Cisco Active Directory Agent インストレーション/ セットアップガイド、リリース 1.0

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco Active Directory Agent インストレーション/ セットアップガイド、リリース 1.0

Chapter Title

Active Directory Agent の問題のトラブルシューティング

PDF - Complete Book (2.05 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年5月29日

章のタイトル： Active Directory Agent の問題のトラブルシューティング

トラブルシューティング情報の取得
AD Agent での内部デバッグログの有効化
- AD Observer ログ
- RADIUS サーバログ
設定の問題

Active Directory Agent の問題のトラブルシューティング

この付録は、AD Agent の使用中に発生する可能性がある問題を特定および解決する際に役立つ情報を収録しています。この付録の構成は、次のとおりです。

• 「トラブルシューティング情報の取得」

• 「AD Agent での内部デバッグログの有効化」

• 「設定の問題」

トラブルシューティング情報の取得

トラブルシューティング情報は、AD Agent により生成される正式なカスタマーログから取得できます。これらのログは AD Agent マシンのディレクトリ C:¥IBF¥radiusServer¥runtime¥logs¥localStore にあります。

また、AD Agent のカスタマーログを Syslog サーバに送信することもできます。これらのログを受信するように Syslog サーバを設定する方法については、「AD Agent での Syslog サーバへのログ送信の設定」を参照してください。

adacfg options set -logLevel コマンドを使用して、localStore と Syslog の両方のカスタマーログでの詳細レベルを制御できます。

関連するカスタマーログメッセージのリストについては、付録 B「カスタマーログメッセージ」を参照してください。

デフォルトでは、ログレベルは INFO に設定され、情報メッセージのみが報告されます。特定の問題のトラブルシューティングを行う場合は、追加情報を取得するためにこのログレベルを変更することができます。ログレベルの有効なオプションを詳細度の高いものから順に示します。

• DEBUG

• INFO

• WARN

• ERROR

• FATAL

このコマンドの詳細については、「adacfg options set」を参照してください。

トラブルシューティングに役立つ情報源として、カスタマーログの他に Windows アプリケーションイベントログがあります。このログは、Windows Event Viewer ツール（[Event Viewer (Local)] > [Applications and Services Log] > [Cisco AD Agent]）を使用して表示できます。このツールは AD Agent ソフトウェア、内部プロセス「AD Observer」および「RADIUS サーバ」の開始イベントと停止イベントを記録します。詳細については、付録 C「Windows アプリケーションイベントログ」を参照してください。

問題の報告時に、AD Agent マシンで内部デバッグログを有効にするかどうか、およびカスタマーログとともにこれらのログを送信するかどうかが尋ねられます。これらのログは問題を診断および解決する際に役立ちます。これらの内部デバッグログを有効にするには、「AD Agent での内部デバッグログの有効化」を参照してください。

AD Agent での内部デバッグログの有効化

高度なトラブルシューティングのために、次の 2 種類の内部デバッグログを有効化できます。

• 「AD Observer ログ」

• 「RADIUS サーバログ」

AD Observer ログ

「C:¥IBF¥adObserver¥logconfig.ini」ファイルに、AD Observer サブコンポーネントの内部デバッグログレベルが指定されています。デフォルトでは LOG_LEVEL は LOG_NONE に設定されています。この設定では、AD Observer サブコンポーネントの内部デバッグログは生成されません。

LOG_LEVEL には次の値のいずれかを指定できます。

• LOG_VERBOSE：最も詳細なログ。

• LOG_DEBUG：トラブルシューティングおよびデバッグ情報が含まれます。

• LOG_INFO：情報メッセージが含まれます。

• LOG_WARN：警告メッセージが含まれます。

• LOG_ERROR：エラーメッセージが含まれます。

• LOG_FATAL：重大なエラーメッセージのみが含まれます。

ログレベルは LOG_VERBOSE（最も情報が多い）から LOG_FATAL（最も情報が少ない）までで、この順にレベルが低くなります。トラブルシューティング情報を取得するため、LOG_DEBUG を選択することをお勧めします。

