cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
1042
Views
0
Helpful
9
Replies

ACS 3.3.2.2 'Windows Database' Authentication problems

g.careaga
Level 1
Level 1

Hello team, I have a server with IP "x.x.x.x" and hostname "HostX" with Windows 2003 Server Standard Edition withOUT any SP. Is is running an ACS 3.2.2.2 with using WindowsDatabase authentication against an AD Server. Is is working good.

We have to migrate the ACS server to another one, the server in which I migrated the ACS 3.3.2.2 has the IP "y.y.y.y" with hostname HostY with Windows 2003 Server R2 Standar Edtion with SP 2. I excecuted a backup of the server HostX and I restored it in the new server HostY. I changed the ip address of the server in the net card, and in ACS I changed it too (AAA Server). So the HostY now has the IP address x.x.x.x in net card (because clients have AAA configures against this IP).

I tried to browse user list, and it is complete, BUT, when a user tries to authenticate (old Dynamic users), the ACS sends a message error in de FailedAttemptsLog "External DB account Restriction". Users created in the ACS (old Local users, NOT Dynamic) can authenticate without problem.

After that I reconfigured the WindowsDatabase and GroupMatching, after this, the users started to authenticate (Dynamics and Local ACS users). BUT the problem is that if I delete an OLD Dynamic user, or if I try to authenticate a NEW domain user which authenticates against WindowsDatabase, the authentication fails, with the following error "CS user unknown".

Does anyone know what I can test ?

Thanks a lot people.

9 Replies 9

Ivan Martinon
Level 7
Level 7

This ACS server was restored to the new Win2003SP2? if this is the case this is a not supported setup, Windows 2003 SP2 is only supported on 4.1.4 build 13 of ACS. Check the release notes, you need to upgrade accordingly.

Hola Ivan, podrias decirme si la version de ACS 3.3.2.2 esa soportado en W2003SP1 ? porque en las notas de instalacion dice que soporta W2000, W2003, y sus SP, y todo debe estar en Ingles instalado. Atacho un print screen de eso, eso lo vi en un documento para "Installation Guide for Cisco Secure ACS for Windows Server" para 3.3

SP1 si esta soportado, SP2 es el unico que no esta soportado mas que a partir de la version 4.1.4.

Saludos

Ivan

Antes que nada muchas gracias Ivan.

Es decir que lo que dice en el release notes no es del todo cierto.

Por otro lado, no habria problema en tomar el backup realizado del ACS 3.3.2 del server SIN SP y restaurarlo en el otro son SP1 ?

Muchas gracias nuevamente

Mmm lo de las release notes, es mas bien ambiguo y lo hacen para evitar estar actualizandolo todo el tiempo, con el servidor, si no hay problema siempre y cuando no haya SP2

Ok voy a intentar entonces con SP1 solamente y ver que sucede.

Tu dices que los mensajes de error en la autenticacion pueden estar dados por el uso del SP2 entonces ?

Existe la posibidad entonces de que desde la 3.3.2 en el W2k3 CON SP2 aunque no funcione la autenticacion en este momento, pueda ir upgradeando hasta llegar a las 4.1 soportada en SP2 ?

Sabes si eso funciona ?

En caso afirmativo, tenes algun doc que figure los upgrade que se pueden ir realizando ?

Mil gracis nuevamente.

- Buenos dias Ivan, respecto a este tema, queria consultarte lo siguiente.

- Sabes si funciona tomar un bkp de un 3.3.2 en W2k3 Standar SIN SP1 y levantarlo en un 3.3.2 W2k3 Std CON SP1 ? (esta prueba la voy a hacer en un server virtual)

Muchas gracias.

Antes que nada muchas gracias Ivan.

Es decir que lo que dice en el release notes no es del todo cierto.

Por otro lado, no habria problema en tomar el backup realizado del ACS 3.3.2 del server SIN SP y restaurarlo en el otro son SP1 ?

Muchas gracias nuevamente

Getting Started

Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community: