<div dir="ltr">Hello John,<div><br></div><div>Thanks</div><div><br></div><div>you increased max_request = 16384 (so you have only 64 clients ?)</div><div>you set winbind max domain connections = 12 (how do I know which value is right ) (we have around 300 clients (WAPs)</div><div><br></div><div>so I set the max_request= 300*256 (I use 256 the value which is in the radious.conf file)</div><div><br></div><div>winbind max clients = 1200 ( has anybody used this parameter ? is this mean how many winbind client can connect to AD ?<br></div><div><br></div><div>--cheers</div><div>Rando</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 2, 2014 at 3:27 PM, John Douglass <span dir="ltr"><<a href="mailto:john.douglass@oit.gatech.edu" target="_blank">john.douglass@oit.gatech.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    :) Rando,<br>
    <br>
    There has been much discussion on this list about that problem. IF
    you are using Cisco WLC, there is a flaw in the way radius is
    processed which could lead to these log messages. Here is the
    previous set of threads that have some pointers as to what to look
    at.<br>
    <br>
    Cisco WLCs use the same source port and the 8-bit ID that is used to
    track radius conversations during peak times, gets cycled so fast
    that it creates duplicates where there really shouldn't be. We are
    pushing Cisco hard to fix this flaw in their design especially since
    they are creating controllers with more and more capacity. The
    problem is only going to get worse.<br>
    <br>
    I highly suggest you move to radius 2.2.5 and enable the ntlm_auth
    timeout and upgrade your samba to 3.6 where you can add some
    additional parameters. Here are some hints that Phil Huxley shared
    with us that have been helpful in making our services better. The
    issues haven't been handled 100%, and there are other things to
    consider like if using a Cisco WLC, enabling client exclusion, etc,
    etc but I don't have a ton of info on that as I just run the radius
    servers.<br>
    <br>
<a href="http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073929.html" target="_blank">http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073929.html</a><br>
    <br>
    - John Douglass @ Georgia Tech<br>
    <br>
    PS: I really need to write up a blog post about this :) <br>
    PSS: Yes we know AD is slow and it sucks as a backend but for a lot
    of us, it's what we have to deal with :)<div><div class="h5"><br>
    <br>
    <br>
    <div>On 10/02/2014 11:10 AM, Rando Nakarmi
      wrote:<br>
    </div>
    </div></div><blockquote type="cite"><div><div class="h5">
      
      <div dir="ltr">
        <div>I been seeing quite a large number of message like below
          logged in radius.log lately.</div>
        <div><br>
        </div>
        Discarding duplicate request from client classroom98 port 32880
        - ID: 131 due to unfinished request 241848<br>
        <div><br>
        </div>
        <div>I read some thread, this might be the case when back-end
          server (i.e auth servers) are too slow to respond. </div>
        <div><br>
        </div>
        <div>My back-end is AD, using ntlm_auth. </div>
        <div>radius version 2.1.12-4</div>
        <div>samba version 3.5.8-68</div>
        <div><br>
        </div>
        <div>Any hints or suggestion how to resolve this would be very
          helpful.</div>
        <div><br>
        </div>
        <div>Most of the users get authenticated ( I don't think
          ntlm_auth is responding slow), I could not figure this out</div>
        <div><br>
        </div>
        <div>--cheers,</div>
        <div>Rando</div>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><span class=""><pre>-
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a></pre>
    </span></blockquote>
    <br>
  </div>

<br>-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br></blockquote></div><br></div>