show aaa authentication-server radius statistics IAS 使用時、Radiusタイムアウトが多発する

Radius サーバとして Microsoft IAS を使用している場合に Radius のタイムアウトが多発する場合があります。

この原因と解決方法について説明します。

[確認方法]

■1. show aaa authentication-server radius statistics の "Timeouts" カウンタが多い

■2. 以下の SECURITY ログが多発する(nitifications レベル)

コード: 全て選択

124014:  <NOTI> |authmgr|  Taking Server <サーバ名> out of service for 10 mins

■3. 以下のトラップが多発する

wlsxNAuthServerReqTimedOut

wlsxNAuthServerIsDown

(Aruba3600) # show aaa authentication-server radius statistics

RADIUS Server Statistics
------------------------
Server  Acct Rq  Raw Rq  PAP Rq  CHAP Rq  MSCHAP Rq  MSCHAPv2 Rq  Mismatch Rsp  Bad Auth  Acc  Rej  Acct Rsp  Chal  Ukn Rsp  Tmout  AvgRspTm  Tot Rq  Tot Rsp  Rd Err  Uptime  SEQ
------  -------  ------  ------  -------  ---------  -----------  ------------  --------  ---  ---  --------  ----  -------  -----  --------  ------  -------  ------  ------  ---

*AvgRspTm is in msec, Uptime is in d:h:m, SEQ is in Total/Free

Orphaned requests = 0

[原因]

IAS には、「ドメイン名\ユーザ名」または「ユーザ名@ドメイン名」形式の認証要求を受信した場合、ドメイン名が不明な場合に認証エラーを返すのではなく認証パケットを破棄する(silently discard)という不具合があります。

この挙動は Aruba コントローラから見るとリクエストのタイムアウトとなるため、out-of-service のログやサーバの切り替わりが多発することになります。

[解決方法]

Microsoft の以下のページにて Hotfix が提供されています。

http://support.microsoft.com/kb/946813/en-us

ワークアラウンドとして、trim-fqdn を使用するとコントローラでドメイン名部分を削除して IAS に送信するため、事象が発生しません。

コード: 全て選択

aaa server-group corp-serv

  auth-server ias-2 tim-fqdn