AD Observer 内部デバッグログを有効にするには、次の手順を実行します。

ステップ 1 AD Agent マシンで C:¥IBF ¥ adObserver ディレクトリに移動します。

ステップ 2 [Notepad] などの任意のテキストエディタで logconfig.ini ファイルを開きます。

ステップ 3 このコンフィギュレーションファイルの最後のセンテンスを次のように変更します。

LOG_LEVEL=LOG_VERBOSE

ステップ 4 logconfig.ini ファイルを保存します。

ステップ 5 この変更を反映するため、 adactrl restart コマンドを使用して AD Agent を再起動します。

これで、AD Observer 内部デバッグログが有効化されました。AD Agent により ADObserverLog.txt ファイルが C:¥IBF¥adObserver ディレクトリに生成されます。

（注） AD Observer サブコンポーネントの内部デバッグメカニズムの「LOG_LEVEL」設定は、adacfg options set コマンドの -logLevel 設定オプションとは関係ありません。

RADIUS サーバログ

RADIUS サーバ実行時デバッグログコンフィギュレーションファイルでは、さまざまな RADIUS サーバサブコンポーネントの内部デバッグロギングを有効または無効にできます。このファイルの場所は C:¥IBF ¥ radiusServer¥runtime¥win32¥config¥RuntimeDebugLog.config です。

デフォルトでは、すべてのサブコンポーネントでデバッグロギングが無効です。

このコンフィギュレーションファイルでは、デバッグロギングをオフまたはオンにできる RADIUS サーバサブコンポーネントが次の形式のセンテンスにリストされます。

#components.[Acs.RT.] variable =off

variable には次のサブコンポーネントのいずれかを指定できます。

• ConfigVersionManager

• ConfigManager.XmlManager

• Statistics

• ConfigManager

• Logging

• Dictionary

• MessageCatalog.CatalogRepository

• Crypto.CRLHttpWorker

• EventHandler

• EventHandler.EventDispatchTable

RADIUS サーバサブコンポーネントの内部デバッグロギングを有効にするには、次の手順を実行します。

ステップ 1

AD Agent マシンで C:¥IBF ¥ radiusServer¥runtime¥win32¥config に移動します。

ステップ 2 任意のテキストエディタ（WordPad など）で RuntimeDebugLog.config ファイルを開きます。

ステップ 3 このコンフィギュレーションファイルで、デバッグログを有効にする RADIUS サーバサブコンポーネントをリストする行の終わりにある単語 off を on に置き換えます。

デバッグログを有効にするすべてのサブコンポーネントについて、単語 off を on に置き換えます。

（注）この値では大文字と小文字が区別されます。単語 off と on には小文字を使用してください。

ステップ 4 RuntimeDebugLog.config ファイルを保存します。

AD Agent により RADIUS サーバコンフィギュレーションファイルの変更が自動的に検出され、RADIUS サーバデバッグログが有効になります。これらのログは次の場所にあります。

C:¥IBF ¥ radiusServer¥runtime¥logs¥radiusServer_debug.log

設定の問題

このセクションでは、よく見られる設定の問題について説明します。ここでは、次の項目について説明します。

• 「クライアントデバイスからの要求が無視される」

• 「adacfg client status コマンドによりクライアントデバイスが「Out-of-Sync」であると報告されるが、原因が不明である」

• 「IP-to-user-identity マッピングが短期間で AD Agent キャッシュから消去される」

• 「特定の DC マシンにより認証されたユーザログオンが AD Agent により検出（および処理）されない」

• 「adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「up」状態に達していないことが示される」

• 「AD Agent がまったく機能しない」

• 「「adacfg dc list」コマンドを実行すると、ドメインコントローラマシンが「down(no-retry)」状態に達したことが示される」

• 「AD Agent マシンをリブートするとログオンが失敗する」

クライアントデバイスからの要求が無視される

症状または問題	クライアントデバイスからの要求が AD Agent マシンに到達していないか、無視されている可能性があります。
考えられる原因	1. AD Agent と通信するようにクライアントデバイスが適切に設定されていない可能性があります。 2. Windows ファイアウォールによって RADIUS トラフィックがブロックされている可能性があります。 3. AD Agent マシンで adacfg client create コマンドを使用してクライアントデバイスを設定したときに入力された RADIUS 共有秘密が誤っています。
解決策	1. クライアントデバイスが、AD Agent マシンと通信するように適切に設定されていることを確認します。 2. Windows ファイアウォールまたは類似のファイアウォールソフトウェアが実行されている場合は、「接続要件」で説明するように必要なファイアウォール例外が設定されていることを確認します。 3. カスタマーログ（localStore または Syslog）を調べ、無効な [RADIUS Authenticator] フィールドまたは [Message-Authenticator] 属性を示すログメッセージが記録されているかどうかを確認します。このようなメッセージが検出された場合は、クライアントデバイスと AD Agent の両方が、同じ RADIUS 共有秘密を使用するように正しく設定されていることを確認します。

