Skip to main content
Deutsch
Preise

RADIUS-Server-Hochverfügbarkeit: Active-Active vs. Active-Passive

Ein definitiver technischer Leitfaden für IT-Manager und Netzwerkarchitekten zur Bewertung von RADIUS-Hochverfügbarkeitsarchitekturen. Er stellt Active-Active- und Active-Passive-Bereitstellungen gegenüber, detailliert die Anforderungen an die Datenbankreplikation und erklärt, wie Cloud RADIUS die Failover-Latenz für Unternehmensstandorte minimiert.

📖 6 Min. Lesezeit📝 1,317 Wörter🔧 2 Beispiele3 Fragen📚 8 Schlüsselbegriffe

🎧 Diesen Leitfaden anhören

Transkript anzeigen
# RADIUS Server High Availability: Active-Active vs Active-Passive ## Purple Technical Briefing — Podcast Script (~10 minutes) --- **PART 1 — INTRODUCTION & CONTEXT (approx. 1 minute)** Welcome to the Purple Technical Briefing. I'm your host, and today we're tackling one of the most consequential infrastructure decisions for any organisation running enterprise WiFi: RADIUS server high availability. If you're a network architect or IT director responsible for authentication infrastructure at a hotel group, a retail chain, a stadium, or a public-sector facility, this briefing will give you the frameworks and the specific technical detail you need to make the right call — and avoid the mistakes that cause authentication outages at the worst possible moment. Let me set the scene. RADIUS — Remote Authentication Dial-In User Service — is the gatekeeper to your network. Every time an employee connects via 802.1X, or a guest authenticates through your captive portal, RADIUS is the engine checking credentials and authorising access. It's the backbone of IEEE 802.1X and WPA3 enterprise deployments. And unlike most IT services that degrade gracefully when they fail, RADIUS is binary: it either works, or nobody gets on the network. That asymmetry is what makes high availability so critical. --- **PART 2 — TECHNICAL DEEP-DIVE (approx. 5 minutes)** Let's start with the fundamentals. RADIUS operates over UDP — typically port 1812 for authentication and 1813 for accounting. The stateless nature of UDP is actually an advantage for HA design: because each authentication request is self-contained, any server in a cluster can handle any request without needing to know what happened before. This is the architectural property that makes active-active deployments so elegant. Now, there are two primary high-availability models you need to understand. **Active-Passive** is the traditional approach. You have a primary RADIUS server handling all authentication traffic, and a secondary server sitting in standby, receiving replicated data but not processing requests. When the primary fails, the Network Access Device — your access point, your switch, your VPN gateway — detects the failure and redirects traffic to the secondary. How long does that failover take? This is where the specifics matter. The NAS sends a RADIUS request and waits. The default packet timeout is typically two seconds. After that, it retries — usually three attempts per server. With two servers configured, you're looking at a maximum failover detection time of around six to twelve seconds in a well-tuned deployment. In a worst-case scenario with three servers and default timers, that can stretch to eighteen seconds. For a hotel guest trying to connect at check-in, or a retail associate trying to process a transaction, that's a painful window. **Active-Active** is the more sophisticated approach, and for most enterprise deployments it's the right one. Both — or all — RADIUS servers are processing authentication requests simultaneously. Traffic is distributed across the cluster either by round-robin rotation or by a dedicated load balancer. When one node fails, the remaining nodes absorb its traffic immediately. There is no failover detection delay because there is no failover in the traditional sense: the load balancer simply stops sending requests to the unhealthy node, typically within one to two seconds based on health-check intervals. The performance benefits compound. In a large venue — think a 60,000-seat stadium or a conference centre hosting a major exhibition — you can see thousands of simultaneous authentication requests when doors open or a session break occurs. A single RADIUS server, even a well-specified one, can become a bottleneck. An active-active cluster scales horizontally: add another node and you add proportional capacity. Now, let's talk about the database layer, because this is where many deployments get into trouble. RADIUS authentication itself is largely stateless — the server checks credentials against a directory and returns an Accept or Reject. But RADIUS accounting is stateful: it tracks session start, interim updates, and session stop events. If you're using accounting for billing, compliance logging, or session management, you need that data to be consistent across all nodes. The standard approach is to back your RADIUS cluster with a replicated database. FreeRADIUS, the world's most widely deployed open-source RADIUS server, integrates with MySQL and MariaDB. For active-active deployments, you have two main options: MySQL NDB Cluster, which provides synchronous multi-master replication with sub-second failover, or Galera Cluster, which offers similar synchronous replication with slightly simpler operational management. Both eliminate the risk of data loss on node failure. Asynchronous replication — standard MySQL primary-replica — is cheaper but introduces a replication lag that can result in lost accounting records if the primary fails before changes are replicated. Let me address the question of geographic distribution, because this is increasingly relevant for multi-site operators. If you're running a retail chain with 200 stores, or a hotel group with properties across multiple countries, the question isn't just "how do I make my RADIUS server redundant?" — it's "where should my RADIUS servers be located relative to my access points?" Backhauling authentication traffic from a remote site to a central data centre introduces WAN latency and a single point of failure at the WAN link. If that link goes down, the remote site cannot authenticate anyone, regardless of how redundant your central RADIUS cluster is. The solution is either to deploy local RADIUS instances at each site — which creates significant operational overhead — or to use a cloud RADIUS service with geographically distributed edge nodes. Cloud RADIUS platforms solve the HA problem at the architectural level. Rather than you building and managing redundant infrastructure, the provider operates RADIUS across multiple availability zones and regions. Failover between nodes happens automatically, typically in under one second, because it's handled by the platform's internal load balancing rather than by NAS retry timers. The SLA commitments from enterprise cloud RADIUS providers are typically 99.99% uptime — that's less than 53 minutes of downtime per year. There's an important compliance dimension here as well. PCI DSS requires strong authentication controls for cardholder data environments. GDPR treats authentication logs as personal data, requiring appropriate handling and data residency controls. Cloud RADIUS providers typically hold SOC 2 Type II certifications and offer GDPR data processing agreements with regional data residency options. On-premise deployments give you full control over data location, which matters in healthcare environments under NHS data governance frameworks, or in government facilities with data sovereignty requirements. --- **PART 3 — IMPLEMENTATION RECOMMENDATIONS & PITFALLS (approx. 2 minutes)** Let me walk you through two real-world scenarios that illustrate these principles in practice. First: a European hotel group with 45 properties across six countries. Their IT team of three engineers was running FreeRADIUS on virtual machines at each property — 45 separate instances to patch, monitor, and maintain. When a TLS certificate expired at one property, it caused a complete guest WiFi outage during a major conference. The fix required an engineer to remote in and manually renew the certificate — a process that took 40 minutes while guests were unable to connect. After migrating to a cloud RADIUS service with centralised policy management, the team eliminated per-site maintenance entirely. Certificate rotation became automatic. The three engineers reclaimed roughly 40 percent of their time previously spent on