none
Skype for Business взаимодействие между трастовыми доменами в разных лесах

    Вопрос

  • Доброго времени суток.

    Имеется 2 леса, между доменами которых установлены 2-сторонние доверительные отношения.

    В первом установлен односерверный S4B standard, и прописан тарстовый домен в качестве дополнительного поддерживаемого сип-домена.

    Во втором установлен 2-серверный пул переднего плана Энтерпрайз эдишн.

    В нем домен первого леса так же прописан в качестве дополнительного поддерживаемого сип-домена.

    Добавил в клиенте в первом домене пользователя из второго в качестве пользователя не из моей организации.

    Пользователь добавился с неопределенным статусом, подхватил даже доменный аватар, но сообщения не уходят.

    Вопрос - как наладить связь между двумя трастовыми доменами в разных лесах ?

    в логах:


    ms-diagnostics: 1003;reason="User does not exist";destination="trusteduser@dom.org.ru";source="SKYPESRV01.maindom.ru"


    • Изменено Mr. Snipfold 26 октября 2018 г. 12:15
    26 октября 2018 г. 11:14

Ответы

Все ответы

  • Вам нужно добавить запись доверенного приложения

    Здесь описана нужная Вам конфигурация 

    26 октября 2018 г. 12:34
  • Добавил все по инструкции, но не работает, как проверить на каком этапе отбивает?

    29 октября 2018 г. 12:32
  • При добавлении сервера из другого леса вышло предупреждение:

    PS C:\Users\Admin> New-CsTrustedApplicationPool -Identity skypedom2.dom2.ru
    -Registrar fepool-ee.dom1.org1.ru -site "Site:ORG1S4B" -requiresreplicati
    on:$false
    ПРЕДУПРЕЖДЕНИЕ: Компьютер skypedom2.dom2.ru из публикуемой топологии не найден в
     Active Directory. Это приведет к ошибкам во время процедуры Enable-CsTopology,
     так как с ее стороны осуществляется попытка подготовить записи Active
    Directory для компьютеров топологии. В случае публикации этой топологии
    потребуется повторный запуск Enable-CsTopology, как только недостающие
    компьютеры будут присоединены к домену.

    Компьютер не найден
    Следующие компьютеры из публикуемой топологии не были найдены в Active
    Directory. Это приведет к ошибкам во время процедуры Enable-CsTopology, так как
     она пытается подготовить записи Active Directory для компьютеров топологии. В
    случае публикации этой топологии потребуется повторный запуск
    Enable-CsTopology, как только недостающие компьютеры будут присоединены к
    домену:

    Это нормально?

    30 октября 2018 г. 6:14
  • Сертификаты на Фронты добавили друг друга? В доверенные.
    30 октября 2018 г. 7:02
  • Да, добавил Root-ca первого в доверенные корневые на сервере пула переднего плана второго и наоборот.

    А каким тестом проверить правильность сертификатов ?\

    30 октября 2018 г. 19:17
  • Пройдитесь еще раз по этому сценарию и проверьте правильно ли Вы все указали.
    31 октября 2018 г. 7:26
  • Да, правильно, но не работает.

    Я сейча пробую через Edge организовать связь, эджи стартовали нормально и даже идет попытка связаться но опять что-то мешает, ошибка:

    ms-diagnostics: 1047;reason="Failed to complete TLS negotiation with a federated peer server";fqdn="dom2edge.dom2.org.ru:5061";ip-address="xxx.xxx.xx.xxx";peer-type="FederatedPartner";winsock-code="10054";winsock-info="The peer forced closure of the connection";source="dom1edge.dom1.mainorg.ru"

    31 октября 2018 г. 14:07
  • Похоже что то с сертификатами не так "Failed to complete TLS negotiation with a federated peer server"

    Проверьте рутовые сертификаты на обоих серверах, что бы все были на своих местах.

    31 октября 2018 г. 14:12
  • С сертификатами разобрался, заработало, только в одну сторону и на одно сообщение, после второго сообщения выбивает ошибку как будто абонент не в сети.

