Falha no início dos serviços CSM após uma atualização para 4.8 ou versões posteriores

Opções de download

  • PDF     (325.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (192.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (280.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de março de 2016
ID do documento:200392

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve a alteração de comportamento nos serviços do Cisco Security Manager (CSM) e as permissões necessárias para executá-los no CSM 4.8 ou versões posteriores.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problema: Alguns serviços CSM não iniciam automaticamente quando são atualizados para a versão 4.8 ou posterior.

Sintomas

1. Efetue login no Gerenciador de configurações, ele mostra apenas uma página em branco na guia Exibição de dispositivos, nenhum dos dispositivos está visível, como mostrado na imagem.

2. Poucos serviços mostram ./casuser na coluna Log On As, de acordo com a saída de services.msc, como mostrado na imagem.

Serviços que não iniciariam:

CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine

Note: casuser- a conta de usuário do casuer é equivalente a um administrador do Windows e fornece acesso a todas as tarefas do Common Services e do Security Manager. Normalmente, você não usa essa conta diretamente. 

3. Log de eventos do Windows:

Navegue até Visualizador de Eventos > Logs do Windows > Sistema (procure o nível de Erro)

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service
 
: vmsDbEngine 

Domain and account
 
: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action
 
 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.
[an error occurred while processing this directive]

Eventos semelhantes são observados para o serviço CmfDbEngine, rptDbEngine e AusDbEngine.

A partir do CSM 4.8, poucos serviços do CSM são executados pelo casuser e é um comportamento esperado.

Estes são poucos dos serviços executados pelo casuser:

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine
[an error occurred while processing this directive]

O casuser requer permissão para executar os serviços acima; portanto, ele precisa ser definido para esta política:

Log on as a service
[an error occurred while processing this directive]

Exibir alterações de permissão

A nova instalação ou atualização para 4.8 define automaticamente o casuser para Logon como uma Política de serviço.

Navegue até Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais > Atribuição de direitos de usuário.

1) Para um servidor com GPO (Objeto de Política de Grupo) externo definido nele, verifique o Conjunto de Políticas Resultante (rsop.msc).

2) Para um servidor com políticas locais, gpedit.msc mostra a alteração.

Disparo do problema

Esse problema é geralmente visto em um servidor que faz parte do Grupo de domínio e tem um GPO externo aplicado nele.

Após uma atualização regular da Diretiva de Grupo no servidor, o casuser poderá ser removido do Log on a Service Policy (definido após a nova instalação ou atualização do CSM 4.8), se o GPO externo não tiver uma isenção para esta política.

O casuser não é removido do Log em uma Política de serviço até que os serviços CSM sejam reiniciados devido a uma das seguintes condições:

  • Após a reinicialização do servidor
  • Após um backup de banco de dados
  • O Anytime Daemon Manager é reiniciado

Se o casuser for removido do Logon como uma Política de serviço, os quatro serviços mencionados (CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine) não serão iniciados, pois o casuser não tem permissão para fazer logon ou iniciar qualquer um deles.

Solução

Verifique se a conta do casuser está incluída para Logon como Serviço.

1) Abra rsop.msc e navegue até Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

Conforme mostrado na imagem,

2) Se o casuser não estiver presente para iniciar sessão como serviço, adicione o casuser explicitamente para iniciar sessão como serviço no DC, ou seja, controlador de domínio.

Conforme mostrado na imagem,

O GPO é enviado como uma atualização regular, uma vez aplicado no servidor, verifique os serviços novamente.

Uma atualização manual da política de grupo também pode ser forçada no servidor.

Reinicie o Daemon Manager e verifique a correção. Certifique-se de que os quatro serviços acima mencionados (CmfDbEngine, rptDbEngine, AusDbEngine e vmsDbEngine) estejam ativos e funcionando bem.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Sumit Bist
    Engenheiro do TAC da Cisco
  • Prashant Joshi
    Engenheiro do TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos