imc inode中常見用戶下線原因分析

iMCiNode中常見用戶下線分1概 AAAAAA認(rèn)證系統(tǒng)會(huì)根據(jù)認(rèn)證設(shè)備上傳的屬性值來確定具體的下線（具體可參考：iMCUAM常見下線分析）并記錄認(rèn)證失敗日志，這樣，網(wǎng)絡(luò)管理員就可以根據(jù)用戶下線的來定位具體問題，而對(duì)于最終來講，能感知的就是終端的提示信息，如果使用證失敗提示和iMC側(cè)的認(rèn)證失敗日志吻合，現(xiàn)就iNode下線做一總結(jié)。（ 外還包括端口是否被最直接的定位方法是登陸服務(wù)器，從服務(wù)器側(cè)接入交IPIPiMC中，請(qǐng)確認(rèn)“業(yè)務(wù)－接入業(yè)務(wù)－接入設(shè)%2008-10-1412:51:58;[WARNING(2)];UAM;$SYS$;(NULL);(NULL);(NULL)InvalidSourceIPorportnumber(from%2008-10-1412:53:29; (1)];UAM;$SYS$;(NULL);(NULL);(NULL)CheckMsgAttr():InvalidMessage-Authenticatorreceivedfrom192.168.121.1,return如果在日志中看到如下記錄，則表明服務(wù)器上用于認(rèn)證請(qǐng)求報(bào)文的端口（缺省為1812）被其他應(yīng)用程序占用。若無法確定是什么程序占用了端口，請(qǐng)?jiān)诜?wù)器令行窗口%2008-10-1401:12:43;[ERROR(1)];UAM;$SYS$;(NULL);(NULL);(NULL);FailbindSocketwithPortforReceive收集用戶接入組件調(diào)試日志，聯(lián)系H3C技術(shù)支持人員處理。該用戶應(yīng)該綁定一個(gè)以域BIOS名為服務(wù)后綴的服務(wù)；如果該用戶是普通用戶，則登錄iMC中的賬戶名不允許包含@符號(hào)。用戶名并收集用戶接入組件調(diào)試日志，聯(lián)系H3C技術(shù)支持人員處理。導(dǎo)致該問題的直接是用戶通過認(rèn)證后，PC無法與策略服務(wù)器正常通訊GuestVLANIP地址”沒有GuestVLANIP地址（可在取消認(rèn)證的環(huán)境下嘗試重新獲取地址并在終端抓包）異常的。務(wù)器通訊。常用的做法是在終端打開命令行窗口，長(zhǎng)服務(wù)器的地址。觀察當(dāng)iNode客戶服務(wù)器，則需要排查網(wǎng)絡(luò)。此外，可以將認(rèn)證取消后從終端服務(wù)器，如果認(rèn)證取消果認(rèn)證取消后仍不能通服務(wù)器，則進(jìn)一步證明地址配置（獲取）有誤或網(wǎng)絡(luò)本身存在問9019UDP通訊正常。某些情況下，客戶端側(cè)或者服務(wù)器側(cè)安裝的第桌面安全類的軟件有可能將通訊。排查問題時(shí)建議臨時(shí)將安全軟件關(guān)閉。務(wù)器調(diào)試日志，并聯(lián)系H3C技術(shù)支持人員處理。1、iMC與思科交換機(jī)配合，當(dāng)思科交換機(jī)上配置了主備iMC服務(wù)器的地址時(shí)，則有可RadiusServer的地址也會(huì)導(dǎo)致該問題，只不過這種情況下第二次認(rèn)證時(shí)是成功認(rèn)主iMC服務(wù)器上。3、排查交換機(jī)到主iMC服務(wù)器認(rèn)證失敗的需要綜合考慮多方面的可能。正常的認(rèn)障都是有可能發(fā)生的。如果此時(shí)可以從其他交換機(jī)成功認(rèn)主服務(wù)器上，則基本可以排除器之間網(wǎng)絡(luò)不通的可能，稍后可再次驗(yàn)證從發(fā)生主備切換的交換機(jī)上是否能夠成功認(rèn)主4、如果連續(xù)認(rèn)證仍然報(bào)同樣的錯(cuò)誤，請(qǐng)首先檢查交換機(jī)上是否配置了“aaaaccountingiNode客戶端的連接屬性中的參數(shù)配置。確保在與思科設(shè)備配合的DHCP環(huán)境中，沒有勾選“上傳IP地址”。IP/MACIP/MAC綁定，可以直接修改接入都實(shí)時(shí)將驗(yàn)證的工作交由AD服務(wù)器處理。次確認(rèn)是否有可能在AD服務(wù)器上重置了該用戶的而未知會(huì)終端用戶。若以上操作無法定位問題，請(qǐng)復(fù)現(xiàn)該問題，同時(shí)記錄問題處理過程，收集iMC服務(wù)器上的抓包信息，聯(lián)系H3C技術(shù)支持人員處理。過認(rèn)證，在操作系統(tǒng)本地已經(jīng)有緩存。那么可以判斷導(dǎo)致該問題的最直接的是AD上密碼已經(jīng)更新，而當(dāng)前仍然是使用的老登陸。請(qǐng)終端用戶確認(rèn)是否在登陸桌面時(shí)錯(cuò)誤地輸入了舊。認(rèn)證（無需重啟PC觸發(fā)域統(tǒng)一認(rèn)證，驗(yàn)證問題是否解決。器上的抓包信息，聯(lián)系H3C技術(shù)支持人員處理。在使用iMC的認(rèn)證功能組件UAM時(shí)，有將用戶加入的功能，目前有有三種方式可以將普通帳號(hào)加入：加入不論在哪臺(tái)客戶端PC上登錄均有效。第三種情況：由于多次輸入錯(cuò)誤（比如超過10次），即登錄嘗試加入。這種情況和前兩這樣做的目的是：防止當(dāng)盜用其他人帳號(hào)，多次在別的PC上登錄多次而加入，但帳號(hào)擁故，終端在認(rèn)證上線后，認(rèn)證賬號(hào)的還需到AD上校驗(yàn)，如果采用CHAP認(rèn)證方式，那pap/eapPortalPortal服務(wù)管理>>設(shè)備配置端口組信息配置里修改察看下