none
Проблема интергации Lync 2013 c OWA Exchange 2013 RRS feed

  • Вопрос

  • Добрый день. прошу помощи с интеграцией.

    Имеется 2CAS сервера 2Mailbox сервера Exchange 2013

    Lync 2013 Standard lync.internal.local

    внутренний домен для примера internal.local

    внешний домен для примера external.local

    OWA аддресс mail.external.local

    на OWA подписан wildcard серификат, имя *.external.local, mail.external.local, autodiscover.external.local

    для интеграции сделано следующее:

    на Lync созданы internal.local (default) и external.local SIP домены

    Юзеры создаются с емайлом external.local и SİP user@external.local

    в внешней DNS зоне создана SRV _sipinternaltls указывающая на lync.external.local которая в свою очередь указывает на IP lync.internal.local

    ---------------------------------------------

    Set-ClientAccessServer -Identity exch-lab -AutoDiscoverServiceInternalUri https://mail.external.local/Autodiscover/Autodiscover.xml

    & $exInstall\Scripts\Configure-EnterprisePartnerApplication.ps1 –AuthMetaDataUrl https://lync.internal.local/metadata/json/1 -ApplicationType Lync

    ----------------------------------------------

    Get-CsSite

    New-CsTrustedApplicationPool -Identity mail.external.local -Registrar lync.internal.local -Site lync -RequiresReplication $False

    New-CsTrustedApplication -ApplicationId OutlookWebApp -TrustedApplicationPoolFqdn mail.external.local -Port 5199
    Remove-CsPartnerApplication -Identity "MicrosoftExchange"
    New-CsPartnerApplication -Identity Exchange -ApplicationTrustLevel Full -MetadataUrl https://autodiscover.external.local/autodiscover/metadata/json/1

    Set-CsOAuthConfiguration –Realm external.local

    Enable-CsTopology

    -------------------------------------

    Get-OwaVirtualDirectory | Set-OwaVirtualDirectory –InstantMessagingEnabled $True -InstantMessagingType OCS

    Get-ExchangeCertificate

    C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\OWA\web.config

    <add key="IMCertificateThumbprint" value="xxxxxxxxxxxxxxx" />
    <add key="IMServerName" value="lync.internal.local" />

    Set-OwaMailboxPolicy -Identity "Default" -InstantMessagingEnabled $True -InstantMessagingType "OCS"

    ---------------------------

    в OWA появился функционал но SIGN IN TO IM не работает.

    при логине в Lync клиент с SIP user@external.local все работает

    при логине в Lync клиент SIP user@internal.local ругается на доверие сертификату от *.external.local

    при этом папка C:\Program Files\Microsoft\Exchange Server\V15\Logging\OWA\InstantMessaging пуста.

    SIPStack лог на линке выдает несколько ошибок:

    TL_ERROR(TF_CONNECTION) [1]1618.2174::09/02/2015-16:27:18.621.0000014e (SIPStack,SIPAdminLog::WriteConnectionEvent:SIPAdminLog.cpp(374))[2327589798] $$begin_record Severity: error Text: The peer is not a configured server on this network interface Peer-IP: АйпиПервогоМаилбоксСервера:15665 Transport: TLS Result-Code: 0xc3e93d6a SIPPROXY_E_CONNECTION_UNKNOWN_SERVER Data: fqdn="mbx1.internal.local" $$end_record

    TL_ERROR(TF_NETWORK) [1]1618.2174::09/02/2015-16:27:18.621.0000014d (SIPStack,NegotiateLogic::ProcessPeerIdentity:NegotiateLogic.cpp(1152)) ( 2327589798 )( 00000025E8A60D70 ) Exit - failed to validate peer with S2S FQDN. Returned 0xC3E93D6A(SIPPROXY_E_CONNECTION_UNKNOWN_SERVER)

    TL_WARN(TF_COMPONENT) [1]1618.5FA4::09/02/2015-16:27:52.052.0000015e (SIPStack,CSIPRequest::RouteRequestUriOnNonEdgeProxy:SIPRequest.cpp(3595)) ( 00000025E8914610 ) User [lync.internal.local] is not in enterprise or we do not serve this domain - using 404

    3 сентября 2015 г. 6:26

Ответы

  • все понятно. Вам необходимо с помощью внутреннего центра сертификации выпустить сертификат Exchange (так же как вы выпускали для Lync Server), установить этот сертификат на серверы Exchange (он должен включать в том числе FQDN-ы всех ваших серверов Exchange), и привязать его к службе IIS

    Do not multiply entities beyond what is necessary

    3 сентября 2015 г. 7:32

Все ответы

  • Посмотрите эту статью. Возможно она поможет вам найти проблему.

    Do not multiply entities beyond what is necessary

    3 сентября 2015 г. 6:45
  • Спасибо за ответ!

    с web.config все нормально.

    смущает несколько моментов.

    Make sure that the certificate you use on the MBX server is trusted by the Lync 2013 server and vice versa

    на маилбокс серверах на İİS стоят родные self signed сертификаты от exchange.

    ошибка The peer is not a configured server on this network interface Peer-IP: SIPPROXY_E_CONNECTION_UNKNOWN_SERVER Data: fqdn="mbx1.internal.local" $$end_record видимо на это и указывает. вопрос в том какой из сертификатов заменять (default web site или exchange back end) и на что. можно ли там использовать тот же сертификат от *.external.local. или лучше подписать с внутреннего CA сертификаты для маилбокс серверов. так же при замене из на свои возможны ли проблемы с синхронизацией с CAS серверами? на линке стоят подписанный с внутреннего СА сертификаты

    так же интересен момент. в мануалах пишут что TrustedApplicationPoolFqdn  должен совпадать с SAN сертификата. если у меня SAN *.external local а TrustedApplicationPoolFqdn создаю как mail.external.local значит ли это что мне нужно заменить сертификат с нужным SAN? вроде LYNC поддерживает wildcard сертификаты...

    не совсем понял что он тут хочет сказать:Make sure the subject name of the certificate and one of the subject alternative names are the FQDN of the MBX server


    • Изменено VimVex 3 сентября 2015 г. 7:15
    3 сентября 2015 г. 7:13
  • все понятно. Вам необходимо с помощью внутреннего центра сертификации выпустить сертификат Exchange (так же как вы выпускали для Lync Server), установить этот сертификат на серверы Exchange (он должен включать в том числе FQDN-ы всех ваших серверов Exchange), и привязать его к службе IIS

    Do not multiply entities beyond what is necessary

    3 сентября 2015 г. 7:32
  • еще раз спасибо Вам за помощь.

    хочу уточнить момент. на серверах CAS на İİS на Default Site для OWA стоит wildcard сертификат для mail.external.com. на CAS серверах в İİS на exchange back end стоят родные сертификаты от exchange.

    на mailbox верверах на İİS на default и на side exchange back end стоят родные сертификаты от exchange.

    как я понял мне нужно поменять сертификаты на mailbox серверах на IIS для default site на подписанный сертификат с внутреннего CA. нужно ли менять все остальные сертификаты как на mailbox так и на CAS серверах?

    еще раз хочу переспросить по поводу wildcard сертификата от verisign. при создании TrustedApplicationPool не будет ли на него ругаться линк так как SAN сертификата не mail.external.local а *.external.local ?

    3 сентября 2015 г. 7:48
  • насколько я помню, на Wildcard сертификат ругани не будет.

    Есть одно "но" внутреннее имя домена и публичное у вас, как я понимаю, не совпадает? Если пользователи внутри домена сейчас успешно подключаются к Exchange используя публичное имя, то и для интеграции Lync/OWA проблем возникнуть не должно при использовании коммерческого сертификата.


    Do not multiply entities beyond what is necessary

    3 сентября 2015 г. 8:02
  • да так и есть. домены разные. у пользователей маилбоксы с внешнего домена.

    затык только с маилбокс серверами вроде.

    попробую сегодня заменить сертификаты на İİS Default Site на маилбокс серверах. о процессе отпишусь.

    спасибо.

    3 сентября 2015 г. 8:09
  • Здравствуйте. Сутки потрачены на создание лаборатории точной копии продакшн систем.

    Результат:

    сертификаты на маилбокс серверах заменять не нужно.

    wildcard сертификат на CAS серверах не работает (в моем случае SAN сертификата был *.external.com). проблема в лаборатории решилась заменой сертификата на CAS серверах с SAN записью указывающей на FQDN OWA mail.external.com. так же этот сертификат должен просто присутствовать на маилбокс серверах.

    буду имплементировать на продакшн.

    может кому-то сэкономит время.

    Спасибо за помощь.

    4 сентября 2015 г. 11:24