    Второй не видит первого по причине того, что на втором уже прописано доверенное приложение iviewpool которое представляет собой аппаратный шлюз AVAYA для сопряжения с ВКС AVAYA и получается что все запросы в том числе на поиск контактов в первом домене уходят на этот шлюз.

    В логах:

    ms-diagnostics: 1033;reason="Previous hop server component did not report diagnostic information";Domain="dom1.org.ru";PeerServer="10.123.123.32";source="SKYPEDOM2.dom2.ru"

    Где 10.123.123.32 - адрес шлюза Avaya aura

    Вопрос - как организовать маршрутизацию, чтобы не нарушить работу шлюза и обеспечить доступность клиентов с первого домена?




    • Изменено Mr. Snipfold 2 ноября 2018 г. 6:16
    2 ноября 2018 г. 6:13
  • Переименовать этот шлюз проблематично? 

    В моем случае мы для ВКС делали разные MatchUri 

    Пример

    Я имею ввиду, для Lync сервера домен .dom2.ru а для ВКС - VCS.dom2.ru
    2 ноября 2018 г. 7:26
  • Спасибо за информацию, попробуем.Временно убрал маршрут до шлюза AVAYA, заработало, но только на одно сообщение, второе сообщение недоставлятся.

    Может быть если используются эджи убрать все статические маршруты?

    Еще вопрос, а можно ли будет использовать созданные для трастовых доменов эджи в дальнейшем  для доступа к скайпу через интернет, создав дополнительный виртуальный сетевой интерфейс в dmz зоне?

    Или для интернета лучше создать отдельный эдж?


    • Изменено Mr. Snipfold 3 ноября 2018 г. 14:05
    3 ноября 2018 г. 13:21
  • Если организации доступны по локальной сети между собой, то должно работать статическими маршрутами без Edge. Но в Вашем случае у ВКС должен домен немного отличатся.

    Edge сервер пробрасывает 3 службы, соответственно 3 внешних интерфейса и один внутренний, или можно эти три службы "подцепить" на один внешний интерфейс но по разным портам. 

    Для корректной работы, Вам нужен выделенный Edge, для внешнего доступа пользователей, публикуйте через реверс прокси (WAP к примеру).

    5 ноября 2018 г. 7:11
  • Да, организации доступны между собой по сети, но почему-то через доверенное приложение не удалось законнектить.

    По эджам, сейчас попробовал с одного эджа запустить веб-страницу другого, в итоге получил:

    https://edge01.dom1.org1.ru  (по внутренней сети)  так же как и по внешней https://sip.dom1.org1.ru

    Ответ:

    Не удается отобразить эту страницу

    Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://sip.dom1.org1.ru . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.

    Это нормально или что-то не то с сертификатами, вроде все сертификаты прописаны, ошибок нет.


    • Изменено Mr. Snipfold 6 ноября 2018 г. 10:38
    6 ноября 2018 г. 10:15
  • На Edge не должна открываться страница. TLS не отключали через реестр? 
    6 ноября 2018 г. 10:43
  • Нет.

    Тогда как устранить ошибку доступа 2-го эджа на первый:

    ms-diagnostics: 1047;reason="Failed to complete TLS negotiation with a federated peer server";fqdn="edge1.dom1.org1.ru:5061";ip-address="10.123.123.68";peer-type="FederatedPartner";winsock-code="10054";winsock-info="The peer forced closure of the connection";source="edge02"

    PS

    10.123.123.68 - это внутренний адрес второго эджа (я развернул эджи во внутренней сети с двумя смежными адресами на одной сетевой карте, внешний адрес 10.123.123.69) может в этом проблема?

    Федеративный тест проходит без проблем с обеих сторон:

    PS C:\Users\Admin> Test-CsFederatedPartner -Domain dom1.org1.ru -TargetFqdn
     edge02.dom2.org2.ru
    ПОДРОБНО: Начато чтение порта прокси-сервера доступа из топологии.
    ПОДРОБНО: Чтение порта прокси-сервера доступа "5061" из топологии успешно
    завершено.
    ПОДРОБНО: Начато чтение сертификата.
    ПОДРОБНО: Чтение сертификата успешно завершено.
    ПОДРОБНО: Выполняется поиск сертификата с именем издателя = "CN=ROOTCA2, DC=dom2,
    DC=org2, DC=ru" и серийным номером = "xxxxxxxx00000000001e".
    ПОДРОБНО: Успешно найден сертификат с соответствующим именем издателя и
    серийным номером.
    ПОДРОБНО: Экземпляр рабочего процесса "............"
    запущен.
    ПОДРОБНО: Выполненная командная строка: "Test-CsFederatedPartner -Domain
    dom1.org1.ru -TargetFqdn edge02.dom2.org2.ru".


    Target Fqdn   : edge02.dom2.org2.ru
    Result        : Success
    Latency       : 00:00:00
    Error Message :
    Diagnosis     :

    ПОДРОБНО: Начат рабочий процесс
    "Microsoft.Rtc.SyntheticTransactions.Workflows.STFederatedPartnerWorkflow".
    Рабочий поток
    "Microsoft.Rtc.SyntheticTransactions.Workflows.STFederatedPartnerWorkflow"
    завершен за "0,022967" с.
    Успешно выполнен рабочий процесс
    "Microsoft.Rtc.SyntheticTransactions.Workflows.STFederatedPartnerWorkflow".
    Начато действие "Options".
    Действие "Options" выполнено за "1,8183546" с.
    ПОДРОБНО: Экземпляр рабочего процесса с ИД
    "............." завершен.
    ПОДРОБНО: Время выполнения рабочего процесса (с): 3,5359872.


    • Изменено Mr. Snipfold 6 ноября 2018 г. 11:30
    6 ноября 2018 г. 11:05
  • Похоже на фаерволы. Между эджами проверьте что бы все порты были открыты. 

    Когда устанавливается соединение, вступает в работу STUN и TURN протоколы которые ищут альтернативные пути. В случае прямой доступности, клиенты свяжутся между собой и будут общаться без посредников (если точка-точка). В Вашем случае, соединение идет через Edge сервера (они выступают посредниками).

    Перепроверьте порты между Edge серверами и от клиента к Edge серверам (и на оборот).


    Возможно по этой причине у Вас не заработал вариант с доверенным приложением.
    6 ноября 2018 г. 11:53
  • по портам 5061, 443 и 4443 телнет проходит без проблем, а какие еще порты проверить?

    И не понятно, почему первое сообщение проходит нормально, а второе отбивает, это получается первым сообщением идет через эджи а потом напрямую?


    • Изменено Mr. Snipfold 6 ноября 2018 г. 12:47
    6 ноября 2018 г. 12:45

  • Для корректной работы, Вам нужен выделенный Edge, для внешнего доступа пользователей, публикуйте через реверс прокси (WAP к примеру).

    А можно просто отдельный Edge, который одним VLAN-ом будет крутиться в DMZ зоне, другим в корпоративной сети, для чего нужен реверс-прокси, для дополнительной безопасности?

    6 ноября 2018 г. 12:54
  • По портам Вы найдете информацию здесь

    По поводу двух пулов Edge server. Не уверен что такая конфигурация заработает, через него вы публикуете службы. Здесь нужно кейс открывать в MS.

    Реверс-прокси нужен для публикации к ресурсам, доступа клиентов и веб конференций, ну и дополнительная безопасность.

    6 ноября 2018 г. 13:14
  • ОК, возможно придется 2 организации пускать через внешний эдж.

    Сейчас интересует вопрос, клиенты из 2-х организаций для коннекта между собой должны взаимодействовать только со своими фронтэнд пулами  или еще с эджами и между собой ?

    Вопрос важный, потому как сейчас формируем задачу для связистов, нужно ли открывать все порты от клиента до федеративного эджа или соседнего фронта, либо открыть им порты только до своих фронтов?

    а еще клиент взаимодействует с Exchange и AD, нужно ли ему ходить на соседний AD и exchange?


    • Изменено Mr. Snipfold 6 ноября 2018 г. 14:13
    6 ноября 2018 г. 14:12
  • Начну с последнего.

    Доступ к Exchange и AD не нужен, если через федерацию а не доверенное приложение.

    Только от клиента к своему edge server и наоборот и только между edge серверами двух организаций.

    Если между клиентами нет прямого доступа, то они используют edge сервер как посредник. Даже внутри организации, если между клиентскими подсетями не будет доступа а через edge будет то клиенты будут друг с другом работать через edge сервер.

    6 ноября 2018 г. 14:43
  • Не нашел я причину того что между федеративными клиентами уходит только первое сообщение, может это из-за того что на каждом эдже одна сетевая с двумя адресами, получается внутренний и внешний адрес в одной подсети.

    Попробую на эджевых виртуалках добавить по сетевому интерфейсу, и соединить эти интерфейсы по всем портам, может проблема разрешится?

    7 ноября 2018 г. 14:02
  • Как у Вас Edge сервера сейчас сконфигурированы? У них по одному сетевому интерфейсу?

    У Вас должен быть как минимум 1 внутренний интерфейс и 1 наружу. Тот который наружу объединит в себе 3 роли, AV, SIP и Webconf. 

    Но опять же, я не рекомендую использовать эджи что бы связать 2 организации доступные между собой по сети. Лучше добить доверенное приложение. Создать приложения и маршруты, проверить открытые порты между пользовательскими подсетями (ссылка выше) и серверами Front End, проверить установку и корректное расположение сертификатов противоположных организаций.

    7 ноября 2018 г. 14:36
  • Ок, эджи пока уберу из федератвных доменов, оставлю для внешнего доступа.

    По доверенному приложению, может в маршрутизации использовать не TLSRoute а TCPRoute по аналогии со шлюзом AVAYA Scopia Video Gateway ?

    И не global а Identity : Service:Registrar:skypeodom1.org1.ru ???


    Скрипт сейчас выглядит так:

    New-CsTrustedApplicationPool -Identity skypedom2.org2.ru -Registrar region1-fepool-ee.dom1.org1.ru -site "Site:org1S4B" -requiresreplication:$false
    new-cstrustedapplication -identity skypedom2.org2.ru/skypedom2 -port 5061
    Enable-CSTopology

    $Route1=New-CsStaticRoute -TLSRoute -Destination "skypedom2.org2.ru" -MatchUri "dom2.org2.ru" –Port 5061 -UseDefaultCertificate $true
    Set-CsStaticRoutingConfiguration -Identity global -Route @{Add=$Route1}

    Выполняется с предупреждением:

     PS C:\Users\Admin> New-CsTrustedApplicationPool -Identity skypedom1.org2.ru
    -Registrar region1-fepool-ee.dom2.org1.ru -site "Site:org1S4B" -requiresreplicati
    on:$false
    ПРЕДУПРЕЖДЕНИЕ: Компьютер skypedom1.org2.ru из публикуемой топологии не найден в
     Active Directory. Это приведет к ошибкам во время процедуры Enable-CsTopology,
     так как с ее стороны осуществляется попытка подготовить записи Active
    Directory для компьютеров топологии. В случае публикации этой топологии
    потребуется повторный запуск Enable-CsTopology, как только недостающие
    компьютеры будут присоединены к домену.
    
    Компьютер не найден
    Следующие компьютеры из публикуемой топологии не были найдены в Active
    Directory. Это приведет к ошибкам во время процедуры Enable-CsTopology, так как
     она пытается подготовить записи Active Directory для компьютеров топологии. В
    случае публикации этой топологии потребуется повторный запуск
    Enable-CsTopology, как только недостающие компьютеры будут присоединены к
    домену:
    
    skypedom1.org2.ru
    [Y] Да - Y  [A] Да для всех - A  [N] Нет - N  [L] Нет для всех - L
    [S] Приостановить - S[?] Справка (значением по умолчанию является "Y"): Y
    ПРЕДУПРЕЖДЕНИЕ: Для выполнения операции необходимы следующие изменения.
    Все еще необходимо запустить Enable-CsTopology, чтобы все изменения вступили в
    силу.
    
