none
Не собирает конференцию в Lync с участниками из внешней сети (сотовая связь, городские АТС) RRS feed

  • Вопрос

  • Здравсвуйте. Прошу помощи и советов в разрешении проблемы. 

    Не собирает конференцию в Lync с участниками из внешней сети (сотовая связь, городские АТС).
    В организации выданы лицензии на ТфОП трем сотрудникам для возможности создания конференции. 
    На сервере на Hyper-V подняты Lync, Lync Edge, Exchange, Asterisk. На сервере Lync в логе выходят следующие предупреждения и ошибки:

    Имя журнала:   Lync Server
    Источник:      LS Bandwidth Policy Service (Core)
    Дата:          30.03.2016 8:07:45
    Код события:   36024
    Категория задачи:(1057)
    Уровень:       Предупреждение
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     LNC.promstroy-zs.ru
    Описание:
    Сбой проверки подлинности при попытке подключиться к серверу.
    
    Сбой проверки подлинности при попытке подключиться к полному доменному имени сервера LyncEdge.promstroy-zs.ru(192.168.0.206:443) Тип Edge в кластере LyncEdge.promstroy-zs.ru.
    Причина: несоответствие сертификатов двух серверов.
    Решение:
    проверьте сертификаты на обоих серверах.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LS Bandwidth Policy Service (Core)" />
        <EventID Qualifiers="33825">36024</EventID>
        <Level>3</Level>
        <Task>1057</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-03-30T02:07:45.000000000Z" />
        <EventRecordID>960672</EventRecordID>
        <Channel>Lync Server</Channel>
        <Computer>LNC.promstroy-zs.ru</Computer>
        <Security />
      </System>
      <EventData>
        <Data>LyncEdge.promstroy-zs.ru</Data>
        <Data>192.168.0.206</Data>
        <Data>443</Data>
        <Data>Edge</Data>
        <Data>LyncEdge.promstroy-zs.ru</Data>
      </EventData>
    </Event>
    Имя журнала:   Lync Server
    Источник:      LS Lync Web App
    Дата:          30.03.2016 10:33:14
    Код события:   59068
    Категория задачи:(1076)
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     LNC.promstroy-zs.ru
    Описание:
    Входящее подключение MTLS от сервера веб-конференций не прошло проверку подлинности.
    
    Серийный номер сертификата, предоставленного сервером веб-конференций:.
    Причина: входящее подключение MTLS не прошло проверку подлинности.
    Решение:
    убедитесь в действительности сертификата, использованного сервером веб-конференций.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LS Lync Web App" />
        <EventID Qualifiers="50228">59068</EventID>
        <Level>2</Level>
        <Task>1076</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-03-30T04:33:14.000000000Z" />
        <EventRecordID>960854</EventRecordID>
        <Channel>Lync Server</Channel>
        <Computer>LNC.promstroy-zs.ru</Computer>
        <Security />
      </System>
      <EventData>
        <Data>
        </Data>
      </EventData>
    </Event>

    На  сервере Lync сертификат по умолчанию иOAuthTokenIssuer от GeoTrustНа сервере Lync Edge пограничный сертификат от GeoTrust, по умолчанию от ЦС хоста. 



    30 марта 2016 г. 5:49

Ответы

  • Имена в SAN сертификате Lync включают все необходимые имена? Они должны совпадать с именами, указанными в топологии. Тоже касается и сервера Lync Edge. К внутреннему интерфейсу привязывается сертификат, выпущенный вашим внутренним центром сертификации, кроме того в хранилище доверенных корневых центров должен быть установлен сертификат вашего CA.

    Кроме того, воспользуйтесь RCA для анализа. Скорее всего проблемы либо с именами в сертификатах, либо в нарушении цепочки сертификатов.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа RinplusPS 31 марта 2016 г. 5:10
    30 марта 2016 г. 5:58

Все ответы

  • Имена в SAN сертификате Lync включают все необходимые имена? Они должны совпадать с именами, указанными в топологии. Тоже касается и сервера Lync Edge. К внутреннему интерфейсу привязывается сертификат, выпущенный вашим внутренним центром сертификации, кроме того в хранилище доверенных корневых центров должен быть установлен сертификат вашего CA.

    Кроме того, воспользуйтесь RCA для анализа. Скорее всего проблемы либо с именами в сертификатах, либо в нарушении цепочки сертификатов.