症状または問題

クライアントデバイスからの要求が AD Agent マシンに到達していないか、無視されている可能性があります。

考えられる原因

1. AD Agent と通信するようにクライアントデバイスが適切に設定されていない可能性があります。

2. Windows ファイアウォールによって RADIUS トラフィックがブロックされている可能性があります。

3. AD Agent マシンで adacfg client create コマンドを使用してクライアントデバイスを設定したときに入力された RADIUS 共有秘密が誤っています。

解決策

1. クライアントデバイスが、AD Agent マシンと通信するように適切に設定されていることを確認します。

2. Windows ファイアウォールまたは類似のファイアウォールソフトウェアが実行されている場合は、「接続要件」で説明するように必要なファイアウォール例外が設定されていることを確認します。

3. カスタマーログ（localStore または Syslog）を調べ、無効な [RADIUS Authenticator] フィールドまたは [Message-Authenticator] 属性を示すログメッセージが記録されているかどうかを確認します。このようなメッセージが検出された場合は、クライアントデバイスと AD Agent の両方が、同じ RADIUS 共有秘密を使用するように正しく設定されていることを確認します。

adacfg client status コマンドによりクライアントデバイスが「Out-of-Sync」であると報告されるが、原因が不明である

症状または問題	AD Agent マシンが RADIUS CoA-Request によって通知更新をクライアントデバイスに送信した後、クライアントデバイスから CoA-ACK を受信しません。
考えられる原因	1. クライアントデバイスが現在ダウンしているか、または適切に設定されていないことが原因で RADIUS CoA-ACK を送信しなかった可能性があります。 2. Windows ファイアウォールによって RADIUS トラフィックがブロックされている可能性があります。 3. クライアントデバイスが CoA-ACK を送信するが、RADIUS 共有秘密が誤っているために AD Agent マシンがこの要求をドロップしている可能性があります。
解決策	1. クライアントデバイスが現在アップしており、AD Agent マシンと通信するように適切に設定されていることを確認します。 2. Windows ファイアウォールまたは類似のファイアウォールソフトウェアが実行されている場合は、「接続要件」で説明するように必要なファイアウォール例外が設定されていることを確認します。 3. カスタマーログ（localStore または Syslog）を調べ、無効な [RADIUS Authenticator] フィールドまたは [Message-Authenticator] 属性を示すログメッセージが記録されているかどうかを確認します。このようなメッセージが検出された場合は、クライアントデバイスと AD Agent の両方が、同じ RADIUS 共有秘密を使用するように正しく設定されていることを確認します。

症状または問題

AD Agent マシンが RADIUS CoA-Request によって通知更新をクライアントデバイスに送信した後、クライアントデバイスから CoA-ACK を受信しません。

考えられる原因

1. クライアントデバイスが現在ダウンしているか、または適切に設定されていないことが原因で RADIUS CoA-ACK を送信しなかった可能性があります。

2. Windows ファイアウォールによって RADIUS トラフィックがブロックされている可能性があります。

3. クライアントデバイスが CoA-ACK を送信するが、RADIUS 共有秘密が誤っているために AD Agent マシンがこの要求をドロップしている可能性があります。

解決策

1. クライアントデバイスが現在アップしており、AD Agent マシンと通信するように適切に設定されていることを確認します。

IP-to-user-identity マッピングが短期間で AD Agent キャッシュから消去される

症状または問題	IP-to-user-identity マッピングが AD Agent キャッシュから短期間で消去されます。
考えられる原因	adacfg options set コマンドの「userLogonTTL」設定オプションの現行設定に対応する期間が短すぎます。
解決策	ユーザログオン TTL の期間を長く設定してください。詳細については、「adacfg options set」を参照してください。

