ログと一般的なエラー

EAP セッションが状態に一致しません

対応するエラーメッセージ:

• 「EAP セッションが状態に一致しません」

• 「親リストを設定できません」

RADIUS プロトコルはステートレスであり、通常は UDP 上で送信されるため、すべてのパケットが到着したか、整合性が保たれているか、正しい順序で正しく組み立てられるかなどを検証する必要があります。要するに、UDP プロトコルの欠点を補うものです。

各認証要求は、実行されるべき一連の手順（例: 連携、要求、チャレンジ、チャレンジレスポンス）を通過します。これらの手順では、双方（クライアントとサーバー）は、送信されるパケットに含まれる状態と、ローカルに保存される状態の両方を持ちます。これらの状態は、それぞれクライアントとサーバーが現在いる手順と一致していなければなりません。

このエラーメッセージは、いずれかの主体（クライアント、サーバー）が、期待される状態に一致しないパケットを送信または受信したことを示しています。UDP はパケットが常に（正しく、またはまったく）配信されることを保証できないため、この種のエラーは時々発生します。多くの場合、これは問題ではありません。なぜなら、RADIUS プロトコルがこれらのエラーを処理し、ログインしようとしているコンピューターに気づかれることなく接続を再試行するからです。

デバイスが最終的に目立った遅延なしで接続できるのであれば、そのようなエラーは無視できます。そうでない場合は、次を試してください EAP タイムアウトを増やす.

プロキシ セッションの再開

プロキシは RadSec サーバーとの TCP セッションを作成します。これらのセッションは 30 秒ごとに再開始する必要があります。これらのメッセージ内にエラーがない限り、これらのログエントリは想定内です。

エラー内のエラー

RadSec サーバーはグローバルに利用可能であるため、インターネット上の誰でも、たとえば TCP ハンドシェイクを使用して接続を試みることができます。信頼された RadSec クライアント証明書を提示する接続元でのみ成立する、有効な（相互）TLS 接続を確立できない場合、このエラーメッセージが生成され、想定内です。

RADIUSaaS は、インターネット上のサーバーを巡回・ポートスキャンしている誰かと、単に設定ミスをしている正当な認証装置を区別できないため、RADIUSaaS はこれらのログエントリを抑制しません。つまり、インフラストラクチャが正常に動作しているのであれば、これらのログエントリは無視して構いません。

証明書の状態は以前に失効済みでした

証明書が失効していると判定された場合、この状態は 2 分間キャッシュされます。この証明書を認証しようとする追加の試みは、別の OCSP 要求を実行せずに直接拒否されます。これは OCSP レスポンダーの負荷を減らすためです。

この 検証の説明 フィールドには、最初に拒否された要求の相関 ID が含まれます。