none
S4B 2015 Connectivity Test Failed RRS feed

  • Вопрос

  • Всем привет!
    Есть S4B 2015 на Win2016

    Edge сервер имеет 2 сетевых интерфейса. Один смотрит в доменную сеть, другой  - в DMZ.

    На IP DMZ проброшены из вне порты.

    Во внешний NDS прописаны записи А:

    av.mydom.ru

    sip.mydom.ru

    webconf.mydom.ru

    Так же SRV записи:

    _sip._tls

    _sipfederationtls._tcp

    Разворачивал и настраивал опираясь в основном на эти ресурсы:

    https://alekssh.com/2015/06/30/s4b-install-2015-std/

    https://alekssh.com/2016/11/16/s4b-edge-installation/

    Подключение из вне работает, звонки и сообщения тоже. Вроде бы и радоваться жизни, но...

    Но при тестирование подключения https://testconnectivity.microsoft.com/ получаю ошибку

    По этой ошибке нашел такую тему 

    https://social.technet.microsoft.com/Forums/lync/en-US/16669174-5cd5-4da1-9ae0-a4acf4cc92b4/error-using-remote-connectivity-analyzer?forum=lyncdeploy

    но не совсем пойму, как решился вопрос... и подойдет ли мне это решение.

    По сути, надо добавить маршруты на EDGE

    netsh interface ipv4 add route 10.0.0.0/8 "Internal" 192.168.100.1
    netsh interface ipv4 add route 172.16.0.0/12 "Internal" 192.168.100.1
    netsh interface ipv4 add route 192.168.0.0/16 "Internal" 192.168.100.1

    где 192.168.100.1 - это IP моего роутера с DMZ

    Подскажите, верно ли я понял суть решения?

    Или может что другое порекомендуете.

    27 июня 2018 г. 13:32

Ответы

  • Wildcard НЕ ПОДДРЕЖИВАЕТСЯ EDGE.

    Вам нужно в ваш wildcard добавить SAN name (sip.mydom.ru, webconf.mydom.ru, av.mydom.ru)

    Уточнить у провайдера сертификата.

    Или купить новый для  EDGE

    Multi-Domain SSL Certificates - DigiCert Account Tutorial


    MCITP, MCSE. Regards, Oleg

    • Изменено Oleg.KovalenkoModerator 28 июня 2018 г. 12:40
    • Помечено в качестве ответа LiOH 29 июня 2018 г. 8:01
    28 июня 2018 г. 12:38
    Модератор
  • Я бы ещё пару оф. ссылок добавил для подтверждения слов о Wildcard-сертификатах:

    Certificate requirements for external user access in Lync Server 2013

    Wildcard certificate support in Lync Server 2013

    И одну неофициальную, но толковую:

    Wildcard Certificates in Lync Server

    Быть может, есть какой-то костыль, позволяющий использовать Wildcard SSL сертификат?

    Использование "костылей" порождает в будущем новые проблемы. Так что я бы советовал вообще отречься от подобного мировоззрения)) Вообще - фактически Wildcard сертификат вполне себе может работать, в чем вы сами убедились. Клиенты сейчас у вас ведь работают и не жалуются? Но могут быть ситуации когда начнутся проблемы. С какими-нибудь старыми клиентами, или при федерации с устаревшими системами. И при возникновении подобных проблем вы каждый раз будете гадать "а не из за сертификата ли это??". Будете тратить время на подобные выяснения. Оно вам надо?))

    Так что купите отдельный сертификат под Edge-сервер. Имена вы перечислили правильно - за исключением A/V. Для службы A/V Edge не требует записей в сертификате. Об этом есть упоминание в одной из вышеуказанных статей (но люди всё равно упорно берут сертификаты с лишней AV-записью. Видимо боятся "А мало ли что-то не будет работать", да плюс вредные советы с бложиков). Вот строка с оф. статьи:

    The A/V Edge service does not use the subject name or the subject alternative names entries.

    Примечание: если у вас более одного sip-домена - то потребуются ещё записи.

    Ну а текущий Wildcard-сертификат используйте на своём ReverseProxy. Там он отлично работает)


    • Изменено Anikin Alexander 29 июня 2018 г. 2:14
    • Помечено в качестве ответа LiOH 29 июня 2018 г. 8:01
    29 июня 2018 г. 2:08

Все ответы

  • Привет.

    На интерфейсе который смотрит в Инет настроен шлюз по умолчанию и ДНС.

    На интефейсе кторый смотрит в локальную сеть прописываете ваши сети.

    Можно через netsh или route add

    И проверяете репликацию EDGE.

    Get-CSManagemenStoreReplicationStatus


    MCITP, MCSE. Regards, Oleg

    28 июня 2018 г. 0:34
    Модератор
  • Как уже написали - на интерфейсе в интернет выставляете основной шлюз, а для маршрутизации с внутренней сетью - прописываете маршруты, а основной шлюз убираете. Советую только прописать маршруты заранее - чтобы коннект до сервера не пропал.

    Если это поможет - хорошо. Если нет, то давайте разбираться. Очень вероятно - что как-то связано с сертификатами. В идеале - напишите имя своего домена, чтоб можно было поглядеть на внешние DNS-записи, сертификаты и что там точно отвечает тест. Это ведь публичная информация - никаких секретов вы не разглашаете) Отправьте скрин настроек адресов и портов EDGE-сервера в топологии. Статьи в блогах могут не учитывать некоторых моментов - и вполне возможно у вас другие порты прописаны и не соответствуют записям в DNS. Ну и базовое - все службы запущены? вывод: get-cswindowsservice.


    28 июня 2018 г. 3:55
  • Олег и Александр, спасибо за ответы!

    Суть понял. Сейчас буду реализовывать. О результатах отпишусь.

    28 июня 2018 г. 8:40
  • Небольшой отчет о проделанном:

    - на edge сервере, на интерфейсе доменной сети оставил только IP-адрес и маску подсети

    - на edge сервере, на интерфейсе DMZ сети добавил шлюз и DNS

    - на edge сервере добавил маршрут во внутреннюю сеть

    репликация в норме

    Со службами проблем тоже нет:

    FE сервер:

    PS C:\Users\administrator> get-cswindowsservice

    Status   Name            ActivityLevel
    ------   ----            -------------
    Running  W3SVC
    Running  MASTER
    Running  REPLICA
    Running  RTCCLSAGT
    Running  FabricHostSvc
    Running  RTCSRV          Входящих запросов в секунду=0,Сообщения на сервере=0,Удерживаемые входящие сообщения=0
    Running  RTCRGS          Текущие активные звонки=0
    Running  RTCCPS          Всего приостановленных звонков=0
    Running  RTCATS          Текущие активные звонки=0
    Running  RTCIMMCU        Активные конференции=0,Подключенные пользователи=0
    Running  RTCDATAMCU      Активные конференции=0
    Running  RTCAVMCU        Количество конференций=0,Число пользователей=0
    Running  RTCASMCU        Активные конференции=0,Подключенные пользователи=0
    Running  FTA
    Running  RTCXMPPTGW
    Running  RTCHA

    EDGE сервер:

    PS C:\Users\Администратор.WIN-UFU644Q6FBM> get-cswindowsservice

    Status   Name            ActivityLevel
    ------   ----            -------------
    Running  REPLICA
    Running  RTCCLSAGT
    Running  FabricHostSvc
    Running  RTCSRV          Входящих запросов в секунду=0,Сообщения на сервере=0,Удерживаемые входящие сообщения=0
    Running  RTCDATAPROXY    Текущие активные подключения сервера=4
    Running  RTCMRAUTH       Текущие запросы=0
    Running  RTCMEDIARELAY   Активные сеансы=0

    Возможно, я нашел в чём загвоздка.

    Судя по моему тесту

    тесту не совсем нравится мой сертификат.

    Я использую Wildcard SSL сертификат для имени *.mydom.ru

    А суда по этой теме https://social.technet.microsoft.com/Forums/office/en-US/a60d48f1-0d68-41c3-bd39-5f37d0bc3eaa/lync-server-2013-edge-error-type-tlsfailureexception?forum=ocsedge

    S4B не нравится подобный вид сертификатов.

    Верно ли я понял, что для решения моей проблемы необходимо приобрести новый сертификат с именами

    Subject name:

    sip.mydom.ru

    Subject alternative name:

    sip.mydom.ru

    webconf.mydom.ru

    av.mydom.ru

    Быть может, есть какой-то костыль, позволяющий использовать Wildcard SSL сертификат?

    28 июня 2018 г. 11:03
  • Wildcard НЕ ПОДДРЕЖИВАЕТСЯ EDGE.

    Вам нужно в ваш wildcard добавить SAN name (sip.mydom.ru, webconf.mydom.ru, av.mydom.ru)

    Уточнить у провайдера сертификата.

    Или купить новый для  EDGE

    Multi-Domain SSL Certificates - DigiCert Account Tutorial


    MCITP, MCSE. Regards, Oleg

    • Изменено Oleg.KovalenkoModerator 28 июня 2018 г. 12:40
    • Помечено в качестве ответа LiOH 29 июня 2018 г. 8:01
    28 июня 2018 г. 12:38
    Модератор
  • Я бы ещё пару оф. ссылок добавил для подтверждения слов о Wildcard-сертификатах:

    Certificate requirements for external user access in Lync Server 2013

    Wildcard certificate support in Lync Server 2013

    И одну неофициальную, но толковую:

    Wildcard Certificates in Lync Server

    Быть может, есть какой-то костыль, позволяющий использовать Wildcard SSL сертификат?

    Использование "костылей" порождает в будущем новые проблемы. Так что я бы советовал вообще отречься от подобного мировоззрения)) Вообще - фактически Wildcard сертификат вполне себе может работать, в чем вы сами убедились. Клиенты сейчас у вас ведь работают и не жалуются? Но могут быть ситуации когда начнутся проблемы. С какими-нибудь старыми клиентами, или при федерации с устаревшими системами. И при возникновении подобных проблем вы каждый раз будете гадать "а не из за сертификата ли это??". Будете тратить время на подобные выяснения. Оно вам надо?))

    Так что купите отдельный сертификат под Edge-сервер. Имена вы перечислили правильно - за исключением A/V. Для службы A/V Edge не требует записей в сертификате. Об этом есть упоминание в одной из вышеуказанных статей (но люди всё равно упорно берут сертификаты с лишней AV-записью. Видимо боятся "А мало ли что-то не будет работать", да плюс вредные советы с бложиков). Вот строка с оф. статьи:

    The A/V Edge service does not use the subject name or the subject alternative names entries.

    Примечание: если у вас более одного sip-домена - то потребуются ещё записи.

    Ну а текущий Wildcard-сертификат используйте на своём ReverseProxy. Там он отлично работает)


    • Изменено Anikin Alexander 29 июня 2018 г. 2:14
    • Помечено в качестве ответа LiOH 29 июня 2018 г. 8:01
    29 июня 2018 г. 2:08
  • Олег и Александр, спасибо за помощь!

    Буду решать вопрос с сертификатом. Если что пойдёт не так - уже отдельную тему создам.

    29 июня 2018 г. 8:01