Impossibile avviare i servizi CSM dopo un aggiornamento alla versione 4.8 o successive

Introduzione

Questo documento descrive il cambiamento di comportamento nei servizi di Cisco Security Manager (CSM) e le autorizzazioni necessarie per eseguirli su CSM 4.8 o versioni successive.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Problema: Quando si esegue l'aggiornamento alla versione 4.8 o successive, pochi servizi CSM non vengono avviati automaticamente.

Sintomi

1. Accedere a Configuration Manager. Verrà visualizzata solo una pagina vuota nella scheda Visualizzazione dispositivo e nessuna delle periferiche sarà visibile, come mostrato nell'immagine.

2. Nella colonna Accedi come sono visualizzati pochi servizi ./casuser in base all'output di services.msc, come illustrato nell'immagine.

Servizi che non verrebbero avviati:

CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine

Nota: informatore: l'account utente informatore equivale a un amministratore di Windows e consente di accedere a tutte le attività di Common Services e Security Manager. In genere questo account non viene utilizzato direttamente. 

3. Registro eventi di Windows:

Passare a Visualizzatore eventi > Registri di Windows > Sistema (cercare il livello di errore)

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service

: vmsDbEngine 

Domain and account

: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action

 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.

Eventi simili vengono osservati per i servizi CmfDbEngine, rptDbEngine e AusDbEngine.

A partire da CSM 4.8, solo pochi servizi CSM sono gestiti da casuser ed è un comportamento previsto.

Questi sono solo alcuni dei servizi gestiti dal casuser :

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine

L'utente cassiere richiede l'autorizzazione per l'esecuzione dei servizi indicati, pertanto è necessario impostarla per i seguenti criteri:

Log on as a service

Visualizza modifiche autorizzazioni

La nuova installazione o l'aggiornamento alla versione 4.8 imposta automaticamente il casuser per l'accesso come criterio del servizio.

Selezionare Configurazione computer > Impostazioni di Windows > Impostazioni protezione > Criteri locali > Assegnazione diritti utente.

1) Per un server in cui è impostato un oggetto Criteri di gruppo esterno, selezionare Gruppo di criteri risultante (rsop.msc).

2) Per un server con criteri locali, gpedit.msc mostra la modifica.

Attivazione del problema

Questo problema si verifica in genere in un server che fa parte di un gruppo di dominio a cui è applicato un oggetto Criteri di gruppo esterno.

Dopo un regolare aggiornamento di Criteri di gruppo nel server, il casuser potrebbe essere rimosso da Accedi a Criteri di servizio (impostato dopo l'installazione o l'aggiornamento di CSM 4.8), se l'oggetto Criteri di gruppo esterno non dispone di un'esenzione per questo criterio.

L'utente non viene rimosso da Accedi a un criterio del servizio fino al riavvio dei servizi CSM a causa di una delle condizioni seguenti:

• Dopo il riavvio di un server
• Dopo un backup DB
• Anytime Daemon Manager viene riavviato

Se il casuser viene rimosso da Accedi come criterio del servizio, i quattro servizi citati in precedenza (CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine) non verranno avviati, poiché il casuser non dispone dell'autorizzazione necessaria per accedere o avviare uno di essi.

Soluzione

Verificare se l'account del fornitore è incluso per l'accesso come servizio.

1) Aprire rsop.msc e selezionare Configurazione computer > Impostazioni di Windows > Impostazioni protezione > Criteri locali > Assegnazione diritti utente.

Come mostrato nell'immagine,

2) Se il casuser non è presente per Accedi come servizio, aggiungerlo esplicitamente per Accedi come servizio sul controller di dominio, ad esempio controller di dominio.

Come mostrato nell'immagine,

Viene eseguito il push dell'oggetto Criteri di gruppo come aggiornamento regolare. Dopo l'applicazione nel server, verificare di nuovo i servizi.

È inoltre possibile forzare l'aggiornamento manuale dei Criteri di gruppo nel server.

Riavviare Daemon Manager e verificare la correzione. Assicurarsi che i quattro servizi citati (CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine) siano attivi e funzionino correttamente.

Informazioni correlate

• account casuser
• Autorizzazioni necessarie per il fornitore
• Nozioni fondamentali sugli oggetti Criteri di gruppo
• Accedi come servizio
• Documentazione e supporto tecnico – Cisco Systems