升级到4.8或更高版本后CSM服务无法启动

下载选项

  • PDF     (391.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (183.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (270.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 3 月 22 日
文档 ID:200392

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍思科安全管理器(CSM)服务中的行为更改以及在CSM 4.8或更高版本上执行这些更改所需的权限。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题:当CSM服务升级到4.8或更高版本时,很少有CSM服务无法自动启动。

症状

1.登录到Configuration Manager,它只在“设备视图”选项卡下显示一个空白页,其中没有任何设备可见,如图所示。

2.根据services.msc的输出,很少有服务在“登录身份”列下显示。/casuser,如图所示。

不启动的服务:

CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine

注意:casuser — 临时用户帐户相当于Windows管理员,并提供对所有Common Services和Security Manager任务的访问。通常不直接使用此帐户。 

3. Windows事件日志:

导航至“事件查看器”>“Windows日志”>“系统”(查找错误级别)

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service
 
: vmsDbEngine 

Domain and account
 
: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action
 
 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.
[an error occurred while processing this directive]

观察到CmfDbEngine、rptDbEngine和AusDbEngine服务的类似事件。

从CSM 4.8开始,casuser只运行少量CSM服务,这是预期行为。

以下是casuser运行的服务中的少数服务:

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine
[an error occurred while processing this directive]

Casuser需要权限才能运行上述服务,因此,需要为以下策略设置它:

Log on as a service
[an error occurred while processing this directive]

查看权限更改

新安装或升级到4.8后,会自动将casuser设置为“作为服务策略登录”。

导航至“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“用户权限分配”。

1)对于已设置外部组策略对象(GPO)的服务器,选中策略的结果集(rsop.msc)。

2)对于具有本地策略的服务器,gpedit.msc显示更改。

问题的触发

此问题通常在属于域组并且应用了外部GPO的服务器上出现。

在服务器上定期更新组策略后,如果外部GPO可能没有此策略的例外,则casuser可能会从服务策略的“登录”(在CSM 4.8新安装或升级后设置)中删除。

在CSM服务因以下任何条件重新启动之前,不会从Log on a service Policy(登录服务策略)中删除Casuser:

  • 服务器重新启动后
  • 数据库备份后
  • 随时重新启动守护程序管理器

如果从Log on as service Policy中删除casuser,则上述四个服务(CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine)无法启动,因为casuser没有登录或启动其中任何服务的权限。

解决方案

验证是否包含casuser帐户以作为服务登录。

1)打开rsop.msc,然后导航至“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“用户权限分配”。

如图所示,

2)如果casuser不存在于Log on as a Service,则在DC(即域控制器)上显式添加casuser以Log as a Service。

如图所示,

GPO作为常规更新推送,一旦在服务器上应用,请再次验证服务。

也可以在服务器上强制执行手动组策略刷新。

重新启动守护程序管理器并检验修复。确保上述四个服务(CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine)正常运行。

相关信息

TAC Authored

由思科工程师提供

  • Sumit Bist
    思科TAC工程师
  • Prashant Joshi
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品