- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
H3C EIA
故障处理手册
资料版本:5W104-20230803
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
2.16 RSA只支持以下认证类型:PAP,EAP-MD5,PEAP-MD5,PEAP-GTC
2.21 由于您已经连续%d次认证失败,这次认证被服务器丢弃,请过%d分钟后重试
6.2 LDAP用户不存在或者密码错误,您还可以重试#Count次
6.5 LDAP服务器连接超时、IP地址错误或端口错误,请稍后重试或联系管理员
6.10 LDAP服务器处于未连通状态,请稍后重试或者通知管理员
8.3 没有接收到MSCHAPv2SERVER的认证信息报文
9.1 第三方Radius认证失败,请确认输入了正确的用户名和密码,或者联系管理员
9.2 Boss系统认证失败,请确认输入了正确的手机号码和密码,或者联系管理员
12.2 MAC Portal无感知失效,每次都要输入帐号名和密码
12.3 无法使用MAC Portal认证,总是推送认证结果页面
13.8 绑定终端数量达到限制,系统设置绑定终端最多#MaxCount个
13.10 当前场景下绑定终端数量达到限制,当前场景限制绑定终端最多#MaxCount个
13.12 今日在线时长已达到接入服务中设置的单日累计在线最长时间限制
13.14 安装DHCP Agent失败或安装的DHCP Agent无法正常使用
13.15 DHCP Agent启动DHCP Server失败
本文档介绍EIA组件常见故障的诊断及处理措施。
软件正常运行时,建议您在完成重要功能的配置后,及时保存并备份配置文件和数据文件,以免软件出现故障后配置丢失。建议您定期将配置文件和数据文件备份至远程服务器上,以便故障发生后能够迅速恢复配置和数据。
在进行故障诊断和处理时,请注意以下事项:
· 当出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),收集信息越全面详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录详细的安装环境信息、软件运行状态。
¡ 收集日志信息和诊断信息,日志收集步骤请参见“15 日志收集”。
¡ 记录现场采取的故障处理措施及实施后的现象效果。
· 诊断和处理故障人员必须详细了解软件运行机制,并能熟练操作软件及其所依赖的程序和系统。
· 故障处理过程中,如需更换程序文件或安装补丁,请参考软件对应的版本说明书,确保兼容性。
当故障无法自行解决时,发送给H3C技术支持人员进行故障定位分析。
用户支持邮箱:[email protected]
用户不存在。(英文提示:User does not exist.)
EIA中未配置该用户。
在EIA的接入用户中增加该用户。
该用户有其它连接正在认证,请稍后重试。(英文提示:The server is processing your last authentication request, please try again later.)
EIA正在处理该用户上次认证请求。
需要间隔一段时间再进行认证。
用户已被加入黑名单。(英文提示:User is already in the blacklist.)
用户已经被加入黑名单的常见原因有:操作员锁定用户、恶意登录尝试、欠费超过指定账期、充值失败超过阈值、无效客户端等。
· 对于操作员锁定用户的情况需要由操作员手工将用户从黑名单中解除;
· 对于因为欠费超过指定账期被加入黑名单的情况,在缴纳相关费用后可立即解除;
· 对于恶意登录尝试、充值失败达到阈值、无效客户端的情况,有下述两种方式解除:
¡ 方式一:等待次日凌晨系统会自动解除。可在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]页面设置“按加入时长解除黑名单”参数,勾选后可以设置黑名单解除时间,若不启用该参数表示系统每天凌晨三点半定时解除黑名单。
图2-1 按接入时长解除黑名单
¡ 方式二:联系管理员手工解除。
用户状态非法。(英文提示:User state is invalid.)
用户要求进行设备管理用户认证,但设备进行的是普通用户认证,两者不一致。
需要查看在设备和EIA上的认证类型是否一致。对于设备管理用户,在设备上需要配置scheme方式对其进行认证。
用户已失效。(英文提示:User is out of date.)
用户认证时已到设置的失效时间。
在[自动化>用户业务>接入用户>接入用户]页面,单击该用户对应修改列的“修改”图标,进入修改信息页面,修改该用户的失效时间。
用户状态为注销。(英文提示:User is already written off.)
该帐号已经被注销。
在[自动化>用户业务>接入用户>接入用户]页面中增加该用户。
用户状态为停用。(英文提示:User is forbidden.)
在系统参数中启用了预注册用户二级确认,使得操作员进行预注册用户正式或批量注册成功后,用户状态为未激活。
由操作员激活该用户。
用户不存在或者用户没有申请该服务。(英文提示:The user does not exist or has not subscribed to this service.)
EIA中未配置该用户或者该用户未申请认证时使用的服务。设备侧domain服务后缀的配置可能也会引发该现象。
检查EIA中是否配置了该用户或者申请的服务是否正确,若没有该用户则增加用户,若服务不正确则修改服务。
服务状态无效。(英文提示:Service is state is invalid.)
正在进行认证的用户处于非正常状态,如哑终端预生成账户处于注销状态。
在[自动化>用户业务>接入用户]页面中增加该用户。
在线用户数量限制。(英文提示:The online number reaches the upper limit.)
使用该帐号的已在线用户数量达到配置的在线数量限制。
可在[自动化>用户业务>接入用户]页面中修改在线数量限制,或在[自动化>用户业务>接入服务]中配置单帐号在线数量限制。其中,接入用户中的在线数量限制及接入服务场景中的在线数量限制分别对应不同的提示信息,可根据提示信息进行判断。
用户密码错误。(英文提示:Incorrect password.)
该用户认证时输入的密码不正确。
在认证时使用正确的用户密码。
用户密码错误,您已经被加入黑名单。(英文提示:Incorrect password. You have been added into blacklist.)
用户连续用错误密码认证的次数达到设置值。
· 有下述两种方式解除:
¡ 方式一:等待次日凌晨系统会自动解除。可在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]页面设置“按加入时长解除黑名单”参数,勾选后可以设置黑名单解除时间,若不启用该参数表示系统每天凌晨三点半定时解除黑名单。
图2-2 按接入时长解除黑名单
¡ 方式二:联系管理员手工解除。
密码错误,您还可以重试#Count次。(英文提示:Incorrect password. You can retry #Count times.)
