Interpreter/Parser logów NPS(RADIUS)

28 października 2015 at 22:38

Kontynuując wątek rozpoczęty w poprzednik wpisie (http://mkrzanowicz.pl/?p=485) pozostajemy w tematyce sieci komputerowych, VLANów, 802.1x, RADIUS’a, NPS’a… We wcześniejszym wątku opisałem krótko zmagania z dziwnym przypadkiem użytkownika nieobsługiwanego poprawnie przez polityki sieciowe na serwerze MS NPS (Network Policy Server). Metoda dojścia do rozwiązania była dosyć partyzancka, bo polegała na porównywaniu wszystkich parametrów kont użytkownika, któremu wszystko działało poprawnie oraz tego, którego dotyczył problem. Oczywiście najważniejsze że udało się rozwiązać problem, jednak mimo wszystko istotny jest czas rozwiązywania podobnych przypadków. To skłoniło mnie do głębszego sięgnięcia w dokumentację oraz zapisy standardów. Okazuje się że logi NPS/IAS/RADIUS w wydaniu Microsoftu są bardzo ciekawie skomponowane. W relatywnie niewielkim rozmiarze zawartych jest ogrom informacji potrzebnych do weryfikacji ewentualnych problemów, raportowania, statystyk etc. Chociaż będąc uczciwym trzeba przyznać że pierwszy kontakt z tą formą logowania informacji powoduje reakcję typu „WTF?” albo skłania do domysłów o co chodzi. Potem następuje przegrzebywanie dokumentacji w poszukiwaniu informacji i manualne rozszyfrowywanie poszczególnych pozycji… Aż w końcu rodzi się myśl czy nie można tego zrobić lepiej, szybciej, automatycznie? Zacznijmy od składni takiego loga. Przykładowy wpis wygląda tak: „10.10.10.4,anonymous,10/12/2015,13:06:10,IAS,RADIUS1,6,2,12,1500,30,50-50-A8-D3-C1-EE,38,5C-97-0E-DD-F2-55,61,15,5,50130,87,GigabitEthernet1/4,4,10.10.10.4,4108,10.10.10.4,4116,9,4128,switch1,4154,NAP 802.1X (Wired),4155,1,4129,MKrzanowicz\anonymous,4130,MKrzanowicz\anonymous,4132,,25,311 1 10.10.10.11 09/11/2015 06:09:17 39763,4127,5,4136,1,4142,0” Trochę adresów IP, trochę adresów MAC, trochę kont domenowych, data i godzina i „jakieś cyferki” Po zagłębieniu się […]

MTU 1504 i wiszące sesje…

26 stycznia 2015 at 09:58

Dosyć nietypowy problem na stacji jednego z użytkowników: Połączenie z domeną Active Directory działa prawidłowo, jest dostęp do zasobów sieciowych, poczty elektronicznej i całego pozostałego BackEndu, jednak pojawił się problem przy połączeniu z bazą danych. Połączenie było nawiązywane prawidłowo, jednak po pewnym czasie było zawieszane z nieokreślonej przyczyny.  Przy wspólnej analizie z zespołem sieciowców udało się ustalić przyczynę takiego stanu rzeczy – była nią nieprawidłowa wartość parametru MTU na interfejsie sieciowym, który był wyższy niż MTU na switchu, do którego była wpięta stacja. Z tego też względu żaden z dostępnych mechanizmów wbudowanych w system (jak PMTU, czy fragmentacja pakietów) nie był w stanie obsłużyć tego przypadku, bo pakiety były dropowane już na warstwie 2, bez informacji zwrotnej…. Skąd się wzięła rozbieżność w konfiguracji MTU? Windows domyślnie ustawia wartość 1500, natomiast w tym wypadku ustawione było 1504. Po dłuższym googlowaniu udało się ustalić, że HP wypuścił „trefną” serię sterowników z ustawionym MTU na wartość 1504… Karty sieciowe, które były dotknięte tą przypadłością to m.in: HP NC382 HP NC532 HP Flex-10 10Gb 2-port 530FLB Niepoprawne sterowniki były wypuszczane w seriach od 7.4.x.y – dopiero serie 7.8.x.y mają poprawioną konfigurację MTU. OK – zlokalizowaliśmy przyczynę problemów – ale teraz czas na znalezienie globalnego […]

© Marcin Krzanowicz