    Do not multiply entities beyond what is necessary

    • Помечено в качестве ответа RinplusPS 31 марта 2016 г. 5:10
    30 марта 2016 г. 5:58
  • Dmitry.I, большое спасибо за совет. Сертификат на Lync Server поправил. Связь между ним и Edge восстановилась, конференция понимается. Вот только появлиась новая беда - почему - то больше половины клиентов не могут теперь подключиться к Lync. Очистил кеш Lync на клиенте - выходит ошибка: не удалось найти сервер Lync из-за проблем с настройками DNS вашего домена. Хотя там ничего не менялось.
    31 марта 2016 г. 7:22
  • внутренние клиенты или внешние?

    Do not multiply entities beyond what is necessary

    31 марта 2016 г. 7:50
  • внутренние клиенты Lync 2013 не подключаются к серверу. Но только грубо говоря половина машин. 
    31 марта 2016 г. 8:01
  • причин может быть несколько.

    Первая - если доступ в интернет идет через прокси, то необходимо имена внутренних ресурсов добавить в исключения IE

    Вторая - еще раз проверить внутренние зоны DNS на наличие всех требуемых записей (А и srv).

    Третья - клиенты не настроены на автоматический поиск серверов Lync (sfb) в сети.

    Так же нелишним будет проверить наличие и правильные настройки межсетевых экранов (если у вас сегментированная сеть). Дополнительно проверить доступность FE сервера с клиентского ПМ по портам 443 и 5061.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 31 марта 2016 г. 8:42
    31 марта 2016 г. 8:42
  • Хочу отметить, что за исключением невозможности организовать конференцию, ранее все  работало исправно. Ни на клиентах на ни сервере изменения не вносились, кроме переназначения сертификатов. 

    31 марта 2016 г. 9:14
  • Тогда уточните, где какие сертификаты переназначались.

    Do not multiply entities beyond what is necessary

    31 марта 2016 г. 10:42
  • Lync Server 
    Сертификат по умолчанию - выданный своим СА. (локальный) для lnc.promstroy-zs.ru (вот этот сертификат менялся)
    OAuthTokenIssuer - выданный Geotrust (глобальный) 

    Edge
    Сертификат Внутренний пограничный сервер - 
     выданный своим СА. (локальный) для lyncedge.promstroy-zs.ru
    Сертификат внешней границы (пограничный сервер)- выданный Geotrust (локальный) 

    31 марта 2016 г. 11:37
  • немного не понятно относительно OAuthToken сертфиката. Почему он у вас от коммерческого ЦС? Он же выпускается внутренним СА, поскольку служит для межсерверного взаимодействия.

    Имена в полях SAN сертификата по умолчанию полностью соответствуют записям в DNS?


    Do not multiply entities beyond what is necessary

    31 марта 2016 г. 12:21
  • немного не понятно относительно OAuthToken сертфиката. Почему он у вас от коммерческого ЦС? Он же выпускается внутренним СА, поскольку служит для межсерверного взаимодействия.

    Имена в полях SAN сертификата по умолчанию полностью соответствуют записям в DNS?


    Do not multiply entities beyond what is necessary

    относительно OAuthToken сертификата - так изначально завел прошлый админ. Сменил в данный момент на выданный внутренним СА. 

    Имена в полях SAN сертификата по умолчанию полностью соответствуют записям в DNS?

    Записи DNS

    admin.promstroy-zs.ru 
    autodiscover.promstroy-zs.ru
    dc.promstroy-zs.ru
    dialin.promstroy-zs.ru
    meet.promstroy-zs.ru
    time.promstroy-zs.ru

    Имена SAN в сертификате

    DNS-имя=sip.promstroy-zs.ru
    DNS-имя=admin.promstroy-zs.ru
    DNS-имя=autodiscover.promstroy-zs.ru
    DNS-имя=dc.promstroy-zs.ru
    DNS-имя=time.promstroy-zs.ru
    DNS-имя=lnc.promstroy-zs.ru
    DNS-имя=dialin.promstroy-zs.ru
    DNS-имя=meet.promstroy-zs.ru
    DNS-имя=LyncdiscoverInternal.promstroy-zs.ru
    DNS-имя=Lyncdiscover.promstroy-zs.ru

    31 марта 2016 г. 18:06
  • Благодарю за помощь. Проблему устранил. Заключалась в ошибочных корневых сертификатах сервера на клиентах. 
    1 апреля 2016 г. 2:15