特定の DC マシンにより認証されたユーザログオンが AD Agent により検出（および処理）されない

症状または問題	特定の DC マシンにより認証されたユーザログオンが AD Agent により検出（および処理）されません。
考えられる原因	1. 特定の DC マシンにパッチが適切に適用されていない可能性があります。これが原因で、認証イベントがセキュリティログに書き込まれないことがあります。 2. その DC マシンの監査ポリシーが適切に設定されていない可能性があります。 3. AD Agent がマッピング更新を検出したが、（カスタマーログに記録されている）何らかの理由によりこの更新をドロップした可能性があります。考えられる原因の 1 つとして、「マッピング更新に将来のタイムスタンプが含まれている」ことがあります。これは、DC マシンのクロックが AD Agent マシンのクロックよりも 10 分を超えて進んでいる場合に発生します。
解決策	1. 特定の DC マシンにパッチが正しく適用されていることを確認します。 2. 特定の DC マシンの監査ポリシーが正しく設定されていることを確認します。 3. AD Agent マシンの localStore リポジトリ（または Syslog）を使用して、AD Agent マシンが対応するマッピング更新を受信し、どのような理由でもドロップしないようにします。 AD Agent マシンが何らかの理由でマッピング更新をドロップする場合は、この問題が訂正されていることを確認します。たとえば、マッピング更新に「将来のタイムスタンプ」が含まれている場合は、DC マシンのクロックと AD Agent マシンのクロックが適切に同期されているようにします。

症状または問題

特定の DC マシンにより認証されたユーザログオンが AD Agent により検出（および処理）されません。

考えられる原因

1. 特定の DC マシンにパッチが適切に適用されていない可能性があります。これが原因で、認証イベントがセキュリティログに書き込まれないことがあります。

2. その DC マシンの監査ポリシーが適切に設定されていない可能性があります。

3. AD Agent がマッピング更新を検出したが、（カスタマーログに記録されている）何らかの理由によりこの更新をドロップした可能性があります。考えられる原因の 1 つとして、「マッピング更新に将来のタイムスタンプが含まれている」ことがあります。これは、DC マシンのクロックが AD Agent マシンのクロックよりも 10 分を超えて進んでいる場合に発生します。

解決策

1. 特定の DC マシンにパッチが正しく適用されていることを確認します。

2. 特定の DC マシンの監査ポリシーが正しく設定されていることを確認します。

3. AD Agent マシンの localStore リポジトリ（または Syslog）を使用して、AD Agent マシンが対応するマッピング更新を受信し、どのような理由でもドロップしないようにします。

AD Agent マシンが何らかの理由でマッピング更新をドロップする場合は、この問題が訂正されていることを確認します。たとえば、マッピング更新に「将来のタイムスタンプ」が含まれている場合は、DC マシンのクロックと AD Agent マシンのクロックが適切に同期されているようにします。

adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「up」状態に達していないことが示される

症状または問題	adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「up」状態になっていないことが示されます。
考えられる原因	1. ドメインコントローラマシンでサポートされているバージョンの Windows Server が実行されていない可能性があります。 2. ドメインコントローラにパッチが正しく適用されていない可能性があります。 3. Windows ファイアウォールまたは類似のファイアウォールソフトウェアにより、ドメインコントローラマシンと AD Agent マシンの間の WMI トラフィックがブロックされている可能性があります。 4. AD Agent マシンが AD ドメインに参加していないか、ドメインコントローラマシンの AD ドメインと AD Agent マシンが参加している AD ドメインの間に適切な信頼関係が設定されていない可能性があります。 5. adacfg dc create コマンドに入力された値が誤っている可能性があります。特に、ドメインの完全 DNS 名が入力されていないか、アカウントクレデンシャルが誤っているか、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権がアカウントに付与されていない可能性があります。
解決策	1. ドメインコントローラマシンで実行されている Windows Server のバージョンがサポートされているバージョンであり、Windows Server にパッチが適切に適用されていることを確認してください。 2. Windows ファイアウォールまたは類似のファイアウォールソフトウェアが実行されている場合は、必要な WMI 例外が適切に設定されていることを確認します。 3. ドメインコントローラマシンの AD ドメインとの適切な信頼関係が設定されている AD ドメインに AD Agent マシンが参加していることを確認します。 4. adacfg dc create コマンドに入力した値が正しいことを確認します。特に、ドメインの完全 DNS 名を指定しており、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権が付与されているアカウントのクレデンシャルを指定していることを確認します。 5. 必要に応じて AD Observer サブコンポーネントの内部デバッグログを有効にし、以下の内容が含まれているかどうかを確認します。 – The RPC server is unavailable (0x800706ba)：このメッセージが含まれている場合、ドメインコントローラマシンがダウンしているか、または必要な例外を設定せずにファイアウォールを使用しているために通信がブロックされている可能性があります。 – Access is Denied (0x80070005)：このメッセージが含まれている場合は、指定されたアカウントに、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権がないか、またはクレデンシャルが誤っている可能性があります。

症状または問題

adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「up」状態になっていないことが示されます。

考えられる原因

1. ドメインコントローラマシンでサポートされているバージョンの Windows Server が実行されていない可能性があります。

2. ドメインコントローラにパッチが正しく適用されていない可能性があります。

3. Windows ファイアウォールまたは類似のファイアウォールソフトウェアにより、ドメインコントローラマシンと AD Agent マシンの間の WMI トラフィックがブロックされている可能性があります。

4. AD Agent マシンが AD ドメインに参加していないか、ドメインコントローラマシンの AD ドメインと AD Agent マシンが参加している AD ドメインの間に適切な信頼関係が設定されていない可能性があります。

5. adacfg dc create コマンドに入力された値が誤っている可能性があります。特に、ドメインの完全 DNS 名が入力されていないか、アカウントクレデンシャルが誤っているか、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権がアカウントに付与されていない可能性があります。

解決策

1. ドメインコントローラマシンで実行されている Windows Server のバージョンがサポートされているバージョンであり、Windows Server にパッチが適切に適用されていることを確認してください。

2. Windows ファイアウォールまたは類似のファイアウォールソフトウェアが実行されている場合は、必要な WMI 例外が適切に設定されていることを確認します。

3. ドメインコントローラマシンの AD ドメインとの適切な信頼関係が設定されている AD ドメインに AD Agent マシンが参加していることを確認します。

4. adacfg dc create コマンドに入力した値が正しいことを確認します。特に、ドメインの完全 DNS 名を指定しており、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権が付与されているアカウントのクレデンシャルを指定していることを確認します。

5. 必要に応じて AD Observer サブコンポーネントの内部デバッグログを有効にし、以下の内容が含まれているかどうかを確認します。

– The RPC server is unavailable (0x800706ba)：このメッセージが含まれている場合、ドメインコントローラマシンがダウンしているか、または必要な例外を設定せずにファイアウォールを使用しているために通信がブロックされている可能性があります。

– Access is Denied (0x80070005)：このメッセージが含まれている場合は、指定されたアカウントに、ドメインコントローラマシンのセキュリティログを読み取るための十分な特権がないか、またはクレデンシャルが誤っている可能性があります。

AD Agent がまったく機能しない

症状または問題	AD Agent がまったく機能せず、各種 CLI コマンドを入力すると、エラーメッセージ「 `Couldn't connect to server!` 」が常に表示されます。
考えられる原因	一部のアンチウィルスソフトウェアプログラムでは、cygwin1.dll が仮想化関連の脅威としてブロックされることが判明しています。ただし、この報告は誤検知として扱われる必要があります。AD Agent にはマルウェアは含まれていません。
解決策	1. AD Agent インストーラ実行ファイルを実行した後で、アンチウィルスソフトウェアのログを調べ、C:¥IBF¥radiusServer¥cygwin¥bin¥cygwin1.dll（または C:¥IBF フォルダ内のその他のアイテム）が潜在的な脅威としてブロックされているかどうかを確認します。 2. このような AD Agent サブコンポーネントがブロックされている場合は、サブコンポーネントをブロックせずに実行することを明示的に許可するようにアンチウィルスソフトウェアを設定します。

症状または問題

AD Agent がまったく機能せず、各種 CLI コマンドを入力すると、エラーメッセージ「 Couldn't connect to server! 」が常に表示されます。

考えられる原因

一部のアンチウィルスソフトウェアプログラムでは、cygwin1.dll が仮想化関連の脅威としてブロックされることが判明しています。ただし、この報告は誤検知として扱われる必要があります。AD Agent にはマルウェアは含まれていません。

解決策

1. AD Agent インストーラ実行ファイルを実行した後で、アンチウィルスソフトウェアのログを調べ、C:¥IBF¥radiusServer¥cygwin¥bin¥cygwin1.dll（または C:¥IBF フォルダ内のその他のアイテム）が潜在的な脅威としてブロックされているかどうかを確認します。

2. このような AD Agent サブコンポーネントがブロックされている場合は、サブコンポーネントをブロックせずに実行することを明示的に許可するようにアンチウィルスソフトウェアを設定します。

「adacfg dc list」コマンドを実行すると、ドメインコントローラマシンが「down(no-retry)」状態に達したことが示される

症状または問題	adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「down(no-retry)」状態に達したことが示されます。
考えられる原因	ドメインコントローラマシンにパッチが適切に適用されていないため、このドメインコントローラマシンの WMI サービスが応答していない可能性があります。
解決策	1. ドメインコントローラマシンにパッチが正しく適用されていることを確認します。 2. ドメインコントローラマシンの WMI サービスを再起動してください。 3. AD Agent の接続を強制的に再試行するには、次のいずれかを行います。 – ドメインコントローラ設定を削除してから、 adacfg dc create コマンドを使用して再作成します。 – adactrl restart コマンドを使用して AD Agent を再起動します。

症状または問題

adacfg dc list コマンドを実行すると、ドメインコントローラマシンが「down(no-retry)」状態に達したことが示されます。

考えられる原因

ドメインコントローラマシンにパッチが適切に適用されていないため、このドメインコントローラマシンの WMI サービスが応答していない可能性があります。

解決策

1. ドメインコントローラマシンにパッチが正しく適用されていることを確認します。

2. ドメインコントローラマシンの WMI サービスを再起動してください。

3. AD Agent の接続を強制的に再試行するには、次のいずれかを行います。

– ドメインコントローラ設定を削除してから、 adacfg dc create コマンドを使用して再作成します。

– adactrl restart コマンドを使用して AD Agent を再起動します。

AD Agent マシンをリブートするとログオンが失敗する

症状または問題	AD Agent をリブートすると次のエラーが発生します。 Windows could not start the Cisco AD Agent service on Local Computer. ERROR 1069: The service did not start due to a logon failure
考えられる原因	AD Agent が（同じ AD ドメインの）複数のドメインコントローラマシンに直接インストールされている可能性があります。この場合、AD Agent のインストール中に次のメッセージを示すダイアログボックスが表示されます。 ‘IBF_SERVICE_USER’ account already exists. OK to recreate? (Pressing 'No' will abort the installation.) WARNING: Make sure you are NOT attempting to install AD Agent directly on more than one DC machine (for the same AD domain)! [Yes] を選択したことで、この問題が発生します。
解決策	1. ドメインに作成された非ローカルアカウント「IBF_SERVICE_USER」のパスワードとして、既知の値を手動で設定します。 2. AD Agent がインストールされている各ドメインコントローラマシンで、新しいパスワードを使用するように「Services」パネルの「Cisco AD Agent」項目を手動で変更してから、このサービスを再起動するか、またはドメインコントローラマシンをリブートします。

症状または問題

AD Agent をリブートすると次のエラーが発生します。

Windows could not start the Cisco AD Agent service on Local Computer. ERROR 1069: The service did not start due to a logon failure

考えられる原因

AD Agent が（同じ AD ドメインの）複数のドメインコントローラマシンに直接インストールされている可能性があります。

この場合、AD Agent のインストール中に次のメッセージを示すダイアログボックスが表示されます。

‘IBF_SERVICE_USER’ account already exists. OK to recreate? (Pressing 'No' will abort the installation.)

WARNING: Make sure you are NOT attempting to install AD Agent

directly on more than one DC machine (for the same AD domain)!

[Yes] を選択したことで、この問題が発生します。

解決策

1. ドメインに作成された非ローカルアカウント「IBF_SERVICE_USER」のパスワードとして、既知の値を手動で設定します。

2. AD Agent がインストールされている各ドメインコントローラマシンで、新しいパスワードを使用するように「Services」パネルの「Cisco AD Agent」項目を手動で変更してから、このサービスを再起動するか、またはドメインコントローラマシンをリブートします。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco Active Directory Agent インストレーション/ セットアップ ガイド、リリース 1.0

偏向のない言語

翻訳について

検索結果

章のタイトル： Active Directory Agent の問題のトラブルシューティング

Active Directory Agent の問題のトラブルシューティング

トラブルシューティング情報の取得

AD Agent での内部デバッグ ログの有効化

AD Observer ログ

RADIUS サーバ ログ

設定の問題

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Active Directory Agent インストレーション/ セットアップガイド、リリース 1.0

AD Agent での内部デバッグログの有効化

RADIUS サーバログ