    
    Identity             : 1-ExternalServer-7
    Registrar            : Registrar:region1-fepool-ee.dom2.org1.ru
    FileStore            :
    ThrottleAsServer     : True
    TreatAsAuthenticated : True
    OutboundOnly         : False
    RequiresReplication  : False
    AudioPortStart       :
    AudioPortCount       : 0
    AppSharingPortStart  :
    AppSharingPortCount  : 0
    VideoPortStart       :
    VideoPortCount       : 0
    Applications         : {}
    DependentServiceList : {}
    ServiceId            : 1-ExternalServer-7
    SiteId               : Site:org1S4B
    PoolFqdn             : skypedom1.org2.ru
    Version              : 7
    Role                 : TrustedApplicationPool
    
    
    
    PS C:\Users\Admin> new-cstrustedapplication -identity skypedom1.org2.ru/skyp
    edom1 -port 5061
    ПРЕДУПРЕЖДЕНИЕ: Для выполнения операции необходимы следующие изменения.
    Все еще необходимо запустить Enable-CsTopology, чтобы все изменения вступили в
    силу.
    
    
    Identity                   : skypedom1.org2.ru/urn:application:skypedom1
    ComputerGruus              : {skypedom1.org2.ru sip:skypedom1.org2.ru@dom2.org1
                                 .ru;gruu;opaque=srvr:skypedom1:NfQKKUkxu1SmFwuw7yH
                                 szgAA}
    ServiceGruu                : sip:skypedom1.org2.ru@dom2.org1.ru;gruu;opaque=sr
                                 vr:skypedom1:NfQKKUkxu1SmFwuw7yHszgAA
    Protocol                   : Mtls
    ApplicationId              : urn:application:skypedom1
    TrustedApplicationPoolFqdn : skypedom1.org2.ru
    Port                       : 5061
    LegacyApplicationName      : skypedom1
    
    


    • Изменено Mr. Snipfold 8 ноября 2018 г. 6:32
    8 ноября 2018 г. 6:30
  • Последние редакции ВКС Cisco (CMS,VCS), полностью отказались от не шифрованных соединений.

    Обратите внимание еще раз на статью:

    Нужно обеспечить распознавание имен (не только компьютеров и серверов: не забывайте про SIP домены!) – подружить DNS

    8 ноября 2018 г. 7:05
  • Распознавание имен без проблем, DNS-зоны проброшены, ертификаты прописаны, маршруты тоже, порты все открыты, что еще ему надо????

    Via: SIP/2.0/TLS 192.168.228.10:50122;ms-received-port=50122;ms-received-cid=19FC00

    ms-diagnostics: 1047;reason="Failed to complete TLS negotiation with a federated peer server";fqdn="skypedom2.org2.ru:5061";ip-address="192.168.200.21";peer-type="FederatedPartner";winsock-code="10054";winsock-info="The peer forced closure of the connection";source="skyedge.dom1.org1.ru"

    Server: RTC/6.0

    Content-Length: 0

    Почему идет попытка обращения к эджу, я удалил в настройках федерации разрешенные домены с эджами, откуда этот маршрут???

    8 ноября 2018 г. 7:18
  • Доверенные приложения создали? Покажите пожалуйста вывод Get-CsTrustedApplicationPool

    Маршруты создали? Покажите Get-CsStaticRoutingConfiguration

    Попытка обращения на Edge идет когда Front End не может найти у себя информацию про искомый sip домен, он считает что это федеративный пользователь и отправляет соединение на Edge

    Имена которые Вы указали, нормально резолвятся между серверами и клиентами доменов?

    8 ноября 2018 г. 7:32
  • PS C:\Users\Admin> Get-CsTrustedApplicationPool
    
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "Microsoft.Rtc.Management.Xds.XdsGlobalRelativeIdentityFilter"
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "Microsoft.Rtc.Management.Xds.XdsGlobalRelativeIdentityFilter"
    
    
    Identity             : TrustedApplicationPool:iviewpool.dom1.org1.ru
    Registrar            : Registrar:region1-fepool-ee.dom1.org1.ru
    FileStore            :
    ThrottleAsServer     : True
    TreatAsAuthenticated : True
    OutboundOnly         : False
    RequiresReplication  : False
    AudioPortStart       :
    AudioPortCount       : 0
    AppSharingPortStart  :
    AppSharingPortCount  : 0
    VideoPortStart       :
    VideoPortCount       : 0
    Applications         : {urn:application:trustedserver}
    DependentServiceList : {}
    ServiceId            : 1-ExternalServer-6
    SiteId               : Site:ORG1S4B
    PoolFqdn             : iviewpool.dom1.org1.ru
    Version              : 7
    Role                 : TrustedApplicationPool
    
    Identity             : TrustedApplicationPool:skypedom2.org2.ru
    Registrar            : Registrar:region1-fepool-ee.dom1.org1.ru
    FileStore            :
    ThrottleAsServer     : True
    TreatAsAuthenticated : True
    OutboundOnly         : False
    RequiresReplication  : False
    AudioPortStart       :
    AudioPortCount       : 0
    AppSharingPortStart  :
    AppSharingPortCount  : 0
    VideoPortStart       :
    VideoPortCount       : 0
    Applications         : {urn:application:skypedom2}
    DependentServiceList : {}
    ServiceId            : 1-ExternalServer-7
    SiteId               : Site:ORG1S4B
    PoolFqdn             : skypedom2.org2.ru
    Version              : 7
    Role                 : TrustedApplicationPool
    
    
    
    PS C:\Users\Admin>
    
    
    PS C:\Users\Admin>
    PS C:\Users\Admin> Get-CsStaticRoutingConfiguration
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    
    
    Identity : Global
    Route    : {MatchUri=dom2.org2.ru;MatchOnlyPhoneUri=False;Enabled=True;ReplaceHo
               stInRequestUri=False}
    
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    Identity : Service:Registrar:region1-fepool-ee.dom1.org1.ru
    Route    : {MatchUri=avaya.org1.ru;MatchOnlyPhoneUri=False;Enabled=True;Replace
               HostInRequestUri=False}
    
    
    
    PS C:\Users\Admin>

    Имена резолвятся нормально.

    PS C:\Users\Admin> (Get-CsStaticRoutingConfiguration).Route
    
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    ПОДРОБНО: Сопоставление с шаблоном подстановочного знака:
    "System.Management.Automation.WildcardPattern"
    
    
    Transport               : TransportChoice=Certificate=Microsoft.Rtc.Management.
                              WritableConfig.Settings.SipProxy.UseDefaultCert;Fqdn=
                              skypedom2.org2.ru;Port=5061
    MatchUri                : dom2.org2.ru
    MatchOnlyPhoneUri       : False
    Enabled                 : True
    ReplaceHostInRequestUri : False
    Element                 : <Route xmlns="urn:schema:Microsoft.Rtc.Management.Set
                              tings.SipProxy.2008" MatchUri="dom2.org2.ru" MatchOnly
                              PhoneUri="false" Enabled="true" ReplaceHostInRequestU
                              ri="false">
                                <Transport Port="5061">
                                  <TLS Fqdn="skypedom2.org2.ru">
                                    <UseDefaultCert />
                                  </TLS>
                                </Transport>
                              </Route>
    
    Transport               : TransportChoice=IPAddress=10.123.123.32;Port=5060
    MatchUri                : avaya.org1.ru
    MatchOnlyPhoneUri       : False
    Enabled                 : True
    ReplaceHostInRequestUri : False
    Element                 : <Route xmlns="urn:schema:Microsoft.Rtc.Management.Set
                              tings.SipProxy.2008" MatchUri="avaya.org1.ru" MatchOn
                              lyPhoneUri="false" Enabled="true" ReplaceHostInReques
                              tUri="false">
                                <Transport Port="5060">
                                  <TCP IPAddress="10.123.123.32" />
                                </Transport>
                              </Route>
    
    
    
