期せぬ動作が発生します。ACS を
停止および起動すると、リポジトリは、GUI により停止される設定に基づいて再作成されます。GUI により作成されるリポジトリ
に対して CLI を使用して行った変更は、ACS アプリケーション設定には適用されません。
問題:RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用すること
ができない
RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用することができません。
解決策
ACS IETF 属性は RFC 標準で、変更できないので、RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用すること
ができません。
問題:エラー「value too long (ACS Server Name,TacacsAuthentication), Alarm
details is "Please see the collector log for details"」
「value too long (<ACS Server Name>,TacacsAuthentication), Alarm details is "Please see the collector log for
details"」エラー メッセージが表示されます。
解決策
この問題を解決するには、次の各項目を確認してください。
ACS のコンソール ポートにケーブルが接続されていることを確認します。
不要なケーブルを取り外します。
ターミナル サーバに接続されているケーブルを再固定します。
問題:SSH v1 が実行中の IOS デバイスで、ACS 4.x ローカル ユーザのパスワード変
更が機能しない
ユーザがシステムに SSH で接続し、期限切れの TACACS パスワードを使用すると、パスワードを変更するプロンプトが表示され
ますが、このパスワードが正常に機能しません。
解決策
この問題を解決するには、SSH v2 の「キーボード インタラクティブ」認証を設定した SSH v2 が必要です。この動作は、Cisco
Bug ID CSCin91851(登録ユーザ専用)で確認できます。
問題:ACS 4.2 のリモート ロギングが機能しない
ACS リモート エージェントが、ACS Solution Engine からメッセージを記録できず、次のエラー メッセージが表示されます。
CSLogAgent - Can't get max number of connections maxNumberOfConnections using default 32
解決策
リモート エージェントをメンバ サーバからアンインストールして、ドメイン ユーザ アカウントで再インストールしてみてくだ
さい。
ACS からのユーザを認証するために TACACS+ を使用する IOS デバイスが、ローカル
データベースにフォールバックする
どのような状況で、ACS からのユーザを認証するために TACACS+ を使用する IOS デバイスがそのローカル データベースにフォ
ールバックしますか。
解決策
ACS からのユーザを認証するために TACACS+ を使用する IOS デバイスは、次の 2 つの状況でローカル データベースにフォール
バックします。
ACS(TACACS+)サーバが応答しない場合。IOS デバッグ メッセージで、TACACS+ サーバのアクセスで「timeout」と表示さ
れます。この場合、フォールバックがローカル データベースに設定されていると、IOS はローカル データベース ユーザに
フォールバックします。
TACACS+ サーバが ERROR メッセージを送信して認証要求に応答する場合。
問題:Config Error: Illegal enumeration value 'Name' in key
CiscoACS\Dictionaries\005\002\Enumerations - wrong type, must be int
このエラー メッセージは、CSUTIL または RDBMS sync を使用して、新しい UDV およびその VSA を ACS 4.1 に追加する場合に
表示されます。
Config Error: Illegal
enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations wrong type, must be int
解決策
この問題は、VSA が ACS 4.1.4.13 に追加されるときに発生します。詳細については、Cisco Bug ID CSCsq36428(登録ユーザ専
用)を参照してください。
問題:Microsoft Windows Server サービスがリモート コードの実行を許可する
ACS Solution Engine 4.2.0.124 がスキャンされ、『Microsoft Windows Server Service Could Allow Remote Code Execution
』で説明されている脆弱性 MS08-67 があることがわかりました。
解決策
パッチ ファイル名 appl_w2K3_hotfix_kb958644.zip(登録ユーザのみ)を ACS Solution Engine に適用します。詳細について
は、Cisco Bug ID CSCsy71711(登録ユーザ専用)を参照してください。
問題:エラー:Can not initialize SchemeLayer
「Can not initialize SchemeLayer」エラー メッセージが、CSUtil.exe -u の実行中に表示されます。
解決策
次の手順を実行します。
1. ロケーション documents and settings\administrator\applicationdata\Microsoft\Crypto\RSA\S-1-5xxxxxxxxxx にあるア
プリケーションをインストールした admin アカウントでフォルダの名前を変更します。
2. ACS サービスを再起動します。
これにより、別のフォルダが作成され、壊れた crypto api が修正されます。詳細については、Cisco Bug ID CSCse90116(登録
ユーザ専用)を参照してください。
関連情報
Cisco Secure Access Control Server for Windows のサポート ページ(英語)
Cisco Secure ACS 4.1 の設定ガイド
Cisco Secure ACS オンライン トラブルシューティング ガイド 4.1
テクニカルサポートとドキュメント:シスコ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2013 年 5 月 17 日
http://www.cisco.com/cisco/web/support/JP/111/1117/1117682_acsfolder_error-j.html
Document ID: 99449

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz