locked
Вопрос студии :) RRS feed

  • Вопрос

  • Есть несколько вопросов к гуру.

    Вопрос №1: Установлена стандартная конфигурация OCS2007, при подключении пользователей через Communicator выдается предупреждение "Ошибка при проверке сертификата сервера обратитесь к системному администратору".
    Подключение через Communicator происходит с компа который не входит в домен, но находится в одной внутренней сети с OCS.
    Попробую сформулировать ситуацию которая в настоящий момент. Корневой центр сертификации находится на контроллере домена, дочерний на сервере с OCS. Сертификаты формируются нормально(по моему мнению). Возможно я не правильно формирую сам сертификат. Хотелось бы иметь какую то пошаговую инструкцию по формированию сертификатов.
    В то же время через веб аксес авторизация проходит нормально запускается клиенты можно добавлять в контакт лист и обмен сообщениями проходит.
    В чем может быть затык?

    Вопрос №2: Как осуществлять добавление пользователей в OCS стандартными средствами? Получается пока только через внешнюю утилиту. И как подцепить уже существующих пользователей домена?



    5 марта 2008 г. 6:04

Все ответы

  • 1. Если ваш комп не входит в домен, то нужно установить сертификат из вашего ЦС. Думаю, если из оснастки "сертификаты" ("доверенные корневые центры" - "сертификаты") на любой рабочей станции скопировать сертификат и потом установить его на проблемную машину проблема решится.

    2.Не совсем понятен вопрос - "как добавлять пользователей на сервер"? Как разрешить пользователю пользоваться OCS? Установите Administrative Tools из поставки OCS, запустите ADUC, потом правой мышкой на пользователе и "Enable user for Communications Server".
    5 марта 2008 г. 6:33
  •  InDustReal написано:
    1.Думаю, если из оснастки "сертификаты" ("доверенные корневые центры" - "сертификаты") на любой рабочей станции скопировать сертификат и потом установить его на проблемную машину проблема решится.

    Я правильно понимаю надо скопировать сертификат с компьютеров входящих в домен?

    Сделал но пока не полегчало.
    Попутно вопрос в составе сертификата в данных поставщика следующие значения:
    CN = MyCAInstance
    DC = subdomen
    DC = domen
    DC = ru
    Что должно быть в поле CN?


     InDustReal написано:

    2.Не совсем понятен вопрос - "как добавлять пользователей на сервер"? Как разрешить пользователю пользоваться OCS? Установите Administrative Tools из поставки OCS, запустите ADUC, потом правой мышкой на пользователе и "Enable user for Communications Server".

    Установите Administrative Tools - установить на сервере с AD или OCS?
    Установлено и на AD и на OCS серверах но ни там ни там по правой клавише не появляется "Enable user for Communications Server"
    Второй вопрос снят. Подтупил маленько.
    5 марта 2008 г. 6:59
  • 1. Ваш комп должен доверять доменному ЦС. Для этого нужно его сертификат сохранить в файл и установить на машине.

    2. Что-то сделано не так. Точно вы запустили "Administrative tools" на той машине, где хотите это сделать? В главном окне, где Deploy Server, справа, между Documentation и Tools and Resources. Запустите еще раз.
    5 марта 2008 г. 7:13
  •  InDustReal написано:
    1. Если ваш комп не входит в домен, то нужно установить сертификат из вашего ЦС. Думаю, если из оснастки "сертификаты" ("доверенные корневые центры" - "сертификаты") на любой рабочей станции скопировать сертификат и потом установить его на проблемную машину проблема решится.

    Проблема присутствует и на компьютерах входящих в домен. Выдает сообщение что сервер временно не доступен.
    В чем может быть проблема и в каком направлении копать?
    5 марта 2008 г. 7:37
  • Это уже совершенно другая тема и миллион вариантов, начиная с файрволла на компах и заканчивая неправильной настройкой клиента. Опишите сеть подробнее, может что-то на ум и придет.