用户密码错误,提示还剩余几次会加入黑名单 。
使用正确的密码进行认证。
认证用户名为空。(英文提示:User name is null.)
用户认证时未在认证报文中携带用户名信息。
需要设备侧检查发送认证报文中是否携带用户名信息。
用户认证类型错误。(英文提示:Invalid authentication type.)
EIA中配置的认证类型和用户认证时使用的设备中配置的认证类型不一致。
确保在EIA、设备以及客户端上配置的认证类型保证一致。
RSA只支持以下认证类型:PAP,EAP-MD5,PEAP-MD5,PEAP-GTC。(英文提示:RSA supports only the following authentication types: PAP, EAP-MD5, PEAP-MD5, and PEAP-GTC.)
用户认证时使用的认证类型不是RSA认证所支持的认证方式。
使用PAP、EAP-MD5、PEAP-MD5或PEAP-GTC认证方式进行认证。
缺少相应的哑终端配置。(英文提示:No MAC address information is available for the mute terminal.)
用户进行哑终端认证,但在哑终端配置中没有配置MAC地址信息。
在[自动化>用户业务>接入用户>哑终端用户配置]页面中增加MAC地址信息。
您的帐号未生效,请15分钟后重试。(英文提示:The user account has not been generated. Please retry 15 minutes later.)
LDAP按需同步用户在按需同步时或者配置完第三方认证时会生成一些预帐号,该用户在认证时预帐号还没有生成完。
等15分钟后再进行认证。
没有可用的哑终端预生成用户,请联系管理员。(英文提示:No predefined account is available for the mute terminal user. Please contact the administrator.)
配置哑终端用户配置时会生成一些预生成用户,但在认证时未找到预生成用户信息。
单击[自动化>用户业务>接入用户>哑终端用户配置]页面中<立即生效>按钮,或者稍等一段时间后再进行认证。
静态IPv6地址绑定检查失败。(英文提示:Failed to check IPv6 address binding.)
接入策略中勾选了“绑定用户IPv6地址”项,并且用户认证时未获取到IPv6地址,或者和接入用户中已经绑定的用户IPv6地址不一致。
· 方案一:确保认证时获取到用户IPv6地址。
· 方案二:确保用户认证时上传的IPv6地址和接入策略中设置的绑定用户IPv6地址保持一致。
· 方案三:取消接入策略中勾选的“绑定用户IPv6地址”项。
由于您已经连续%d次认证失败,这次认证被服务器丢弃,请过%d分钟后重试。(英文提示:The request is dropped by UAM because of %d consecutive authentication failures. Please try again %d minutes later.)
在系统参数中启用了认证防攻击功能,用户由于连续认证失败,导致认证失败次数达到系统参数中设置的认证失败阈值。
(1) 关闭认证防攻击功能。
(2) 修改系统参数中的认证失败阈值或者等待一段时间(失败提示信息中提示的时间)后再认证。
访客密码过期,请找回密码。(英文提示:The password of the guest is expired. Click Forget Password to obtain a new password.)
访客认证时输入的密码已过了有效期,密码有效时长是在访客策略中配置的。
可以由管理员在访客策略页面重置访客密码有效时长或者用户登录自助进行重置。
用户未生效。(英文提示:The user is not validated.)
在如下图所示[用户业务>接入用户>增加接入用户]页面设置了生效日期,在用户认证时,接入信息还未到达生效日期。
图2-3 生效日期参数配置
修改接入用户中该用户的生效日期。
BYOD匿名用户禁止认证。(英文提示:An anonymous BYOD user cannot perform MAC portal authentication.)
终端已经做过802.1x或者Portal认证,后续无法进行MAC Portal认证。
在终端设备管理页面删除对应终端记录。
LDAP用户申请的服务自动切换为其它服务。
找到LDAP用户对应LDAP策略所关联的LDAP服务器。如果LDAP服务器的“服务同步方式”配置为“基于AD组”,则当操作员修改了LDAP用户的服务,或将AD中的用户移动到其他用户分组后,EIA执行定时任务或操作员手工执行同步操作时,EIA会自动按照LDAP用户所属的AD组为其重新申请服务。
(1) 如果为LDAP用户申请或注销服务,在LDAP同步策略配置中修改对应AD组指定的服务;下次执行同步操作时,EIA会按照用户所属的AD组自动申请或注销服务。
图3-1 修改服务
(2) 将LDAP服务器的“服务同步方式”配置为“手工指定”,这样每次同步LDAP用户时不会修改用户所申请的服务。
图3-2 服务同步方式
用户正常在线一段时间后下线,查看上网明细,发现下线原因为NAS Error。
请参见15 日志收集进行日志收集,联系H3C技术支持人员定位设备问题。
预开户用户不允许上线。(英文提示:A trial account is not allowed to log in.)
该用户还没有转正,不是正式用户。
需要对该用户进行转正,管理员可以在接入用户中对预开户用户进行转正操作。
预注销用户不允许上线。(英文提示:A temporarily canceled account is not allowed to log in.)
该用户已经被预注销。
该用户已被预注销,管理员可以在接入用户中进行恢复预注销操作。
设备已丢失,禁止上线。(英文提示:The device cannot access the network because it has been marked as "lost".)
用户在自助页面设备标记为丢失。
在自助页面的终端设备管理处将终端状态从丢失改为正常。
接入用户无法使用当前终端上线。(英文提示:The user cannot access the network from the current endpoint.)
服务器安装了EIP组件,在终端设备管理中对某个终端绑定了接入用户,若上线的用户不在绑定用户中,则提示该信息。
在绑定的接入用户中增加该用户。
端口绑定检查失败。(英文提示:Failed to check device port binding.)
接入策略中勾选了“绑定接入设备端口”项,并且用户认证时使用的设备端口和接入用户中已经绑定的端口不一致。
· 方案一:用户认证时使用的设备端口和接入策略中设置的绑定接入设备端口保持一致。
· 方案二:在接入策略中去勾选“绑定接入设备端口”项。
MAC地址绑定检查失败。(英文提示:Failed to check MAC address binding.)
接入策略中勾选了“绑定用户MAC地址”项,并且用户认证时使用的MAC地址和接入用户中绑定的MAC地址不一致。
· 方案一:用户认证时使用的MAC地址和接入用户中绑定的MAC地址保持一致,
· 方案二:在接入策略中去勾选“绑定用户MAC地址”项。
IP地址绑定检查失败。(英文提示:Failed to check IP address binding.)
接入策略中勾选了“绑定用户IP地址”项,并且用户认证时未获取到IP地址或者和接入用户中已经绑定的用户IP地址不一致。
· 方案一:用户认证时上传的IP地址和接入策略中设置的绑定用户IP地址保持一致。
· 方案二:在接入策略中去勾选“绑定用户IP地址”项。
接入时段限制。(英文提示:Access time limit.)
在接入策略中或者接入场景中配置了接入时段限制,而用户在限制时间内发起认证或者认证一段时间后达到了时间限制。
修改接入时段中禁止接入时间段或者取消使用接入时段策略。
接入主机权限限制。(英文提示:User has no right to access the host.)
设备管理用户中绑定了用户IP地址或者设备IP地址,并且认证时用户IP或者设备IP不在绑定范围之内。
· 方案一:用户认证时上传的用户IP地址或设备IP地址和设备管理用户中的配置保持一致,使认证使用的IP在绑定范围内。
· 方案二:在设备管理用户中取消绑定用户IP地址或设备IP地址功能。
认证客户端版本太低。(英文提示:The authentication client version is too old.)
· 接入策略中勾选了“仅限iNode客户端”项并设置了最低版本号,用户认证时使用的iNode客户端版本号低于设置的版本号或者未在客户端上勾选上传客户端版本号。
· 用户未使用iNode客户端认证。
· 接入策略中去勾选“仅限iNode客户端”项、使用不低于设置版本号的客户端认证并在iNode客户端属性设置中勾选“上传客户端版本号”项。
· 使用iNode客户端。
设备IP绑定检查失败。(英文提示:Failed to check device IP address binding.)
接入策略中勾选了“绑定接入设备IP”项,并且用户认证时使用的接入设备和接入用户中已经绑定的接入设备不一致。
· 方案一:在接入策略中勾选的绑定接入设备IP地址与用户认证时实际接入设备IP地址保持一致。
· 方案二:在接入策略中去勾选“绑定接入设备IP”项。
设备VLAN绑定检查失败。(英文提示:Failed to check device VLAN binding.)
接入策略中勾选了“绑定VLAN”或者“绑定QinQ双VLAN”项,并且用户认证时未获取到VLAN信息或者获取到的VLAN和接入用户中已经绑定的VLAN不一致。
· 方案一:用户认证时携带的VLAN参数和接入策略中绑定的VLAN保持一致。
· 方案二:在接入策略中去勾选“绑定VLAN”或“绑定QinQ双VLAN”项。
无线用户SSID绑定检查失败。(英文提示:Failed to check user SSID binding.)
接入策略中勾选了“绑定无线SSID”项,并且用户认证时未获取到SSID或者获取到的和接入用户中已经绑定的SSID不一致。
· 方案一:用户认证时获取到的SSID和接入用户中设置的SSID保持一致。
· 方案二:在接入策略中去勾选“绑定无线SSID”项。
用户MAC地址不允许接入。(英文提示:Access from the MAC address is denied.)
接入策略中勾选了“启用终端IP/MAC地址控制”项,并且用户认证时使用的终端MAC地址没有在允许的终端MAC地址池之内或者在禁止的终端MAC地址池之内。
在终端IP/MAC地址中增加该MAC地址且控制类型为允许。
用户IP地址不允许接入。(英文提示:Access from the IP address is denied.)
接入策略中勾选了“启用终端IP/MAC地址控制”项,并且用户认证时使用的终端IP地址没有在允许的终端IP地址池之内或者在禁止的终端IP地址池之内。
在终端IP地址池中增加该IP地址且控制类型为允许。
用户IP和MAC地址不允许接入。(英文提示:Access from the IP/MAC address is denied.)
接入策略中勾选了“启用终端IP/MAC地址控制”项,并且用户认证时使用的终端IP和MAC地址没有在允许的终端IP/MAC地址池之内或者在禁止的终端IP/MAC地址池之内。
在终端IP/MAC地址池中增加该IP和MAC地址且控制类型为允许。
IMSI绑定检查失败。(英文提示:Failed to check IMSI code binding.)
接入策略中勾选了“绑定IMSI号码”项,并且用户认证时未获取到IMSI号码或者获取到的IMSI号码和接入用户中已经绑定的IMSI号码不一致。
· 方案一:用户认证时上传的IMSI号码和接入用户设置的IMSI号码保持一致。
· 方案二:在接入策略中去勾选“绑定IMSI功能”项。
设备序列号绑定检查失败。(英文提示:Failed to check Access Device SN binding.)
接入策略中勾选了“绑定接入设备序列号”项,并且用户认证时未获取到设备序列号或者获取到的和接入用户中已经绑定的设备序列号不一致。
· 方案一:用户认证时上传的设备序列号和接入用户中设置的接入设备序列号保持一致。
· 方案二:在接入策略中去勾选“绑定接入设备序列号”项。
IMEI号码绑定检查失败。(英文提示:IMEI number binding check failure.)
接入策略中勾选了“绑定IMEI号码”项,并且用户认证时未获取到IMEI号码或者获取到的IMEI号码和接入用户中已经绑定的IMEI号码不一致。
· 方案一:用户认证时上传的IMEI号码和接入用户设置的IMEI号码保持一致。
· 方案二:在接入策略中取消“绑定IMEI功能”项。
用户在对应的场景下不允许接入。(英文提示:Access is denied in the access scenario.)
接入服务中选择了禁止的接入策略或者选择的接入服务中绑定了已被禁止的接入策略。
修改该用户所申请服务中使用的接入策略。
哑终端用户申请服务超过一条。(英文提示:The mute terminal user has been assigned multiple services.)
在配置哑终端用户时申请了多条服务。
在哑终端配置中删除多余的服务,只申请一条。
认证客户端版本太低,计算机名称绑定检查失败。(英文提示:The authentication client version is too old. Failed to check computer name binding.)
在[自动化>用户业务>接入服务>接入策略>接入策略>增加接入策略]页面设置了“绑定计算机名称”,在认证时计算机名称检查失败。
图5-1 绑定计算机名称
修改接入策略中绑定计算机名称。
计算机名称绑定检查失败。(英文提示:Failed to check computer name binding.)
原因和解决方案与5.18 认证客户端版本太低,计算机名称绑定检查失败相同。
计算机绑定域检查失败。(英文提示:Failed to check domain binding.)
在[自动化>用户业务>接入服务>接入策略>接入策略>增加接入策略]页面设置了“计算机绑定域”,在用户认证时计算机绑定域检查失败。
图5-2 计算机绑定域配置
修改接入策略中计算机绑定域。
用户必须登录到域检查失败。(英文提示:Failed to check logon domain.)
在[自动化>用户业务>接入服务>接入策略>接入策略>增加接入策略]页面设置了“用户必须登录到域”,在用户认证时用户必须登录到域检查失败。
图5-3 用户必须登录到域配置
修改接入策略中用户必须登录到域。
硬盘序列号绑定检查失败。(英文提示:Hard disk serial number binding check failed.)
在[自动化>用户业务>接入服务>接入策略>接入策略>增加接入策略]页面设置了“绑定硬盘序列号”,在认证时硬盘序列号绑定检查失败。
图5-4 绑定硬盘序列号配置
修改接入策略中绑定硬盘序列号。
操作系统授权码绑定检查失败。(英文提示:Os auth code serial number binding check failed.)
在[自动化>用户业务>接入服务>接入策略>接入策略>增加接入策略]页面设置了“绑定操作系统授权码”,在认证时操作系统授权码绑定检查失败。
图5-5 绑定操作系统授权码
修改接入策略中绑定操作系统授权码。
用户主板序列号不允许接入。(英文提示:BaseBoardSN is not allowed.)
接入策略中勾选了“启用终端主板序列号控制”项,并且用户认证时未获取到终端主板序列号或者获取到的终端主板序列号不允许接入。
· 方案一:将用户认证时上传的终端主板序列号加入到可允许接入的终端主板序列号列表中。
· 方案二:在接入策略中去勾选“终端主板序列号控制功能”项。
LDAP用户密码错误,您已经被加入黑名单。(英文提示:Incorrect LDAP password. You have been added into blacklist.)
LDAP用户连续用错误密码认证的次数达到设置值。
LDAP用户不存在或者密码错误,您还可以重试#Count次。(英文提示:Incorrect LDAP password. You can retry #Count times.)
LDAP用户密码错误,提示还剩余几次会加入黑名单。
使用正确的密码进行认证。
LDAP用户认证时,输入了正确的用户名和密码,但是认证失败,提示密码错误。
(1) 如果EIA服务器和LDAP服务器两者的密码处理方式不一致,则可能出现该问题。例如EIA侧要求从LDAP服务器上返回明文密码,但LDAP服务器返回的是加密后的密码。
(2) 使用非iNode客户端进行PEAP-MD5、EAP-MD5认证。
(3) 域控信息填写错误。
LDAP服务器类型、认证方式和认证结果的关系如下表所述。
表6-1 认证结果
|
LDAP服务器类型 |
LDAP用户认证方式 |
认证结果 |
|
通用LDAP服务器 |
EAP-PEAP/EAP-MSCHAPv2 |
从LDAP服务器获取的是加密后的密码或者不能取回密码,提示密码错误 |
|
CHAP |
从LDAP服务器获取的是加密后的密码,提示密码错误 |
|
|
PEAP-MD5/EAP-MD5(使用非iNode客户端认证) |
EIA不能从报文中获取明文密码,导致密码校验失败,提示密码错误 |
|
|
其他认证方式 |
EIA不支持LDAP服务器上使用的加密方式,导致密码校验失败,提示密码错误 |
由上表可知,LDAP用户认证失败并收到密码错误的提示是由于密码加密方式或者使用的场景存在问题。
表6-2 解决方法
|
LDAP服务器类型 |
LDAP用户认证方式 |
认证结果 |
|
通用LDAP服务器 |
EAP-PEAP/EAP-MSCHAPv2 |
必须要求从LDAP服务器上获取到明文密码 |
|
CHAP |
必须要求从LDAP服务器上获取到明文密码 |
|
|
PEAP-MD5/EAP-MD5(使用非iNode客户端认证) |
使用iNode客户端进行认证 |
|
|
其他认证方式 |
LDAP服务器上加密方式必须是EIA支持的,或者后续EIA侧进行适配处理 |
LDAP服务器上不支持CHAP认证。(英文提示:LDAP server does not support CHAP authentication.)
该LDAP用户认证时使用的认证类型为CHAP,而微软AD服务器不支持该种认证方式。
如果为802.1X认证则需要修改设备上认证类型,如果为Portal认证则需要修改EIA上Portal配置中的认证类型。
LDAP服务器连接超时、IP地址错误或端口错误,请稍后重试或联系管理员。(英文提示:LDAP server connection timed out due to invalid server IP or port. Please retry later or contact the administrator.)
· LDAP服务器配置错误或网络错误导致不通;
· 和LDAP服务器连通,但使用LDAP进行认证或从LDAP服务器同步信息时,LDAP服务器回应超时。
· 可以在配置台界面检测连通性。
· 请检测LDAP服务器是否存在异常。
LDAP服务器协议版本错误。(英文提示:LDAP server protocol error.)
LDAP服务器版本配置错误。
请确保EIA中配置的服务器版本号与LDAP服务器版本号一致。
LDAP服务器配置信息错误,请联系网络管理员。(英文提示:LDAP server configuration error. Please contact the administrator.)
EIA服务器需要查询的对象在LDAP服务器的目录下并不存在。
检查LDAP服务器上的配置或者联系网络管理员。
管理员配置错误。(英文提示:LDAP server administrator error.)
在LDAP服务器上管理员DN(用于管理LDAP服务器中用户数据)配置存在问题。
检查LDAP服务器上管理员相关配置或者联系网络管理员。
与LDAP服务器连接异常,请稍后重试或联系管理员。(英文提示:LDAP server unknown error.)
LDAP服务器上返回的错误信息未被识别,提示该信息。
可以抓包确认LDAP服务器返回的具体错误码,再查询该错误码含义。
LDAP服务器处于未连通状态,请稍后重试或者通知管理员。(英文提示:LDAP server is disconnected. Please retry later or contact the administrator.)
用户在认证时若无法连接LDAP服务器,则会把LADP服务器配置中的“连通服务器”改为未连通,该状态保持时间根据“连接静默时长”来确定。在未连通状态下再次进行认证时会提示错误信息。
请检查LDAP服务器是否启用,网络是否连接。请确保EIA服务器与LDAP服务器能够正常通信。
系统未知错误,请联系管理员。(英文提示:Unknown system error. Please contact the administrator.)
LDAP服务器返回的未知异常。
需要查看LDAP服务器是否存在异常。如果有具体的错误信息,会有其他错误码,这种情况一般是其它未知情况。如果排查LDAP服务器无异常,那么需要收集抓包信息,LDAP服务器的系统信息,以及EIA的Debug日志信息,包括uam、java server。EIA日志收集步骤请参见15 日志收集。
该帐号已被LDAP服务器锁定,请联系管理员解锁。(英文提示:The account is locked by the LDAP server. Please contact the administrator to unlock the account.)
LDAP服务器中配置了帐号锁定阈值,并且用户认证失败的次数超过了该阈值,用户帐号被锁定。
在LDAP服务器上用户属性窗口中勾选“解锁帐户”选项。
无法从LDAP服务器获取到密码。(英文提示:Failed to obtain the password from the LDAP server.)
对于LDAP服务器,选择把密码同步到本地进行校验,但在认证过程中却同步失败,提示该信息。
检查EIA服务器配置中的密码属性是否正确,查看LDAP服务器是否支持把密码同步到本地。
LDAP用户密码已过期。(英文提示:The password of the LDAP user has expired.)
LDAP服务器中配置了用户密码过期时间,超过该时间后,帐户就会失效。
在LDAP服务器的用户属性窗口中,将帐户选项勾选为“密码永不过期”,或推迟用户密码过期时间。
LDAP用户登录计算机限制,请联系管理员。(英文提示:The LDAP user does not have the privilege to log on to the computer.)
对LDAP用户可登录的计算机进行了限制。
在LDAP服务器上用户属性窗口中选择“账户 - 登录到(T)”配置可登录的计算机帐号,允许用户可以登录到“所有计算机”或选择“下列计算机”添加允许登录LDAP服务器配置的虚拟计算机帐号。
LDAP服务器连接超时或IP地址错误或端口错误。
LDAP服务器配置错误或网络错误导致不通。
可以在配置台界面检测连通性。
图6-1 配置检测
和LDAP服务器连通,但bind或search时设备回应超时,如下抓包截图所示:
图6-2 抓包
LDAP服务器协议版本号错误。
服务器版本配置错误。
可确认EIA界面上配置与LDAP服务器是否一致。
图6-3 服务器配置
LDAP用户已失效。
在LDAP服务器中配置了帐户过期时间,在超过了设置日志后,帐户就会失效。
图6-4 帐户过期时间
不配置帐户过期时间。
LDAP用户已禁用。
LDAP服务器中勾选了“帐户已禁用”选项。
图6-5 帐户已禁用
LDAP服务器中去勾选“帐户已禁用”选项。
该帐户已被LDAP服务器锁定。
LDAP服务器上配置了帐户锁定阈值,当用户认证失败次数超过该锁定阈值时,会提示该信息。
在服务器上解除锁定即可。
图6-6 解锁帐户
登录失败,首次登录请修改密码。如果无法修改密码,请联系管理员检查接入策略中的证书认证类型是否为EAP-PEAP/MSCHAPv2。在该证书认证类型下EIA不支持LDAP用户修改密码。
在LDAP服务器上勾选了用户下次登录需修改密码,并且用户进行的是peap-mschapv2认证。
在LDAP服务器中用户属性窗口中去勾选“用户下次登录需要修改密码”选项。
用户认证时,提示“LDAP服务器上没有该用户名”。
该故障分两种情况,一是非按需同步策略同步用户,二是按需同步策略同步用户。不同类型的同步策略导致该故障的原因不同,解决方法也不同,下面分别说明。
对非按需同步策略同步的用户,可能原因如下:
(1) LDAP服务器中确实不存在该用户。
(2) 用户为LDAP服务器上新增用户,EIA上没有执行手工同步。
(3) 没有配置LDAP同步/备份任务。
(4) DN设置问题、或者过滤条件设置不正确,导致没有同步到该用户。
(5) 用户发生了OU转移,EIA上没有执行手工同步,或者没有经过定时任务执行周期。
解决方法如下:
(1) 请在LDAP服务器中添加该用户或使用已存在的用户名认证。
(2) 请在同步策略列表中执行同步操作,如图6-7所示。
(3) 请在LDAP功能参数中,配置LDAP同步/备份任务,如图6-8所示。
图6-8 LDAP自动同步
(4) 请在LDAP用户列表中查看用户及用户的状态,并确保同步策略中配置的DN、过滤条件正确。
图6-9 查看用户状态
(5) 请在同步策略配置界面手工执行同步操作,或者等待定时任务执行。
对于按需同步策略,可能的原因如下:
(1) LDAP服务器中确实不存在该用户。
(2) 用户为LDAP服务器上新增用户,EIA上没有执行按需同步生效操作,或者没有经过定时任务执行周期,且LDAP按需认证模式没有选择“实时认证”。
图6-10 按需同步生效
图6-11 选择LDAP按需认证模式
(3) 由于DN设置问题、或者过滤条件设置不正确导致用户资源表数据没有相关用户信息,且LDAP按需认证模式没有选择“实时认证”。
解决方法如下:
(1) 请在LDAP服务器中添加该用户或使用已存在的用户名认证。
(2) 请执行按需同步生效操作,并将LDAP按需认证模式配置为“实时认证”。
(3) 请检查DN、过滤条件配置是否正确,并在系统参数配置中将LDAP按需认证模式配置为“实时认证”。
证书标识与用户名不匹配。(英文提示:The account name does not match the attribute in the client certificate.)
在系统参数中勾选了“检查证书中的用户名”,用户在进行TLS认证功时会检查客户端证书中主题名和登录的用户名是否匹配,若是两者不一致则会提示该信息。
系统参数中去勾选“检查证书中的用户名”,或者更换客户端证书。
无法获取证书颁发者。(英文提示:Unable to get issuer certificate.)
用户进行证书认证时会要获取证书中的颁发者信息,若证书中无该信息,则认证失败。
需要检查证书中是否有颁发者信息,若没有则需要更换证书。
证书无效。(英文提示:Invalid certificate.)
用户进行证书认证时检查到该证书无效。
需要更换证书。
证书已经过期。(英文提示:Certificate has expired.)
用户认证时使用的证书已过了有效期。
需要查看一下证书有效期,并更换证书。
证书认证错误。(英文提示:Certificate authentication error.)
触发该提示信息的原因比较广泛,证书出现问题一般都会提示该信息。
需要根据具体场景进行分析。收集证书信息包括根证书服务器证书和客户端证书,客户端的认证方式,客户端和服务器的抓包信息,服务器的Debug日志信息。EIA日志收集步骤请参见15 日志收集。
证书未导入。(英文提示:Certificate not imported.)
用户进行证书认证,但在服务器上未导入证书。
在业务参数的证书配置中导入证书。
域控连接错误,请联系管理员。(英文提示:Connection error with the domain controller. Please contact the administrator.)
AD用户进行MS-CHAPv2认证,与域控服务器连接时出现问题。
需要检查EIA服务器、域控服务器的配置及网络连接情况。可以在EIA服务器上telnet域控服务器的445端口能否连接成功。
域控信息错误,请联系管理员。(英文提示:Incorrect domain controller infomation. Please contact the administrator.)
MS-CHAPv2认证配置中的“域控服务器全名”配置错误。
检查PEAP认证域控页面配置的“域控服务器全名”与域控服务器的全名是否一致。查看域控服务器全名的方法如下:
(1) 在域控服务器中,右键点击“我的电脑”打开右键菜单。
(2) 选择“属性”菜单项,打开系统属性页面。“计算机名”区域的完整的计算机名称值即是域控服务器全名。
用户认证时,提示“LDAP用户密码错误”。
· 出现这个错误的原因可能是因为PEAP认证域配置中的“域控服务器地址”没有填写正确。
· 出现这个错误的原因可能是因为PEAP认证域配置中的“本地服务器端口”没有填写正确。“本地服务器端口”缺省值为9812,如果需要修改为其它值,修改后需要重启EIA服务器的mschapv2server进程才能生效。
· “域控服务器地址”填写正确。
· “本地服务器端口”填写正确。
域控信息错误。
出现这个错误的原因是因为在PEAP认证域配置中的“域控服务器全名”没有配置正确。
查看域控服务器全名的办法:在域控服务器上右键点击“我的电脑”打开右键菜单,选择“属性”打开系统属性页面,查看完整的计算机名称。
图8-1 计算机全名
虚拟计算机名称或密码错误。
· 出现这个错误的原因是可能是因为LDAP服务器上的445端口没有开放。
· 出现这个错误也可能是LDAP服务器上的SMB协议没有启用。
· 可以用telnet命令检查。
· 在EIA (E0604H06)版本之前,只支持SMB1,之后的版本支持SMB1和SMB2,可检查LDAP服务器SMB协议的开启状态:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
设置SMB协议的开启与关闭:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-SmbServerConfiguration -EnableSMB1Protocol $true
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Access is denied.
日志中出现Access is denied的错误,具体错误信息如下:
图8-2 错误信息1
图8-3 错误信息2
图8-4 错误信息3
这种错误是由于修改了域控服务器的服务器SPN目标名称验证级别导致。域控的服务器SPN验证级别有三个级别,分别如下:
· 关闭。SMB服务器不需要验证来自SMB客户端的SPN。
· 由客户端提供时接受。SMB服务器将接受并验证SMB客户端提供的SPN,如果会话与SMB 服务器的SPN列表匹配,则允许建立会话;如果SPN不匹配,该SMB客户端的会话请求将被拒绝。
· 客户端要求。SMB客户端必须在会话设置中发送SPN名称,并且提供的SPN名称必须与请求建立连接的SMB服务器匹配。如果客户端设备未提供SPN,或者提供的SPN不匹配,则会话将被拒绝。
默认情况下为关闭状态。如果设置为客户端要求,则MS-CHAPV2认证时就会出现以上的认证错误。具体修改方法为打开[本地安全策略>安全选项>Microsoft网络服务器:服务器SPN目标名称验证级别>本地安全设置]界面,选择“关闭”或者“由客户端提供时接受”,截图如下:
图8-5 由客户端提供时接受
第三方Radius认证失败,请确认输入了正确的用户名和密码,或者联系管理员。(英文提示:Third-party Radius authentication failed. Please check your username and password or contact the administrator.)
用户在进行第三方Radius认证时输入了错误的动态密码或者该用户在第三方服务器上不存在。
确认进行第三方Radius认证时输入的动态密码是否正确或者在第三方服务器上查看是否已存在该用户。
Boss系统认证失败,请确认输入了正确的手机号码和密码,或者联系管理员。(英文提示:Boss authentication failed. Please check your cell-phone number and password or contact the administrator.)
在EIA服务器上进行认证,而到第三方服务器进行计费,需要给服务器中的用户设置电话号码,在进行认证后会把手机号码和密码发给第三方服务器,若发送密码或者手机号码不正确则提示该信息。
确认EIA服务器和第三方服务器上的手机号和密码是否一致。
Boss系统无响应。(英文提示:Timeout for waiting the response message of Boss system.)
在EIA服务器上进行认证,而到第三方服务器进行计费,需要给服务器中的用户设置电话号码,在进行认证后会把手机号码和密码发给第三方服务器,发送之后第三方服务器没有回应。
检查EIA服务器上关于第三方服务器的配置是否正确,查看第三方服务器是否存在异常。
第三方服务器不通。(英文提示:The third-party server cannot be connected.)
配置了第三方认证,使用第三方用户进行认证,由于第三方服务器无法连通导致用户认证失败。
检查第三方服务器及网络连通情况。
License数量限制。(英文提示:The number of users reached the upper limit permitted by the license.)
用户在线数量超过了允许的最大License数;或者当前用户在线数量还未更新。
购买支持更多在线用户数的License。
EIA License数量限制。(英文提示:The number of users reached the upper limit permitted by the EIA license.)
服务器中安装了EIA组件,在线的用户数超过了EIA组件允许的最大数,或者在线用户统计数还未更新。
若在线数确实超过了允许的最大值则使部分用户下线,若是没有则稍等一段时间,等数据定时更新后再上线,或是选择购买支持更多在线用户数的EIA License。
EIP License数量限制。(英文提示:The number of users reached the upper limit permitted by the EIP license.)
服务器中安装了EIP组件,在线的用户数超过了EIP组件允许的最大数,或者在线用户统计数还未更新。
若在线数确实超过了允许的最大值则使部分用户下线,若是没有则稍等一段时间,等数据定时更新后再上线,或是选择购买支持更多在线用户数的EIP License。
在页面中菜单或者菜单中的页签消失。
权限问题导致页面不显示。
重启eia-uam-rs pod。
在配置EIA时,提示“通知Radius服务器失败”。
可能有两种原因:
(1) 后台dm pod出现异常。
(2) Kafka Pod出现异常。
(1) 重启eia-uam-dm pod。
(2) 重启平台Kafka Pod。
在配置EIA时,提示“通知策略服务器失败”。
策略服务器pod出现异常。
重启eia-uam-policy pod。
打开浏览器后,输入任意IP地址或者域名,无法重定向到MAC Portal认证页面。
· 没有配置DNS。
· 服务器下发的URL或者ACL不正确。
(1) 手动输入URL地址试下能否访问。
(2) 检查服务器下发的URL和ACL是否正确。
图12-1 设备上查看指定MAC地址下发的ACL和重定向URL
如果以上两项均正确,请联系相关技术人员定位。
已做过无感知认证,后续认证时有时还会弹出认证页面,要求输入帐号名和密码。
· 终端管理参数或者接入服务中没有启用无感知认证。
· 在线数量达到限制。
· 对在线用户进行了强制下线操作。
· 终端出现认证失败。
· 终端记录满足老化策略进行老化处理。
(1) 先检查是否正确启用无感知,接入服务和终端管理参数配置中都要启用无感知认证。
图12-2 接入服务中启用无感知认证
图12-3 终端管理参数中启用无感知认证
(2) 检查终端设备的MAC绑定记录,MAC Portal状态是否为“已注册无感知失效”,如果是,则检查如下情况:
a. 接入用户设置了“在线数量限制”为1,并且选择同名帐号强制下线。
b. 在EIA上对在线记录执行了强制下次操作。
c. 查询认证失败日志,该终端是否存在认证失败记录。
d. 查看终端老化策略,确认是否满足了老化策略要求。
打开浏览器后,输入任意IP地址或者域名,总是重定向到MAC Portal认证结果页面。
做过802.1x认证的终端,终端的无感知状态是禁用,MAC Portal状态是“/”,这种状态会导致推送登录结果页面。
可以启用802.1x和MAC Portal共存的参数,执行以下SQL语句即可。
UPDATE EAD.TBL_PARAMETER SET VALUE='0' WHERE PARAMETER_NAME ='IF_DENY_MAC_AUTH'
系统繁忙,请稍后重试。(英文提示:System is busy. Please try again later.)
增加或修改配置(第三方认证配置、LDAP配置、哑终端等)后,终端马上发起认证。
稍等一会,再次发起认证。若仍无法解决,请参见15 日志收集,并联系技术支持。
未找到RSA服务配置信息,请联系管理员。(英文提示:RSA configuration is not found. Please contact the administrator.)
接入策略中启用了RSA,但未在[自动化>用户业务>业务参数>接入参数>系统配置>漫游配置]页面中完成RSA认证相关配置。
在EIA中配置RSA认证相关信息。
用户未激活,请联系管理员激活用户。(英文提示:The user is not activated. Please contact the administrator to activate it first.)
用户未激活。
联系管理员激活用户,单击[自动化>用户业务>接入用户>接入用户]菜单项,选择用户进行激活。
IP绑定异常。(英文提示:An exception occurred during IP binding.)
与DHCP服务通信超时。
请检查DHCP服务器的连通性,并确认DHCP服务是否已经启动。
未接收到回应报文。(英文提示:No response packet is received.)
用户进行RSA认证,认证方式为EAP-MD5、PEAP-MD5、PEAP-GTC,在进行动态密码校验时未收到RSA服务器的回应。
需要检查EIA服务器上关于RSA服务器的配置是否正确及RSA服务器上配置是否正确。
校验认证字错误。(英文提示:Authenticator error.)
用户进行RSA认证,认证方式为EAP-MD5、PEAP-MD5、PEAP-GTC,在进行动态密码校验时,收到RSA服务器的回应报文后会检验由共享密码等生成的校验字,若是EIA服务器生成的和RSA服务器回应报文中的校验字不一致,则提示该信息。
需要检查EIA服务器及RSA服务器上配置的共享密码是否一致。
接入用户数超出服务器最大支持能力。(英文提示:The number of managed access users has reached or exceeded the maximum capacity of the server.)
在服务器上增加的接入用户数量超过了服务器设置的最大用户数。
删除部分接入用户。
绑定终端数量达到限制,系统设置绑定终端最多#MaxCount个。(英文提示:The number of bound endpoints reached the upper limit, the number of limit is #MaxCount.)
在系统参数中设置了单帐号最多绑定终端数,用户上线使用的终端数量达到了设置值。
在终端设备管理中删除该帐号使用的终端记录,或者修改参数中单帐号最大绑定终端数。
未同时输入静态密码和RSA动态密码,请重新输入。(英文提示:The static or RSA dynamic password is empty. Please provide both passwords.)
用户在接入策略中启用了RSA认证,并且选择了动态+静态密码校验,但在认证时只输入了静态密码。
在用户进行RSA认证时需要同时输入静态密码和动态密码。
当前场景下绑定终端数量达到限制,当前场景限制绑定终端最多#MaxCount个。(英文提示:The number of bound endpoints reached the maximum in the current scenario, the number of limit is #MaxCount.)
用户在接入场景中配置了单帐号最大绑定终端数,使用该场景上线的终端数达到了该阈值。
· 方式一:进入[监控>监控列表>终端>接入终端]页面,在详细信息中查看该终端使用的场景,然后删除与此次上线终端使用场景相同的记录。
· 方式二:修改场景中设置的单帐号最大绑定终端数。
当前场景下在线数量达到限制。(英文提示:The number of online endpoints reaches the maximum in the current scenario.)
该用户已在线的用户数量达到了接入场景中设置的单帐号在线数量限制。
可在接入场景中修改单帐号在线数量限制。
今日在线时长已达到接入服务中设置的单日累计在线最长时间限制。(英文提示:The online duration today has already reached the Daily Max.Online Duration configured for the access service.)
接入服务中配置了单日累计在线最长时间,帐号使用该服务接入网络的累计时长达到了该限制。
帐号可使用其它服务接入网络,或者在接入服务中将单日累计在线最长时间配置为更大值或者0。
终端记录数超出服务器最大支持能力。(英文提示:Endpoint record count exceeded the upper limit of the server.)
在服务器上增加的终端记录数量超过了服务器设置的最大终端数。
删除部分终端记录。
在某些版本的微软DHCP服务器上安装DHCP Agent失败或安装的DHCP Agent无法正常使用。
DHCP Agent与某些版本的微软DHCP服务器不兼容。
建议使用以下测试通过的微软DHCP服务器版本:
· Window Server 2003 R2 32bit/64bit
· Windows Server 2008 with Service Pack 1 64bit
· Windows Server 2008 R2 X64 DataCenter 64bit
· Windows Server 2012 64bit
Windows 2016,DHCP Agent启动DHCP Server失败。
DHCPServer对注册表权限不够。
DHCPserver对如下注册表路径有Full control权限。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
图13-1 注册表
使用三层Portal进行无感知认证时认证失败,提示“IP或MAC地址绑定检查失败”。
三层Portal无法获取终端的MAC地址,可通过服务器抓包查看是否上传了MAC地址。
不使用三层Portal认证。
如果上文内容均无法解决问题,请按本章节步骤收集EIA相关日志信息后,联系技术支持。
EIA组件故障内容涉及场景较广,为了帮助您快速收集故障日志,本章节将对一些常见问题场景的故障日志收集步骤进行针对性介绍。
如您难以判断故障所属场景,为了确保日志收集的完整性,建议参见“15.2 收集EIA相关业务的所有日志”进行处理。
日志收集将涉及到修改日志级别操作:
· 修改日志级别后需等待1分钟才能生效。
· 将日志级别修改为“调试”可能会影响系统的效率。
(1) 调整日志级别,选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整安全策略服务、DM后台服务、EIA web服务的日志级别为“调试”,如图15-1所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,分别选择“所在目录(相对路径)”为“EIA-POLICY”、“EIA-DM”、“EIA-RS”,输入起止日期等参数后收集日志,如图15-2所示。
(3) 勾选待下载文件后,单击<导出>按钮即可下载为本地文件。
(1) 调整日志级别。选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整DM后台服务和第三方认证服务的日志级别为“调试”,如图15-3所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,分别选择“所在目录(相对路径)”为“EIA-DM”、“EIA-THIRD”,输入起止日期等参数后收集日志,如图15-4、图15-5所示。
(3) 勾选待下载文件后,单击<导出>按钮即可下载为本地文件。
(1) 调整日志级别。选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整EIA web服务的日志级别为“调试”,如图15-6所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,选择“所在目录(相对路径)”为“EIA-RS”,输入起止日期等参数后收集日志,如图15-7所示。
(3) 勾选待下载文件后,单击<导出>按钮即可下载为本地文件。
(1) 调整日志级别。选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整BYOD认证服务的日志级别为“调试”,如图15-8所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,分别选择“所在目录(相对路径)”为“EIA-BYOD-RS”、“EIA-BYOD-SERVER”,输入起止日期等参数后收集日志,如图15-9所示。
(3) 勾选待下载文件后,单击<导出>按钮即可下载为本地文件。
(1) 调整日志级别。选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整Portal认证服务的日志级别为“调试”,如图15-10所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,分别选择“所在目录(相对路径)”为“EIA-PORTALSERVER”、“EIA-PORTALWEB”,输入起止日期等参数后收集日志,如图15-11所示。
(3) 勾选待下载文件后,单击<导出>按钮即可下载为本地文件。
(1) 调整日志级别,选择“自动化”页签,单击[用户业务>业务参数>接入参数>系统日志]菜单项,调整EIA所有相关应用的日志级别为“调试”,如图15-12所示。
(2) 问题复现后收集日志。选择“系统”页签,单击[日志管理>运行日志列表]菜单项,选择“所在目录(相对路径)”为“EIA”,输入起止日期等参数后收集日志,如图15-13所示。
支持
