ACS 3.3.2.2 'Windows Database' Authentication problems

Unanswered Question
Jan 22nd, 2009

Hello team, I have a server with IP "x.x.x.x" and hostname "HostX" with Windows 2003 Server Standard Edition withOUT any SP. Is is running an ACS 3.2.2.2 with using WindowsDatabase authentication against an AD Server. Is is working good.

We have to migrate the ACS server to another one, the server in which I migrated the ACS 3.3.2.2 has the IP "y.y.y.y" with hostname HostY with Windows 2003 Server R2 Standar Edtion with SP 2. I excecuted a backup of the server HostX and I restored it in the new server HostY. I changed the ip address of the server in the net card, and in ACS I changed it too (AAA Server). So the HostY now has the IP address x.x.x.x in net card (because clients have AAA configures against this IP).

I tried to browse user list, and it is complete, BUT, when a user tries to authenticate (old Dynamic users), the ACS sends a message error in de FailedAttemptsLog "External DB account Restriction". Users created in the ACS (old Local users, NOT Dynamic) can authenticate without problem.

After that I reconfigured the WindowsDatabase and GroupMatching, after this, the users started to authenticate (Dynamics and Local ACS users). BUT the problem is that if I delete an OLD Dynamic user, or if I try to authenticate a NEW domain user which authenticates against WindowsDatabase, the authentication fails, with the following error "CS user unknown".

Does anyone know what I can test ?

Thanks a lot people.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 0 (0 ratings)
Loading.
Ivan Martinon Thu, 01/22/2009 - 11:09

This ACS server was restored to the new Win2003SP2? if this is the case this is a not supported setup, Windows 2003 SP2 is only supported on 4.1.4 build 13 of ACS. Check the release notes, you need to upgrade accordingly.

g.careaga Thu, 01/22/2009 - 11:40

Hola Ivan, podrias decirme si la version de ACS 3.3.2.2 esa soportado en W2003SP1 ? porque en las notas de instalacion dice que soporta W2000, W2003, y sus SP, y todo debe estar en Ingles instalado. Atacho un print screen de eso, eso lo vi en un documento para "Installation Guide for Cisco Secure ACS for Windows Server" para 3.3

Attachment: 
Ivan Martinon Thu, 01/22/2009 - 11:49

SP1 si esta soportado, SP2 es el unico que no esta soportado mas que a partir de la version 4.1.4.

Saludos

Ivan

g.careaga Thu, 01/22/2009 - 12:03

Antes que nada muchas gracias Ivan.

Es decir que lo que dice en el release notes no es del todo cierto.

Por otro lado, no habria problema en tomar el backup realizado del ACS 3.3.2 del server SIN SP y restaurarlo en el otro son SP1 ?

Muchas gracias nuevamente

Ivan Martinon Thu, 01/22/2009 - 12:06

Mmm lo de las release notes, es mas bien ambiguo y lo hacen para evitar estar actualizandolo todo el tiempo, con el servidor, si no hay problema siempre y cuando no haya SP2

g.careaga Thu, 01/22/2009 - 12:13

Ok voy a intentar entonces con SP1 solamente y ver que sucede.

Tu dices que los mensajes de error en la autenticacion pueden estar dados por el uso del SP2 entonces ?

g.careaga Thu, 01/22/2009 - 12:18

Existe la posibidad entonces de que desde la 3.3.2 en el W2k3 CON SP2 aunque no funcione la autenticacion en este momento, pueda ir upgradeando hasta llegar a las 4.1 soportada en SP2 ?

Sabes si eso funciona ?

En caso afirmativo, tenes algun doc que figure los upgrade que se pueden ir realizando ?

Mil gracis nuevamente.

g.careaga Fri, 01/23/2009 - 03:25

- Buenos dias Ivan, respecto a este tema, queria consultarte lo siguiente.

- Sabes si funciona tomar un bkp de un 3.3.2 en W2k3 Standar SIN SP1 y levantarlo en un 3.3.2 W2k3 Std CON SP1 ? (esta prueba la voy a hacer en un server virtual)

Muchas gracias.

g.careaga Thu, 01/22/2009 - 12:11

Antes que nada muchas gracias Ivan.

Es decir que lo que dice en el release notes no es del todo cierto.

Por otro lado, no habria problema en tomar el backup realizado del ACS 3.3.2 del server SIN SP y restaurarlo en el otro son SP1 ?

Muchas gracias nuevamente

Actions

This Discussion