故障現象

某地M6000-S開啟TACACS+賬號登錄認證后，發現設備登錄經常會上報用戶密碼錯誤，過一段時間才恢復正常。

故障分析

設備登錄時上報用戶密碼錯誤，可能原因包括：

TACACS+服務器機制問題。

M6000-S TACACS+配置問題。

故障處理

1. 檢查M6000-S設備TACACS+配置及賬號信息配置，暫未發現問題。

2. 協調TACACS+側檢查服務器配置，暫未發現問題。

3. 因為不是每次登錄都失敗，進行了多次登錄測試，發現了規律：第一次密碼輸入錯誤后，再輸入正確密碼登錄就會報賬號密碼錯，并且持續大概5分鐘。

4. 在報賬號密碼錯誤時，M6000-S上查看TACACS+狀態，發現是dead狀態。

5. 基本可以判斷出頻繁登錄失敗原因，第一次密碼輸入錯誤后，M6000-S上的TACACS+狀態變為了dead，導致進行了本地認證，本地無此賬號，因此上報了賬號密碼錯誤。

6. 繼續排查TACACS+認證密碼輸入錯誤就會dead的原因，檢查M6000-S TACACS+ deadtime配置，發現默認為5分鐘，這和賬號5分鐘無法登錄時間一致。

7. 仔細檢查，發現TACACS+賬號認證失敗后，M6000-S顯示的是認證timeout，而不是認證失敗。

8. 聯系TACACS+側抓包進行分析，發現在輸入密碼錯誤的情況下，TACACS+服務器不回復認證失敗消息。

9. 目前可以判斷故障原因：當M6000-S上的登錄密碼輸錯后，TACACS+服務器不回復認證失敗信息，設備等待TACACS+ timeout時間到期后，認為TACACS+服務器故障，將該服務器置為dead狀態，按照默認配置，時間為5分鐘。

10. 故障解決方法有兩種：

(1)要求TACACS+服務器側恢復認證失敗消息。

(2)在M6000-S上將dead時間置為0。

通過溝通，TACACS+服務器側修改了配置，在用戶密碼輸錯時回復認證失敗消息，問題得到了解決。第一次輸入密碼后，上報認證失敗，再次輸入正確密碼后可以正常登錄。

故障總結

只有一個TACACS+服務器的情況下，建議M6000-S的tacacs-server deadtime設置為0。