none
Пользователь не может авторизоваться в Линке RRS feed

  • Общие обсуждения

  • Дано:  есть организация, 30 человек.  у 29 линк работает, у двух в логах линк-сервера идет 401 Unautorized.  Линк-клиент в папку tracing писать отказывается, несмотря на галочки. Под другими аккаунтами с этой машины тоже зайти нельзя (когда другой пользователь в Windows залогинен) -  пишет, что сервер недоступен или не отвечает.

    Ни у кого нет мыслей, что бы это могло быть?

    8 августа 2012 г. 9:45

Все ответы

  • Давайте локализовывать проблему. Вы можете зайти в систему (pfkjubybnmcz) по другой учетной записью у которой точно все хорошо и из-под нее запустить Lync?


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    8 августа 2012 г. 11:02
  • Приветствую!

    Зайти в систему - могу. Запустить Lync - могу. Авторизоваться на сервере Lync не могу.  На своем пк - могу авторизоваться. И пользователь, который за проблемной машиной сидит - тоже.

    8 августа 2012 г. 11:45
  • А проблемный пользователь на вашей машине может войти и линк запустить и в линк войти? Видимо-да. Значит проблема в компьютере. Посомтрите сетевые настройки. ДНС сервера и суффиксы.

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    8 августа 2012 г. 11:46
  • Сетевые настройки проверил. Соответствуют действительности. Присутствует в прямой и обратной зоне ДНС в единственном числе, как IP, так и имя. Nslookup с проблемного пк показывает верный ip Lync сервера. Пинг с проблемного пк до сервера и обратно тоже идет. Сетевой экран отключен.
    8 августа 2012 г. 17:14
  • В конфигурации клиента автообнаружение включено или ручками указываете сервер?

    С проблемной машины 

    nslookup

    set type=srv

    _sipinternaltls._tcp.<domain>

    Что показывает????

    В оснастке сертификаты, у пользователя есть сертификат с сервера Lync? Сертификат корневого центра в доверенных? Проблемный пользователь находится в той же IP сети что и остальные, или в другой?


    Ни что не вечно под луной...



    9 августа 2012 г. 3:46
  • Здравствуйте!



    >>В конфигурации клиента автообнаружение включено или ручками указываете сервер? 

    И так и так настраивал - результат одинаковый. На данный момент - автообнаружение.

    >>В оснастке сертификаты, у пользователя есть сертификат с сервера Lync?

    Да, есть. До 13.11.2012

    >>Сертификат корневого центра в доверенных?

    Да, есть. До 30.01.2018

    >>Проблемный пользователь находится в той же IP сети что и остальные, или в другой? 

    В этой же.

    9 августа 2012 г. 7:30
  • Такое ощущение что у пользователя просроченный пароль. Попробуйте сбросить пароль.

    Еще посмотрите, используя ADSIEdit что пользователь действительно включен для Lync

    msRTCSIP-UserEnabled            --------            True

    Можно попробовать руками сбросить все значения "msRTCSIP" в NotSet, и заново включить. Помнится мне такое помогло.

    Если такое поможет, то значит что то с правами на объект пользователя в AD не то. Надо копать в эту сторону.


    Ни что не вечно под луной...



    9 августа 2012 г. 9:38
  • Если проблема в компьютере, то пользователя копать ни к чему. Я так понял, с другой машины он заходит без проблем.

    Пользователь в первый раз входит с этой проблемной машины? Если да, то он будет проходит аутентификацию по Kerberos. В связи с этим проверьте время командой Net time. если отличается, сделайте net time/set

    Сделайте команду nltest /sc_query:domain.ru и напишите результат - возможно у компьюетра нарушен безопасный канал с доменом.

    Если раньше заходили, то попробуйте удалить сертификат, выданный Линк сервером из хранилища сертификата пользователя.

    9 августа 2012 г. 17:51
  • Если Nltest выдаст сообщение об ошибке, то посмотрите в результирующей политике какие параметры безопасности применены для хоста и выложите сюда результаты.


    Ни что не вечно под луной...

    10 августа 2012 г. 6:17
  • Антон, Никита, приветствую!

    вчера сделал msRTCSIP-UserEnabled            --------            True в  Not Set  и обратно.  Не помогло.

    Сертификат удалил - тоже не помогает. Lync клиент пишет о недоступности сервера, в логах сервера все так же  Unautorized. Сертификат получить не может.  Видимо потому, что не может достучаться.  Включение-выключение пользователя через центр управления Lync server тоже не помогло.

    Сравнение аккаунта в ADSI edit с аналогичными, у которых Lync работает, никаких несоответствий не выявило

    10 августа 2012 г. 7:44
  • Нужно заставить писать логи Lync клиента.

    В логах Application, System ничего подозрительного?

    В момент авторизации хочется посмотреть логи со Snooper-а.


    Ни что не вечно под луной...

    10 августа 2012 г. 10:46
  • вы точно в той папке смотрели? есть C:\windows\tracing - там ниче не будет по lync.

    И есть %userprofile%\tracing - там должен быть файл типа Communicator-uccapi-0.uccapilog - его и смотрите в Snooper.

    10 августа 2012 г. 10:57
  • Никита, Антон, приветствую.

    Антон, спасибо за подсказку, где искать файлы.

    "В программе Communicator включен журнал событий.
     Информация о неудавшихся звонках будет сохраняться в журнале событий Windows." - это единственное, что пишется в журналы Windows.

    В логах сервера (то же самое при просмотре через Snooper клиентского лога):


    Что видно, при просмотре полей (сверху вниз) :

    *********************************************************************************************************

    08/13/2012|11:10:30.514 CA0:1010 INFO  :: Sending Packet - 10.0.0.90:5061 (From Local Address: 10.0.0.141:61820) 3067 bytes:
    08/13/2012|11:10:30.514 CA0:1010 INFO  :: REGISTER sip:  SIP/2.0
    Via: SIP/2.0/TLS 10.0.0.141:61820
    Max-Forwards: 70
    From: <sip:haziev@ >;tag=5c144024d8;epid=18488c1e1a
    To: <sip:haziev@ >
    Call-ID: bac9b67bad1c476ab91dd22bf7d3de10
    CSeq: 2 REGISTER
    Contact: <sip:10.0.0.141:61820;transport=tls;ms-opaque=795d7f790b>;methods="INVITE, MESSAGE, INFO, OPTIONS, BYE, CANCEL, NOTIFY, ACK, REFER, BENOTIFY";proxy=replace;+sip.instance="<urn:uuid:64
    E97582-9855-5E3A-B520-1C4FE91F89FE>"
    User-Agent: UCCAPI/4.0.7577.4103 OC/4.0.7577.4103 (Microsoft Lync 2010)
    Supported: gruu-10, adhoclist, msrtc-event-categories
    Supported: ms-forking
    Supported: ms-cluster-failover
    Supported: ms-userservices-state-notification
    ms-keep-alive: UAC;hop-hop=yes
    Event: registration
    ms-subnet: 10.0.0.0
    Proxy-Authorization: Kerberos qop="auth", realm="SIP Communications Service", targetname="sip/lync. ", version=4, gssapi-data="/тут было очень много символов, видимо, зашифрованные данные авторизации, вырезал/==", crand="4992cac0", cnum="1", response="602306092a864886f71201020201011100ffffffff4354224a1f39a2c4c1390139815f0d5b"
    Content-Length: 0
    08/13/2012|11:10:30.514 CA0:1010 INFO  :: End of Sending Packet - 10.0.0.90:5061 (From Local Address: 10.0.0.141:61820) 3067 bytes

    ***************************************************************************************************************

    08/13/2012|11:10:30.853 CA0:1010 INFO  :: Sending Packet - 10.0.0.90:443 (From Local Address: 127.0.0.1:61823) 767 bytes:
    08/13/2012|11:10:30.853 CA0:1010 INFO  :: REGISTER sip:  SIP/2.0
    Via: SIP/2.0/TLS 127.0.0.1:61823
    Max-Forwards: 70
    From: <sip:haziev@ >;tag=3538d0f40a;epid=18488c1e1a
    To: <sip:haziev@ >
    Call-ID: 57c086d9162941649737d2434455b242
    CSeq: 1 REGISTER
    Contact: <sip:127.0.0.1:61823;transport=tls;ms-opaque=28b112faa7>;methods="INVITE, MESSAGE, INFO, OPTIONS, BYE, CANCEL, NOTIFY, ACK, REFER, BENOTIFY";proxy=replace;+sip.instance="<urn:uuid:64E97582-9855-5E3A-B520-1C4FE91F89FE>"
    User-Agent: UCCAPI/4.0.7577.4103 OC/4.0.7577.4103 (Microsoft Lync 2010)
    Supported: gruu-10, adhoclist, msrtc-event-categories
    Supported: ms-forking
    Supported: ms-cluster-failover
    Supported: ms-userservices-state-notification
    ms-keep-alive: UAC;hop-hop=yes
    Event: registration
    Content-Length: 0
    08/13/2012|11:10:30.853 CA0:1010 INFO  :: End of Sending Packet - 10.0.0.90:443 (From Local Address: 127.0.0.1:61823) 767 bytes

    *************************************************************************************************************

    08/13/2012|11:10:31.156 CA0:1010 INFO  :: Sending Packet - 10.0.0.90:5061 (From Local Address: 10.0.0.141:61826) 769 bytes:
    08/13/2012|11:10:31.156 CA0:1010 INFO  :: REGISTER sip:  SIP/2.0
    Via: SIP/2.0/TLS 10.0.0.141:61826
    Max-Forwards: 70
    From: <sip:haziev@ >;tag=42e98eccdb;epid=18488c1e1a
    To: <sip:haziev@ >
    Call-ID: b1c79cb9c2a74fdf9fcd3edd243240c5
    CSeq: 1 REGISTER
    Contact: <sip:10.0.0.141:61826;transport=tls;ms-opaque=7bb2109f46>;methods="INVITE, MESSAGE, INFO, OPTIONS, BYE, CANCEL, NOTIFY, ACK, REFER, BENOTIFY";proxy=replace;+sip.instance="<urn:uuid:64E97582-9855-5E3A-B520-1C4FE91F89FE>"
    User-Agent: UCCAPI/4.0.7577.4103 OC/4.0.7577.4103 (Microsoft Lync 2010)
    Supported: gruu-10, adhoclist, msrtc-event-categories
    Supported: ms-forking
    Supported: ms-cluster-failover
    Supported: ms-userservices-state-notification
    ms-keep-alive: UAC;hop-hop=yes
    Event: registration
    Content-Length: 0
    08/13/2012|11:10:31.156 CA0:1010 INFO  :: End of Sending Packet - 10.0.0.90:5061 (From Local Address: 10.0.0.141:61826) 769 bytes

    *****************************************************************************************************************

    Собственно, сообщение об ошибке авторизации:

    08/13/2012|11:10:31.160 CA0:1010 INFO  :: Data Received - 10.0.0.90:5061 (To Local Address: 10.0.0.141:61826) 752 bytes:
    08/13/2012|11:10:31.160 CA0:1010 INFO  :: SIP/2.0 401 Unauthorized
    Date: Mon, 13 Aug 2012 05:10:31 GMT
    WWW-Authenticate: NTLM realm="SIP Communications Service", targetname="lync. ", version=4
    WWW-Authenticate: Kerberos realm="SIP Communications Service", targetname="sip/lync. ", version=4
    WWW-Authenticate: TLS-DSK realm="SIP Communications Service", targetname="lync. ", version=4, sts-uri="https://lync. :443/CertProv/CertProvisioningService.svc"
    From: <sip:haziev@ >;tag=42e98eccdb;epid=18488c1e1a
    To: <sip:haziev@ >;tag=067A947394AF3C8BB2A2F111F5A3C328
    Call-ID: b1c79cb9c2a74fdf9fcd3edd243240c5
    CSeq: 1 REGISTER
    Via: SIP/2.0/TLS 10.0.0.141:61826;ms-received-port=61826;ms-received-cid=32A000
    Server: RTC/4.0
    Content-Length: 0
    08/13/2012|11:10:31.160 CA0:1010 INFO  :: End of Data Received - 10.0.0.90:5061 (To Local Address: 10.0.0.141:61826) 752 bytes




    13 августа 2012 г. 8:06
  • $cred1 = Get-Credential "domain\user"
    Test-CsClientAuth -TargetFqdn lync-server -UserSipAddress "sip:user@domain.com" -UserCredential $cred1

    C проблемного и с нормального.