    На всех подряд компах?

    С проблемами из первого поста разобрались?
    5 марта 2008 г. 7:49
  •  InDustReal написано:
    Это уже совершенно другая тема и миллион вариантов, начиная с файрволла на компах и заканчивая неправильной настройкой клиента. Опишите сеть подробнее, может что-то на ум и придет.

    На всех подряд компах?

    С проблемами из первого поста разобрались?

    Фаерволы на клиентах отключены. Значит эта проблема отпадает сама собой. А вот поповоду правильной установки самого сервера у меня вызывает ряд сомнений.

    Если это возможно виртуально разобраться давайте попробуем
    вот информация в которой у меня возникают подозрения:

    Pool: srv1.subdomen.domen.ru
     Federation or global route: 
             FQDN: <None>
             Port: 5061
     
     Authentication protocol: Both NTLM and Kerberos
     Server to server outgoing compression: 
     Client to server compression: 
     
       Static IP routes (outbound connections)

     <None>

    Вот эта строка:  FQDN: <None> у меня вызывает подозрения

    и вот эта тоже:
    Static IP routes (outbound connections)

     <None>
    5 марта 2008 г. 8:07
  • Это все нормально.

    Думается, или клиенты настроены неправильно, или свойства пользователя не настроены. Вкладка Communications в ADUC есть? там все как надо указано?
    5 марта 2008 г. 8:15
  •  InDustReal написано:
    Это все нормально.

    Думается, или клиенты настроены неправильно, или свойства пользователя не настроены. Вкладка Communications в ADUC есть? там все как надо указано?

    Да там собственно и настроек то особых нет в клиентах. Стоит автоматическое определение сервера.
    Вкладку нашел.Что может быть там не правильно?
    5 марта 2008 г. 8:40
  • Стоит автоматическое. А рядом в поле имя сервера повилось?

    У клиента может быть неправильно все что угодно, начиная с неуказаного сервера и заканчивая отсутствием галочки Enhanced presence (если клиент 2007).
    5 марта 2008 г. 8:50
  •  InDustReal написано:
    Стоит автоматическое. А рядом в поле имя сервера повилось?

    У клиента может быть неправильно все что угодно, начиная с неуказаного сервера и заканчивая отсутствием галочки Enhanced presence (если клиент 2007).


    Я может не так немного понимаю, в Communicator стоит автоматическое определение сервера, поля с названием сервера там нет. На вкладке Communication галочка Enhanced presence установлена и она не может быть изменена.

    Имя пользователя в таком формате sip:NameUser дальше @ subdomain.domen.ru
    Ниже Server of Pool указан мой сервер с OCS

    Может быть проблема в DNS?

    5 марта 2008 г. 9:17
  • Да, я неправильно написал.

    Думаю, проблема в автоопределении сервера.
    Попробуйте в коммуникаторе поставить галочку ниже и вписать сервер вручную. Если заработает - значит надо смотреть на автооопределение.
    5 марта 2008 г. 9:21
  •  InDustReal написано:
    Да, я неправильно написал.

    Думаю, проблема в автоопределении сервера.
    Попробуйте в коммуникаторе поставить галочку ниже и вписать сервер вручную. Если заработает - значит надо смотреть на автооопределение.

    Да получилось, вписал имя сервера и все пошло и тот который не в домене тоже прошел. Правда перед этим я пошаманил с сертификатом.
    5 марта 2008 г. 9:52
  • Ну вот вам и причина.
    5 марта 2008 г. 10:00
  •  InDustReal написано:
    Ну вот вам и причина.

    Но автоопределение доменными машинами пока не работает. В каком направлении нужно посмотреть?
    И попутно вопрос про адресную книгу. В клиенте выдается предупреждение что не найдена адресная книга. Я так понимаю проблема в то что она не расшарена?
    5 марта 2008 г. 10:36
  • Посмотрите в направлении групповых политик.

    По адресной книге тема на форуме уже обсуждалась.

    Может вам начать с чтения документации?
    5 марта 2008 г. 10:51
  • И последний вопрос в видео конференциях я так понял задействован механиз фокусировки изображения на  выступающем,  можно ли сделать так что бы отображались  в маленьких окошках  все участники конференции и путем выбора нужного увеличенное изображение появляллось бы на экране?
     
    5 марта 2008 г. 11:53
  • Нет. Показывает только докладчика.
    5 марта 2008 г. 13:06
  •  InDustReal написано:
    Нет. Показывает только докладчика.

    Да это видимое упущение разработчиков. Похожая функция есть у Live Meeting 2007 но как то уж очень кривенько не по Microsoftтовски с их любимыми кнопочками и рюшечками на стороне клиента, там можно или автофокус на докладчике или выбрать конкретного пользователя в виде выпадающего списка. Есть еще функция панорамного видео но к сожалению камеры поддерживающей нет и проверить его работу не удалось. И не удалось запустить в Live Meeting 2007 WhiteBoard (доску для рисования). Видимо не хватает каких то функций на моем сервере.
    5 марта 2008 г. 18:18
  • Столкнулся с той-же проблемой с сертификатами, что и Вы! Поделитесь опытом правильного разворачивания ее, т.к. что-то у меня не получается. Ошибка та-же.

    8 апреля 2008 г. 14:07
  •  

    Вобшем Проблема уже с верху была поеснина

    Дело в доверии Клиентов к Сертификатам

     InDustReal написано:
    1. Ваш комп должен доверять доменному ЦС. Для этого нужно его сертификат сохранить в файл и установить на машине .

     

    Под словом комп подозреваетса не что иноее как ваш Клиент.

     

    9 апреля 2008 г. 7:39
  • Блин развели этот понос с сертификатами, а нормального доходчивого мануала по установке и настройке нет. Как будто все учились в спецшколах с аглицким уклоном.
    Неужели нельзя было предусмотреть вариант развертывания на страх и риск установщиков без этой мазни.

    Вот уже который раз бьюсь, застрял на этих сертификатах и никак с места тронуться не могу. То не доверяет корневому, то это, то то... Вопрос больше чем ответов. Зато "Самизнаетекому" сайты по OCS заказывают. Лучше бы на эти деньги выпустили нормальный мануал на русском языке для тех кто хотел бы начать знакомство с продуктом.
    9 апреля 2008 г. 9:16
  • По сертификатам. Есть большое желание о них не думать - выставьте пользователям протокол подключения - TCP.

    Сделать это, а заодно и указать клиенту имя сервера, можно двумя путями (кроме прямой настройки клиента):

    1.Через групповую политику, которая прилагается к дистрибутиву (communicator.adm)

    2. Создав сервисную запись (тип SRV) в DNS - _sipinternal._tcp.<sip domain> (подробнее в Deployment Guide)

     

     

    Написанное дальше - ИМХО

    Сайты по продуктам создаются для первичного знакомства. чтоб далекие от IT люди увидели достоинства продукта.

    Документация пишется на традиционном, для мира IT языке. Предпологается, что человек, работающий в области IT свободно читает на английском. Через матюги со словарем читаешь пару гайдов. Дальше все легко. Технический английский прост до ужаса. И уж для совсем широко распростаненных продуктов (Exchange например) гайды переводят. Правда перевод обычно получается достаточно кривой, т.к. переводят обычно не IT специалисты, а у терминов зачастую значения в русском языке.

     

    9 апреля 2008 г. 10:07
  •  Alexander Donin - CROC написано:

    По сертификатам. Есть большое желание о них не думать - выставьте пользователям протокол подключения - TCP.

    Сделать это, а заодно и указать клиенту имя сервера, можно двумя путями (кроме прямой настройки клиента):

    1.Через групповую политику, которая прилагается к дистрибутиву (communicator.adm)

    2. Создав сервисную запись (тип SRV) в DNS - _sipinternal._tcp.<sip domain> (подробнее в Deployment Guide)

     

     

    Написанное дальше - ИМХО

    Сайты по продуктам создаются для первичного знакомства. чтоб далекие от IT люди увидели достоинства продукта.

    Документация пишется на традиционном, для мира IT языке. Предпологается, что человек, работающий в области IT свободно читает на английском. Через матюги со словарем читаешь пару гайдов. Дальше все легко. Технический английский прост до ужаса. И уж для совсем широко распростаненных продуктов (Exchange например) гайды переводят. Правда перевод обычно получается достаточно кривой, т.к. переводят обычно не IT специалисты, а у терминов зачастую значения в русском языке.

     



    1. По сертификатам - объясните тогда зачем во время начальной установки OCS требуется настроить сертификацию если я не планирую ее использовать в обозримом будующем?
    2. Как быть в случае подключения через VPN? Требуется ли в этом случае сертификат и какой должен быть в этом случае настроен протокол TCP или TLS?
    3. Вот уже почти неделю сражаюсь с ошибкой и не могу понять в чем причина
    В кратце ситуация такая:  OCS2007 Standart  при попытки создания конференции на троих не дает такой возможности. Двое соединяются причем как то странно один может создать соединение второй нет, когда приглашаешь третьего в разговор в котором уже двое задействованы третьего выбрасывает.
    Вообщем колбаса полная. Даже уже не знаю в какую сторону смотреть. То же самое происходит когда через VPN начинаешь с одним из абонентов разговаривать при попытке пригласить третьего последнему отказ.
    9 апреля 2008 г. 11:52
  • В моей весии ОСS было невозмогно до конца заинсталировать без Сертификатов

    Долгоя химичил с ними. В коце дадумолся до Доверия и что на каждом клиенте должен быть заинсталирован Сертификат от моей СА. OCS работает!!! Добрались мои руки до Live Meeting ну и что вы думаете

    Опять вылез етот как Alex хорошо сказал [quote user="AlexBig"]понос с сертификатами[/quote]

    Ни в одном так в другом месте впоймаешся

    9 апреля 2008 г. 13:30
  •  AlexBig написано:

    1. По сертификатам - объясните тогда зачем во время начальной установки OCS требуется настроить сертификацию если я не планирую ее использовать в обозримом будующем?

     

    Подход MS. То что настоятельно рекомендуется - включено по умолчанию. Использование сертификата оправдано с точки зрения безопасности, но если по каким то причинам использование затруднительно - можно поставить абсолютно левый сертификат типа "веб сервер" и не париться хотя........

    сертификат используется для такой полезной штуки, как адресная книга. доступ к ней коммуникатор осуществляет только через HTTPS. + группы рассылки, которые у клиентов обнавляются автомвтически... лучше заморочится и поставить :-)

     

     AlexBig написано:

    2. Как быть в случае подключения через VPN? Требуется ли в этом случае сертификат и какой должен быть в этом случае настроен протокол TCP или TLS?

     

    При подключении по впн система работает в локальной сети (куда подключилась). то есть всё как при локальном взаимодействии.

    Фишка OCS подключение без VPN через Edge серверы. То есть, в идеале, пришел домой, запустил коммуникатор, вбил SIP имя, логин и пароль (в первый раз) и подключился к корпаративному серверу со всеми возможностями включая телефонию. В этом случае без сертификата не обойтись. предпочтительно платные публичные. Не так это и дорого. дешевле лицензии на Windows Server (лицензия на пару лет) а клиенты им доверяют по умолчанию.

     

     AlexBig написано:

    3. Вот уже почти неделю сражаюсь с ошибкой и не могу понять в чем причина
    В кратце ситуация такая:  OCS2007 Standart  при попытки создания конференции на троих не дает такой возможности. Двое соединяются причем как то странно один может создать соединение второй нет, когда приглашаешь третьего в разговор в котором уже двое задействованы третьего выбрасывает.
    Вообщем колбаса полная. Даже уже не знаю в какую сторону смотреть. То же самое происходит когда через VPN начинаешь с одним из абонентов разговаривать при попытке пригласить третьего последнему отказ.

     

    Похоже на то, что установлен или не запущен сервер конференций (проверь все вкладки в консоли администратора на состояние Runing у служб)

    не уверен, но возможно причина в IIS  и том же сертификате. Хотя вряд-ли.

     

    9 апреля 2008 г. 14:55
  •  

    Здраствуйте Александер

    Видно што вы хорошо ознакомлены с ОCS и его Сертификацыи.

    Возможно ли с локальной СА и её Сертификатоми сертифицыровать ОСS для работы всех функцый.

    Или надо покупать официалные?

     

    Webservices (для Live Meeting) почемуто не доверяет моему IIS-Сертификату.

    Делаю новый Сертификат  ОСS Communicator отказывается соеденятса

    После ребута Webservice (для Live Meeting) отключаетса.Меняю Сертификат на старый OCS работает и таже проб. c Live Meeting

    9 апреля 2008 г. 15:52
  • После длительных плясок вокруг OCS проблема с внутренними коннектами была героически побеждена Smile ууфффф
    Но проблема с VPN осталась и куда смотреть никак не соображу. Внутри сети и члены домена и нечлены подключаются и конфернции аудио-видео проходят на раз. Подключающиеся по VPN видят примерно следующую картинку авторизация проходит появляется на 1-3 секунды список контактов если очень повезет(после понипуляций) то авторизация пройдет даже на коророткое время появляется видео в видео звонке. А бывает так что после успешной авторизации VPN клиента когда ему поступает вызов и он отвечает на звонок его попросту выкидывает из коммуникатора и приходится заново авторизоваться. Нигде в логах ошибок нет. Пробовали VPN на ISA2006 и на Kerio результат практически одинаковый.
    Вот и непонятно если по VPN подключившийся является как бы членом внутренней сети почему его выбрасывает?
    Судя по форуму подобной проблемы еще ни у кого не было. Если вопрос решится обещаю отпишусь как проблему решил. А то тут постоянно сначала вопрос, потом  все пацаны я справился а как умалчивается Sad

    P.S Есть предложение давайте откроем какую нибудь тему и назовем ее Wiki по OCS где каждый сможет внести свою лепту в детальное описание процесса установки и настройки OCS 2007 и возможных подводных камней которые могут возникнуть во время установки-настройки. Если не против могу возглавить инициативную группу( не славы ради, а ради получения максимальных знаний) по не такому уж плохому продукту от MS.
    9 апреля 2008 г. 15:54
  •  Eugen Reifschneider написано:

     

    Возможно ли с локальной СА и её Сертификатоми сертифицыровать ОСS для работы всех функцый.

    Или надо покупать официалные?

    Возможно почти для всего функционала. Исключение составляет Public IM connectivity. Да и с Federation будут большие проблеммы/неудобства.

    необходимо только учитывать один момент, о котором уже неоднократно упоминалось: на рабочей станции  сертификат СА должен быть в доверенных корневых сертификатах. Для машин в домене это происходит автоматически. Для остальных придется ставить руками.

     

     Eugen Reifschneider написано:

    Делаю новый Сертификат  ОСS Communicator отказывается соеденятса

    Проверьте, что пишет при этом коммуникатор. Возможно, в сертификате нужно указать другое имя.

     

    10 апреля 2008 г. 7:51
  •  

    Увы с ВПН я вам помоч не смогу.

    Но нащёт Wiki готов поддержать.

     Интересно что думают наши MVP о такой Идее?

    Мнго людей здесь находятса только когда худо или решают проблему сами (пишут спосибо разобрался сам) и потом тотже ефект остаётса только «Try and Error». Следуюший должен тоже сам разобратьса и.т.д.и.т.п.

    10 апреля 2008 г. 8:09