4.8 이상의 릴리스로 업그레이드한 후 CSM 서비스를 시작하지 못함

소개

이 문서에서는 Cisco CSM(Security Manager) 서비스의 동작 변경 및 CSM 4.8 이상 릴리스에서 실행하는 데 필요한 권한에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

문제/장애:4.8 이상 버전으로 업그레이드하면 자동으로 시작되지 않는 CSM 서비스는 거의 없습니다.

증상

1. Configuration Manager에 로그인하면 장치 보기 탭에 빈 페이지만 표시되고, 이미지에 표시된 것처럼 어떤 장치도 표시되지 않습니다.

2. 이미지에 표시된 바와 같이 services.msc의 출력에 따라 Log On As(다음으로 로그온) 열에 ./casuser가 표시되는 서비스는 거의 없습니다.

시작되지 않는 서비스:

CmfDbEngine, rptDbEngine, AusDbEngine 및 vmsDbEngine

참고:casuser - 수신자 사용자 계정은 Windows 관리자와 동일하며 모든 일반 서비스 및 보안 관리자 작업에 대한 액세스를 제공합니다.일반적으로 이 계정은 직접 사용하지 않습니다. 

3. Windows 이벤트 로그:

Event Viewer(이벤트 뷰어) > Windows Logs(Windows 로그) > System(시스템)으로 이동합니다(오류 수준 찾기).

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service

: vmsDbEngine 

Domain and account

: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action

 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.

CmfDbEngine, rptDbEngine 및 AusDbEngine 서비스에 대해 유사한 이벤트가 관찰됩니다.

CSM 4.8에서는 casuser가 실행하는 CSM 서비스가 거의 없으며 이는 정상적인 동작입니다.

casuser가 실행하는 서비스는 다음과 같습니다.

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine

Casuser는 위의 서비스를 실행할 권한이 필요하므로 다음 정책에 대해 설정해야 합니다.

Log on as a service

사용 권한 변경 보기

새 설치 또는 4.8로 업그레이드하면 서비스 정책으로 로그온하는 casuser가 자동으로 설정됩니다.

Computer Configuration(컴퓨터 구성) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Local Policies(로컬 정책) > User Rights Assignment(사용자 권한 할당)로 이동합니다.

1) 외부 GPO(그룹 정책 개체)가 설정된 서버의 경우 Results Set of Policy(정책 결과 집합)(rsop.msc)를 선택합니다.

2) 로컬 정책이 있는 서버의 경우 gpedit.msc가 변경 사항을 표시합니다.

문제 트리거

이 문제는 일반적으로 도메인 그룹에 속해 있으며 외부 GPO가 적용된 서버에서 나타납니다.

서버에서 정기적인 그룹 정책을 업데이트한 후, 외부 GPO에 이 정책에 대한 면제가 없는 경우, CSM 4.8 신규 설치 또는 업그레이드 후에 설정된 서비스 정책의 로그로부터 casuser가 제거될 수 있습니다.

다음 조건으로 인해 CSM 서비스가 다시 시작될 때까지 서비스 정책의 로그온에서 Casuser가 제거되지 않습니다.

• 서버 재부팅 후
• DB 백업 후
• 언제든지 데몬 관리자가 다시 시작됩니다.

casuser가 서비스 정책으로 로그온에서 제거된 경우, 앞서 언급한 네 가지 서비스(CmfDbEngine, rptDbEngine, AusDbEngine 및 vmsDbEngine)가 시작되지 않습니다. casuser는 로그온하거나 시작할 권한이 없기 때문입니다.

솔루션

서비스로 로그온 시 casuser 계정이 포함되었는지 확인합니다.

1) rsop.msc를 열고 컴퓨터 구성 >Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당으로 이동합니다.

이미지에 표시된 것처럼

2) casuser가 서비스로 로그온을 위해 존재하지 않는 경우 DC(도메인 컨트롤러)에서 서비스로 로그온하기 위해 casuser를 명시적으로 추가합니다.

이미지에 표시된 것처럼

GPO가 일반 업데이트로 푸시되고 서버에 적용되면 서비스를 다시 확인합니다.

수동 그룹 정책 새로 고침은 서버에서도 강제로 수행될 수 있습니다.

데몬 관리자를 다시 시작하고 수정 사항을 확인합니다.앞서 언급한 네 가지 서비스(CmfDbEngine, rptDbEngine, AusDbEngine 및 vmsDbEngine)가 작동 및 제대로 실행되는지 확인합니다.

관련 정보

• casuser 계정
• casuser에 필요한 권한
• 그룹 정책 개체의 기본 정보
• 서비스로 로그온
• 기술 지원 및 문서 − Cisco Systems