    PS C:\Users\Admin>
    

    • Изменено Mr. Snipfold 8 ноября 2018 г. 8:39
    8 ноября 2018 г. 8:34
  • Что в логах клиента происходит когда Вы пытаетесь написать контрагенту из другого домена?
    8 ноября 2018 г. 10:42
  • 11/08/2018|14:09:55.821 1090:5D4 INFO  :: End of Data Received -192.168.221.121:5061 (To Local Address: 192.168.208.111:56359) 834 bytes
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPMessageCollator::AsyncProcessSipMsg - [0x0CBC7988]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CBC7988]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CD79E08]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: SECURE_SOCKET: decrypting buffer size: 245 (first 8):
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: 	17 03 03 00 F0 4A B0 29  :....рJ°)
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CD1A380]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPCompression::DecompressRecvBuffer decompression, BytesProcessed = 175, cbDataDeCompressed = 837, psDecompressedData = 1D0E4408 
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CAB78D8]
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: Data Received -192.168.221.121:5061 (To Local Address: 192.168.208.111:56359) 837 bytes:
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: SIP/2.0 404 Not Found
    Authentication-Info: TLS-DSK qop="auth", opaque="635A6903", srand="FA2ED995", snum="72", rspauth="2dd11e86d1f6211c3b178a50f198d651614eb2038541902aae650a0c6be1a1770591713da7232a2ecffa5374eae09f60", targetname="SKYPEDOM2.org2.ru", realm="SIP Communications Service", version=4
    From: "Admin"<sip:Adminov@dom2.org2.ru>;tag=83ebb004f0;epid=d1aebccd68
    To: <sip:Adminovya@dom1.org1.ru>;tag=BCD35D057819961D4DDD4F5F2EA46986
    Call-ID: 72c08cae977e428192fd58f2d1dcab2c
    CSeq: 1 SUBSCRIBE
    Via: SIP/2.0/TLS 192.168.208.111:56359;ms-received-port=56359;ms-received-cid=456700
    ms-diagnostics: 1008;reason="Unable to resolve DNS SRV record";domain="dom1.org1.ru";dns-srv-result="NegativeResult";dns-source="InternalCache";source="org2skyedge"
    Server: RTC/6.0
    Content-Length: 0
    
    
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: End of Data Received -192.168.221.121:5061 (To Local Address: 192.168.208.111:56359) 837 bytes
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPMessageCollator::AsyncProcessSipMsg - [0x0CBC7988]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CBC7988]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: CSIPTransportLayerNotify::OnRecv - [0x0CD79E08]
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: verified buffer: <TLS-DSK><B04EC0BD><71><SIP Communications Service><SKYPEDOM2.org2.ru><f1191f6336b14d4b9b4d477cc4b10f75><1><INVITE><sip:Adminov@dom2.org2.ru><6b3732f29d><sip:Adminovya@dom1.org1.ru><BCD35D057819961D4DDD4F5F2EA46986><><><><404>-length-228. signature:278426334a154f83356679cad7bfddf072295d3181a3362defb798fcf71dad5d347beb3109a5ffe248ceae6bd84407ba
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: Trxn corr-id (216DA048), SIP msg corr-id (6b4c8dd9)
    11/08/2018|14:09:55.821 1090:5D4 TRACE :: AddTag 0CD6B788-<sip:Adminovya@dom1.org1.ru>;tag=BCD35D057819961D4DDD4F5F2EA46986, local=sip:Adminov@dom2.org2.ru
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: Sending Packet - 192.168.221.121:5061 (From Local Address: 192.168.208.111:56359) 655 bytes:
    11/08/2018|14:09:55.821 1090:5D4 INFO  :: ACK sip:Adminovya@dom1.org1.ru SIP/2.0
    Via: SIP/2.0/TLS 192.168.208.111:56359
    Max-Forwards: 70
    From: <sip:Adminov@dom2.org2.ru>;tag=6b3732f29d;epid=d1aebccd68
    To: <sip:Adminovya@dom1.org1.ru>;tag=BCD35D057819961D4DDD4F5F2EA46986
    Call-ID: f1191f6336b14d4b9b4d477cc4b10f75
    CSeq: 1 ACK
    User-Agent: UCCAPI/16.0.4756.1000 OC/16.0.4756.1000 (Skype for Business)
    Proxy-Authorization: TLS-DSK qop="auth", realm="SIP Communications Service", opaque="635A6903", targetname="SKYPEDOM2.org2.ru", crand="95a2e177", cnum="66", response="59adacfc95da55779e3192dd6e4e193dbba36bba0581b233bef0e5aa39e0424ae54f4882cf4336556987212a9439a5ad"
    
    

    8 ноября 2018 г. 11:18

  • "Unable to resolve DNS SRV record";domain="dom1.org1.ru"
    Судя по всему он у Вас продолжает идти через Edge. С этого ПК резолвится Front End другой организации?
    8 ноября 2018 г. 11:50
  • Да, причем работает раундробин на имя пула по очереди резолвятся адреса 3-х серверов пула.

