Лучший отвечающий
Проблема подключения мобильных клиентов SFB 2015

Вопрос
-
Добрый день. При настройке возможности подключения мобильных клиентов извне к серверу skype for business 2015 клиенты не подключаются. Проверил тестовые подключения с помощью https://testconnectivity.microsoft.com, проблем не обнаружено. При тестировании внутри сети с помощью LyncConnectivityAnalyzer в разделе -
Starting automatic discovery for secure (HTTPS) external channel
появляются ошибки типа:
Произошла ошибка при отправке запроса.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Аутентификация не пройдена из-за закрытия транспортного потока удаленной стороной.
For troubleshooting, try using a browser to open the server discovery URL https://sip.external.ru/Autodiscover/AutodiscoverService.svc/root/user?originalDomain=internal.local?sipuri=user@external.ru
Server discovery failed for unsecured external channel against http://lyncdiscover.external.ruГде копать и исправлять ошибку?
- Изменено Maksim Avershin 25 апреля 2019 г. 9:32
25 апреля 2019 г. 9:28
Ответы
-
- Предложено в качестве ответа Vasilev VasilMicrosoft contingent staff 2 мая 2019 г. 5:00
- Помечено в качестве ответа Vasilev VasilMicrosoft contingent staff 2 мая 2019 г. 10:53
29 апреля 2019 г. 18:55Модератор
Все ответы
-
вот недавно было обсуждение, просмотрите.
https://social.technet.microsoft.com/Forums/ru-RU/6b7b8708-5f05-47bf-a39d-e325615f6281/skype-107610831103-business?forum=sfbru
25 апреля 2019 г. 9:50 -
В данной ветке ответа на вопрос пока нет.25 апреля 2019 г. 11:20
-
При детальном анализе логов LyncConnectivityAnalyzer видно что при обращении внутри сети autodiscoverinternal возвращается ответ в запросе originalDomain=domen.ru
href="https://sip.domen.local/Autodiscover/AutodiscoverService.svc/root/user?originalDomain=domen.ru"
а при внешнем подключении ответ в запросе originalDomain=domen.local
href="https://sip.domen.ru/Autodiscover/AutodiscoverService.svc/root/user?originalDomain=domen.local"
по логике так не должно быть.
25 апреля 2019 г. 11:32 -
попробуйте решить проблему сначала внутри сети. добейтесь звонков на внутр номера. проверяйте сертификаты и настройки на сервере и клиентах.25 апреля 2019 г. 11:50
-
Мобильные клиенты для подключения используют SRV записи. У Вас они созданы?
Коллега выше привел ссылку на подобное обсуждение для того что бы Вы могли проверить предложенные варианты. Возможно они Вам помогут.
Через командную строку Вы можете ее проверить:
nslookup
set type=srv
_sipinternaltls._tcp.np.ua- Изменено Sergey Shostak 25 апреля 2019 г. 11:52
25 апреля 2019 г. 11:50 -
Мобильные клиенты для подключения используют SRV записи. У Вас они созданы?
Коллега выше привел ссылку на подобное обсуждение для того что бы Вы могли проверить предложенные варианты. Возможно они Вам помогут.
Через командную строку Вы можете ее проверить:
nslookup
set type=srv
_sipinternaltls._tcp.np.ua25 апреля 2019 г. 12:18 -
Что у Вас в топологии указано в качестве Internal web services и External web services?
Что у вас показывает команда Get-CsAutodiscoverConfiguration?
25 апреля 2019 г. 12:22 -
Internal web services - sip.domain.local
External web services - sip.domain.ru
Get-CsAutodiscoverConfiguration:
Identity : Global
WebLinks : {}
ExternalSipClientAccessFqdn :
ExternalSipClientAccessPort :
EnableCertificateProvisioningServiceUrl : True
EnableCORS : False25 апреля 2019 г. 12:27 -
Внешний SRV у Вас настроен на белый IP Edge сервера?
Что бы не повторять за кем то, посмотрите по ссылке как идет подключение к серверам и перепроверьте свои DNS записи:
https://www.osp.ru/winitpro/2013/12/13038976/- Изменено Sergey Shostak 25 апреля 2019 г. 12:44
25 апреля 2019 г. 12:36 -
Да, настроен на белый IP. Уже все записи DNS проверял. Я хочу понять почему если при выполнении https://lyncdiscoverinternal.domain.local результат запроса отличается от https://lyncdiscover.domain.ru параметром originalDomain. В первом запросе domain.ru, во втором domain.local? И видно же, что из-за этого проблема с сертификатами и сервер не пропускает соединение.
- Изменено Maksim Avershin 25 апреля 2019 г. 13:12
25 апреля 2019 г. 13:02 -
Вам нужно подключатся через внешнее подключение потому что там используется "белый" сертификат, при этом он не должен быть WildCrd.
