none
Federation Patner RRS feed

  • Pergunta

  • Hi,

    Eu estou com problemas para fazer a federação entre duas empresas.

    Estou usando apenas a role de IM no Edge server em ambas empresas...

    Copiei o CHAIN de cada CA e instalei respectivamente...

    Aparentemente está funcionando, pq fiz questão de copiar um certificado de cada CA para abrir e ver se ele não marca como confiavel... enfim, ambos aparecem com ok.

    Quando vou add um contato do outro lado, ele fica com presence unknow...

    alguém tem uma luz?

    domingo, 19 de julho de 2009 23:17

Respostas

  • Pessoal,

    Consegui fazer o federation...

    O problema ou n foi resolvido com esse kb..

    Basically, it looks like the fqdn of the internal interface must match the machine name on the edge server.  If you use a DNS A record to resolve the internal interface, you get this error.  I don't think this was spelled out clearly at all in the deployment guides which I guess is why they published the KB.

     

    Anyways, if anyone else has the problem, here is the KB in question:

     

    http://support.microsoft.com/kb/948260


    estava usando record A no DNS para resolver do meu FE para Edge... aí troquei o nome do Edge para o nome que eu estava resolvendo no DNS interno...

    está rolando!

    Obrigado Anderson e Bruno!

    • Marcado como Resposta Fabio First quarta-feira, 22 de julho de 2009 00:02
    quarta-feira, 22 de julho de 2009 00:02

Todas as Respostas

  • Ola Fabio,

    Leste a documentacao do produto, como criar a federaçao? Validaste os registros DNS para a federacao como também as configuracoes do Edge? O que fizeste até agora?

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    segunda-feira, 20 de julho de 2009 00:39
  • Sim Anderson!

    A configuração de federação foi feita tanto no EDGE quanto a qualquer outro passo no Front-end...
    Enquanto ao DNS's... acredito que fato do Automatic Logon pela internet, já seja o suficiente...

    Tienem alguma idéia?
    segunda-feira, 20 de julho de 2009 02:29
  • Ola Fabio,

    Entao tu nao leu a documentacao, leu? Lá diz que tem que criar o _sipfederationtls no DNS, vc criou?

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    segunda-feira, 20 de julho de 2009 03:05
  • Como eu havia falado, o _sipfederationtls e o _sip é pré-req para automatic logon para conexão externa.. enquanto a documentação.. item 4.1... lá só fala como habilitar... n menciona DNS...

    alguém já teve essa experiência?
    segunda-feira, 20 de julho de 2009 13:26
  • Fabio, nos Edges você configurou o dominio federado na aba "allow"?

    Para os usuários que você quer federar você habilitou "Federantion"?

    No event viewer dos Edges tem algum evento importante? Se tiver posta aqui.

    []s,


    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    segunda-feira, 20 de julho de 2009 14:04
  • OPla FAbio,

    O sipfederationtls nao vai te ajudar no automatic logon. Fora as dicas do Bruno, usa tambem o snooper para fazer debug.


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    segunda-feira, 20 de julho de 2009 15:26
  • Bruno...

    O dominio está e o Edge server de cada dominio tbm na aba "allow" em cada EDGE...

    O federation está configurado para cada usuário...

    Não gera nenhum log de erro...

    O erro que eu pego é qdo eu mano validar a configuration de um dos Edge, dá o erro...

    TLS handshake failed: meuip:5061 Error Code: 0x80131500 Remote disconnected while incoming tls negotation was in progress

    o engraçado que eu fiz um teste de cada Edge...

    Eu quero fazer federation com domain X, sou domain Z...

    No Edge domain Z eu instalei o MOC e loguei automatic logon no domain X...

    No Edge domain X eu instalei o MOC e loguei automatic logon no domain Z

    Isso teoricamente valida mto coisa...

    um detalhe, eu n tenho o reverse proxy ainda configurado, mas pela doc isso n intefere para federation...

    detalhe, qdo add um usuário, ele fica como presença desconhecida... qdo mando uma msg aparece o erro abaixo..

