locked
Помогите пожалуйста с Edge сервером. RRS feed

  • Общие обсуждения

  • Здравствуйте! Помогите пожалуйста мне с edge сервером. Все настроил установил, а коммуникатор не подключается.

    !) Для тестирования поставил сервер в локальную сеть, не в DMZ.  В нем одна сетевая карточка. (2 ip адреса) 192.168.0.8, 192.168.0.9

    2) При конфигурации Edge сервера: 

    Internal interface IP address: 192.168.0.8

    FQDN internal int: edge.firma.ru

     

    External Interface:

    Access Edge Server: 192.168.0.9:443  FQDN=access.firma.ru

    Web conferencing Server: 192.168.0.9:8057   FQDN=web.firma.ru

    A/V Edge Server: 192.168.0.9:5062  FQDN=av.firma.ru

    3) Оставил галочку только Allow remoute user access, федерацию не стал включать.

    4) FQDN of next hop server: здесь я указал сервер переднего плана, sip.firma.ru 

    5) потом выбрал sip домен

    Ошибок не было, далее начал регестрировать сертификат. Единственное, что я не разобрался. ТО на первом шаге создания сертификата, надо выбрать для какого сервиса надо сертификат делать, надо делать для всех компонентов? или можно сделать один, но включить в него SAN для остальных интерфейсов?

    6) Сервисы все стартовали без ошибок.

    7) Далее, во внешней зоне dns у регистратора я добавил, записи access.firma.ru, av.firma.ru, web.firma.ru. Потом на TMG сервере, опубликовал эти имена, на интерфейсе 192.168.0.9 по портам, которые прописал при конфигурации.

    8) Далее на OCS сервере, в Global Properties на вкладке Edge server добавил FQDN сервера: edge.firma.ru, 

     

    Потом  в коммуникаторе на удаленной машине, прописываю IP адрес внешнего сервера, нажимаю подключить, долго думает и потом говорит что сервер недоступен:

    Communicator failed to connect to server xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx ) on port 5061 due to error 10060.  The server is not listening on the port in question, the service is not running on this machine, the service is not responsive, or network connectivity doesn't exist.

      Resolution:

     Please make sure that your workstation has network connectivity.  If you are using manual configuration, please double-check the configuration.  The network administrator should make sure that the service is running on port 5061 on server xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx ).

    Единственное, я так и не понял, надо ли мне на внешней ДНС зоне прописывать srv записи и в моей внутренней dns зоне. Помогите пожалуйста.

     

    • Изменен тип Vinokurov YuriyModerator 20 октября 2011 г. 15:39 давность и отсутствие активности в теме
    6 октября 2011 г. 7:21

Все ответы

  • 5. Можно сделать SAN-сертификат, но в Subject'е обязательно должно быть прописано внешнее имя "access.firma.ru", иначе работать внешний доступ не будет - особенность OCS'а.

    8. Использовать IP-адрес для указания сервера - самое плохое, что только можно придумать! Во-вторых, если вы указываете сервер вручную, то должны указать его, как "access.firma.ru:443", ибо клиент, без указания порта, лезет на 5061, о чём вам и сообщает ;) .

    SRV-запись не обязательна, но крайне желательна для удобства.

    6 октября 2011 г. 8:46
    Модератор
  • ага, а можете тогда подсказать, какую srv запись сделать?))))) для внутренних клиентов sipinternaltls была протокол _tcp, порт 5061 ) а там я так понимаю будет sipexternaltls, протокол _tcp и порт 443?
    6 октября 2011 г. 9:09
  • Лично я, что внутри, что снаружи предпочитаю "_sip._tls.domain.ru". Да - указываете на внешнее имя Edge-сервера и на 443-й порт.

    P. S. Клиент-то у вас теперь подключается?

    6 октября 2011 г. 9:54
    Модератор
  • Нет, не подключается:( теперь в логах вот что:

     

    Communicator was unable to resolve the DNS hostname of the login server access.firma.ru.

     

     Resolution:

     If you are using manual configuration for Communicator, please check that the server name is typed correctly and in full.  If you are using automatic configuration, the network administrator will need to double-check the DNS A record configuration for access.ourgold.ru because it could not be resolved.

    имя сервера прописал access.firma.ru:443, Во внешней зоне у регистратора прописана, access A xxx.xxx.xxx.xxx.

     

     

    На внутреннем dns прописано в зоне firma.ru:   access.firma.ru xxx.xxx.xxx.xxx. (где xxx.xxx.xxx.xxx- - внешний IP). странно...что-то где-то не правильно


    6 октября 2011 г. 10:30
  • Судя по сообщению, клиентр не может разрешить имя "access.ourgold.ru" в DNS'е. Для проверки, выполните "ping access.ourgold.ru"...

    6 октября 2011 г. 10:35
    Модератор
  • да вот я уже допер что пинговал имя на подключенном к локальной сети компе, отключил локалку, включил другой интернет и не пингуется. а все дело то в том, что имя я сегодня только у регистратора забил, а там обновление раз в 6 часов, буду ждать. ибо не пингуется
    6 октября 2011 г. 10:44
  • У меня оно уже разрешается ;) . Попробуйте почистить DNS-кеш (ipconfig /flushdns)...
    6 октября 2011 г. 10:46
    Модератор
  • Все таки ругается на сертификат. в SAN прописал, edge.ourgold.ru, web.ourgold.ru, av.ourgold.ru, subject name = access.ourgold.ru, сертификат экспортирован через оснастку edge server`а в pfx формате. 
    6 октября 2011 г. 11:29
  • А кто и как именно ругается ;) ? Сертификат выдан внутренним центром или куплен у публичного провайдера?

    6 октября 2011 г. 11:32
    Модератор
  • Сертификат выдан внутренним центром. Клиент ругается при подключении: Ошибка при проверке сертификата сервера. Обратитесь к системному администратору.
    6 октября 2011 г. 11:38
  • Ну а клиент доверяет вашему внутреннему центру сертификации?

    6 октября 2011 г. 11:40
    Модератор
  • Посмотрел ваш сертификат - вы уж простите за прямоту, но сделан он в худших традициях! А, вообще, не удивительно, что вы не можете подключиться, ибо судя по имени в сертификате "exchange.ourgold.ru", ваше правило публикует Exchange CAS, а ни как не Lync Edge ;) .

    6 октября 2011 г. 12:18
    Модератор
  • Да клиент доверяет центру сертификации
    6 октября 2011 г. 12:56
  • по телнету тоже не подключается с клиента.
    6 октября 2011 г. 12:57
  • так, а как тогда мне все это поправить?
    7 октября 2011 г. 4:52
  • Для начала, сделайте правильное правило публикации вашего Edge'а...

    Для общего развития, могу порекомендовать посмотреть наше видео:
    Установка Lync Server 2010 с чистого листа

    Установка Lync Server 2010 с чистого листа (Edge за TMG 2010)

    7 октября 2011 г. 8:32
    Модератор
  • Вот его уже смотрю, походу видео делаю правила для публикации. И да, сам заметил по поводу сертификата, когда пытаешься по https зайти. Я как-то и не вчитался в это сообщение.
    7 октября 2011 г. 9:10
  • Приятного просмотра :) ...

    7 октября 2011 г. 9:12
    Модератор
  • Так, правила на TMG я сделал, как в вашем видео, про EDGE за TMG. Вопрос теперь в другом. Как быть с сертификатом, чтобы при обращении к access.ourgold.ru, он шел не на exchange.ourgold.ru ?

    Как я понял, когда устанавливал Exchange, то в TMG создал прослушиватель, и у него есть SSL сертификат, который как раз exchange.ourgold.ru и он как раз слушает 443 порт. Как мне поступить сейчас?

    Я так понял есть несколько вариантов: взять второй IP у прова, создать второй прослушиватель, второй сертификат для access повесить на него.

    Либо создать:  сертификат например с Subject name domain.ru и в SAN уже указать все доменные имена, но как вы говорили, что для access edge`a нужно чтобы было в после сабджект ейм указано access.ourgold.ru, походу этот вариант работать не будет. Правильно? Или я заблуждаюсь ?

    7 октября 2011 г. 11:25
  • Так, правила на TMG я сделал, как в вашем видео, про EDGE за TMG. Вопрос теперь в другом. Как быть с сертификатом, чтобы при обращении к access.ourgold.ru, он шел не на exchange.ourgold.ru ?

    Как я понял, когда устанавливал Exchange, то в TMG создал прослушиватель, и у него есть SSL сертификат, который как раз exchange.ourgold.ru и он как раз слушает 443 порт. Как мне поступить сейчас?

    Я так понял есть несколько вариантов: взять второй IP у прова, создать второй прослушиватель, второй сертификат для access повесить на него.

    Либо создать:  сертификат например с Subject name domain.ru и в SAN уже указать все доменные имена, но как вы говорили, что для access edge`a нужно чтобы было в после сабджект ейм указано access.ourgold.ru, походу этот вариант работать не будет. Правильно? Или я заблуждаюсь ?


    На TMG вам нужно создать:
    - SAN сертификат, в поле SAN которого будут перечислены FQDN ВСЕх web-серверов, которые вы хотите публиковать
    - листенер, к которому привязать SAN сертификат, созданный ранее.
    Про "после сабджект ейм" скажу так - вам нужен просто обычный корректный SAN сертификат (в нем в первой строке SAN поля идет тоже самое имя что и в Subject)
    Этот листенер вы сможете использовать в нескольких правилах публикации разных Web-серверов по https, имена которых есть в SAN сертификате.
    - правило публикации Web-сервера и использовать ранее созданный листенер.


    MCITP
    7 октября 2011 г. 12:48
  • Если вы выберите вариант с SAN-сертификатом, а не со вторым внешним IP, например, не забудьте ещё на Exchange'е выполнить следующую команду:

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:access.ourgold.ru

    Иначе, Outlook Anywhere у вас перестанет работать, так как Outlook тоже смотрит исключительно на поле Subject ;) .

    7 октября 2011 г. 12:58
    Модератор
  • А какой вариант лучше? Взять еще 3 IP адреса у провайдера? либо с сертификатом повозиться? Сейчас вот узнал, IP адрес еще один будет стоить 80 рублей в месяц, поэтому 3 адреса не составит труда взять.
    7 октября 2011 г. 13:05
  • Как любят говорить Американские коллеги - It Depends :) !

    Но если три дополнительных адреса для вас не проблема, я бы поступил именно так - не нужно службы по разным портам разносить, с публикацией проблем меньше и с теми же сертификатами проще ;) .

    7 октября 2011 г. 13:07
    Модератор
  • вот я тоже, потому что с сертификатами начал работать недавно, и плохо в этом разбираюсь..поэтому я пока попробую с сертификатом по мудрить, а в понедельник предоставят айпишники и сделаю по IP адресам, так проще будет)
    7 октября 2011 г. 13:16
  • А главное - красивей ;) !

    7 октября 2011 г. 13:20
    Модератор
  • ну это несомненно )) еще бы английский подучить до нормального технического)))
    7 октября 2011 г. 13:25
  • Ну вот) IP адреса мне выданы. На сетевой плате прописал три дополнительных IP адреса. Далее на TMG создал все правила, как по видео, настроил EDGE сервер. Прослушивателю для Exchange сервер указал, что слушается только на 1м IP, который изначально был. Теперь мне просто говорит что сервер недоступен при подключении.
    12 октября 2011 г. 5:15
  • Что и не удивительно - в DNS'е SRV-запись "_sip._tls.ourgold.ru" у вас отсутствует, поэтому, Communicator лезет на порт 5061, в то время как Edge опубликован на 443 ;) .

    И ещё - "sip.ourgold.ru" у вас так и ссылается на IP-адрес Exchange'а ;) .

    12 октября 2011 г. 8:10
    Модератор
  • а sip запись на внешнем днс надо регистрировать? потому что сам ocs сервер я не опубликовывал. для подключения удаленных пользователей у меня меня интерфейс access.ourgold.,  и если набирать https://access.ourgold.ru:443 он говорит что не доступен. Запись в днс сделал. 

    Кстати мне CA надо опубликовывать? федерации нет, только AV, web и access
    12 октября 2011 г. 9:07
  • Вообще-то, она у вас во внешнем DNS'е прописана ;) . И ссылается она на тот же IP-адрес, что и Exchange.

    Что значит "сам ocs сервер я не опубликовывал"?

    У вас Communicator каким образом Edge находит? Вы вручную указываете имя и порт?

    Под "CA надо опубликовывать" вы что имеете в виду? Публикацию сертификата корневого центра, всех промежуточных и CRL'и?

    12 октября 2011 г. 9:19
    Модератор
  • да в коммуникаторе я вручную указываю имя и порт. пока что. 

    Да именно это я и имел ввиду

    Расскажу как я тут все сделал.

    сервер OCS в локальном домене у меня называется ocs.ourgold.local,  когда настраивал ocs. То указал sip домен sip.ourgold.ru, соответственно в своем локальном dns создал внешнюю зону ourgold.ru, и там добавил запись _sipinternaltls._tcp.ourgold.ru  на порт 5061 и создал A запись sip.ourgold.ru к IP ocs сервера.

    И не знаю зачем в dns зоне у регистратора домена нашего, добавил А запись не знаю правда зачем для sip.ourgold.ru к тому IP.

    Когда делал Edge сервер для ролей указал.

    Access Edge Server: access.ourgold.ru, web.ourgold.ru, av.ourgold.ru все по портам 443.

    Походу я где-то что=-то не правильно сделал.

    12 октября 2011 г. 9:26
  • Вообще, лучше б вы не занимались этим, так как ручное указание, в отличии от SRV-записи - источник массы проблем, как это ни парадоксально ;) . Как именно вы прописываете адрес сервера? Надеюсь, не "https://access.ourgold.ru:443" :) ?

    По-уму, конечно, надо правильно "публиковать PKI" для интернет-сценариев. Но у вас, как мне кажется, проблема совершенно в другом.

    Пропишите SRV-запись и прогонитемь через анализатор...

    12 октября 2011 г. 9:36
    Модератор
  • нет:) просто access.ourgold.ru:443

    Смотрите. Если мне прописывать srv запись в днс то правильно ли я понял какэто правильно прописывать?

    Имя записи _sip

    Протокол _tls

    Порт 443

    Узел службы access.ourgold.ru

    ?

    12 октября 2011 г. 9:44
  • Правильно.
    12 октября 2011 г. 9:46
    Модератор
  • все таки проблема в сертификате.

    Testing SSLCertificate for validity.   The SSLCertificate failed one or more certificate  

    Tell me more about this issue and how to resolve it

    Additional Details   The SSL Certificate was issued by CN=ourgold-DC-1-CA, DC=ourgold, DC=local and is not trusted by Windows, if this is an internal CA and not trusted by our server, please check the box to ignore trust when performing the test.

     

    12 октября 2011 г. 9:52
  • Ну так вам же Английским языком написано: "please check the box to ignore trust" ;) ! Так как у вас не публичный сертификат, анализатор ему, естественно, не доверяет.
    12 октября 2011 г. 9:54
    Модератор
  • Да я уже понял:) 

    Test Steps  

    Attempting to Resolve the host name access.ourgold.ru in DNS.
      Host successfully Resolved
    Additional Details
      IP(s) returned: 79.122.160.234
    Testing TCP Port 443 on host access.ourgold.ru to ensure it is listening/open.
      The port was opened successfully.
    Testing SSLCertificate for validity.
      The certificate passed all validation requirements.validation checks.
    Additional Details
      Subject: CN=access.ourgold.ru, OU=no, O=Ourgold, L=123, S=123, C=RU, Issuer CN=ourgold-DC-1-CA, DC=ourgold, DC=local
    Testing the Remote Connectivity to Microsoft Office Communications Server Access Edge Server access.ourgold.ru running on port number 443 to see if user andrey.sherman@ourgold.ru can connect remotely.
      Specified Remote Connectivity test(s) to the Microsoft Office Communications Server failed. Please examine below details of specific reason for failure.
    12 октября 2011 г. 9:56
  • Ну так а детали-то где ;) ?
    12 октября 2011 г. 10:01
    Модератор
  • а так их там то и нет), после крестика поидее должен быть Additional детаилз, но его там нет((
    12 октября 2011 г. 10:03
  • Вообще-то, есть и написано там следующее: "Subscription for provisioning data did not return a valid MRAS URI". Что означает неправильность ввода логина в форме теста, либо отсутствие связи Edge'а с Front End'ом.

    12 октября 2011 г. 11:02
    Модератор
  • странно, а у меня не отображается эта штуковина...(( логин я точно правильно ввожу...значит проверить надо связь с Front End`ом
    12 октября 2011 г. 17:27
  • Ну, вполне может быть, что у вас сам Edge опубликован некорректно ;) . Чисто для упрощения ситуации - вы можете выставить Edge напрямую в интернет, чтоб не искать проблем там, где их может и не быть?

    12 октября 2011 г. 17:43
    Модератор
  • ммм....напрямую?
    13 октября 2011 г. 5:06
  • Ну сейчас Edge находится за NAT'ом. Напрямую - это чтоб он выходил в интернет без NAT'а. То есть, на его внешнем сетевом интерфейсе прописать внешний IP-адрес, шлюз. Так понятней :) ?
    13 октября 2011 г. 6:37
    Модератор
  • да понятней)это я чет протупил...но блин возможности нет((((.....а есть ли какой-то инструмент, которым можно проверить, есть ли связь Edg`a с Front-end`ом.....Validation в Edge Server`e я делал, он мне только Warning! показал, что нет SRV записи для Федерации....Правила на TMG для публикации EDge server сделал прям один в один с вашего видео.

    13 октября 2011 г. 7:57
  • Я бы просто запустил Logging Tool, а потом посмотрел бы результаты Snooper'ом ;) ...

    13 октября 2011 г. 7:59
    Модератор
  • А какие параметры выбрать там? 
    13 октября 2011 г. 8:42
  • Те что по умолчанию (S4).

    13 октября 2011 г. 9:31
    Модератор