Échec du démarrage des services CSM après une mise à niveau vers la version 4.8 ou ultérieure

Introduction

Ce document décrit le changement de comportement dans les services Cisco Security Manager (CSM) et les autorisations requises pour les exécuter sur CSM 4.8 ou versions ultérieures.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problème : Peu de services CSM ne démarrent pas automatiquement lorsqu'ils sont mis à niveau vers la version 4.8 ou ultérieure.

Symptômes

1. Connectez-vous à Configuration Manager, il n'affiche qu'une page vide sous l'onglet Vue Périphérique, aucun des périphériques n'est visible, comme illustré dans l'image.

2. Peu de services affichent ./casuser dans la colonne Log On As, selon la sortie de services.msc, comme illustré dans l'image.

Services qui ne démarreraient pas :

CmfDbEngine, rptDbEngine, AusDbEngine et vmsDbEngine

Note: casuser : le compte utilisateur casuer est équivalent à un administrateur Windows et permet d'accéder à toutes les tâches de Common Services et de Security Manager. En règle générale, vous n'utilisez pas directement ce compte. 

3. Journal des événements Windows :

Accédez à Observateur d'événements > Journaux Windows > Système (rechercher le niveau d'erreur)

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service

: vmsDbEngine 

Domain and account

: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action

 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.

Des événements similaires sont observés pour le service CmfDbEngine, rptDbEngine et AusDbEngine.

CSM 4.8 à partir de, peu de services CSM sont exécutés par casuser et il s'agit d'un comportement attendu.

Voici quelques-uns des services gérés par casuser :

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine

Casuser requiert l'autorisation d'exécuter les services ci-dessus. Par conséquent, il doit être défini pour cette stratégie :

Log on as a service

Afficher les modifications d'autorisation

La nouvelle installation ou la mise à niveau vers la version 4.8 définit automatiquement la stratégie de connexion en tant que stratégie de service pour casuser.

Accédez à Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Affectation des droits d'utilisateur.

1) Pour un serveur dont l'objet de stratégie de groupe (GPO) externe est défini, cochez la case Jeu de stratégie résultant (rsop.msc).

2) Pour un serveur avec des stratégies locales, gpedit.msc affiche la modification.

Déclencheur de la question

Ce problème est généralement visible sur un serveur qui fait partie d'un groupe de domaines et auquel un objet de stratégie de groupe externe est appliqué.

Après une mise à jour régulière de la stratégie de groupe sur le serveur, casuser peut être supprimé de la stratégie de connexion à un service (définie après la nouvelle installation ou la mise à niveau de CSM 4.8), si l'objet de stratégie de groupe externe ne dispose peut-être pas d'exemption pour cette stratégie.

Casuser n'est pas supprimé de la connexion à une stratégie de service tant que les services CSM ne sont pas redémarrés en raison de l'une des conditions suivantes :

• Après un redémarrage du serveur
• Après une sauvegarde de base de données
• À chaque redémarrage du gestionnaire de démons

Si casuser est supprimé de Log on as a service Policy, les quatre services mentionnés ci-dessus (CmfDbEngine, rptDbEngine, AusDbEngine et vmsDbEngine) ne démarrent pas, car le casuser n'a pas l'autorisation de se connecter ou de démarrer l'un d'entre eux.

Solution

Vérifiez si le compte casuser est inclus pour la connexion en tant que service.

1) Ouvrez rsop.msc et accédez à Configuration de l'ordinateur >Paramètres Windows > Paramètres de sécurité > Stratégies locales > Affectation des droits d'utilisateur.

Comme le montre l'image,

2) Si casuser n'est pas présent pour se connecter en tant que service, ajoutez casuser explicitement pour se connecter en tant que service sur le contrôleur de domaine.

Comme le montre l'image,

L'objet de stratégie de groupe est envoyé en tant que mise à jour régulière, une fois qu'il est appliqué sur le serveur, vérifiez à nouveau les services.

Une actualisation manuelle des stratégies de groupe peut également être forcée sur le serveur.

Redémarrez le Gestionnaire de démons et vérifiez le correctif. Assurez-vous que les quatre services mentionnés ci-dessus (CmfDbEngine, rptDbEngine, AusDbEngine et vmsDbEngine) sont opérationnels et fonctionnent correctement.

Informations connexes

• compte casuser
• Autorisations requises pour le casuser
• Notions de base sur les objets de stratégie de groupe
• Se connecter en tant que service
• Support et documentation techniques - Cisco Systems