    The following message was not delivered to fabio@teste.com.br. More details (ID:403)



    tks até o momento
    terça-feira, 21 de julho de 2009 01:56
  • De fato o proxy reverso não influenciaria nisso.

    Nas propriedades da floresta, você habilitou federação e apontou o endereço do seu Edge? Assim como nas propriedades do pool?

    Você usa Checkpoint ?





    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    terça-feira, 21 de julho de 2009 14:40
  • Sim, eu especifiquei o EDGE na global...

    na do Pool, aba federation.. eu n coloquei, pq ele diz que substitui a rota global... acho q fica por ela...

    Sim cara, eu sou Checkpoint sim!!
    terça-feira, 21 de julho de 2009 14:55
  • Uma pessoa que trabalha comigo já pegou um problema parecido e no caso a solução foi desabilitar o Smartdefense. Acho que vale a pena fazer um teste.

    []s,

    Bruno Estrozi - MCSE/MCTS/MCITP - Unified Communications Specialist
    terça-feira, 21 de julho de 2009 15:00
  • Vou ver e posto aqui o resultado!
    terça-feira, 21 de julho de 2009 15:05
  • está desativado cara...
    terça-feira, 21 de julho de 2009 15:07
  • Peguei um erro no validation do Front End... tem a ver com federation pela descrição...

    Checking Federation Settings - Default outgoing route for federation: NONE available

    Global Federation Route domain.com.br

    DNS Resolution succeeded: 172.16.1.91
    TLS connect succeeded: 172.16.1.91:5061
    Routing trust check and MTLS connectivity: Received a failure SIP response
    Routing trust check and MTLS connectivity: MTLS connection establishment succeeded but received a SIP
    failure response. This usually indicates lack of routing trust between the remote
    server and the current machine. Check the local and remote server certificates for any
    misconfiguration. In addition, check whether the local server is recognized
    as a trusted server by the remote server.

    Suggested Resolution: Routing trust check and/or MTLS connection establishment failed.
    This is usually caused by the remote server not accepting the certificate presented by the
    current machine. Check the local and remote server certificates for any
    misconfiguration. In addition, check whether the local server is recognized
    as a trusted server by the remote server.

    Local Federation Route domain.com.br:

    DNS Resolution succeeded: 172.16.1.91
    TLS connect succeeded: 172.16.1.91:5061
    Routing trust check and MTLS connectivity: Received a failure SIP response
    Routing trust check and MTLS connectivity: MTLS connection establishment succeeded but received a SIP
    failure response. This usually indicates lack of routing trust between the remote
    server and the current machine. Check the local and remote server certificates for any
    misconfiguration. In addition, check whether the local server is recognized
    as a trusted server by the remote server.

    Suggested Resolution: Routing trust check and/or MTLS connection establishment failed.
    This is usually caused by the remote server not accepting the certificate presented by the
    current machine. Check the local and remote server certificates for any
    misconfiguration. In addition, check whether the local server is recognized
    as a trusted server by the remote server.


    Alguma coisa aqui..

    terça-feira, 21 de julho de 2009 15:27
  • Pessoal,

    Consegui fazer o federation...

    O problema ou n foi resolvido com esse kb..

    Basically, it looks like the fqdn of the internal interface must match the machine name on the edge server.  If you use a DNS A record to resolve the internal interface, you get this error.  I don't think this was spelled out clearly at all in the deployment guides which I guess is why they published the KB.

     

    Anyways, if anyone else has the problem, here is the KB in question:

     

    http://support.microsoft.com/kb/948260


    estava usando record A no DNS para resolver do meu FE para Edge... aí troquei o nome do Edge para o nome que eu estava resolvendo no DNS interno...

    está rolando!

    Obrigado Anderson e Bruno!

    • Marcado como Resposta Fabio First quarta-feira, 22 de julho de 2009 00:02
    quarta-feira, 22 de julho de 2009 00:02