none
Ошибка подключения к Exchange и синхронизации адресной книги на клиенте Lync RRS feed

  • Общие обсуждения

  • Добрый день,

    На клиентах с самого начала внедрения Lync Server не удается подключиться к Exchange и возникает ошибка синхронизации адресной книги, после входа бесконечное количество раз запрашивается пароль, который не принимается.

     Такая ситуация на всех машинах (доменных и не доменных). В DNS запись autodiscover присутствует, например почтовый клиент MS Outlook нормально работает с autodiscover.

    Заранее благодарю за помощь, спасибо!

     

     

    • Изменен тип Yuriy Lenchenkov 25 ноября 2011 г. 11:56 отсутствие активности
    20 октября 2011 г. 10:40

Все ответы

  • То есть, имеет место быть две проблемы?

    Пароль спрашивает именно Lync-клиент и именно для скачивания адресной книги?

    Как именно у вас запись autodiscover в DNS'е прописана? И почему вы думаете, что Outlook её вообще использует?

    20 октября 2011 г. 10:47
    Модератор
  • Отвечаю по порядку, попытаюсь быть последовательным:

    1. Пароль спрашивает Lync клиент, я так понимаю что не только для синхронизации адресной книги. Выглядит это следующим образом:

    • Выполняю вход: аутентификация проходит нормально.
    • Затем запрашивается пароль на вход служб Lync - ввожу пароль от своей учетной записи - пароль не принимается (пароль ввожу несколько раз)

    2. В локальном DNS есть прямая зона с доменом domain.ru, в которой существует запись типа: autodiscover А  192.168.1.5 (ip-адрес Exchange сервера)

    3. При подключении нового почтового клиента параметры Exchange сервера передаются автоматически, т.е. например в MS Outlook 2010 при настройки новой учетной записи достаточно ввести имя почтового ящика остальные параметры подставляются автоматически. Кроме того я выполнял on-line тест для определения автонастройки (https://www.testexchangeconnectivity.com/) тест проходил успешно.

    20 октября 2011 г. 11:02
  • 1. Приведите, пожалуйста, картинку этого запроса...

    2. А какие имена у вас в Exchange'вском сертификате прописаны? У вас всё в одном сайте или Autodiscover выделен?

    3. Для справки - доменный клиент получает ссылку для подключения из SCP (Service Connection Point), значение которой можно получить выполнив команду "Get-ClientAccessServer  -Identity %CASServerName% | fl AutodiscoverServiceInternalUri".

     

    Давайте определимся - мы говорим исключительно про доменных (внутрисетевых) пользователей или внешних?

    20 октября 2011 г. 11:13
    Модератор
  • 1. Картинка запроса:

    2. Есть один коммерческий сертификат в нем есть дополнительное имя субъекта, где присутствует имя autodiscover.e-sa.ru

    3. Спасибо.

    P.S. говорим о внутресетевых пользователях.

     





    • Изменено agniko 20 октября 2011 г. 11:38
    20 октября 2011 г. 11:26
  • 1. А теперь ещё приведите картинку, которая показывает конфигурацию (Ctrl + правый клик по значку Lync-клиента -> Сведения о конфигурации)...

    2. То есть, у вас всё в одном сайте? Сертификат ваш посмотрел :) .

    3. Ну, если у вас на клиенте установлен Exchange Magement Shell, можете и на клиенте выполнить :) . А, вообще, без разницы где именно вы эту команду выполните.

    4. По поводу клиентов вы не ответили - рассматриваем исключительно внутренних или внешних? Это нужно для определённости ;) .

    5. Как Lync у вас находит сервер? Автоматически? Как именно это реализовано? SRV-запись? Что в ней указано?

    20 октября 2011 г. 11:33
    Модератор
  • Определенно мы говорим только о внутресетевых пользователях!
    20 октября 2011 г. 11:37
  • В таком случае, упоминание анализатора здесь совершенно лишнее - во внешней сети это работает иначе ;) .
    20 октября 2011 г. 11:41
    Модератор
  • 1. А теперь ещё приведите картинку, которая показывает конфигурацию (Ctrl + правый клик по значку Lync-клиента -> Сведения о конфигурации)...

    2. То есть, у вас всё в одном сайте? Сертификат ваш посмотрел :) .

    3. Ну, если у вас на клиенте установлен Exchange Magement Shell, можете и на клиенте выполнить :) . А, вообще, без разницы где именно вы эту команду выполните.

    4. По поводу клиентов вы не ответили - рассматриваем исключительно внутренних или внешних? Это нужно для определённости ;) .

    5. Как Lync у вас находит сервер? Автоматически? Как именно это реализовано? SRV-запись? Что в ней указано?


    1. Конфигурацию я уже смотрел, простите что сразу не выложил, меня насторожило то что служба EWS не установлена - как исправить я к сожалению пока не знаю. Картинка сведения о конфигурации:

    2. Что вы имеете ввиду: "значит все в одном сайте?" ?

    3. Уже выполнил на сервере (я исправился потом:) )

    4. Внутренние

    5. Lync клиент находит сервер вручную, SRV запись я пока не добавлял.


    • Изменено agniko 20 октября 2011 г. 11:56
    20 октября 2011 г. 11:55
  • 1. Проблем я здесь абсолютно не вижу - всё в полном порядке! А то что он пишет про EWS - это из-за того, что Lync с Exchange'м через Outlook взаимодействует.

    2. По умолчанию, все Web-службы (Autodiscover, OWA, Activesync...) устанавливаются в один сайт Default Web Site. Вопро был в том, не выносили ли вы его отдельно, но на самом деле, благодаря другой информации - уже неактуально :) .

    3. Ну а результат ;) ? Хотя, он тоже не очень-то актуален :) .

    5. Как имя прописано? Просто "sesa0132lync.e-sa.ru"?

    Предположительно, проблема в настройках IIS'а, но более подробно смогу описать позже - к сожалению, нужно срочно убегать...

    20 октября 2011 г. 12:17
    Модератор
  • 1. Отлично, а то я что то забеспокоился на этот счет.

    2. хорошо)

    3. Тоже хорошо))

    5. Прописано просто: sesa0132lync.e-sa.ru

     

    Хорошо, тогда надеюсь что до завтра. Спасибо Вам огромное! 

    20 октября 2011 г. 12:26
  • В общем, у меня два основных подозрения - IIS и PKI.

    Для проверки IIS'а зайдите с клиента по адресу https://sesa0132lync.e-sa.ru/abs/handler, предварительно добавив свой домен в интранет зону - какой результат?

    А на Lync-сервере запустите консоль pkiview.msc - есть там какие-нибудь ошибки?

    21 октября 2011 г. 6:38
    Модератор
  • С клиента пытаюсь зайти по адресу: https://sesa0132lync.e-sa.ru/abs/handler пишет ошибку 403 Доступ запрещен. Предоставленные учетные данные не дают права на просмотр этого каталога или страницы...

     

    21 октября 2011 г. 11:04
  • Что и требовалось доказать! Если б было всё хорошо, вы бы увидели просто пустую страницу.

    Какой тип аутентификации установлен на приложение Handler в сайте Lync Server Internal Web Site? В каком пуле работает данное приложение? От чьего имени работает пул?

    21 октября 2011 г. 11:11
    Модератор
  • Запустил консоль pkiview.msc, результат ниже:

    21 октября 2011 г. 11:14
  • Ну и здесь не всё слава богу - вы либо уберите HTTP-ссылки из сертификатов и CRL'ей, либо обеспечьте их работоспособность.

    21 октября 2011 г. 11:23
    Модератор
  • Попробую поработать с сертификатами. Ошибка доступа к странице:  https://sesa0132lync.e-sa.ru/abs/handler из-за сертификата?
    21 октября 2011 г. 12:12
  • Тип аутентификации установлен: проверка подлинности Windows.

    Приложение работает в пуле: CSIntSearchAppPool от имени встроенной учетной записи Network Services

     

    21 октября 2011 г. 13:27
  • Нет - это, просто, впридачу :) .

    21 октября 2011 г. 13:27
    Модератор
  • Ядерная аутентификация на приложении включена, случаем, Proxy у вас в настройках IE не прописан?
    21 октября 2011 г. 13:32
    Модератор
  • Нет ядерная отключена. Proxy нет - не прописан.....  не понимаю чего ему нужно..

    21 октября 2011 г. 13:39
  • Сделал тест на соединение:

    21 октября 2011 г. 13:42
  • Ну, по описанию всё верно. Тогда, зайдите по данному адресу с самого Lync-сервера - он покажет более расширенную информацию о проблеме...

    21 октября 2011 г. 13:46
    Модератор
  • Подробности:

    21 октября 2011 г. 14:29
  • Однако :) ! Трудно, конечно, в таких ситуациях исключительно по описанию давать какие-то рекомендации - тут нужно уже непосредственно смотреть всё вцелом...

    Судя по всему, у вас установлен компонент IIS'а "Directory Browsing" - именно по этой причине вы и видите сообщение об ошибке, когда заходите по ссылке. Удалите этот компонент - он совершенно не нужен для работы Lync'а. С другой стороны, когда вы заходите с сервера, в сообщении говорится о модуле OSCAuthModule, а не DirectoryListingModule!

    Опять же, вы "выкинули" остальную информационную часть, ну да ладно :) . В общем, чуть ниже, должно быть две ссылки, одна из которых ведёт на замечательную статью по Tracing'у - выполните его настройку и создайте правило, которое будет реагировать при ошибках/предупреждениях во всех провайдерах. Далее, дабы не потеряться в логах, крайне желательно, чтоб только ваш компьютер с клиентом имел доступ к IIS'у. Запускаете Lync-клиент, получаете запрос на ввод имени и пароля, список получившихся логов запоминаете/убираете, вводите учётные данные в клиенте и получаете второй набор логов. Далее, открываете их и анализируете - сделаны они очень удобно и интуитивно ;) .

    Особенно, обратите внимание на ссылку по которой клиент пытается скачать адресную книгу - что-то вроде "...Abs/Handler/bla-bla-bla.lsabs". В дальнейшем, для "упрощения" разбора полётов, можно отключить на приложении Handler требование шифрования и добиваться скачивание данного файла через IE без запроса пароля...

    22 октября 2011 г. 23:08
    Модератор
  • Спасибо, Stanky - буду пробовать по результатам отпишусь ;)
    24 октября 2011 г. 6:16
  • А Outlook у вас работает?


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    24 октября 2011 г. 7:22
    Модератор
  • Судя по сведениям конфигурации (Состояние MAPI: OK) работает, только, причём тут это?
    24 октября 2011 г. 7:24
    Модератор
  • Я понял причину вашей ошибки - вы заходите под пользователем, который не включен в Lync'е, вот модуль OCSAuth на это так и реагирует. С одной стороны, он выдаёт ошибку, а с другой стороны её код 0, что соответствует успеху :) ! В общем, похоже, что проблем, как таковых, с IIS'ом у вас нет.

    Вы уже получили ссылку на файл адресной книги?

    25 октября 2011 г. 8:45
    Модератор
  • Трассировку настроил, получил файл лога  - выводы вот только затрудняюсь сделать. Адрес по которому пытается загрузиться адресная книга:
    https://sesa0132lync.e-sa.ru:443/abs/handler/

    А как это пользователь "не включен" в линке? - я захожу под активным пользователем, который включен в lynce.
    • Изменено agniko 25 октября 2011 г. 9:59
    25 октября 2011 г. 9:41
  • MS Outlook работает прекрасно без проблем.
    25 октября 2011 г. 9:59
  • Трассировка запросов отработала при попытке доступа к адрессной книге из IE, а когда я попробовал с клиента запустить MS Lync то лог не обновился т.е. если я просто запускаю клиента Lync он у меня спрашивает пароль я его ввожу - пароль не принимается и лог на сервере Lync не создается (как будто и не было запроса). А вот если я через IE иду по указанному адресу то лог с ошибкой 403 создается. 

    25 октября 2011 г. 10:10
  • Нет - это не адрес для скачивания адресной книги, ибо имя самого файла (*.lsabs) в пути отсутствует ;) .

    Судя по вашему расширенному сообщению об ошибке, вы заходили пользователем, который в Lync'е не включен, ибо его имя написано в формате "DOMAIN\Login", а не "sip:". На самом серевере при открытии ссылки в IE введите учётные данные пользователя, которому Lync включен.

    25 октября 2011 г. 11:01
    Модератор
  • Для начала, всё же, выясните полный путь для скачивания адресной книги и проверьте, скачивается ли он через IE...

    Если с IE всё получится без запроса пароля (считаем, что домен прописана в интранет-зоне), а Lync упорно продолжает вопрошать, ставим снифер и смотрим куда же он, на самом деле, лезет (IP-адреса и порты)...

    25 октября 2011 г. 11:03
    Модератор
  • схожая ситуация, появилось это после того как была поднята роль EDGE server, притом что на моем ПК все работает прекрассно после "Setting Up Kerberos Authentication" но при использовании нового ПК ситуация повторяется...

    2 ноября 2011 г. 9:42
  • для начала проверьте что бы была доступна ссылка https://lync .domain/abs/handler

    после попробуйте:

    1) в AD найти хост машины на которой проблеммы и сделать "Reset Account" перезагрузить ПК

    если после это не поможет то:

    2) выбрасить ПК из домена и внести его обратно и сделать шаг 1.

     

    отпишитесь потом.

    P.s. мне помогло ) 

    p.p.s. учитывая что Kerberos Authentication на front end-e настроенно


    9 ноября 2011 г. 10:12
  • для начала проверьте что бы была доступна ссылка https://lync .domain/abs/handler


    То, что данная ссылка не работает, не является индикатором проблем со скачиванием адресной книги.
    У меня, например, синхронизация адресной книги работает корректно, однако, вышеприведенная ссылка показывает 403 - Forbidden (картинка один в один как на скриншоте agniko). Если же я задам полное имя файла адресной книги, например, https://lynс.domain/abs/handler/F-0e95.lsabs , то файл скачивается без проблем.
    Нет пермишенов на Directory browsing, но их и не должно быть.
    9 ноября 2011 г. 14:31
  • ...все работает прекрассно после "Setting Up Kerberos Authentication"...
    Я же вам ещё тогда написал, что для Standard Edition это совершенно ненужная операция ;) !
    14 ноября 2011 г. 7:33
    Модератор
  • Во-первых - ссылка для скачивания адресной книги "плавающая". Чтобы её узнать нужно проделывать дополнительные телодвижения. Самый простой - посмотреть в самые свежие логи IIS'а.

    Во-вторых - это очень даже наглядный индикатор работы аутентификации ;) .

    В-третьих - ошибка 403 с модулем OSCAuthModule возникает только в том случае, когда вход выполняется под пользователем не включенном в Lync'е. А такой пользователь не имеет прав скачивать адресную книгу ;) ! Так что, чего-то вы тут лукавите.

    В-четвёртых - а, разве, я где-то говорил, что на Directory Browsing должны быть "пермишены"? Таковых вообще не существуют - его можно либо включить, либо выключить.

    14 ноября 2011 г. 7:53
    Модератор
  • Добрый день,

    Мне пока так и не удалось решить проблему.

    А как вход может выполняться под пользователем, который не включен в Lync, если я в Lync то захожу, но потом появляется еще запрос на ввод пароля - я так понимаю для запуска служб (предполагаю) и так бесконечно - ввожу пароль, а он опять спрашивает.

     

    15 декабря 2011 г. 18:12
  • Некоторое время сервер Lync 2010 был законсервирован и не использовался. Сейчас же он снова введен в тестовую эксплуатацию, так же к нему добавился Lync 2013. И собственно по сей день, имеем все ту же знакомую проблему, внутрисетевые клиенты не могут скачать адресную книгу, при этом не важно на каком сервере (2010 или 2013) сидит учетка Lync.....

    Может быть со свежими силами, мы таки решим проблему? Заранее спасибо!!! В каком хоть направлении двигаться то...

    27 апреля 2013 г. 13:06
  • Здравствуйте. Наверное правильнее было бы начать новую тему, поскольку этой уже полтора года :)

    Do not multiply entities beyond what is necessary

    29 апреля 2013 г. 4:41
  • Приветствую. Ну, если так будет правильнее то начнем новую тему :)

    29 апреля 2013 г. 6:14
  • Не знаю как у вас, но у меня такая проблема была вызвана прокси сервером в организации,  у доменного пользователя попробуйте прописать исключение для локальных адресов.
    29 января 2019 г. 12:05