CSM サービスが 4.8 以降にアップグレード後開始に失敗する
内容
概要
このドキュメントでは、Cisco セキュリティ マネージャ(CSM)サービスの動作の変更点と、このサービスを CSM 4.8 以降のリリースで実行するために必要な権限について説明します。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
問題:少数の CSM サービスが、4.8 以降のバージョンにアップグレードすると自動起動に失敗する。
症状
1. Configuration Managerにログインすると、図に示すように、[Device view]タブの下に空白のページのみが表示され、どのデバイスも表示されません。
2.一部のサービスでは、図に示すように、services.mscの出力に従って、[Log On As]列に。/casuserが表示されます。
起動されないサービス:
CmfDbEngine、rptDbEngine、AusDbEngine、および vmsDbEngine
3. Windowsイベントログ:
[Event Viewer] > [Windows Logs] > [System] を選択します(エラー レベルを検索)
The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: Logon failure: the user has not been granted the requested logon type at this computer.
Service
: vmsDbEngine
Domain and account
: .\casuser This service account does not have the required user right "Log on as a service."
User Action
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster. If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.[an error occurred while processing this directive]
同様のイベントが、CmfDbEngine、rptDbEngine、および AusDbEngine サービスで見られます。
CSM 4.8 より、少数の CSM サービスが casuser で実行され、これは正常な動作です。
これらは、casuser で実行されるサービスの一部です。
CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine[an error occurred while processing this directive]
Casuser は上記のサービスを実行する権限が必要なため、これらのポリシーに設定する必要があります。
Log on as a service[an error occurred while processing this directive]
権限の変更点の表示
新規インストールまたは 4.8 へのアップグレードにより、[Log on as a service] に casuser が自動的に設定されます。
[Computer Configuration] > [Windows Settings] > [Security Settings] > [Local Policies] > [User Rights Assignment] を選択します。
1)外部グループポリシーオブジェクト(GPO)が設定されているサーバーの場合は、[ポリシーの結果セット(rsop.msc)]をオンにします。
2)ローカルポリシーを持つサーバの場合、gpedit.mscに変更が表示されます。
問題のトリガー
この問題は通常、ドメイン グループの一部で、適用される外部 GPO があるサーバで見られます。
外部 GPO にこのポリシーの例外がない場合、サーバで通常のグループ ポリシーの更新が行われた後、casuser は [Log on as a service] ポリシー(CSM 4.8 の新規インストールまたはアップグレード後に設定される)から削除される場合があります。
Casuser は、次のいずれかの条件により CSM サービスが再起動されるまで、[Log on as a service] ポリシーから削除されません。
- サーバ再起動後
- DB バックアップ後
- デーモン マネージャが再起動するとき
casuser が [Log on as a service] ポリシーから削除された場合、casuser にログオンまたは起動する権限がないため、前述の 4 つのサービス(CmfDbEngine、rptDbEngine、AusDbEngine、vmsDbEngine)の起動に失敗します。
解決方法
casuser アカウントが [Log on as a Service] に含まれているかを確認します。
1) rsop.mscを開き、[Computer Configuration] > [Windows Settings] > [Security Settings] > [Local Policies] > [User Rights Assignment]に移動します。
この図に示すように、
2) casuserがLog on as a Serviceに存在しない場合は、DCのLog on as a Service(ドメインコントローラ)にcasuserを明示的に追加します。
この図に示すように、
GPO がサーバに適用されると、定期的な更新としてプッシュされ、サービスを再度確認します。
手動によるグループ ポリシーの更新も、サーバで強制的に行うことができます。
デーモン マネージャを再起動し、修正を確認します。前述の 4 つのサービス(CmfDbEngine、rptDbEngine、AusDbEngine、vmsDbEngine)がアップし、正常に動作していることを確認します。
フィードバック