none
Polycom XC600 - Не удается загрузить сертификат, так как домен недоступен.

    Вопрос

  • Здравствуйте, коллеги!

    Столкнулся с установкой Polycom XC600. Подключаю телефон к сети - успешно получает IP адрес.После этого подключаю по USB - Линк спрашивает логин пароль и после ввода все принимает. Дальше телефон задумывается, находит NTP сервер, а вот сертификат не находит с ошибкой сабжа.

    Запускаю DHCPUtil.exe -EmulateClient.

    Starting Discovery ...
    Sending Packet (Size: 288, Network Adapter: 10.XXX.XXX.XXX, Attempt Type: Broadca
    st only)
    --Begin Packet--
    DHCP: INFORM                (xid=3FD86E89)
    DHCP: Op Code           (op)      = 1
    DHCP: Hardware Type     (htype)   = 6
    DHCP: Hops              (hops)    = 0
    DHCP: Transaction ID    (xid)     = 1071148681
    DHCP: Seconds           (secs)    = 0
    DHCP: Flags             (flags)   = 0000
    DHCP: Client IP Address (ciaddr)  = 10.XXX.XXX.XXX
    DHCP: Your IP Address   (yiaddr)  = 0.0.0.0
    DHCP: Server IP Address (siaddr)  = 0.0.0.0
    DHCP: Relay IP Address  (giaddr)  = 0.0.0.0
    DHCP: Client HW Address (chaddr)  = 0050569A0001
    DHCP: Server Host Name  (sname)   =
    DHCP: Boot File Name    (file)    =
    DHCP: Magic Cookie                = 99.130.83.99
    DHCP: Option Field
        DHCP: DHCP MESSAGE TYPE(  53) = (Length: 1) DHCP INFORM
        DHCP: Server Identifier(  54) = (Length: 0) 0.0.0.0
        DHCP: Client Identifier(  61) = (Length: 7) ☺ (010050569A0001)
        DHCP: SIP Server( 120)        = (Length: 0) enc:0  ()
        DHCP: Host Name(  12)         = (Length: 14) VSRV-MOSS-LYNC
        DHCP: Vendor Identifier(  60) = (Length: 12) MS-UC-Client
        DHCP: Param Req List(  55)    = (Length: 2) 120 43
        DHCP: Vendor Info(  43)       = (Length: 0)  ()
        DHCP: End of this option field
    --End Packet--
    
    
    Received Packet
    Sender:10.252.185.43:67, Size:412
    --Begin Packet--
    DHCP: ACK                (xid=3FD86E89)
    DHCP: Op Code           (op)      = 1
    DHCP: Hardware Type     (htype)   = 6
    DHCP: Hops              (hops)    = 0
    DHCP: Transaction ID    (xid)     = 1071148681
    DHCP: Seconds           (secs)    = 0
    DHCP: Flags             (flags)   = 0000
    DHCP: Client IP Address (ciaddr)  = 10.XXX.XXX.XXX
    DHCP: Your IP Address   (yiaddr)  = 0.0.0.0
    DHCP: Server IP Address (siaddr)  = 10.XXX.XXX.XXX
    DHCP: Relay IP Address  (giaddr)  = 0.0.0.0
    DHCP: Client HW Address (chaddr)  = 0050569A0001
    DHCP: Server Host Name  (sname)   =
    DHCP: Boot File Name    (file)    =
    DHCP: Magic Cookie                = 99.130.83.99
    DHCP: Option Field
        DHCP: DHCP MESSAGE TYPE(  53) = (Length: 1) DHCP ACK
        DHCP: Server Identifier(  54) = (Length: 4) 10.XXX.XXX.XXX
        DHCP: Client Identifier(  61) = (Length: 0)  ()
        DHCP: SIP Server( 120)        = (Length: 39) enc:0 vsrv-moss-lync.XXX.XXX.XXX
    .XXX.ru (000E767372762D6D6F73732D6C796E6303617570026473037674670767617A70726
    F6D02727500)
        DHCP: Host Name(  12)         = (Length: 14) VSRV-MOSS-LYNC
        DHCP: Vendor Identifier(  60) = (Length: 0)
        DHCP: Param Req List(  55)    = (Length: 0) 0 0
        DHCP: Vendor Info(  43)       = (Length: 103) ☺♀MS-UC-Client☻♣https♥$vsrv-mo
    ss-lync.XXX.XXX.XXX.XXX.XXX♦♥443♣%/CertProv/CertProvisioningService.svc (010C4
    D532D55432D436C69656E74020568747470730324767372762D6D6F73732D6C796E632E6175702E6
    4732E7674672E67617A70726F6D2E7275040334343305252F4365727450726F762F4365727450726
    F766973696F6E696E67536572766963652E737663)
        DHCP: End of this option field
    --End Packet--
    
    
    Result: Success
    DHCP Server : 10.XXX.XXX.XXX
    SIP Server FQDN : vsrv-moss-lync.XXX.XXX.XXX.XXX.XXX
    Certificate Provisioning Service URL : https://vsrv-moss-lync.XXX.XXX.XXX.XXX
    .XXX:443/CertProv/CertProvisioningService.svc

    Думаю в направлении неопубликованного сертификата через "certutil -f -dspublish c:\temp\rootca.cer RootCA"

    Но сервера CA находится не в домене и как публиковать совсем непонятно.

    Правильно ли я мыслю и как опубликовать сертификат в случае изолированного CA?


    If answer is helpful, please mark as answer or hit the green arrow on the left.



    10 апреля 2012 г. 7:13

Ответы

  • Готовьтесь к очередной порции тайного знания :) ...
    Итак, я его "сделал"! Но, для начала, о самой проблеме...
    При первом подключении, телефон поочерёдно выдаёт следующие сообщения:

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:44
    Модератор
    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:44
    Модератор
  • Потом, по кругу, он выдаёт первое и последнее и так до посинения. Иногда, правда (когда именно я так и не понял :) ), ему это надоедает и он выдаёт следующее:

    Причём, данное сообщение не совсем точно сообщает об ошибке и вводит в заблуждение.
    Если же телефон подключается не по имени и паролю (через USB), а по Extension’у и PIN’у, то ошибка будет такой:

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:45
    Модератор
  • Теперь об исследовании рабочей конфигурации...
    Как я и обещал - установил на Front-End сертификат, выданный сторонним центром сертификации, который не имеет ни малейшего отношения к моей инфраструктуре. Телефон, после этого, подключался, как ни в чём не бывало! И это при том, что корневой сертификат я установил только на Front-End!
    Я чуть глаза не сломал, пока просматривал дамп сетевого трафика :) ! Девушки в красном я, конечно же, не увидел, но среди потока данных, обнаружил корневой сертификат того самого стороннего центра сертификации. Причём, закодирован он был в Base-64 и находился в XML-ответе сервера в тэгах "<RootCertChains><Chain>":

    Ну и, собственно, мораль сей басни такова...

    При первом подключении, телефон скачивает корневой сертификат центра сертификации, которым был выпущен сертификат Front-End’а. Но делает он это не совсем так, как об этом говорит документация (видимо, эхо OCS + Tanjay). На самом же деле, корневой сертификат (или всю цепочку) телефон пытается получить через Web-сервисы Front-End’а (ну или Director’а) при обращении по "http://%PoolFQDN%/CertProv/CertProvisioningService.svc/anon" и только после этого, если скачать сертификат не удалось, телефон обращается к AD и то только в том случае, если вход происходит по имени и паролю (через USB). Если же вход производится по Extension’у и PIN’у, то у телефона нет доступа к AD и скачать корневой сертификат он не может, так что единственным вариантом, в этом случае, являются Web-службы.

    В общем, если сертификат у вас не скачивается, значит, внутренний сайт Lync’а не работает на 80-м порту, для него включено обязательное шифрование или вы ещё каким либо образом зарубили данное подключение :) .

    P. S. Я, мягко говоря, сильно удивлён, что документация Microsoft’а не описывает полноценно данный механизм!

    P. P. S. Свой блог я не веду, но считаю, что данный ответ вполне достоин, чтоб поселиться в чьём-нибудь :) .

    P. P. S. Прошу прощения, что разбил свой ответ на несколько частей, но в одно сообщение можно вставить только две картинки :( .

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:45
    Модератор

Все ответы

  • Так, всё же, "XC" или "CX" :) ?

    Какой результат выдаёт команда "Test-CsPhoneBootstrap -PhoneOrExt XXXX -PIN XXXXX -TargetFqdn Lync.domain.ru -TargetUri https://Lync.domain.ru/CertProv/CertProvisioningService.svc"?

    Я, всё же, не думаю, что проблема тут в публикации корня в AD.

    Какие сертификаты у вас лежат в папке "\\Lync-Share\1-WebServices-1\WebAuthStore"?

    10 апреля 2012 г. 8:28
    Модератор
  • Пардон, конечно CX600)))

    Вот  последние строки выполнения команды:

    Test-CsPhoneBootstrap -PhoneOrExt 28989 -PIN 12345 -TargetFqdn vsrv-moss-lync.XXX.ru -TargetUri https://vsrv-moss-lync.XXX.ru/CertProv/CertProvisioningService.svc

    GetAndPublishCert() webservice call successful
    
    TargetUri  : https://vsrv-moss-lync.XXX.ru/CertProv/CertProvisioningService.svc
    TargetFqdn : vsrv-moss-lync.XXX.ru
    Result     : Success
    Latency    : 00:00:04.6275098
    Error      :
    Diagnosis  :
    
    
    В папке \\Lync-Share\1-WebServices-1\WebAuthStore лежит один сертификат, выданный внутренним изолированным ЦС для Lync FE. Корневого сертификата там нет.

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    10 апреля 2012 г. 10:03
  • Всё верно.

    А PKI сделан "в лучших" традициях или все ссылки (AIA и CDP) прописаны корректно и работоспособны?

    Данную статью читали?

    10 апреля 2012 г. 10:10
    Модератор
  • Ссылки дополнительно не настраивались(

    То есть все по дефолту. А в статье ничего полезного в части сертификатов не нашел.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    11 апреля 2012 г. 5:59
  • Я вчера специально поломал свой PKI, изгнав его из сертификаты из AD, испортил работоспособность ссылок, выполнил сброс телефона, но мне так и не удалось даже близко подойти к вашей проблеме :( .

    Причём, что для меня особенно странно - телефон даже не пытается обратиться к контроллеру домена, чтоб скачать с него сертификат, как это заявляется в статье. И это при том, что я отключил у него USB, дабы он вёл себя как Common Area.

    Сегодня вечером попробую ещё пару экспериментов поставить...

    11 апреля 2012 г. 6:35
    Модератор
  • Еще момент: когда телефон подключаешь по USB, он просит ввести SIP, Domain Login, и пароль от доменной учетки.

    Предлагается ввести данные для: sip_address@XXX.ru и domain/login

    Ввел логин в формате login@XXX.ru, но теперь ошибка новая "Cannot connect to the domain controller. If the problem continues, contact support team."


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    11 апреля 2012 г. 11:04
  • К сожалению, как я ни ломаю свою инфраструктуру, мой телефон упорно подключается без малейших проблем :( .

    А вы можете снять сетевой трафик телефона, чтоб было чётко видно и понятно куда в какой момент он подключается?

    11 апреля 2012 г. 11:47
    Модератор
  • То есть схема такая: Телефон-Компьютер с двумя сетевыми карточками и сниффером - коммутатор?...
    Сейчас буду реконфигурить все тут....

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    11 апреля 2012 г. 11:56
  • У меня несколько проще/сложнее: VPN-сервер и Lync в офисе, а дома виртуалка с DHCP и RRAS'ом, устанавливающая Site-to-Site VPN с офисом. Эта виртуалка выдаёт все необходимые параметры Lync'а и является Default Gateway'ем для телефона. Вот на ней и стоит Network Monitor, показывающий всё общение телефона :) .

    У меня, вообще, возникает ощущение, что сколько я настройки ни сбрасываю, телефон не перестаёт доверять однажды скаченному корню - постараюсь выдать сертификаты через другой внешний PKI и проверить...

    11 апреля 2012 г. 12:02
    Модератор
  • Готовьтесь к очередной порции тайного знания :) ...
    Итак, я его "сделал"! Но, для начала, о самой проблеме...
    При первом подключении, телефон поочерёдно выдаёт следующие сообщения:

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:44
    Модератор
    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:44
    Модератор
  • Потом, по кругу, он выдаёт первое и последнее и так до посинения. Иногда, правда (когда именно я так и не понял :) ), ему это надоедает и он выдаёт следующее:

    Причём, данное сообщение не совсем точно сообщает об ошибке и вводит в заблуждение.
    Если же телефон подключается не по имени и паролю (через USB), а по Extension’у и PIN’у, то ошибка будет такой:

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:45
    Модератор
  • Теперь об исследовании рабочей конфигурации...
    Как я и обещал - установил на Front-End сертификат, выданный сторонним центром сертификации, который не имеет ни малейшего отношения к моей инфраструктуре. Телефон, после этого, подключался, как ни в чём не бывало! И это при том, что корневой сертификат я установил только на Front-End!
    Я чуть глаза не сломал, пока просматривал дамп сетевого трафика :) ! Девушки в красном я, конечно же, не увидел, но среди потока данных, обнаружил корневой сертификат того самого стороннего центра сертификации. Причём, закодирован он был в Base-64 и находился в XML-ответе сервера в тэгах "<RootCertChains><Chain>":

    Ну и, собственно, мораль сей басни такова...

