ACS 4.x データベースを移行マシンで復元できない
条件
ACS 4.x データベースを移行マシンで復元できません。
アクション
ACS 4.x 運用マシン(バックアップが作成された)および ACS 4.x 移行マシン(バックアップが復元された)が同じバージョンのシステム ソフトウェアを使用していることを確認します。この問題は、パッチのレベル不足が原因であることがあります。
リモート デスクトップ接続が移行ユーティリティでサポートされていない
条件
リモートデスクトップ接続(RDC)を使用して、移行ユーティリティを実行できません。
アクション
仮想ネットワーク コンピューティング(VNC)を使用して、移行マシンで移行ユーティリティを実行します。
大規模データベースの移行オブジェクト
大規模なデータベースからオブジェクトを移行する場合に、さまざまな問題が発生することがあります。
条件
ACS 4.x データベースから多数のオブジェクトを移行する場合に、パフォーマンスの問題が発生することがあります。
アクション
各オブジェクト グループに対して移行ユーティリティを実行することを推奨します。たとえば、移行ユーティリティで、2 と入力してオプション 2 の AllUsersObjects を選択します。この例では、ユーザ オブジェクトに対して移行ユーティリティを実行するだけです。
インポート フェーズで一部のデータだけが追加される
条件
インポートを行うと、一部のデータだけが追加されます。
アクション
1.
次の内容を確認してください。
• 移行インターフェイスが ACS 5.3 サーバでイネーブルであること
• ネットワーク接続がイネーブルであること
• ACS 5.3 サービスが起動し、実行していること
• 互換性のある ACS 5.3 ライセンスを使用していること
2. ACS 5.3 データベースを前のバージョンに復元します。
3. 移行ユーティリティを再起動します。
4. インポート フェーズを再度実行します。
インポート後に ACS 5.3 マシンが応答しない
条件
インポート後に ACS 5.3 マシンが応答しません。
アクション
ACS 5.3 を再起動します。
移行の問題の解決
このセクションでは、手動で移行の問題を解決する方法について説明します。次の移行の問題について説明します。
• 「IP アドレスのオーバーラップ」
• 「変換できない IP アドレス」
• 「41 以上の IP アドレスがあるネットワーク デバイス」
• 「無効な TACACS+ シェル特権レベル」
• 「TACACS+ カスタム属性が移行されない」
• 「シェル コマンド認可セットをユーザまたはグループに関連付けられない」
IP アドレスのオーバーラップ
分析フェーズで、ACS 4.x のネットワーク デバイスの IP アドレスのオーバーラップがレポートされる場合があります。例 D-1 は、AA ネットワーク デバイスの IP アドレスが BB ネットワーク デバイスの IP アドレスにオーバーラップしており、各ネットワーク デバイスがさまざまな NDG に属していることを示しています。ACS 4.x 側から見ると、これらは 2 つの個別のオブジェクトです。
例 D-1 IP アドレスのオーバーラップ
The following Network Devices are overlapped:
Network device: AA, IP Address = 23.8.23.*, 45.67.*.8, protocol =RADIUS, Group= HR
Network device: BB, IP Address = 45.*.6.8, 1.2.3.4, protocol =TACACS, Group = Admin
ただし、ACS 5.3 は TACACS+ および RADIUS を 1 つのオブジェクトとして定義します。
ソリューションとしては、ACS 4.x アプリケーションを使用して同じ IP アドレスを持つネットワーク デバイスの再定義を行い、それらが同じ NDG に属するようにします。例 D-2 にソリューションを示します。
例 D-2 解決済みの IP アドレス
Network device: CC, IP Address = 1.2.3.*, protocol =RADIUS, Group= HR
Network device: DD, IP Address = 1.2.3.*, protocol =TACACS, Group = HR
この例では、IP アドレスが同一で、両方のネットワーク デバイスが同じ NDG に含まれる、RADIUS および TACACS+ ネットワーク デバイスを統合します。CC および DD を、CC+DD という名前の 1 つのオブジェクトとしてエクスポートできます。
変換できない IP アドレス
ACS 4.x の IP アドレスの定義ではワイルドカードや範囲を使用できます。ACS 5.3 では、IP アドレスの定義はサブネット マスク形式です。分析フェーズでは、変換できない IP アドレスのあるネットワーク グループを識別します。
ACS 4.x アプリケーションを使用して、IP アドレスの範囲を ACS 5.3 のサブネット マスク定義に変更できます。ただし、IP アドレスのすべての組み合わせを ACS 5.3 のサブネット マスク定義に変換できるわけではありません。例を示します。
Network device: AA, IP Address =23.8.23.12-221 protocol =RADIUS, Group= HR
この例では、IP アドレスに 12 ~ 221 の範囲が含まれており、サブネット マスク定義に変換できません。
ワイルドカード(*)または範囲(x ~ y)がアドレスの途中に含まれる場合、IP アドレスを移行できません。次のパターンの IP アドレスは移行できません。
• 1.*.2.*
• *.*.*.1
• *.*.*.*
次のパターンの IP アドレスは変換できます。
• 1.*.*.*
• 1.2.*.*
• 1.2.3.*
• 1.2.3.13 ~ 17
(注) 移行では、0 ~ 255 の IP 範囲がサポートされます。
41 以上の IP アドレスがあるネットワーク デバイス
条件
ACS 4.x のネットワーク デバイスには 41 以上の IP アドレスがあります。ACS 5.3 では 41 以上の IP アドレスのあるネットワーク デバイスを移行しません。
アクション
移行マシンの ACS 4.x アプリケーションを使用して、ネットワーク デバイス設定を編集します。次の手順に従います。
ステップ 1 [Network Configuration] を選択します。
ステップ 2 ネットワーク デバイスのある [NDG] を選択します。
ステップ 3 ネットワーク デバイスを選択します。
ステップ 4 [AAA Client IP Address] フィールドを編集します。AAA クライアントに 40 以下の IP アドレスがあることを確認します。
ステップ 5 [Submit + Apply] をクリックします。
移行ユーティリティを再実行します(分析およびエクスポート フェーズおよびインポート フェーズ)。
無効な TACACS+ シェル特権レベル
条件
TACACS+(T+)シェル特権レベルが 0 ~ 15 の範囲内にありません。
アクション
ACS 4.x アプリケーションを移行マシンで使用して、T+ 設定を編集します。T+ 特権レベルを 0 ~ 15 の間に設定します。
ユーザ レベルで T+ 設定を編集するには、次の手順を実行します。
ステップ 1 [User Setup] を選択します。
ステップ 2 ユーザを選択します。
[Edit] 画面が表示されます。
ステップ 3 [TACACS+ Settings] テーブルの [Privilege level] チェックボックスを確認して、0 ~ 15 の値を入力します。
ステップ 4 [Submit] をクリックします。
グループ レベルで T+ 設定を編集するには、次の手順を実行します。
ステップ 1 [Group Setup] を選択します。
ステップ 2 グループを選択して、[Edit Settings] をクリックします。
ステップ 3 [TACACS+ Settings] テーブルの [Privilege level] チェックボックスを確認して、0 ~ 15 の値を入力します。
ステップ 4 [Submit + Restart] をクリックします。
移行ユーティリティを再実行します(分析およびエクスポート フェーズおよびインポート フェーズ)。
TACACS+ カスタム属性が移行されない
条件
ACS 4.x では、T+ カスタム属性がユーザおよびグループに対して定義されています。ACS 5.3 は TACACS+ カスタム属性をサポートしていません。
アクション
何も実行する必要はありません。ユーザおよびグループに対して定義されているその他すべての T+ シェル実行属性は移行されません。T+ カスタム属性は削除されます。
シェル コマンド認可セットをユーザまたはグループに関連付けられない
条件
シェル コマンド認可セットは ACS 4.x のユーザまたはグループに関連付けられています。移行後は、シェル コマンド認可セットとユーザまたはグループ間の関連付けが失われます。
アクション
ACS 5.3 アプリケーションを使用して、次の手順を実行します。
1. 移行したコマンド セットにアクセスします。詳細については、「コマンド セットの移行」を参照してください。
2. ユーザおよび ID グループのポリシーを作成します。
ポリシーの作成の詳細については、『 User Guide for the Cisco Secure Access Control System 5.3 』を参照してください。
手動で作成した Super Admin の移行が失敗する
条件
ACS 5.3 では、ユーザ Admin1 は [System Administration] > [Administrators] > [Accounts] で、Super Admin の ロールで 作成されます。Admin1 を管理者のユーザ名に設定しようとしたときに移行が失敗しました。
アクション
何も実行する必要はありません。ACS 5.3 ではデフォルトのスーパー管理者 acsadmin だけをサポートし、手動入力のユーザをサポートしません。
移行ユーティリティ メッセージ
次の表で、さまざまな ACS オブジェクトの移行時に表示される可能性のあるエラーおよび通知メッセージについて説明します。ここでは、次の内容について説明します。
• 「ダウンロード可能 ACL」
• 「MAB」
• 「NDG」
• 「マスター キー」
• 「ネットワーク デバイス」
• 「RAC」
• 「コマンド セット」
• 「Shell Exec」
• 「ユーザ」
• 「ユーザ属性」
• 「ユーザ属性値」
• 「ユーザ グループ」
• 「VSA ベンダー」
• 「VSA」
ダウンロード可能 ACL
表 D-1 で、ダウンロード可能な ACL の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-1 ダウンロード可能な ACL のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Shared DACL name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Error |
Cannot migrate a shared DACL with a name that contains any of the following characters: illegal characters for the object . |
名前エラー |
インポート |
Error |
Error from PI .For example, object already exists in the ACS 5.3 database. |
なし |
MAB
表 D-2 で、MAB の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-2 MAB のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
MAB name after migration has been changed to: name after truncation . |
切り捨て |
エクスポート |
Information |
Cannot migrate a MAB with a name that contains any of the following characters: illegal characters for the object . |
名前エラー |
エクスポート |
Information |
Invalid MAC ID. |
変換できない |
インポート |
Error |
Error from PI. For example, Object already exists in the ACS 5.3 database. |
なし |
インポート |
Error |
Group ID: group ID referenced object was not imported. |
参照インポートなし |
インポート |
Error |
Group could not be found for: MAB name Group ID: group ID . |
ログ エラー |
NDG
表 D-3 で、NDG の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-3 NDG のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Network device name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Information |
Cannot migrate an NDG with a name that contains any of the following characters: illegal characters for the object. |
名前エラー |
エクスポート |
Information |
NDG has a shared key password. |
パスワードが含まれる |
インポート |
Error |
Error from PI. For example, failed to add object: NDG root name in function: method name. |
なし |
インポート |
Information |
Object already exists in the ACS 5.3 database. |
重複 |
マスター キー
表 D-4 で、マスター キーの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-4 マスター キーのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Fatal Error: Authority ID is null - Import Failed. |
なし |
インポート |
Error |
Error from PI. For example, object already exists in the ACS 5.3 database. |
なし |
ネットワーク デバイス
表 D-5 で、ネットワーク デバイスの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-5 ネットワーク デバイスのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Network device name after migration has been changed to: name after truncation. |
切り捨て。 |
エクスポート |
Information |
Network Device has shared key password. |
パスワードが含まれる。 |
エクスポート |
Information |
NDG referenced NDG unified with Name of the Network device overlapped with from NDG NDG name. |
統合された NDG: 参照された NDG 。 |
エクスポート |
Error |
Cannot migrate an NDG with a name that contains any of the following characters: Illegal characters for the object. |
名前エラー。 |
エクスポート |
Error |
NDG referenced object was not exported. |
参照オブジェクトはエクスポートされませんでした。 |
エクスポート |
Error |
NDG: referenced NDG there are number of subnets subnets in the following IP address IP address. |
サブネット制限を超えている。 |
エクスポート |
Error |
Unable to translate network device IP address. |
変換できない NDG: 参照された NDG 。 |
エクスポート |
Error |
NDG referenced NDG : Network device IP address overlaps the same device. |
オーバーラップする NDG: 参照された NDG 。 |
エクスポート |
Error |
Network device has been discarded as it is unified with: unified NDG . |
統合されたパートナー NDG: 参照された NDG 。 |
エクスポート |
Error |
Network device IP is overlapping with other device. |
オーバーラップする NDG: 参照された NDG 。 |
エクスポート |
Error |
Overlaps with: Network device name from NDG: NDG name . |
オーバーラップする NDG: 参照された NDG IP アドレス: IP アドレス 。 |
インポート |
Error |
NDG referenced object was not imported. |
参照インポートなし。 |
インポート |
Error |
Error from PI. For example, Object already exists in the ACS 5.x database. |
なし。 |
RAC
表 D-6 で、RAC の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-6 RAC のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
RAC name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Error |
ACS 5.3 does not support this attribute: vid= vendor ID , att= attribute value .No other attributes in RAC will be migrated. |
サポートされていないベンダー |
エクスポート |
Error |
RAC does not contain any supported attributes. |
値なし |
エクスポート |
Error |
Cannot migrate an RAC with a name that contains any of the following characters: Illegal characters for the object. |
名前エラー |
エクスポート |
Error |
Wrong enum value for attribute: attribute name. No other attributes in RAC will be migrated. |
エラー |
エクスポート |
Error |
Invalid value for attribute: VSA attribute name. No other attributes in RAC will be migrated. |
エラー |
エクスポート |
Information |
The following attribute was not migrated: attribute name. |
サポートされていないベンダー |
エクスポート |
Error |
ACS 5.3 does not support this attribute: vid= vendor ID , att= attribute value , name= attribute name. No other attributes in RAC will be migrated. |
サポートされていないベンダー |
インポート |
Error |
RAC exception, for example, Invalid attribute number. |
なし |
インポート |
Error |
Error from PI. For example, Object already exists in the ACS 5.3 database. |
なし |
インポート |
Fatal |
An error occurred in createCapabilitiesAll(): Exception details. |
ログ エラー |
コマンド セット
表 D-7 で、コマンド セットの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-7 コマンド セットのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Command set name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Information |
Identical objects cannot be migrated: identical object name. |
統合 |
エクスポート |
Information |
Command set value: Invalid Command Set value . |
変換できない |
エクスポート |
Information |
Cannot migrate a command set with a name that contains any of the following characters: Illegal characters for the object. |
名前エラー |
エクスポート |
Information |
Command set name was not imported and shell exec and command set for this user/group were not imported . |
名前エラー |
エクスポート |
Information |
Shared command sets name cannot contain apostrophes or curly braces. |
名前エラー |
エクスポート |
Information |
Command Set name contains a duplicate argument. |
引数が重複している |
エクスポート |
Information |
The selected network device NDG is not supported. |
サポートされていないオプション |
エクスポート |
Error |
Translation failed.The argument does not start with Unmatched. |
ログ エラー |
エクスポート |
Error |
Translation failed.An equals sign (=) is missing after Unmatched |
ログ エラー |
エクスポート |
Fatal |
Translation failed since Unmatched is not set to permit or deny: unmatched value. |
ログ エラー |
エクスポート |
Error |
Group T+ shell command translation failed: exception details . |
ログ エラー |
エクスポート |
Error |
Group T+ shell command translation failed.The argument is not a prefix with permit/deny: argument action value . |
ログ エラー |
エクスポート |
Error |
Command name Group T+ command set translation failed: exception details . |
ログ エラー |
エクスポート |
Error |
Command description, Exception details . |
ログ エラー |
インポート |
Error |
Referenced object was not imported. |
参照インポートなし |
インポート |
Error |
Error from PI. For example, object already exists in the ACS 5.3 database. |
エラー |
Shell Exec
表 D-8 で、shell exec の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-8 Shell Exec のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
Command set name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Information |
Identical objects cannot be migrated: identical object name. |
統合 |
エクスポート |
Information |
Shell Exec value Invalid shell exec value.No other T+ shell exec attributes will be migrated. |
変換できない |
エクスポート |
Information |
Parsing error.No other T+ shell exec attributes will be migrated. |
変換できない |
エクスポート |
Information |
Cannot migrate a command set with a name that contains any of the following characters: Illegal characters for the object .No other T+ shell exec attributes will be migrated. |
名前エラー |
エクスポート |
Information |
Shell Exec name was not imported and shell exec and command set for this user/group were not imported.No other T+ shell exec attributes will be migrated. |
名前エラー |
エクスポート |
Information |
ACS 5.3 does not support custom attributes present in T+ shell exec.No other T+ shell exec attributes will be migrated. |
挿入 |
エクスポート |
Information |
T+ shell exec not defined for user or user group.No other T+ shell exec attributes will be migrated. |
挿入 |
エクスポート |
Information |
Idle time for shell exec should be in the range of 0-9999.No other T+ shell exec attributes will be migrated. |
無効なアイドル時間 |
エクスポート |
Information |
Time out for shell exec should be in the range of 0-9999.No other T+ shell exec attributes will be migrated. |
無効なタイムアウト |
エクスポート |
Information |
T+ shell priv-lvl is invalid value. No other T+ shell exec attributes will be migrated. |
無効な特権レベル |
エクスポート |
Information |
T+ shell priv-lvl value is higher than max-priv-lvl max value .No other T+ shell exec attributes will be migrated. |
無効な特権レベル |
エクスポート |
Information |
ACS 5.3 does not support custom attributes present in T+ shell exec. |
サポートされていないオプション |
エクスポート |
Error |
Group T+ shell exec translation failed: exception details . |
ログ エラー |
エクスポート |
Error |
An error occurred while retrieving the max privilege: exception details . |
ログ エラー |
インポート |
Error |
Referenced object was not imported. |
参照インポートなし |
インポート |
Error |
Error from PI .For example, object already exists in the ACS 5.3 database. |
エラー |
ユーザ
表 D-9 で、ユーザの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-9 ユーザのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
User name after migration has been changed to: name after truncation. |
切り捨て |
エクスポート |
Error |
Cannot migrate users with names that contain any of the following characters: Illegal characters for the object. |
名前エラー |
エクスポート |
Error |
Cannot migrate users whose password does not conform to the ACS 5 password policy.Passwords should be between 4 and 32 characters in length. |
パスワード エラー |
エクスポート |
Error |
Cannot migrate users with empty password to ACS 5.3. |
パスワードなし |
エクスポート |
Error |
Cannot migrate VoIP users to ACS 5.3. |
VoIP グループ |
エクスポート |
Error |
A problem occurred while reading the expiry data for the user. |
ログ エラー |
インポート |
Error |
Referenced object was not imported. |
参照インポートなし |
インポート |
Error |
Group could not be found for: MAB name Group ID: group ID. |
ログ エラー |
ユーザ属性
表 D-10 で、ユーザ属性の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-10 ユーザ属性のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Information |
User attribute after migration has been changed to: name after truncation . |
切り捨て |
エクスポート |
Information |
Cannot migrate a user attribute with a name that contains any of the following characters: Illegal characters for the object. |
名前エラー |
エクスポート |
Information |
User attribute name User-defined name is not unique.It will be disambiguated for import by appending a suffix. |
反復 |
インポート |
Information |
Attribute added with warning: Object already exists in the ACS 5.3 database. |
重複 |
インポート |
Error |
Error from PI. |
エラー |
ユーザ属性値
表 D-11 で、ユーザ属性値の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-11 ユーザ属性値のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Error |
User attribute value was not imported and user attribute values for this user were not imported. |
ログ エラー |
ユーザ グループ
表 D-12 で、ユーザ グループの移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-12 ユーザ グループのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Error |
Group has no users. |
ユーザなし |
エクスポート |
Error |
Cannot migrate a user group with a name that contains any of the following characters: Illegal characters for the object. |
名前エラー |
インポート |
Information |
Error from PI . |
重複 |
インポート |
Error |
Error from PI . |
エラー |
VSA ベンダー
表 D-13 で、VSA ベンダー ID の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-13 VSA ベンダーのエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Error |
Object already exists in the ACS 5.3 database. |
重複 |
エクスポート |
Information |
Vendor name conflict.ACS 5.3 vendor name: vendor name. |
名前エラー |
インポート |
Error |
VSA vendor ID vendor id import failed. Error from PI : |
Enum エラー |
VSA
表 D-14 で、VSA の移行時に表示される可能性のあるエラーおよび通知メッセージの詳細を説明します。
表 D-14 VSA のエラーおよび通知メッセージ
|
|
|
|
|
エクスポート |
Error |
VSA ID attribute id value has attribute profile conflicts: In ACS 4.x, it is name for the profile , but in ACS 5.0, it is direction value . |
プロファイル エラー |
エクスポート |
Error |
VSA ID (attribute id) has attribute name conflicts: In ACS 4.x, it is attribute name , but in ACS 5.3, it is attribute name . |
名前エラー |
インポート |
Error |
VSA ID attribute id has attribute type conflicts: In ACS 4.x, it is attribute type , but in ACS 5.0, it is ACS 5.3 attribute type value. |
タイプ エラー |
エクスポート |
Error |
There is a problem with the VSA ID attribute id enum values (see log for details) |
Enum エラー |
エクスポート |
Error |
Object already exists in the ACS 5.3 database. |
なし |
インポート |
Error |
VSA attribute id enum import failed. Error from PI: |
Enum エラー |
インポート |
Information |
VSA attribute ID enabling log failed. |
なし |
インポート |
Error |
VSA attribute ID attribute import failed. Error from PI. |
サポートされていない属性 |
インポート |
Error |
VSA attribute ID vendor ID vendor ID import failed. Error from PI . |
参照インポートなし |
Cisco TAC へのレポートの問題
Cisco TAC へ問題を報告する場合は、次の情報を含めてください。
• ACS 4.x データベース(.dmp ファイル)のバックアップ
• 移行のログファイル(...migration/bin/migration.log)
• config フォルダのすべてのレポート(...migration/config)
• ACS 5.3 ログファイル
• ACS 5.3 ビルド番号
• ACS 4.x ビルド番号
フィードバック