【Aruba ClearPass】AD status:Reading winbind reply failed! の原因と対応

インフラサーバ

はじめに

Aruba ClearPass Policy Manager (以下、CPPM) にて、AD を認証ソースとしたサービスを設定している場合に、アクセス・トラッカーで以下のような警告ログが出力されて認証に失敗するケースがあります。

エラーコード:	216
エラーカテゴリ:	Authentication failure
エラーメッセージ:	User authentication failed
この要求のアラート
RADIUS	MSCHAP: AD status:Reading winbind reply failed! (0xc0000001)
                MSCHAP: Authentication failed
                EAP-MSCHAPv2: User authentication failure

このエラーは主に認証方式として EAP-PEAP を指定している場合に発生します。

このエラーの原因と対応方法について記載します。

作業環境

  • Aruba ClearPass Policy Manager 6.7.X

原因①:AD ドメインに参加していない

CPPM が AD ドメインに参加していない場合、「AD status:Reading winbind reply failed!」が発生します。

CPPM が AD ドメインに参加しているかどうかは、[管理 » サーバー・マネージャー » サーバー設定 – <ホスト名>] 画面のシステムタブの下部で確認できます。

以下の画像のように表示されている場合は AD ドメインに参加していない状態となっています。

対応方法

上画像の [Join AD Domain] ボタンをクリックして AD ドメインに参加させます。

[Join AD Domain] ボタンをクリックすると以下画面が表示されるため、各項目を指定して [Save] をクリックすると AD ドメインに参加します。

AD ドメインに参加すると以下の表示になります。

原因②:Domain service が停止している

「●● Domain service」が停止している場合も、「AD status:Reading winbind reply failed!」が発生します。(●● の部分は AD ドメインの NetBIOS 名が入ります)

当該サービスの稼働状況は [管理 » サーバー・マネージャー » サーバー設定 – <ホスト名>] 画面のサービス・コントロールタブの下部で確認できます。

対応方法

サービス・コントロール画面で「●● Domain service」の右側にある [開始] ボタンをクリックして当該サービスを開始します。

ドメイン参加と Domain service に問題がない場合

AD ドメイン参加ができていて、Domain service の状態も実行中になっているにもかかわらず「AD status:Reading winbind reply failed!」が発生する場合は以下を試します。

  • Domain service の再起動(一旦停止し、開始する)
  • AD ドメインへの再参加(Leave AD Domain をした後、Join AD Domain を実施)

備考

  • サービスの認証方式が EAP-TLS、認証ソースが AD となっている場合については、AD ドメインに参加していなくても認証が成功する

―――――――――――――

タイトルとURLをコピーしました