RADIUS operations. More importantly, the platform's active-active architecture across multiple cloud regions meant that a single node failure — which previously would have caused a site outage — became a non-event. Second scenario: a national sports stadium hosting 60,000 fans for a major event. The network team had deployed an active-passive RADIUS configuration with a primary server and a hot standby. During a pre-event load test, they discovered that the primary server was becoming saturated during the authentication surge when gates opened — processing 8,000 authentication requests per minute. The passive secondary was sitting idle while the primary struggled. The solution was to reconfigure the NAS devices to use round-robin load balancing across both servers, effectively converting the deployment to active-active. Authentication throughput doubled immediately. They also added a third server to provide headroom for the peak load, and configured Galera Cluster replication for the accounting database. The result was a deployment that could absorb the loss of any single node without any user-visible impact. Now, the pitfalls. The most common mistake is treating the secondary RADIUS server as a "set and forget" backup. Configurations drift. Certificates expire on the secondary while the primary is running fine. When the primary eventually fails and the secondary takes over, it fails too — for a completely different reason. The fix is simple: test your failover regularly, at least quarterly, and treat both nodes as production systems. The second pitfall is neglecting the database replication lag. If you're using asynchronous replication and your primary database node fails, you may lose accounting records for sessions that were active at the moment of failure. For PCI DSS compliance, this is a serious gap. Use synchronous replication — Galera or NDB — for any deployment where accounting data integrity is a compliance requirement. --- **PART 4 — RAPID-FIRE Q&A (approx. 1 minute)** Let me address the questions I hear most often from network architects. "What's the minimum viable HA configuration?" Two RADIUS servers with active-passive failover, shared secret synchronisation, and a replicated database backend. That's your floor. For anything above 500 concurrent users, move to active-active. "Can I use a hardware load balancer for RADIUS?" Yes, but RADIUS uses UDP, and many load balancers are optimised for TCP. Ensure your load balancer supports UDP load balancing with health checks. HAProxy Enterprise has a dedicated RADIUS UDP module. F5 BIG-IP handles it natively. "How do I handle EAP certificate trust in an HA cluster?" All nodes must present the same server certificate, or at minimum certificates from the same CA chain. Clients validate the server certificate during EAP-TLS and PEAP handshakes — if nodes present different certificates, you'll see authentication failures after failover. "Does cloud RADIUS work with on-premise Active Directory?" Yes, via a lightweight connector or LDAP proxy that queries your local AD without exposing it directly to the internet. This is the standard integration pattern for hybrid environments. --- **PART 5 — SUMMARY & NEXT STEPS (approx. 1 minute)** Let me close with the key decisions you need to make. If you're running fewer than 500 concurrent users at a single site with a stable team to manage infrastructure, active-passive with a well-tested failover procedure is a defensible choice. Keep it simple, test it regularly, and use synchronous database replication. If you're running a multi-site estate, a high-density venue, or if your team's bandwidth is constrained, active-active is the right architecture — and cloud RADIUS is the fastest path to getting there without building the infrastructure yourself. Whatever model you choose, the principles are the same: distribute rather than duplicate, automate failover decisions, and test your failure scenarios before they test you. For more on how Purple's platform handles RADIUS authentication at scale — including integration with 802.1X, WPA3 enterprise, and guest WiFi portals — visit purple.ai. Until next time. --- *End of script. Approximate reading time at 150 words per minute: 10 minutes.*

header_image.png

Management-Zusammenfassung

In Unternehmensnetzwerken ist die Authentifizierung binär: Entweder sie funktioniert einwandfrei, oder der Geschäftsbetrieb kommt vollständig zum Erliegen. RADIUS (Remote Authentication Dial-In User Service) fungiert als kritischer Gatekeeper für IEEE 802.1X, WPA3 Enterprise und Guest WiFi Bereitstellungen an modernen Standorten. Im Gegensatz zu Anwendungsdiensten, deren Leistung bei Last kontrolliert abnimmt, blockiert ein RADIUS-Ausfall sofort den Netzwerkzugriff für Benutzer, Point-of-Sale-Terminals und betriebliche Geräte.

Dieser technische Leitfaden bewertet die Architekturmodelle für die Bereitstellung hochverfügbarer RADIUS-Infrastrukturen. Insbesondere werden traditionelle Active-Passive-Konfigurationen modernen Active-Active-Clustern gegenübergestellt. Für IT-Manager, Netzwerkarchitekten und Betriebsleiter an Standorten mit hoher Dichte wie Retail , Hospitality und Stadien ist das Verständnis dieser Failover-Strategien, Load-Balancing-Mechanismen und Anforderungen an die Datenbankreplikation unerlässlich.

Darüber hinaus untersucht dieser Leitfaden, wie Cloud RADIUS-Plattformen die Komplexität der Hochverfügbarkeit abstrahieren und automatisches Failover sowie elastische Skalierbarkeit bieten, ohne den betrieblichen Aufwand für die Wartung redundanter On-Premise-Infrastrukturen. Durch die Anwendung dieser herstellerneutralen Best Practices können Engineering-Teams Authentifizierungsarchitekturen entwerfen, die Single Points of Failure eliminieren und strenge Service Level Agreements (SLAs) für die Betriebszeit erfüllen.

Technischer Deep-Dive: RADIUS-Architektur verstehen

RADIUS arbeitet als Client-Server-Protokoll über UDP und nutzt in der Regel Port 1812 für die Authentifizierung und Port 1813 für das Accounting, wie in RFC 2865 und RFC 2866 definiert. Die zustandslose Natur von UDP-Authentifizierungsanfragen ist ein struktureller Vorteil für das Hochverfügbarkeitsdesign. Da jedes Access-Request-Paket alle erforderlichen Anmeldedaten und Parameter enthält, kann jeder RADIUS-Server innerhalb eines Clusters jede Anfrage unabhängig verarbeiten, ohne dass eine komplexe Statussynchronisierung für die Authentifizierungsphase selbst erforderlich ist.

Active-Passive-Architektur

In einer Active-Passive-Bereitstellung (oder Primary-Standby) verarbeitet ein einzelner RADIUS-Server den gesamten eingehenden Authentifizierungs- und Accounting-Traffic. Ein sekundärer Server bleibt online, aber im Leerlauf; er erhält Datenbankreplikations-Updates, antwortet jedoch nicht aktiv auf Network Access Devices (NADs) wie Access Points, Switches oder VPN-Gateways.

Wenn der primäre Server ausfällt, erkennt das NAD den Timeout und leitet nachfolgende Anfragen an den sekundären Server um. Die Zeit für die Failover-Erkennung hängt vollständig von den Konfigurationstimern des NAD ab. Ein typisches NAD sendet eine RADIUS-Anfrage und wartet auf einen Standard-Paket-Timeout (oft zwei Sekunden). Wenn keine Antwort erfolgt, wird der Versuch wiederholt. Bei einer Standardkonfiguration von drei Versuchen pro Server kann das NAD bis zu sechs Sekunden warten, bevor es den primären Server für ausgefallen erklärt und auf den sekundären umschaltet. In Umgebungen mit drei konfigurierten Servern kann sich dieses Failover-Fenster auf achtzehn Sekunden verlängern. Für einen belebten Hospitality -Standort oder eine Retail -Umgebung, in der Transaktionen verarbeitet werden, stellt diese Verzögerung eine spürbare Dienstunterbrechung dar.

Active-Active-Architektur

Im Gegensatz dazu verteilt eine Active-Active-Architektur die Authentifizierungslast gleichzeitig auf mehrere betriebsbereite RADIUS-Server. Der Traffic wird entweder über Round-Robin-Konfigurationen auf den NADs oder über einen dedizierten Load Balancer an den Cluster geleitet.

comparison_chart.png

Dieses Modell eliminiert die Verzögerung bei der Failover-Erkennung, die Active-Passive-Setups eigen ist. Wenn ein Knoten ausfällt, stellt der Load Balancer (oder die NADs mittels Round-Robin) die Weiterleitung des Traffics an den nicht reagierenden Server einfach ein, in der Regel innerhalb von ein bis zwei Sekunden basierend auf Health-Check-Intervallen. Die verbleibenden aktiven Knoten übernehmen sofort den Traffic. Darüber hinaus lassen sich Active-Active-Cluster horizontal skalieren; um Kapazität für Veranstaltungen mit hoher Dichte hinzuzufügen, müssen lediglich zusätzliche Knoten im Cluster bereitgestellt werden.

Die Herausforderung der Datenbankreplikation

Während die RADIUS-Authentifizierung zustandslos ist, ist das RADIUS-Accounting von Natur aus zustandsbehaftet. Es verfolgt den Sitzungsbeginn (Start), die laufende Nutzung (Interim-Update) und die Beendigung (Stop). Für Standorte, die WiFi Analytics oder Abrechnungssysteme nutzen, müssen diese Accounting-Daten über alle Knoten hinweg konsistent bleiben.

