Lync 2010 und lyc 2013 federation

Alle Antworten

• 

  

  0

  Anmelden

  Ist der Provider für Lync Online richtig angelegt?

  

  ---

  regards Holger Technical Specialist UC

  
  

  • Bearbeitet Holger Bunkradt Sonntag, 3. Februar 2013 11:18

  Freitag, 1. Februar 2013 12:14
• 

  

  0

  Anmelden

  Hi Holger

  Ja die lynconline federation ist richtig eingerichtet und auch die push notifications usw funktionieren einwandrei. Es geht hier ja um die andere Lync 2010 Parterndomäne die nicht richtig funktioniert.

  Hat sonst keiner eine idee ? bzw eventuell auch das selbe problem ?

  lg Thomas

  Montag, 4. Februar 2013 08:39
• 

  

  0

  Anmelden

  Hallo Thomas,

  also wenn es um eine andere Lync Sip Domäne geht, sieht es so aus als wenn der SRV Eintrag für diese Domäne nicht richtig gesetzt ist.

  Was bekommt man denn zurück, wenn man nslookup -q=srv _sipfederationtls._tcp.contoso.com auf dem Edge abfragt?

  Es sollte normalerweise der Access Edge des Partners zurück kommen.

  ---

  regards Holger Technical Specialist UC

  
  
  

  • Bearbeitet Holger Bunkradt Montag, 4. Februar 2013 09:48 Tippfehler

  Montag, 4. Februar 2013 08:43
• 

  

  0

  Anmelden

  Hi

  also dieser eintrag kommt mir gar nicht bekannt vor. Wusste bis jetzt nur das man _sipfederationtls._tcp.contonso.com eintragen muss ? brauch ich den anderen auch ?

  lg 

  Thomas

  Montag, 4. Februar 2013 09:37
• 

  

  0

  Anmelden

  Dieser Eintrag muss immer für die eigene Domäne im Public DNS eingetragen werden, damit der Partner den eigenen Edge Server per Autodiscover finden kann.

  Wenn man diesen Eintrag nicht konfiguriert, muss die Sip Domäne immer mit dem entsprechenden Access Edge im Lync Controlpanel unter Federated Domains eingetragen werden.

  ---

  regards Holger Technical Specialist UC

  
  

  • Bearbeitet Holger Bunkradt Montag, 4. Februar 2013 09:42

  Montag, 4. Februar 2013 09:41
• 

  

  0

  Anmelden

  Sorry, hatte mich vertippt.

  ---

  regards Holger Technical Specialist UC

  Montag, 4. Februar 2013 09:51
• 

  

  0

  Anmelden

  Hi

  Also _sipfederationtls._tcp.contonso.com existiert für meine und für die partnerdomöne und weist jeweils auf den Edge server. Gibts mit einer 2010 er federation sonst noch was zu beachten was den fehler auslösen könnte ?

  lg Thomas

  Montag, 4. Februar 2013 09:54
• 

  

  0

  Anmelden

  Es müssen auf beiden Seiten die Zertifikate stimmen. Bei Public Zerts sollte es eigentlich passen.

  Die Frage ist wie der Externe Zugriff geregelt ist.

  Enable Communication with federated users und

  die Access Edge Configuration, Enable Federation/Enable Partner Domain discovery

  Hier ist ein gutes Tool zum Testen von Externen Verbindungen.

  https://www.testexchangeconnectivity.com/

  Wichtig ist auch, das die externe NIC als Gateway eingetragen ist.

  ---

  regards Holger Technical Specialist UC

  Montag, 4. Februar 2013 10:14
• 

  

  0

  Anmelden

  ExRCA is attempting to obtain the SSL certificate from remote server sip.contonso.com on port 443.
  	ExRCA wasn't able to obtain the remote SSL certificate.
  	Additional Details   The certificate couldn't be validated because SSL negotiation wasn't successful. This could have occurred as a result of a network error or because of a problem with the certificate installation.

  Das bekomme ich wenn ich den LYNC test durchführe auf meiner sip domäne.

  Jedoch seh ich das zertifikat am server selber als gültig und ich hab auch gerade nochmal die zertifikateinstellungen im Lync gecheckt. Das ist definitiv das richtige cert.

  lg thomas

  Montag, 4. Februar 2013 10:50
• 

  

  0

  Anmelden

  Hm,

  kann es sein, das eventuell SAN's im Cert fehlen?

  Oder einer der SRV Records nicht passt?

  Hier ist noch ein Tool, welches auch noch mal einen detaillierten Test ausgibt.

  http://www.insideocs.com/Tools/RUCT/RUCT.htm

  Welcher Zert Provider wird denn benutzt?

  ---

  regards Holger Technical Specialist UC

  Montag, 4. Februar 2013 11:39
• 

  

  0

  Anmelden

  Danke für das tool.

  Jetzt hab ich mal eine blöde frage. Ich benutze ein wildcard Certificate auf dem Edge server. Ich hab jetzt irgendwo gelesen das das nicht supported sei ? kann das das problem sein ? muss ich wirklich ein Zertifikat mit den SANS haben ?

  lg Thomas

  Montag, 4. Februar 2013 11:49
• 

  

  0

  Anmelden

  Wildcard Zertifikate werden mit dem aktuellen Patch Level unterstützt.

  Allerdings müssen die Telefone auch mindestens Patch Level CU6 haben.

  Also intern erst mal auf CU6 aktualisieren.

  Eventuell bringt das Online Tool deswegen einen Fehler bei der SSL Überprüfung.

  Ich würde auf dem Edge das Reskit installieren und dann mal einen OCSLogger Trace mit

  Sipstack,S4 starten um zu schauen ob man was im Trace sehen kann.

  Wenn ich das recht verstehe, funktioniert es kurz nach dem Start der Service?

  Können sich Lync Clients denn von außen ohne Probleme anmelden?

  Eventuell hilft es schon die Domäne als Federated Domain einzutragen.

  ---

  regards Holger Technical Specialist UC

  Montag, 4. Februar 2013 13:09
• 

  

  0

  Anmelden

  Clients funktionieren intern und extern einwandfrei.

  Es geht hier echt rein um die Federation mit einem Kunden (LYNC 2010). Kann es eventuell daran liegen das der kunde cu6 noch nicht installiert hat ?

  Das mit dem tracen werd ich gleich mal ausprobieren.

  Ja genau also wenn der edge server neu startet updated sich der status und auch test-csfederatedpartner funktioniert. Dann bekomm ich die einträge im Event Log und ca 30 min später geht dan das test-csfederatedpartner auch nicht mehr. Der Status wird irgendwann zwischendrinnen nicht mehr upgedated und bleibt auf unknown status.

  Die Domäne ist bereits schon als Federated Domain eingetragen ;-(. das hab ich mir gleich am anfang mal gedacht.

  lg Thomas

  Montag, 4. Februar 2013 13:44
• 

  

  0

  Anmelden

  also im trace seh ich folgendes :
  

  1.)

  TL_WARN(TF_COMPONENT) [0]11FC.0F38::02/04/2013-13:46:51.300.00000196 (SIPStack,ValidationLogic::EstablishTrafficType:1377.idx(800))
  ( 2370308015 ) Traffic type TrafficHostingService does not support SANs; message rejected. Returned 0xC3E93D7E(SIPPROXY_E_EPROUTING_MSG_INCOMPATIBLE_ROUTE_TRAFFIC_TYPE)

  2.)

  TL_WARN(TF_DIAG) [0]11FC.0F38::02/04/2013-13:46:51.300.00000199 (SIPStack,SIPAdminLog::WriteDiagnosticEvent:1198.idx(781))[2370308015] 
  $$begin_record
  Severity: warning
  Text: The message domain is not valid with this type of federated peer
  Result-Code: 0xc3e93d7e SIPPROXY_E_EPROUTING_MSG_INCOMPATIBLE_ROUTE_TRAFFIC_TYPE
  SIP-Start-Line: SUBSCRIBE sip:thomas.luginger@contonso.com SIP/2.0
  SIP-Call-ID: dff22be89e03433b9593269ed6dee255
  SIP-CSeq: 1 SUBSCRIBE
  Peer: *.fabrikum.com:31346
  Data: peer-federation-type="Establishing";domain="fabrikum.com";message-federation-type="HostingService"

  3.)

  TL_WARN(TF_COMPONENT) [0]11FC.0F38::02/04/2013-13:46:51.300.0000019c (SIPStack,MsDiagHeaderFactory::CreateMsWarningInfo:154.idx(48))
  ( 000000000583EE60 ) Default ms-diagnostic code (2) inserted
  

  4.)

  TL_WARN(TF_COMPONENT) [0]11FC.0F38::02/04/2013-13:46:51.300.000001e5 (SIPStack,SIPRouterInbound::RS_SipAny_EpExtEdge_ValidateTrafficType:3319.idx(998))
  ( 2370308015 )( 00000000057F5448 ) Exit - failed to update traffic type of logical peer. Returned 0xC3E93D7E(SIPPROXY_E_EPROUTING_MSG_INCOMPATIBLE_ROUTE_TRAFFIC_TYPE)

  5.)