И здесь
External web services - sip.domain.ru
У вас указывается какой домен используется для внешних подключений. Соединение по этому сертификату происходит через Edge сервер, Front End будет принимать подключение от Edge сервера по внутреннему сертификату который вы указали при настройке Edge и Front End серверов.
25 апреля 2019 г. 13:39 -
День добрый.
1. Прочтите и реализуйте эти рекомендации.
DNS requirements for Skype for Business Server
Split brain DNS
Split brain DNS is a DNS configuration where you have two DNS zones with the same namespace. The first DNS zone handles internal requests, while the second DNS zone handles external requests, as mentioned in these tables. For more about this see Split-brain DNS.
Все записи должны бы .ru, Skype не понимает .local.
Internal web services - sip.domain.local
2. Сертификаты.
Environmental requirements for Skype for Business Server 2015
Все имена сертификатов должны использовать .ru доменные SAN в публичных и локальный сертификатах (локальный PKI).
3. Plan for Mobility for Skype for Business Server
MCITP, MCSE. Regards, Oleg
25 апреля 2019 г. 17:12Модератор -
т.е. если внутри сети пул и сервера *.local то мобильные клиенты работать не будут? И сейчас все переделывать? Хотя много статей внутри сети используют имена *.local и якобы все работает.
P.S. Тесты отрабатывает все, но мобильные клиенты не подключаются и есть еще одно предупреждение:
Verification failed for Mobility (UCWA) service. The service could not be reached from an external network.
- Изменено Maksim Avershin 26 апреля 2019 г. 9:44
26 апреля 2019 г. 9:15 -
Покажите что у Вас в параметрах подключения прописано:
https://lync.domain.ru/Autodiscover/autodiscoverservice.svc/Root
lync.domain.ru - имя Вашего пула или сервера.
И просмотрите статью:
https://support.microsoft.com/ru-ru/help/2834018/troubleshooting-issues-with-microsoft-skype-for-business-formerly-lync Вопрос по совпадению sip и имя учетной записи
26 апреля 2019 г. 9:39 -
1. Разнес External and Internal web services по разным именам:
webint.domain.ru
webext.domain.ru
Мобильные клиенты подключаются. Звонки A/V с мобильного на стационарный проходят, видео с мобильного на мобильный сбрасываются даже внутри сети.
2. Ошибка Verification failed for Mobility (UCWA) service. The service could not be reached
from an external network осталась.
3. Выполнение запроса:https://lync.domain.ru/Autodiscover/autodiscoverservice.svc/Root
<resource rel="root" href="https://webint.domain.ru/Autodiscover/AutodiscoverService.svc
/root"><link rel="user" href="https://webext.domain.ru/Autodiscover
/AutodiscoverService.svc/root/oauth/user"/><link rel="xframe"
href="https://webext.domain.ru/Autodiscover/XFrame/XFrame.html"/></resource>
- Изменено Maksim Avershin 26 апреля 2019 г. 12:06
26 апреля 2019 г. 11:54 -
26 апреля 2019 г. 12:16
-
При выполнении http://lyncdiscover.contoso.com/autodiscover/autodiscoverservice.svc/root/domain
ответ
<reason><code>NotFound</code><subcode>None</subcode><debugInfo/><parameters/></reason>
все службы на IIS запущены.
И немного схитрил, если на внутреннем dns в записи lyncdiscover.domain.ru указать IP FE то мобильные клиенты работают, если указать внешний IP ReverseProxy то ничего не работает. Хотя proxy ADFS сервер видит.
После выполнения запроса:
Sending HTTP request to https://lyncdiscover.orelstroy.ru/?sipuri=user@domain.ru
идет редирект на webext.domain.ru и не проходит авторизацию.
На сервере FE замечено падение LyncUcwa:
A worker process '2168' serving application pool 'LyncUcwa' failed to stop a listener channel for protocol 'http' in the allotted time. The data field contains the error number.
- Изменено Maksim Avershin 26 апреля 2019 г. 14:56
26 апреля 2019 г. 12:43 -
- Предложено в качестве ответа Vasilev VasilMicrosoft contingent staff 2 мая 2019 г. 5:00
- Помечено в качестве ответа Vasilev VasilMicrosoft contingent staff 2 мая 2019 г. 10:53
29 апреля 2019 г. 18:55Модератор -
Ситуацию выправил путем добавления коммерческого сертификата на FE для WEB services external. Мобильные клиенты подключаются отовсюду, но ошибка "Verification failed for Mobility (UCWA) service. The service could not be reached from an external network" так и осталась. В статьях указанных выше описан механизм, но я не могу найти где начать копать? Какой DNS или что еще необходимо смотреть?
- Изменено Maksim Avershin 15 мая 2019 г. 9:08
15 мая 2019 г. 7:29