    При первом подключении, телефон скачивает корневой сертификат центра сертификации, которым был выпущен сертификат Front-End’а. Но делает он это не совсем так, как об этом говорит документация (видимо, эхо OCS + Tanjay). На самом же деле, корневой сертификат (или всю цепочку) телефон пытается получить через Web-сервисы Front-End’а (ну или Director’а) при обращении по "http://%PoolFQDN%/CertProv/CertProvisioningService.svc/anon" и только после этого, если скачать сертификат не удалось, телефон обращается к AD и то только в том случае, если вход происходит по имени и паролю (через USB). Если же вход производится по Extension’у и PIN’у, то у телефона нет доступа к AD и скачать корневой сертификат он не может, так что единственным вариантом, в этом случае, являются Web-службы.

    В общем, если сертификат у вас не скачивается, значит, внутренний сайт Lync’а не работает на 80-м порту, для него включено обязательное шифрование или вы ещё каким либо образом зарубили данное подключение :) .

    P. S. Я, мягко говоря, сильно удивлён, что документация Microsoft’а не описывает полноценно данный механизм!

    P. P. S. Свой блог я не веду, но считаю, что данный ответ вполне достоин, чтоб поселиться в чьём-нибудь :) .

    P. P. S. Прошу прощения, что разбил свой ответ на несколько частей, но в одно сообщение можно вставить только две картинки :( .

    • Помечено в качестве ответа Alexey Filatov 16 апреля 2012 г. 11:02
    12 апреля 2012 г. 7:45
    Модератор
  • Александр!

    Вы, как всегда, на высоте! Огромная благодарность от братьев по Волге)) Если будет возможность встретиться - расчитаюсь лично)))

    Но проблема решилась несколько иным методом.

    Не получилось у меня настроить 80 порт на http://%PoolFQDN%/CertProv/CertProvisioningService.svc. Крутится он на 443 и все тут. Поэтому я решил все-таки опублиовать сертификат в AD командой сertutil -f -dspublish c:\temp\rootca.cer RootCA на корневом домене.

    Теперь сертификат скачивается без проблем но к серверу все равно не подключается, потому что время не телефоне идет с разницей в -11 часов к Москве, то есть видимо (UTC-7). Гуглю сейчас на эту тему.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    13 апреля 2012 г. 4:17
  • А в чём у вас возникла загвоздка с 80-м портом?

    Я для синхронизации времени использую 42-ю опцию DHCP, которая указывает на контроллер домена.

    13 апреля 2012 г. 8:01
    Модератор
  • 42 опция работает отлично. То есть время (минуты) как на NTP сервере. А вот часы на 11 часов назад.

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    13 апреля 2012 г. 8:44
  • Я предлагаю для начала, всё же, разобраться с первоначальной проблемой ;) ...

    Сейчас глупость спрошу, но всё же - а часовой пояс точно верный выставлен :) ? Как на счёт убрать 42-ю опцию для телефона и пусть себе через "time.windows.com" время получит?

    13 апреля 2012 г. 8:49
    Модератор
  • Часовой пояс на NTP серверах выставлен верно "+4"

    К сожалению проверить через "time.windows.com" никак не могу - 123 порт наружу закрыт кучей фаеров, на которых нет возможности изменить настройки.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    13 апреля 2012 г. 10:21
  • NTP наплевать на часовые пояса - он сообщает время в UTC ;) . Я говорил про часовой пояс на самом телефоне.
    13 апреля 2012 г. 10:25
    Модератор
  • А я не нашел где на телефоне выставить это)) Нет у меня в меня НИКАКИХ настроек.

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    13 апреля 2012 г. 10:35
  • В общем, по вопросу синхронизации времени предлагаю создать отдельную тему, а здесь, всё же, допинать вопрос по скачиванию сертификата ;) ...

    13 апреля 2012 г. 11:29
    Модератор
  • Вопрос решился странно-поместил телефон в одну подсеть с FE сервером и все само заработало...При чем что между подсетью общего пользования и подсетью для серверов нет ни фаеров ни других "режущих"  устройств. Думаю в стророну блокирования на маршрутизаторах широковещательных запросов.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

  • Вопрос решился странно-поместил телефон в одну подсеть с FE сервером и все само заработало...При чем что между подсетью общего пользования и подсетью для серверов нет ни фаеров ни других "режущих"  устройств. Думаю в стророну блокирования на маршрутизаторах широковещательных запросов.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

  • Сорри за оффтоп, но проблема уже замучала.

    Привет Stanky. Тут такая тема пошла просто страшная) Никто не поймёт в чем дело.

    Вот ссылка на тему:

    http://social.technet.microsoft.com/Forums/en-US/ocscertificates/thread/4e0f4c95-3412-4c7b-a5e0-41062afbf86c

    Проблема в том что не генерится сертификат на юзера.

    Посомтри пожалуйста.


    RFT


    • Изменено Rufat Aliyev 30 ноября 2012 г. 8:35
    30 ноября 2012 г. 8:34