NetAttest EPSファーム更新で無線接続不可
先日、ソリトンシステムズのNetAttest EPS(以下、EPSと略)のファームウェア更新をしたところ、無線に接続できない障害が発生。
その際の状況と復旧についてメモしておきます。
注:EPSとは:ネットワーク認証を行う機器で、無線LAN接続をする際に、Active DirectoryサーバーとのWindowsユーザ認証連携用途に使用しています。
発生事象
- EPSのファームウェア更新後に無線LANに接続できなくなった。
接続不可対象SSID:いずれもActive DirectoryのWindowsユーザ情報で認証しているもののみ。MACアドレス認証や、固定のID、パスワードでの認証用のSSIDには影響なし。
原因
直接的な原因
- EPSのファームウェア更新(V4.8.14→V4.8.17)によりActive Directoryドメインに参加できなくなり、Windowsユーザ認証が行えなくなったため。
詳細な原因
- EPSのWindows認証連携設定において、「サーバーを指定する」が選択されていた。
- この設定を選択する場合は、ホスト一覧にActive Directoryサーバーを登録し、「サーバーを指定する」にFQDNの設定を行う必要があった。
- 当社の機器には構築、利用運用開始以来、最初からこの設定が行われていなかった。(ソリトンシステムズの納品ドキュメントで確認済み。)
- この設定の状態でも、以前のファームウェアバージョン(V4.8.16以前)では、認証システム)とActive Directoryが同一ネットワークに属している場合には、例外的にドメイン参加できていたため、認証できない問題は生じていなかった。
- しかし今回、ファームウェアバージョンをV4.8.14からV4.8.17に更新したことにより、例外が適用されず、ドメイン参加ができなくなった。
- この現象は、ソリトンシステムズ側も私からの問い合わせで初めて知ったようであった。
- これら設定に関する情報は事前に当社に提供されておらず、また構築はメーカーが行ったため、ファームウェア更新によるドメイン参加不可は予見できなかった。
- 納品ドキュメントにはデフォルト値は「サーバーを指定する」となっていた。
処置
行った処置の流れは下記の通りである。
- 原因調査開始
- 被疑箇所が、無線コントローラ、Active Directory、EPSのどこか特定作業実施。
- 無線LAN接続障害を全社に発信
- ソリトンシステムズに調査依頼
- 無線接続暫定対応としてActive Directory認証不要なSSIDを出力
- 上記SSIDの出力確認後、工場内ハンディ端末接続先を上記暫定SSIDに変更作業開始(人海戦術で対応)
- 暫定対応について全社周知完了(全社メールにて通知、社内ポータル情報掲載)
- 工場内ハンディ端末接続先変更作業完了
- メーカーより調査結果報告があり、EPSの設定変更実施
- 障害復旧
- 復旧連絡を全社に発信
再発防止策
- ファームウェア更新の際、その必要性を十分検討し、実施計画を慎重に立案する。
- 業務影響を極力避けるため、平日営業時間帯の作業実施は避ける。
- 現在はメーカーの営業時間中(平日 9時~17時半)のみのサポート契約締結のため、この時間以外のサポート契約でのファームウェア更新も検討する。
- 同様の障害が発生した際の暫定対応策立案と具体的な作業手順を作成し、グループメンバーに手順の周知をする。
暫定出力したSSIDの出力停止
- ハンディ端末以外のAPについては復旧後即時出力停止
- ハンディ端末用のAPは、接続先SSIDを元に戻す作業完了後に出力停止
- ハンディ端末はくれーどに接続されていればMDM経由で設定流し込みが可能。
- APは、無線コントローラにてAPグループで管理している。
以上