none
Federation RRS feed

  • Pergunta

  • Boa tarde.

    Pessoal, continuando minha luta e aprendizado com o OCS, agora estou com um problema em relação ao Federation, os certificados são validos, já verifiquei, e todas as instalações foram corretas e bem sucedidas, mas esta não consigo comunicação entre os servidores e no Event View gera vários erros do OCS Protocol Stack falando justamente dos certificados.

    Existe outro jeito de verificar se os certificados são realmente validos?

    Alguém já passou por esse problema com o Federation e pode me ajudar?

    Obrigado!
    quarta-feira, 22 de abril de 2009 19:46

Respostas

  • Então, para habilitar a federação são basicamente 2 passos:

    1) Permitir a federação entre as empressas, para isso no Edge acesse a guia "Allow" e especifique o dominio SIP e o nome do Access Edge Server do parceiro. O parceiro deverá fazer o mesmo.
    2) Configurar o usuário para permitir federação.

    Quanto ao erro as causas são provavelmente 2:

    1) E Edge server não confia na CA que emitiu o certificado para o seu parceiro.
    2) O certificado que está configurado o Access Edge Server do seu parceiro foi emitido para um endereço diferente do qual ele está utilizando, sugiro que você peça para ele fazer o mesmo teste que você.
    Bruno Estrozi - MCSE/MCITP - Windows Server 2008 Enterprise Administrator
    • Marcado como Resposta Wilson Claudio sexta-feira, 8 de maio de 2009 20:38
    sexta-feira, 24 de abril de 2009 01:27
  • Muito provavelmente a empresa A não confia no seu certificado, se possivel tenta realizar os mesmo testes que você fez no seu ambiente no ambiente da empresa A.

    []s,
    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    • Marcado como Resposta Wilson Claudio sexta-feira, 8 de maio de 2009 20:38
    quarta-feira, 6 de maio de 2009 12:47

Todas as Respostas

  • Wilson, uma das maneiras de fazer esta validação é tentar entrar do Communicator de fora de sua rede. Neste cenario caso o seu certificado tenha sido emitido para um endereço diferente do endereço correto (seu Access Server) no cliente dará um erro.

    Porem caso pelo cliente você consiga se autenticar, isso quer dizer que pode ser um problema com o seu parceiro (empresa que você quer federar) ou o seu parceiro não confia na CA que emitiu o sei certificado ou você não confia na CA que emitiu o certificado para o seu parceiro.

    Se nada disso ajudar, por favor poste os logs.

    []s, 
    Bruno Estrozi - MCSE/MCITP - Windows Server 2008 Enterprise Administrator
    quarta-feira, 22 de abril de 2009 20:44
  • Boa tarde.

    Bruno,

    Consegui autenticar, e consegui verificar também que a outra empresa não confiava mesmo no CA, fiz as configurações para ele confiar, mas ainda esta gerando um erro do OCS Protocol Stack mas não o antigo agora é outro.

    Segue o erro.

    TLS outgoing connection failures.

    Over the past 0 minutes Office Communications Server has experienced TLS outgoing connection failures 1 time(s). The error code of the last failure is 0xC3E93D6A (SIPPROXY_E_ROUTING_UNKNOWN_SERVER) while trying to connect to the host "xxxx.xxxx.xxxx.xxxx".
    Cause: Wrong principal error could happen if the peer presents a certificate whose subject name does not match the peer name. Certificate root not trusted error could happen if the peer certificate was issued by remote CA that is not trusted by the local machine.
    Resolution:
    For untrusted root errors, ensure that the remote CA certificate chain is installed locally. If you have already installed the remote CA certificate chain, then try rebooting the computer.

    Outra dúvida, depois de tudo ok tenho que fazer alguma outra configuração além de habilitar a opção Federation para as empresas se comunicarem?

    Obrigado Bruno!

    Abs!

    quinta-feira, 23 de abril de 2009 18:52
  • Então, para habilitar a federação são basicamente 2 passos:

    1) Permitir a federação entre as empressas, para isso no Edge acesse a guia "Allow" e especifique o dominio SIP e o nome do Access Edge Server do parceiro. O parceiro deverá fazer o mesmo.
    2) Configurar o usuário para permitir federação.

    Quanto ao erro as causas são provavelmente 2:

    1) E Edge server não confia na CA que emitiu o certificado para o seu parceiro.
    2) O certificado que está configurado o Access Edge Server do seu parceiro foi emitido para um endereço diferente do qual ele está utilizando, sugiro que você peça para ele fazer o mesmo teste que você.
    Bruno Estrozi - MCSE/MCITP - Windows Server 2008 Enterprise Administrator
    • Marcado como Resposta Wilson Claudio sexta-feira, 8 de maio de 2009 20:38
    sexta-feira, 24 de abril de 2009 01:27
  • Boa noite.

    Bruno,

    Desculpa a demora, mas tive Alguns contra tempos com o proprio OCS.


    Enfim, fiz da seguinte forma. Usei o mesmo certificado para todas as interfaces e funcionou, até um certo ponto, pois da empresa A eu consigo ver os usuários da empresa B online e consigo comunicação, mas a empresa B não ver os usuários da empresa A online, mas recebe a mensagem de comunicação e quando vai responder o usuário da empresa A aparece um erro. (Não foi possível localizar xxxxx@xxxx.xxxxx.xxxx, e esta mensagem não foi entregue), mas acho que o problema esta na empresa A.

    Abs!

    Wilson Cláudio
    quinta-feira, 30 de abril de 2009 23:13
  • Muito provavelmente a empresa A não confia no seu certificado, se possivel tenta realizar os mesmo testes que você fez no seu ambiente no ambiente da empresa A.

    []s,
    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    • Marcado como Resposta Wilson Claudio sexta-feira, 8 de maio de 2009 20:38
    quarta-feira, 6 de maio de 2009 12:47
  • Era sim confiança no certificado e alguns regras de firewall rs. Agora esta tudo funcionando!

    Agora tenho outra dúvida, estou instalando em outra empresa parceira será três empresas, como é a configuração para as três comunicarem? É possível isso?

    Obrigado Bruno.

    Abs!
    sexta-feira, 8 de maio de 2009 17:22
  • Sim, da mesma forma que você adicionou o dominio da empresa A no Edge da empresa B, você adiciona o dominio da empresa C.

    []s,


    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    sexta-feira, 8 de maio de 2009 17:54
  • Ok Bruno, obrigado!

    Abs!
    sexta-feira, 8 de maio de 2009 20:38