升級到4.8或更高版本後，CSM服務無法啟動

簡介

本檔案介紹思科安全管理員(CSM)服務中的行為變更，以及在CSM 4.8或更新版本中執行變更所需的許可權。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

問題：升級到4.8或更高版本時，很少有哪些CSM服務無法自動啟動。

症狀

1.登入到Configuration Manager，它只在Device view頁籤下顯示空白頁，看不到任何裝置，如下圖所示。

2.根據services.msc的輸出，在「Log On As」列下很少顯示。/casuser，如下圖所示。

不會啟動的服務：

CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine

附註：casuser -casuer使用者帳戶等同於Windows管理員，它提供對所有Common Services和Security Manager任務的訪問許可權。通常不直接使用此帳戶。 

3. Windows事件日誌：

導航到事件檢視器> Windows日誌>系統（查詢「錯誤」級別）

The vmsDbEngine service was unable to log on as .\casuser with the currently configured password due to the following error: 
Logon failure: the user has not been granted the requested logon type at this computer.
 

Service

: vmsDbEngine 

Domain and account

: .\casuser
 
This service account does not have the required user right "Log on as a service."
 

User Action

 
Assign "Log on as a service" to the service account on this computer. You can use Local Security Settings (Secpol.msc) to do this. If this computer is a node in a cluster, check that this user right is assigned to the Cluster service account on all nodes in the cluster.
 
If you have already assigned this user right to the service account, and the user right appears to be removed, check with your domain administrator to find out if a Group Policy object associated with this node might be removing the right.

針對CmfDbEngine、rptDbEngine和AusDbEngine服務觀察到類似的事件。

從CSM 4.8開始，很少有由casuser運行的CSM服務，這是預期行為。

以下是由casuser運行的一些服務：

CmfDbEngine, rptDbEngine, AusDbEngine and vmsDbEngine

Casuser需要許可權才能運行上述服務，因此需要為這些策略設定許可權：

Log on as a service

檢視許可權更改

新安裝或升級到4.8時，會自動將登入的casuser設定為服務策略。

導航到Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment。

1)對於設定了外部組策略對象(GPO)的伺服器，請檢查「策略的結果集」(rsop.msc)。

2)對於具有本地策略的伺服器，gpedit.msc會顯示更改。

問題的觸發因素

此問題通常出現在屬於域組並且已對其應用外部GPO的伺服器上。

在伺服器上進行常規組策略更新後，如果外部GPO可能沒有此策略的例外，則casuser可能會從服務策略（在CSM 4.8全新安裝或升級之後設定）的日誌中刪除。

由於以下任何一種情況下，在CSM服務重新啟動之前，Casuser不會從服務策略上的日誌中刪除：

• 伺服器重新啟動後
• 資料庫備份之後
• Anytime Daemon Manager is restarted

如果將casuser作為服務策略從Log on中刪除，則上述四個服務（CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine）無法啟動，因為casuser沒有登入或啟動任何服務的許可權。

解決方案

驗證是否為「作為服務登入」包含casuser帳戶。

1)開啟rsop.msc並導航到Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment。

如圖所示，

2)如果以服務方式登入時沒有casuser，則請為DC（即域控制器）上的以服務方式登入顯式新增casuser。

如圖所示，

GPO作為常規更新推送，一旦在伺服器上應用，請再次驗證服務。

也可以在服務器上強制執行手動組策略刷新。

重新啟動守護程式管理器並驗證修復。確保上述四項服務（CmfDbEngine、rptDbEngine、AusDbEngine和vmsDbEngine）已啟動並運行良好。

相關資訊

• casuser帳戶
• casuser所需的許可權
• 組策略對象基礎知識
• 作為服務登入
• 技術支援與文件 - Cisco Systems