Die Unterstützung eines RADIUS-Clusters durch eine replizierte Datenbank (wie MySQL oder MariaDB integriert mit FreeRADIUS) ist für eine robuste Hochverfügbarkeit zwingend erforderlich. Für Active-Active-Bereitstellungen ist eine synchrone Multi-Master-Replikation – wie Galera Cluster oder MySQL NDB Cluster – erforderlich. Die synchrone Replikation stellt sicher, dass ein Accounting-Datensatz gleichzeitig auf allen Knoten festgeschrieben wird, was Datenverlust bei einem Knotenausfall verhindert. Die traditionelle asynchrone Replikation, die häufig in Active-Passive-Setups verwendet wird, führt zu Replikationsverzögerungen. Wenn der primäre Knoten ausfällt, bevor der sekundäre das Update erhält, gehen aktive Sitzungsdaten dauerhaft verloren, was gegen Compliance-Frameworks wie PCI DSS verstoßen kann.

Implementierungsleitfaden: Cloud vs. On-Premise

Die architektonische Entscheidung geht darüber hinaus, wie Server geclustert werden; sie betrifft auch den Standort dieser Server. Für Betreiber mehrerer Standorte führt das Backhauling des Authentifizierungs-Traffics zu einem zentralisierten On-Premise-Rechenzentrum zu WAN-Latenzen und schafft einen Single Point of Failure an der WAN-Verbindung.

Cloud RADIUS Plattformen

Cloud RADIUS-Dienste lösen Herausforderungen bei der geografischen Verteilung, indem sie die Authentifizierungsinfrastruktur über mehrere globale Verfügbarkeitszonen hinweg hosten. Wenn sich ein Benutzer an einem Zweigstellenstandort verbindet, wird die Anfrage zum nächstgelegenen Cloud-Edge-Knoten geleitet, was die Latenz minimiert.

architecture_overview.png

Cloud-Plattformen nutzen von Natur aus Aktiv-Aktiv-Architekturen. Das Failover zwischen Verfügbarkeitszonen wird automatisch durch das interne Load Balancing des Anbieters abgewickelt, wodurch die Komplexität vollständig vom Engineering-Team des Kunden abstrahiert wird. Dieses Modell bietet in der Regel SLAs mit 99,99 % Uptime und macht manuelle Zertifikatsverwaltung, Betriebssystem-Patching und die Abstimmung der Datenbankreplikation überflüssig. Für Unternehmen, die Wayfinding oder Sensors über verteilte Campus-Standorte hinweg einsetzen, gewährleistet die Cloud-gehostete Authentifizierung eine konsistente Richtliniendurchsetzung ohne Abhängigkeiten von lokaler Hardware.

Überlegungen zur On-Premise-Bereitstellung

Unternehmen in stark regulierten Sektoren – wie etwa im Gesundheitswesen oder in Regierungsumgebungen – benötigen aufgrund strenger Mandate zur Datensouveränität möglicherweise On-Premise-Bereitstellungen. In diesen Szenarien bietet die Bereitstellung eines Aktiv-Aktiv-FreeRADIUS-Clusters mit synchroner Galera-Replikation das höchste Maß an Resilienz.

Engineering-Teams müssen jedoch den betrieblichen Aufwand berücksichtigen. Die Verwaltung von TLS-Zertifikaten über mehrere Knoten hinweg, die Gewährleistung der Konfigurationskonsistenz und die aktive Überwachung des Zustands der Datenbankreplikation erfordern dedizierte administrative Ressourcen. Hardware-Load-Balancer müssen speziell für die Unterstützung von UDP-Traffic mit entsprechenden RADIUS-Health-Checks konfiguriert werden, da viele Standard-Load-Balancer ausschließlich für TCP-HTTP/HTTPS-Traffic optimiert sind.

