locked
Lync Edge : Connectivité externe échoue RRS feed

  • Question

  • Bonjour,

    je suis en train de monter une plateforme Lync 2010 avec un Edge derrière un serveur TMG

    Mon TMG possède 4 pattes (WAN : 4 ip consécutives ,DMZ1 : 1 ip ,DMZ2 : 1 ip ,LAN: 1 ip).

    Mon Edge possède 2 pattes (1 en DMZ1 avec 3 ip consécutives ; 1 en DMZ2 avec 1 ip). Il possède une route sur son interface en DMZ2 à destination du LAN.

    Mon certificat est délivré par une autorité interne qui est inscrite sur tous mes serveurs.

    cette fois-ci tous mes services sont démarrés, j'effectue un test sur testocsconnectivity.com et le résultat échoue mais est loin d'être parlant...


    Si je configure manuellement le nom de mon serveur, le client Lync ne se connecte pas et aucune erreur n'apparaît dans la journalisation Windows (qui est bien activée).

    D'avance merci pour votre aide.


    mercredi 14 novembre 2012 16:53

Réponses

  • Bon....jusque là je modifiais en "live" mon adresse de connexion et les paramètres serveurs dans mon client Lync (que j'utilise déjà sur un déploiement d'entreprise)

    J'ai modifié les infos puis fermé/rouvert le client et ça fonctionne....

    tout ça pour ça :)

    en tout cas merci beaucoup Adrian pour votre patience et vos conseils.

    vendredi 16 novembre 2012 11:30

Toutes les réponses

  • Bonjour,

    Est ce que vous avez la possibilité de nous donner des informations supplémentaires sur la configuration réseau ?

    Est ce que vous utilisez le NAT pour les adresses sur le serveur Edge ?

    Merci pour les précisions.

    Cordialement,


    Alexis CONIA - Eliade - http://www.techandprog.fr

    mercredi 14 novembre 2012 21:13
  • Bonjour,

    D'après ce que je constate, j'aurai une question :

    Avez-vous vérifier, ouvert et redirigé tous les ports adéquates cf : http://technet.microsoft.com/en-us/library/jj204756.aspx

    Cordialement,


    DUC Pierre-Emmanuel - AZEO -  http://ducpmanu.blog.com

    jeudi 15 novembre 2012 07:08
  • Bonjour,

    j'utilise une relation de NAT pour une publication de serveurs non Web sur mon TMG pour le Edge

    pour les url simple, une publication de serveur Web (les url fonctionnent)

    je possède 4 ip publiques (pour faire simple nommons les WAN1-WAN4) et sur mon EDGE 3 ip (DMZ1-1 -> DMZ1-3) dans une DMZ1 et 1 dans une DMZ2Les règles d'accès sont les suivantes

    • WAN1 -> Publication Web Front End -> url simples meet ; dialin ; lync01
    • WAN2 -> DMZ1-1 Edge -> 443TCP + 5061TCP
    • WAN3 -> DMZ1-2 Edge -> 443 TCP
    • WAN4 -> DMZ1-3 Edge -> 443 TCP + 3478UDP + 50000-59999TCP + 50000-59999UDP

    mon infra ressemble au final à celle-ci :


    Mes ports sont bien ouverts et redirigés (en tout cas normalement) puisque le testocsconnectivity ne me remonte pas cette erreur.


    jeudi 15 novembre 2012 08:10
  • Très surprenant, je n'ai rien changé et pourtant le résultat du test diffère.



    jeudi 15 novembre 2012 10:38
  • Bonjour,

    Le serveur TMG possède les adresses IP publiques ? Est ce que vous avez activé le NAT ?

    Cordialement,


    Alexis CONIA - Eliade - http://www.techandprog.fr

    jeudi 15 novembre 2012 12:48
  • oui bien sur le serveur possède les IP publiques et oui le nat est activé

    voilà mes règles de réseaux

    ainsi que la config  des cartes réseaux

    jeudi 15 novembre 2012 12:52
  • à tout hasard je viens de tenter une mise à jour des Serveurs, chose que je n'avais pas faite et là encore un résultat différent sans rien modifir ni dans la configuration Lync, ni dans le TMG... je vais devenir dingue je pense :)

    En complément, j'utilise des certificats séparés pour Edge/Front End et TMG

    Chaque serveur a inscrit dans les autorités de confiance l'autorité interne qui a délivré els certificats

    Mon edge sur son interface Interne a associé le certificat avec le nom commun : edge.lablync.lan (fqdn interne)

    et  sur son interface externe : sip.domainepublic.fr ; av.domainepublic.fr ; webconf.domainepublic.fr qui sont bien les noms renseignés dans la conf Edge de la topologie

    jeudi 15 novembre 2012 13:12
  • Bonjour,

    La connexion devrait fonctionner, est ce le cas ?

    Cordialement,


    Alexis CONIA - Eliade - http://www.techandprog.fr

    jeudi 15 novembre 2012 15:08
  • non ce n'est pas le cas.

    Elle échoue instantanément et je n'ai aucun log ni sur le front end, ni sur le edge ni dans la journalisation lync cliente...

    jeudi 15 novembre 2012 15:10
  • Bonjour Sébastien,

    Petite vérification supplémentaire à effectuer :

    • est ce qu'un telnet depuis l'exterieur sur le port 443 et l'adresse sip fonctionne ?
    • Le certificat d'autorité interne est-il présent dans le magasin de certificat local de l'ordinateur sur les serveurs : Front-End, Edge et RP
    • Verifier la résolution de nom entre le Edge et le Front-End
    • Le compte de test est-il activé pour les connexions externes ?
    • Pouvez-vous tester en vous connectant directement avec votre client lync ?
    • Les services sont-il bien tous lancés ?
    • est-ce qu'un telnet sur le port 5061 entre le serveur Front-End et le serveur Edge fonctionne ?

    Cordialement,


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you


    vendredi 16 novembre 2012 10:10
  • Bonjour Adrian, merci pour votre réponse.

    • est ce qu'un telnet depuis l'exterieur sur le port 443 et l'adresse sip fonctionne ?

    Oui

    • Le certificat d'autorité interne est-il présent dans le magasin de certificat local de l'ordinateur sur les serveurs : Front-End, Edge et RP

    Oui

    • Le compte de test est-il activé pour les connexions externes ?

    Oui (j'ai activé l'accès distant dans la stratégie Globale d'accès externe appliquée par défaut)

    • Pouvez-vous tester en vous connectant directement avec votre client lync ?

    C'est déjà fait, ça ne marche pas que ce soit en découverte auto ou en configurant manuellement le client

    • Les services sont-il bien tous lancés ?

    Oui

    • est-ce qu'un telnet sur le port 5061 entre le serveur Front-End et le serveur Edge fonctionne ?

    Oui

    et sur testocsconnectivity j'ai toujours l'erreur suivante:

    Testing the Remote Connectivity to Microsoft Lync Server through the Access Edge Server sip.xxx.fr running on port number 443 to see if user user2@xxx.fr can connect remotely.
         Specified Remote Connectivity test(s) to Microsoft Lync Server failed. Please examine below details of specific reason for failure.

    Et aucun détail...

    vendredi 16 novembre 2012 10:17
  • Ok,

    Avez-vous un autre service installé sur le serveur Edge utilisant le port 443 ? ==>

    Pouvez vous faire un netstat -ano?

    Verifier que le port 443 en écoute correspond bien au PID du processus RTCSrv ? Ce port doit evidement etre mappé sur votre adresse IP externe correspondant au service Access Edge Server.

    Cordialement,


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you

    vendredi 16 novembre 2012 10:41
  • absolument rien d'autre! 1 serveur = 1 rôle :)

    pour le netstat

    et oui ça correspond bien au service

    j'avais déjà vérifié ça mais plusieurs yeux valent mieux que 2, merci en tout cas.

    vendredi 16 novembre 2012 10:49
  • pour compléter, voici les règles associées

    vendredi 16 novembre 2012 10:52
  • Ok

    Petite question encore :) :

    A quoi correspond l'adresse 172.16.202.1 ? Elle correspond bien à l'adresse ip interne de votre serveur Edge n'est ce pas ?

    J'en déduis que l'adresse 172.16.111.2 correspond à l'adresse ip de votre Front-End ?

    Cordialement,


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you

    vendredi 16 novembre 2012 10:58
  • Exact

    mes ip sont les suivantes (je raccourcirais les WAN par sécurité :) )

    WAN : 217..66; 217..67 ;217..68 ;217..69 => carte WAN du TMG

    FE : 172.16.111.2

    EDGE : DMZ1 (externe) : 172.16.201.1; 172.16.201.2;172.16.201.3

                DMZ2 (interne) : 172.16.202.1


    vendredi 16 novembre 2012 11:00
  • C'est relativement étonnant que vous ne voyez aucune trace avec le logging tool...

    Je suppose que la réplication se fait bien entre les serveurs (get-csmanagementreplicationstatus), qu'aucune erreur apparente n'est affiché dans les eventViewer.

    Pouvez-vous vérifier la bonne saisie de l'adresse ip publique de votre sip ? (on ne sait jamais hein ! ;) )

    Cordialement,


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you


    vendredi 16 novembre 2012 11:07
  • Le résultat de la réplication

    pour le logging tool, un conseil pour les groupes à activer pour cette journalisation?

    Et pour l'ip publique oui je suis certain :)

    vendredi 16 novembre 2012 11:12
  • Les options à activer pour le logging tool sont : Sipstack et S4

    Les serveurs sont-il bien à l'heure ?


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you


    vendredi 16 novembre 2012 11:16
  • en mettant ces 2 options à toutes les informations j'obtiens ça (ça va p-e avancer un peu :) )

    toujours avec testocsconnectivity.com (sur le testocsconnectivity je coche bien le ignore trust for ssl)

    et depuis un client rien du tout n'apparait dans le logging tool.

    vendredi 16 novembre 2012 11:23
  • Bon....jusque là je modifiais en "live" mon adresse de connexion et les paramètres serveurs dans mon client Lync (que j'utilise déjà sur un déploiement d'entreprise)

    J'ai modifié les infos puis fermé/rouvert le client et ça fonctionne....

    tout ça pour ça :)

    en tout cas merci beaucoup Adrian pour votre patience et vos conseils.

    vendredi 16 novembre 2012 11:30
  • En relisant votre description, j'ai vu "Edge derriere TMG".

    Vous devez créer des "Access Rules" et non des "Publishing Rule" sur les ports 443 pour que cela fonctionne.

    Je pense que ceci est la source de votre probleme.

    Cordialement,


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you

    vendredi 16 novembre 2012 11:33
  • non ce sont bien des publishing rule puisqu'en plus maintenant ça marche!

    mais merci :)

    vendredi 16 novembre 2012 11:35
  • Meme si cela fonctionne, c'est tout de meme étonnant que des erreurs surviennent avec le site http://www.testocsconnectivity.com...

    Mais bon, heureux que cela fonctionne ! :)


    Adrian TUPPER - ABC Systemes - http://thelyncexperience.blog.com/ If answer is helpful, please hit the green arrow on the left, or mark as answer Thank you

    vendredi 16 novembre 2012 13:04