Configurando replicação no Cisco Secure ACS para Windows Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Considerações importantes sobre implementação Diagrama de Rede Configurando um servidor ACS primário Configurando um servidor ACS secundário Opções de agendamento Relatórios Database Replication.csv no ACS primário Database Replication.csv no ACS secundário Verificar Troubleshooting Informações Relacionadas Introdução As ajudas da replicação de banco de dados fazem o ambiente do Authentication, Authorization, and Accounting (AAA) mais falha tolerante. Igualmente duplica as peças do servidor primário setup a uns ou vários servidores secundários, para ajudar a criar sistemas do espelho de server do Cisco Secure ACS for Windows (ACS). Você pode configurar seus clientes de AAA para usar estes servidores secundários se o servidor primário falha ou é inacessível. Se o banco de dados do servidor secundário for uma réplica do banco de dados do servidor principal e o servidor principal ficar inoperante, as requisições recebidas serão autenticadas sem o tempo ocioso de rede. Isto acontece contanto que os clientes de AAA são configurados ao Failover ao servidor secundário. Pré-requisitos Requisitos Certifique-se de atender a estes requisitos antes de tentar esta configuração: Você possui, no mínimo, dois servidores Cisco Secure ACS para Windows. Você pode configurar seu ACS. Componentes Utilizados As informações neste documento são baseadas nestas versões de software: Versão de ACS 3.2.x e 3.3.x As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Considerações importantes sobre implementação Considere estes pontos quando a característica segura da replicação de banco de dados de Cisco é executada: O ACS suporta apenas a replicação de banco de dados para outros servidores de ACS. Todos os servidores ACS que participam na replicação de banco de dados segura de Cisco devem executar a mesmas versão e correção de programa em nível do ACS.
O servidor principal transmite a cópia compactada e criptografada de seus componentes do banco de dados para o servidor secundário. Esta transmissão ocorre sobre uma conexão de TCP, com porta 2000. A sessão do Transmission Control Protocol (TCP) é autenticada e usa cifrada, protocolo de proprietário Cisco. Os anfitriões apropriadamente somente configurados, válidos ACS podem ser servidores secundários. Para adicionar um servidor secundário, configurar-lo na tabela dos servidores AAA na seção de configuração de rede deste documento. Quando um server é adicionado à tabela dos servidores AAA, o server aparece para a seleção como um servidor secundário nos servidores AAA alista sob parceiros de replicação, na página de replicação de banco de dados segura de Cisco. O servidor primário deve ser configurado como um servidor AAA e deve ter uma chave. O servidor secundário deve ter o servidor primário configurado como um servidor AAA e sua chave para o servidor primário deve combinar os servidores primários para possuir a chave. A replicação aos servidores secundários ocorre sequencialmente na ordem alistada na lista da replicação sob parceiros de replicação, na página de replicação de banco de dados segura de Cisco. O servidor secundário, que recebe os componentes replicated, deve ser configurado para aceitar a replicação de banco de dados do servidor primário. Para configurar um servidor secundário para a replicação de banco de dados, refira configurar uma seção secundária do server do Cisco Secure ACS deste documento. O ACS não apoia a replicação de banco de dados bidirecional. O servidor secundário, que recebe os componentes replicated, verifica que o servidor primário não está em sua lista da replicação. Se não, o servidor secundário aceita os componentes replicated. Nesse caso, ele rejeita os componentes. Para replicate com sucesso o fornecedor de radius definido pelo usuário e as configurações do atributo específico de fornecedor (VSA), as definições a ser replicated devem ser idênticas no preliminar e nos servidores secundários. Isto inclui o fornecedor radius entalha os fornecedores de radius definidos pelo usuário ocupa. Para obter mais informações sobre fornecedores de RADIUS definido pelo usuário e VSAs, consulte a seção Fornecedores de RADIUS Definido pelo Usuário e Conjuntos de VSAs, do documento Utilitário Cisco de Banco de Dados de Linha de Comando de ACS Seguro. Diagrama de Rede Este documento utiliza a configuração de rede mostrada neste diagrama: Hostname Controlador de domínio do Microsoft Windows 2000 do Servidor ACS Principal Arnie Hostname Controlador de domínio do Microsoft Windows 2000 do servidor ACS Secundário em Nó Configurando um servidor ACS primário Use este procedimento para configurar um servidor primário de ACS: 1. 2. Entre à interface HTML do servidor primário de ACS. Na seção Configuração da rede, adicione cada servidor secundário à tabela Servidores AAA.
Nota: Se esta característica não aparece, selecione Interface Configuration > Advanced Options, e selecione a caixa de verificação da replicação de banco de dados ACS CiscoSecure. Além disso, verifique se a caixa de verificação Distributed System Settings está selecionada. 3. 4. Na barra de navegação, clique em System Configuration. Clique em Cisco Secure Database Replication. Uma vez que esta etapa é terminada, a página de configuração de replicação de banco de dados publica-se. 5. Marque a caixa de seleção Send de cada componente de banco de dados para enviar para o servidor secundário. 6. Em Replication Partners (Parceiros de replicação), adicione o servidor ACS secundário à coluna Replication Partner (Parceiro de replicação). 7. Clique em Submit. O ACS salvar a configuração de replicação e a frequência ou os tempos especificada. O ACS começa a enviar os componentes aos outros servidores ACS especificados. Configurando um servidor ACS secundário Use este procedimento para configurar o servidor ACS secundário: 1. 2. Entre à interface HTML do servidor secundário. Na seção de configuração de rede, adicionar o servidor primário à tabela dos servidores AAA (da mesma forma como no ACS preliminar). Nota: Se esta característica não aparece, selecione Interface Configuration > Advanced Options, e selecione a caixa de verificação da replicação de banco de dados ACS CiscoSecure. Além disso, verifique se a caixa de verificação Distributed System Settings está
selecionada. 3. 4. Na barra de navegação, clique em System Configuration. Clique em Cisco Secure Database Replication. Uma vez que esta etapa é terminada, a página de configuração de replicação de banco de dados publica-se. 5. Clique na caixa de seleção Receber para cada componente de banco de dados a ser recebido de um servidor primário. 6. 7. Se o servidor secundário é receber componentes de replicação de somente um servidor primário, selecione o outro nome do servidor do Cisco Secure ACS, do aceitar lista de replicação. Se o servidor secundário é receber componentes de replicação de mais de um servidor primário, selecione todo o server conhecido do Cisco Secure ACS for Windows 2000/NT do aceitar lista de replicação. Toda a opção Server conhecida do Cisco Secure ACS for Windows 2000/NT é limitada aos server alistados na tabela dos servidores AAA na seção de configuração de rede. 8. Não adicionar o servidor primário à coluna do parceiro de replicação. Sob parceiros de replicação, idealmente a coluna do parceiro de replicação está vazia. 9. Clique em Submit. O ACS salvar a configuração de replicação e a frequência ou os tempos especificada. O ACS aceita os componentes replicated dos outros server especificados. Opções de agendamento
Você pode especificar quando uma replicação de banco de dados segura de Cisco ocorre; isto é configurado no servidor primário, não o secundário. Estas opções que controlam quando a replicação ocorre aparecem na tabela da programação da replicação na página de replicação de banco de dados segura de Cisco. Estão aqui as opções: Manualmente - o ACS não executa a replicação automática de banco de dados. Automatically Triggered Cascade - O ACS executa a replicação do banco de dados para a lista configurada de servidores secundários ao concluir a replicação do banco de dados de um servidor principal. Isto permite-o de construir uma hierarquia de propagação de servidores, que não exija um servidor primário propagar os componentes replicated a outros server. Every x minutes - O ACS executa, em uma freqüência programada, replicação de banco de dados para a lista configurada de servidores secundários. A unidade de medição é minutos, com uma freqüência de atualização padrão de 60 minutos. Em horas específicas O ACS executa, especificado naquele tempo no gráfico de dia e hora, replicação de banco de dados à lista configurada dos servidores secundários. A resolução mínima é uma hora, e a replicação acontece na hora selecionada. Relatórios Vai aos relatórios e à atividade, a replicação de banco de dados seleta, e verifica o log do Replication.csv da base de dados ativa. Se a replicação é bem sucedida, você vê estes logs. Database Replication.csv no ACS primário Data Tempo Status Mensagem 06/12/2002 14:14:26 INFORMAÇÕES Ciclo de replicação de saída concluído. 06/12/2002 14:14:26 ERRO 06/12/2002 14:14:00 INFORMAÇÕES Database Replication.csv no ACS secundário A reaplicação para ACS Hanky foi bemsucedida. O ciclo de replicação externo está a ponto de começar. Data Tempo Status Mensagem 06/12/2002 16:32:02 INFORMAÇÕES 06/12/2002 16:31:41 INFORMAÇÕES Replicação de banco de dados de entrada de ACS Arnie terminado. Replicação de banco de dados de entrada de ACS Arnie começada. Nota: Nos mensagens de registro no servidor primário, o tipo de mensagem mostra um ERRO. Para mais informações, refira a identificação de bug Cisco CSCdw51174 (clientes registrados somente). A replicação ainda está sendo concluída corretamente, independentemente da senha ERROR. Workaround: Ignore the ERROR status. Você vê estes logs se a replicação não é bem sucedida. Os sintomas possíveis incluem: A chave secreta compartilhada não corresponde à(s) extremidade(s) remota(s) na tabela do servidor AAA. O servidor remoto não responde. Data Tempo Status Mensagem 06/14/2002 10:02:30 INFORMAÇÕES Ciclo de replicação de saída concluído. 06/14/2002 10:02:30 AVISO 06/14/2002 10:02:23 INFORMAÇÕES Verificar Não pode replicate ao lenço - o server não responde. O ciclo de replicação externo está a ponto de começar. Adicione um novo usuário ou grupo ao servidor primário ou altere as configurações atuais de usuário ou grupo e clique em na opção de replicar agora na seção de configuração de replicação de banco de dados em configuração do sistema. No servidor secundário, verifique o usuário ou o grupo e veja que as mudanças tomam o efeito. Troubleshooting Estes são algumas dos Mensagens de Erro que são encontrados, e das soluções para cada um:
A autenticação que falha com o erro; Autenticação falhada: O Mensagem de Erro da falha de proxy podia apresentar devido a uma configuração de distribuição incorreta do proxy. No ACS preliminar, certifique-se da entrada de distribuição de proxy não esteja ajustada para encaminhar ao ACS secundário ou ao reverso. A configuração correta é seapontar- o ACS correspondente. Se a replicação não trabalha, certifique-se que o ACS preliminar está alistado como um parceiro de replicação no ACS secundário. Se é removido, nenhum Parceiros do Replicação de AAA esteve selecionado. Pelo menos um precisa de ser selecionado para que a replicação ocorra. o erro é retornado. Se a replicação de saída é configurada com horas específicas, mude os ajustes ao manual. Isto resolve geralmente a edição. Informações Relacionadas Exemplos de Configuração e Notas Técnicas 1992-2015 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 19 Setembro 2015 http://www.cisco.com/cisco/web/support/br/104/1046/1046979_acs1.html