Best Practices für RADIUS-Hochverfügbarkeit

  1. Verteilen statt Duplizieren: Priorisieren Sie bei Bereitstellungen mit mehr als 500 gleichzeitigen Benutzern Aktiv-Aktiv-Architekturen gegenüber Aktiv-Passiv-Setups, um den Durchsatz zu maximieren und die Failover-Latenz zu minimieren.
  2. Synchrone Replikation implementieren: Schützen Sie zustandsbehaftete Accounting-Daten durch die Nutzung synchroner Multi-Master-Datenbankreplikation (z. B. Galera Cluster) anstelle von asynchronen Primär-Replika-Modellen.
  3. Zertifikatsvertrauen standardisieren: Stellen Sie in einem Aktiv-Aktiv-Cluster sicher, dass alle Knoten das identische Serverzertifikat oder Zertifikate aus exakt derselben Certificate Authority (CA)-Kette vorweisen. Diskrepanzen führen dazu, dass EAP-TLS- und PEAP-Handshakes während der Knotenrotation fehlschlagen.
  4. NAD-Timer abstimmen: Optimieren Sie die RADIUS-Retry- und Timeout-Timer auf Ihren Network Access Devices. Ein Timeout von zwei Sekunden mit zwei Wiederholungsversuchen bietet ein Gleichgewicht zwischen schneller Failover-Erkennung und der Vermeidung vorzeitiger Failover bei geringfügigen Netzwerküberlastungen.
  5. Ausfallszenarien testen: Behandeln Sie sekundäre Knoten wie Produktionssysteme. Simulieren Sie regelmäßig Knotenausfälle, Datenbank-Desynchronisationen und WAN-Verbindungsabbrüche, um zu validieren, dass automatisierte Failover-Mechanismen wie geplant funktionieren.

Fehlerbehebung & Risikominderung

Der häufigste Fehlermodus bei der RADIUS-Hochverfügbarkeit ist der Konfigurationsdrift. In Aktiv-Passiv-Setups aktualisieren Administratoren häufig Richtlinien oder erneuern Zertifikate auf dem primären Knoten, vernachlässigen jedoch den sekundären. Tritt ein Failover-Ereignis ein, lehnt der sekundäre Knoten legitimen Traffic aufgrund abgelaufener Anmeldedaten oder veralteter Richtlinien ab.

Um dieses Risiko zu mindern, implementieren Sie Konfigurationsmanagement-Tools (wie Ansible oder Terraform), um Änderungen symmetrisch über alle Knoten hinweg bereitzustellen. Nutzen Sie für die Zertifikatsverwaltung automatisierte Erneuerungsprotokolle (wie ACME), die so konfiguriert sind, dass sie das aktualisierte Zertifikat gleichzeitig im gesamten Cluster verteilen.

Ein weiteres erhebliches Risiko ist die Fehlkonfiguration des Load Balancers. Wenn ein Load Balancer keine Health-Checks auf Anwendungsebene durchführt (insbesondere die Überprüfung der Reaktionsfähigkeit von UDP-Port 1812), leitet er möglicherweise weiterhin Traffic an einen Knoten weiter, auf dem das Betriebssystem läuft, der RADIUS-Daemon jedoch abgestürzt ist. Stellen Sie sicher, dass Health-Checks explizit die Verfügbarkeit des RADIUS-Dienstes validieren.

ROI & geschäftliche Auswirkungen

Der Return on Investment für eine robuste RADIUS-Hochverfügbarkeit bemisst sich primär an der Risikominderung und der betrieblichen Effizienz. Authentifizierungsausfälle führen zu sofortigen Produktivitätsverlusten für Mitarbeiter und schweren Reputationsschäden für öffentlich zugängliche Standorte.

Durch den Übergang von manuellen Einzelserver-Bereitstellungen zu automatisierten Aktiv-Aktiv-Architekturen (insbesondere über Cloud RADIUS) gewinnen Unternehmen erhebliche Engineering-Stunden zurück, die zuvor für routinemäßige Wartungsarbeiten aufgewendet wurden. Diese betriebliche Effizienz ermöglicht es Netzwerk-Teams, sich auf strategische Initiativen zu konzentrieren, wie die Bereitstellung von Die zentralen SD-WAN-Vorteile für moderne Unternehmen oder die Optimierung der High-Density-Abdeckung, anstatt Authentifizierungsfehler zu beheben. Letztendlich ist eine zuverlässige Authentifizierung die grundlegende Schicht, von der alle nachfolgenden Netzdienste abhängen.

Schlüsselbegriffe & Definitionen

Active-Active Architecture

A high availability design where multiple RADIUS servers process authentication requests simultaneously, distributing the load and providing instant failover without detection delays.

Essential for high-density venues (stadiums, large retail) where a single server cannot handle peak authentication surges.

Active-Passive Architecture

A redundancy model where a primary server handles all traffic, and a secondary server remains idle on standby until the primary fails.

Suitable for smaller, cost-sensitive deployments, but introduces a 6-18 second failover delay while the network access device detects the failure.

Synchronous Replication

A database replication method where data is written to all nodes in a cluster simultaneously before the transaction is considered complete.

Mandatory for Active-Active RADIUS accounting databases (like Galera Cluster) to prevent data loss and ensure compliance.

Asynchronous Replication

A database replication method where the primary node records the data and later copies it to secondary nodes, introducing a slight delay (lag).

Often used in Active-Passive setups but carries the risk of losing recent accounting records if the primary node fails abruptly.

Network Access Device (NAD)

The hardware component (such as a WiFi access point, switch, or VPN gateway) that requests authentication from the RADIUS server on behalf of the user.

The NAD's internal retry and timeout timers dictate how quickly an Active-Passive failover occurs.

Stateless Protocol

A communications protocol that treats each request as an independent transaction, unrelated to any previous request.

RADIUS authentication over UDP is stateless, allowing load balancers to route any request to any active server seamlessly.

Configuration Drift

The phenomenon where secondary or backup servers become out of sync with the primary server regarding policies, updates, or certificates over time.

The leading cause of failure in Active-Passive RADIUS deployments when the secondary node is forced to take over.

Cloud RADIUS

A managed authentication service hosted across globally distributed cloud infrastructure, providing built-in Active-Active redundancy and automatic scaling.

Replaces the need for IT teams to manually build, patch, and monitor redundant on-premise RADIUS servers.

Fallstudien

A European hotel group manages 45 properties across six countries. They currently run independent FreeRADIUS virtual machines at each property. A recent expired TLS certificate at one location caused a complete guest WiFi outage during a major conference. How should they redesign their authentication architecture to prevent localized outages and reduce maintenance overhead?

The hotel group should migrate from localized, single-node FreeRADIUS instances to a centralized Cloud RADIUS platform utilizing an Active-Active architecture. By leveraging a cloud provider with geographically distributed edge nodes, authentication requests from each property are routed to the nearest regional node, minimizing latency. Centralized policy management allows the IT team to define authentication rules once and apply them globally. The cloud provider automatically handles TLS certificate rotation, operating system patching, and database replication.

Implementierungshinweise: This approach eliminates 45 single points of failure and removes the operational burden of per-site maintenance. The Active-Active cloud architecture ensures that if a specific regional node experiences an issue, traffic is automatically and instantaneously routed to the next closest availability zone, resulting in zero perceived downtime for the guests.

A national sports stadium is preparing for a 60,000-attendee event. Their current RADIUS setup is an Active-Passive configuration. During load testing, the primary server became saturated processing 8,000 authentication requests per minute when the gates opened, causing severe connection delays, while the secondary server remained completely idle. How can they optimize this deployment?

The network engineering team must convert the deployment from Active-Passive to Active-Active. First, they should reconfigure the stadium's Network Access Devices (NADs) to utilize round-robin load balancing across both RADIUS servers, instantly doubling their authentication throughput. Second, they should provision a third RADIUS node to provide necessary headroom for peak surges. Finally, to ensure accounting data remains consistent across all three active nodes, they must implement a synchronous multi-master database replication solution, such as Galera Cluster.

Implementierungshinweise: Converting to Active-Active horizontally scales the processing capacity, directly addressing the bottleneck. Utilizing synchronous database replication is critical in this scenario; it guarantees that session accounting data is not lost if a node fails during the massive influx of users, which is essential for accurate analytics and compliance.

Szenarioanalyse

Q1. Your enterprise retail client requires a highly available RADIUS solution for their point-of-sale terminals. They have strict PCI DSS compliance requirements dictating that absolutely no accounting session data can be lost during a server failover. Which database replication strategy must you implement for the RADIUS backend?

💡 Hinweis:Consider the difference between data being written simultaneously versus data being copied after the fact.

Empfohlenen Ansatz anzeigen

You must implement Synchronous Replication (such as a Galera Cluster or MySQL NDB Cluster). Synchronous replication ensures that the accounting record is committed to all nodes simultaneously before acknowledging the transaction. If you used Asynchronous replication, a node failure could result in the loss of recent transactions that had not yet been copied to the secondary database, violating the strict compliance requirement.

Q2. A university campus network uses an Active-Passive RADIUS setup. Students complain that when the primary server undergoes maintenance, it takes nearly 20 seconds for their laptops to connect to the WiFi. The access points are configured with a 3-second RADIUS timeout and 5 retries. How can you reduce the failover delay without changing the server architecture?

💡 Hinweis:Calculate the maximum wait time based on the NAD timers before it attempts the secondary server.

Empfohlenen Ansatz anzeigen

You should tune the timers on the Network Access Devices (access points). Currently, the AP waits 3 seconds and retries 5 times, resulting in an 18-second delay (3 seconds × 6 total attempts) before failing over to the passive server. By reducing the configuration to a 2-second timeout and 2 retries, the failover detection time drops to 6 seconds, significantly improving the user experience during maintenance windows.

Q3. You are migrating a multi-site corporate network from an Active-Passive on-premise RADIUS server to an Active-Active Cloud RADIUS platform. During the pilot phase, devices successfully authenticate against Cloud Node A, but when the load balancer routes them to Cloud Node B, the EAP-TLS handshakes fail. What is the most likely configuration error?

💡 Hinweis:Consider what the client device verifies when establishing a secure EAP tunnel with a new server.

Empfohlenen Ansatz anzeigen

The most likely issue is a Certificate Trust mismatch. In an Active-Active cluster, all RADIUS nodes must present the exact same server certificate (or certificates issued by the exact same trusted CA chain). If Cloud Node B is presenting a different certificate that the client devices do not trust, the EAP-TLS handshake will be rejected by the client, causing authentication to fail despite the server functioning correctly.

Wichtigste Erkenntnisse

  • RADIUS high availability is critical because authentication failures immediately block all network access for users and devices.
  • Active-Passive setups are simpler but introduce a 6-18 second failover delay dictated by the Network Access Device's retry timers.
  • Active-Active architectures process requests simultaneously, providing instant failover and horizontal scalability for high-density environments.
  • While RADIUS authentication is stateless, accounting is stateful and requires synchronous database replication (like Galera) to prevent data loss.
  • Cloud RADIUS platforms abstract HA complexity by providing globally distributed, automatically scaling Active-Active infrastructure.
  • Configuration drift and mismatched TLS certificates are the most common causes of failure during RADIUS failover events.
Über uns
Karriere
B Corp Bericht
Tarife
Gast-WiFi Funktionen
Gast-WiFi Preise
Professional Services
Demo buchen
Richtlinien
Rechtliches
Datenschutzrichtlinie
Nutzungsbedingungen
Meine Daten
Cookie-Richtlinie
Standard-SLA
Support & Beratung
ROI-Rechner
Preisrechner
Purple Support
WhatsApp
© 2026 Purple. Alle Rechte vorbehalten.
Cookie-Einstellungen verwalten