Los servicios CSM no pueden iniciarse después de una actualización a 4.8 o versiones posteriores

Opciones de descarga

  • PDF     (324.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (193.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (281.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de marzo de 2016
ID del documento:200392

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe el cambio de comportamiento en los servicios Cisco Security Manager (CSM) y los permisos necesarios para ejecutarlos en CSM 4.8 o versiones posteriores.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problema: Pocos servicios CSM no pueden iniciarse automáticamente cuando se actualiza a la versión 4.8 o posterior.

Síntomas

1. Inicie sesión en el Administrador de configuración, sólo muestra una página en blanco bajo la ficha Vista de dispositivo, ninguno de los dispositivos está visible, como se muestra en la imagen.

2. Pocos servicios muestran ./casuser en la columna Log On As, por el resultado de services.msc, como se muestra en la imagen.

Servicios que no se iniciarían:

CmfDbEngine, rptDbEngine, AusDbEngine y vmsDbEngine

Nota: casuser: la cuenta de usuario casuer es equivalente a un administrador de Windows y proporciona acceso a todas las tareas de Common Services y Security Manager. Normalmente no utiliza esta cuenta directamente. 

3. Registro de eventos de Windows:

Vaya a Visor de eventos > Registros de Windows > Sistema (busque el nivel de error)

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service
 
: vmsDbEngine 

Domain and account
 
: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action
 
 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.
[an error occurred while processing this directive]

Se observan eventos similares para CmfDbEngine, rptDbEngine y el servicio AusDbEngine.

CSM 4.8 en adelante, pocos servicios CSM son ejecutados por el informante y se trata de un comportamiento esperado.

Estos son algunos de los servicios que gestiona el casuser:

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine
[an error occurred while processing this directive]

Casuser requiere permiso para ejecutar los servicios anteriores, por lo tanto, debe configurarse para estas políticas:

Log on as a service
[an error occurred while processing this directive]

Ver cambios de permisos

La nueva instalación o la actualización a 4.8, establece automáticamente el usuario para iniciar sesión como política de servicio.

Vaya a Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

1) Para un servidor con el objeto Group Policy Object (GPO) externo establecido en él, seleccione Resultant Set of Policy (rsop.msc).

2) Para un servidor con políticas locales, gpedit.msc muestra el cambio.

Desencadenante del problema

Este problema se suele ver en un servidor que forma parte de un grupo de dominios y tiene aplicado un GPO externo.

Después de una actualización regular de la política de grupo en el servidor, el informante podría eliminarse del registro en una política de servicio (establecida después de la instalación o actualización nueva de CSM 4.8), si el GPO externo podría no tener una exención para esta política.

Casuser no se elimina de Iniciar sesión en una política de servicio hasta que se reinicien los servicios CSM debido a cualquiera de las siguientes condiciones:

  • Después de reiniciar el servidor
  • Después de una copia de seguridad de la base de datos
  • Cada vez que se reinicie Daemon Manager

Si se elimina el informante del inicio de sesión como política de servicio, los cuatro servicios mencionados (CmfDbEngine, rptDbEngine, AusDbEngine y vmsDbEngine) no pueden iniciarse, ya que el informante no tiene permiso para iniciar sesión o iniciar ninguno de ellos.

Solución

Verifique si se incluye la cuenta del informante para iniciar sesión como servicio.

1) Abra rsop.msc y navegue hasta Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

Como se muestra en la imagen,

2) Si el informante no está presente para Iniciar sesión como servicio, agregue el informante explícitamente para iniciar sesión como servicio en el DC, es decir, controlador de dominio.

Como se muestra en la imagen,

El GPO se envía como una actualización regular, una vez que se aplica en el servidor, verifique los servicios de nuevo.

Una actualización manual de directivas de grupo también se puede forzar en el servidor.

Reinicie Daemon Manager y verifique la corrección. Asegúrese de que los cuatro servicios mencionados (CmfDbEngine, rptDbEngine, AusDbEngine y vmsDbEngine) estén activos y funcionen correctamente.

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Sumit Bist
    Ingeniero del TAC de Cisco
  • Prashant Joshi
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos