none
Edge за TMG - отсутствует внешний доступ RRS feed

  • Вопрос

  • Добрый день, уважаемые эксперты!

    Помогите, пожалуйста, в решении проблемы, уже как дней 5 над ней бьюсь безрезультатно.

    В сети развернут Lync Server 2013. Внутри сети, а также по vpn, все сценарии коммуникаций прекрасно работают. Но появилась необходимость осуществлять внешний доступ. 

    В этом и состоит проблема - не удается подключиться с использованием внешнего доступа.

    Edge находится за TMG сервером, используется NAT. Правила публикации настраивал, опираясь на видео Stanky и Илгиза. Все необходимые порты телнетятся и с TMG до Edge, и удаленного клиента до TMG. 

    Edge не введен в домен, сетевые адаптеры настроены должным образом (шлюз прописан только на внешнем интерфейсе), доменный суффикс указан.

    Для всех трех служб используется единое доменное имя sip.domain.com и IP адрес. 

    Sip домен - domain.local. Центр сертификации внутренний, но внешний клиент ему доверяет. Access Edge на 443 порту. В настройках внешнего клиента указывается имя сервера: lync.domain.com:443 (имя в топологии прописано)

    При попытке доступа на TMG пишется, что соединение с Edge открыто и сразу закрыто, т.е. оно не отклоняется на TMG.

    Начато соединение WIN-TMG 25.01.2013 13:41:48 
    Тип журнала: Служба межсетевого экрана 
    Состояние: Операция успешно завершена.  
    Правило: Access Edge SIP (TLS 443) 
    Источник: Внешняя (xx.xx.xx.xx:49390) 
    Назначение: Внутренняя (192.168.1.23:443) 
    Протокол: HTTPS-сервер 
     Дополнительные сведения 
    Число отправленных байтов: 0 Число полученных байтов: 0
    Время обработки: 0ms Первоначальный IP-адрес клиента: xx.xx.xx.xx

    Закрытое соединение WIN-TMG 25.01.2013 13:41:59 
    Тип журнала: Служба межсетевого экрана 
    Состояние: Соединение было завершено должным образом, корректно осуществлен процесс отключения с трехсторонним подтверждением, запущенным FIN.  
    Правило: Access Edge SIP (TLS 443) 
    Источник: Внешняя (xx.xx.xx.xx:49390) 
    Назначение: Внутренняя (192.168.1.23:443) 
    Протокол: HTTPS-сервер 
     Дополнительные сведения 
    Число отправленных байтов: 165 Число полученных байтов: 1509
    Время обработки: 10639ms Первоначальный IP-адрес клиента: xx.xx.xx.xx 

    Установил на Edge Logging Tool. При попытке доступа пишется следующее:

    TL_INFO(TF_CONNECTION) [0]0C7C.0EA4::01/24/2013-10:53:29.635.00000001 (SIPStack,SIPAdminLog::WriteConnectionEvent:1198.idx(446))[2051305047] $$begin_record
    Severity: information
    Text: TLS negotiation started
    Local-IP: 192.168.1.23:443
    Peer-IP: xx.xx.xx.xx:63897
    Connection-ID: 0x100
    Transport: TLS
    $$end_record

    TL_ERROR(TF_CONNECTION) [0]0C7C.0EA4::01/24/2013-10:53:30.151.00000002 (SIPStack,SIPAdminLog::WriteConnectionEvent:1198.idx(452))[2051305047] $$begin_record
    Severity: error
    Text: The connection was closed before TLS negotiation completed. Did the remote peer accept our certificate?
    Local-IP: 192.168.1.23:443
    Peer-IP: xx.xx.xx.xx:63897
    Connection-ID: 0x100
    Transport: TLS
    $$end_record

    Уже не знаю в какую сторону копать, очень надеюсь на Вашу помощь:)

    Быть может проблема в DNS. Необходимо ли прописывать SRV? Если да, то какие?

    25 января 2013 г. 9:52

Все ответы

  • В сообщении об ошибке указано, что возможно клиенту не нравится сертификат - с этого и начните.

    Сазонов Илья http://isazonov.wordpress.com/

    25 января 2013 г. 10:57
    Модератор
  • На клиенте сертификат ЦС импортирован в доверенные корневые центры сертификации (хранилище локального компьютера). 

    В мастере развертывания на Edge сертификаты валидацию проходят. Их собственно два:

    1) на win-lyncedge.domain.local (внутренний), к которому добавил сам имя sip.domain.com

    2) на sip.domain.com (внешний), к которому мастер сам добавил два имени - domain.local и sip.domain.local

    Сертификаты пробовал получать и автоматически, и через автономный запрос.
    • Изменено a.nicheks 25 января 2013 г. 11:19
    25 января 2013 г. 11:17
  • Воспользуйтесь инструментом 

    https://www.testexchangeconnectivity.com/

    25 января 2013 г. 12:37
  • На клиентской машине в hosts запись внеси lync.domain.com
    25 января 2013 г. 13:29
  • Доступ к учетной записи осуществить удалось. Проблема была действительно в сертификате. При помощи данного сервиса стало понятно, что во внешнем сертификате отсутствует внешнее имя доступа lync.domain.com.

    Но ни один из сценариев коммуникаций не работает. При попытке отправить сообщение линк выдает: код ошибки 504 (ИД источника 239), звонок сразу прерывается. Также на клиенте не меняется состояние (в сети, невидимый и т.д.), хотя на другом клиенте данные изменения отображаются.

    Сервис testexchangeconnectivity.com стал выдавать другую ошибку:

    Couldn't sign in. Error: Error Message: The certificate chain was issued by an authority that is not trusted.
    Error Type: TlsFailureException.

    Но это, как понимаю, по причине отсутствия доверия центру сертификации.

    25 января 2013 г. 13:36
  • Пока решить проблему не удается, очень жду Вашей помощи!
    27 января 2013 г. 20:14
  • Доступ к учетной записи осуществить удалось. Проблема была действительно в сертификате. При помощи данного сервиса стало понятно, что во внешнем сертификате отсутствует внешнее имя доступа lync.domain.com.


    Исправили?

    Сазонов Илья http://isazonov.wordpress.com/

    28 января 2013 г. 12:08
    Модератор
  • Нет, пока есть только доступ. Но ни изменение статуса, ни отправка сообщений, ни звонки, ни расшаривание экрана не работают.

    Вернее: между двумя внешними клиентами отсутствуют все виды коммуникаций; внешний клиент внутреннему может отправить сообщение в одну сторону и позвонить, но звонок принять не удается (зависает на соединение и разрывается), внутренний с внешним никак связаться не может.

    • Изменено a.nicheks 28 января 2013 г. 22:05
    28 января 2013 г. 19:21