    8 ноября 2018 г. 12:05
  • Сейчас нашел ошибку в эджах, там на внешку шло то же самое имя что и на внутрянку, сейчас добавил по виртуальному сетевому интерфейсу на каждый эдж и связисты связывают вланы между организациями, внутренние адреса эджей убрали с акцесс-листов.

    8 ноября 2018 г. 12:07
  • Если с Edge серверами, то лучше делайте по архитектуре. Выставляйте 2 организации наружу и пусть они через внешку общаются.
    8 ноября 2018 г. 12:38
  • Заработало как надо!!!!

    С эджами.

    Непонятно, почему с доверенным приложением не прокатило, может MS в новых версиях убрали эту возможность.

    8 ноября 2018 г. 12:52
  • Если с Edge серверами, то лучше делайте по архитектуре. Выставляйте 2 организации наружу и пусть они через внешку общаются.

    А со вторым эджем не получится? в федерации же явно прописано, от какого домена на какой эдж ходить.

    В принципе можно на одном эдже цисками трафик между организациями не пускать наружу, это со связистами решим.

    Еще вопрос, поставили задачу чтобы можно было общаться с клиентами обычного скайпа.

    На сколько я знаю, такая возможность у MS есть, но только с клиентами, вошедшими в скайп через учетную запись Microsoft.

    Тогда федерация будет через сайты Microsoft и соответственно трафик будет идти через сервера MS

    Вопрос - на сколько безопасно такое общение в плане конфиденциальности.

    И последнее, на последних версиях ios возникли трудности подключения iphone к S4B через VPN непосредственно к фронту.

    Вопрос - такая схема подключения с доменным сертификатом ONLY, купленных нет, будет работоспособна, есть ли подробные инструкции по подключению яблочных устройств к скайпу?  С андроидом всё ОК, проблем не было.

    8 ноября 2018 г. 19:04
  • Начну с последнего.

    Яблокам нужны честные сертификаты, у нас тоже с ними были проблемы. Поэтому тут не подскажу. У меня они подключаются через реверс-прокси с честно купленным Комодовским сертификатом.

    По поводу обычного скайпа, мы сделали такую федерацию, она работает. Но как всегда есть "Но". У МС Скайпа генерится какой то чудо идентификатор, который нигде не указан в учетной записи, поэтому проще искать с обычного Скайпа корпоративных пользователей по sip имени и добавлять их к себе. После этого они должны добавить друг друга в контакты к себе и тогда только можно нормально будет переписываться.

    Еще один подводный камень с которым я столкнулся, Вам нужно будет зарегистрировать свой sip домен на сайте https://pic.lync.com

    Причем на сайте лучше в первую очередь зарегистрироваться.

    9 ноября 2018 г. 7:00
  • У нас в организации 1 сейчас развернут ARR для того чтобы мобильные клиенты ходили на почтовый сервер Exchange

    Вопрос - можно ли этот вебреверспрокси задействовать для скайпа фо бизнес?

    Если да, то где можно найти примерчик подключения, настраивал его не я, мне нужна информация.

    Его подключать непосредственно к фронту или к эджу?

    9 ноября 2018 г. 17:38
  • Проброс делается на Front End сервер, на них Вы должны указать имя для внешнего подключения. 

    Так как мобильные клиенты не умеют сами определять тип подключения, нужно будет создать SRV запись на внешнем DNS, где Вы укажите куда, по какому протоколу и порту.

    По поводу ARR не подскажу, нужно искать на просторах Интернета и на офф сайтах.

    12 ноября 2018 г. 7:07