  TL_WARN(TF_DIAG) [0]11FC.0F38::02/04/2013-13:46:51.300.000001e8 (SIPStack,SIPAdminLog::WriteDiagnosticEvent:1198.idx(781))[2370308015] 
  $$begin_record
  Severity: warning
  Text: Routing error occured during inbound processing; check Result-Code field for more information
  Result-Code: 0xc3e93d7e SIPPROXY_E_EPROUTING_MSG_INCOMPATIBLE_ROUTE_TRAFFIC_TYPE
  SIP-Start-Line: SUBSCRIBE sip:thomas.luginger@contonso.com SIP/2.0
  SIP-Call-ID: dff22be89e03433b9593269ed6dee255
  SIP-CSeq: 1 SUBSCRIBE
  Peer: *.fabrikum.com:31346
  $$end_record

  und so gehts dann auch weiter ;-(

  noch irgend eine idee ?

  lg Thomas

  Montag, 4. Februar 2013 14:07
• 

  

  0

  Anmelden

  Ok, auch schon beim Kunden?

  Eventuell werden zu viele Anfragen von Deiner Domäne an den Kunden geschickt und der Edge lässt dann nur noch 1 Message pro Sekunde zu.

  Vielleicht kann man auch auf der Kundenseite mehr sehen warum es ein Problem gibt. Eventuell hat der Kunden Edge ein Problem mit dem Zertifikat oder vertraut dem Public Zertifikat nicht. Es könnte auch ein Problem mit zu vielen Root Zertifikaten in dem Cert Store sein.

  Gibt es im Eventlog viele Schannel Fehler, beide Edge einmal kontrollieren.

  Eventuell stimmt der Name des Edge Servers nicht.

  ---

  regards Holger Technical Specialist UC

  
  
  

  • Bearbeitet Holger Bunkradt Mittwoch, 13. Februar 2013 21:22
  • Als Antwort markiert Holger Bunkradt Mittwoch, 13. Februar 2013 21:22

  Montag, 4. Februar 2013 14:09
• 

  

  0

  Anmelden

  Hallo,

  bist Du hier inzwischen weitergekommen?

  Gruss,
  Raul

  ---

  Raul Talmaciu, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Freitag, 8. Februar 2013 13:28
• 

  

  0

  Anmelden

  Hi

  Nein leider nicht. Soweit ich das einschätzen kann stimmen die zertifikate DNS einträge und SRV einträge auf beiden seiten.

  Mit dem trace von oben kann ich leider wenig anfangen. Sagt einem von euch das log was ?

  lg Thomas

  Montag, 11. Februar 2013 09:13
• 

  

  0

  Anmelden

  Jetzt hätte ich noch eine Frage zu der Domäne. Verwendest Du contoso.com?

  Das würde nämlich nicht nach extern funktionieren, da diese ja zu Microsoft gehört.

  In der ersten Fehlermeldung "Traffic type TrafficHostingService does not support SANs"

  sagt ja schon das die SANs nicht unterstützt werden und daher kommt dann auch die Fehlermeldung "The message domain is not valid with this type of federated peer"

  Es sieht also nach einem Fehelr in der Konfiguration aus. Also Firewall, Routing, DNS, Federation.

  ---

  regards Holger Technical Specialist UC

  Montag, 11. Februar 2013 12:17
• 

  

  0

  Anmelden

  Hey,

  Nein ich verwende natürlich die firmen domain ( offiziele domain). Das externe zertifikat von mir ist ein wildcard zertifikat also vesteh ich nicht genau was da nun zu einem SAN problem kommen kann? Und wie schon oben erwähnt funktioniert die federation mit push.lync.com einwandfrei.

  Hast du noch eine idee was ich kontrollieren kann ?

  lg Thomas

  Montag, 11. Februar 2013 15:12
• 

  

  0

  Anmelden

  Hast Du denn die Möglichkeit auf der Gegenseite zu tracen oder ist das auch eine Office 365 Online Domäne?

  Wenn ich das ganze richtig verstanden habe, es funktioniert zu allen Federation, nur zu dieser einen nicht?

  ---

  regards Holger Technical Specialist UC

  Montag, 11. Februar 2013 15:31
• 

  

  0

  Anmelden

  Die andere Seite bekommt ebenfalls einen 504 Server time-out.

  Ich hab leider nur diesen einen kunden für eine federation und die push.lync.com die ja funktioniert.

  Montag, 11. Februar 2013 15:38
• 

  

  0

  Anmelden

  Hm, es scheint aber ein generelles Problem zu sein. Also meine SIP adresse ist Holger.Bunkradt@glueckkanja.com. Dann kanns Du zumindest mal testen, welche Seite das Problem hat.

  ---

  regards Holger Technical Specialist UC

  • Als Antwort markiert Thomas Luginger Montag, 18. Februar 2013 12:00

  Montag, 11. Februar 2013 16:00