    Ни что не вечно под луной...

    13 августа 2012 г. 10:33
  • Никита, доброе утро!

    Оба лога выглядят абсолютно одинаково.

    PS C:\Users\haziev> $cred1 = Get-Credential "\haziev"
    PS C:\Users\haziev> Test-CsClientAuth -TargetFqdn lync..ru -UserSipAddre
    ss "sip:haziev@.ru" -UserCredential $cred1
            Connecting to web service : https://lync..ru:443/WebTicket/WebTick
    etService.svc
            Using IWA authentication
            Successfully created connection proxy and website bindings
            Requesting new web ticket
            Sending Web-Ticket Request: <s:Envelope xmlns:s="http://schemas.xmlsoap.
    org/soap/envelope/">
      <s:Header>
        <Action s:mustUnderstand="1" xmlns="http://schemas.microsoft.com/ws/2005/05/
    addressing/none">http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue</Act
    ion>
      </s:Header>
      <s:Body>
        <RequestSecurityToken xmlns="http://docs.oasis-open.org/ws-sx/ws-trust/20051
    2">
          <TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1
    #SAMLV1.1</TokenType>
          <RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</RequestTyp
    e>
          <AppliesTo xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy">
            <EndpointReference xmlns="http://www.w3.org/2005/08/addressing">
              <Address>https://lync..ru/WebTicket/WebTicketService.svc</Addres
    s>
            </EndpointReference>
          </AppliesTo>
          <Entropy>
            <BinarySecret>tDc514chUBYnZnXWyxczs66Dknff6zVEIdgYlCx1cr8=</BinarySecret
    >
          </Entropy>
          <KeyType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey</Ke
    yType>
        </RequestSecurityToken>
      </s:Body>
    </s:Envelope>
            Web-Ticket response: <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soa
    p/envelope/">
      <s:Header />
      <s:Body>
        <RequestSecurityTokenResponseCollection xmlns="http://docs.oasis-open.org/ws
    -sx/ws-trust/200512" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns
    :xsd="http://www.w3.org/2001/XMLSchema">
          <RequestSecurityTokenResponse Context="00000000-0000-0000-0000-00000000000
    0">
            <TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1
    .1#SAMLV1.1</TokenType>
            <RequestedSecurityToken>
              <saml:Assertion MajorVersion="1" MinorVersion="1" AssertionID="SamlSec
    urityToken-28560392-ad3f-4701-a38d-0904d34959e8" Issuer="https://lync..ru/
    webticket/webticketservice.svc" IssueInstant="2012-08-14T03:37:55.859Z" xmlns:sa
    ml="urn:oasis:names:tc:SAML:1.0:assertion">
                <saml:Conditions NotBefore="2012-08-14T03:37:55.859Z" NotOnOrAfter="
    2012-08-14T11:27:27.859Z">
                  <saml:AudienceRestrictionCondition>
                    <saml:Audience>https://lync..ru/</saml:Audience>
                  </saml:AudienceRestrictionCondition>
                </saml:Conditions>
                <saml:AuthenticationStatement AuthenticationMethod="urn:oasis:names:
    tc:SAML:1.0:am:unspecified" AuthenticationInstant="2012-08-14T03:37:55.859Z">
                  <saml:Subject>
                    <saml:NameIdentifier Format="http://schemas.xmlsoap.org/ws/2005/
    05/identity/claims/uri">sip:haziev@.ru</saml:NameIdentifier>
                    <saml:SubjectConfirmation>
                      <saml:ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:holder
    -of-key</saml:ConfirmationMethod>
                      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                        <e:EncryptedKey xmlns:e="http://www.w3.org/2001/04/xmlenc#">
    
                          <e:EncryptionMethod Algorithm="http://www.w3.org/2001/04/x
    mlenc#kw-aes256">
                          </e:EncryptionMethod>
                          <KeyInfo>
                            <KeyName>lync..ru:8cf47e0071b3800</KeyName>
                          </KeyInfo>
                          <e:CipherData>
                            <e:CipherValue>nMOCN6kDbpp8Tbi1dHKez2UIjWSlIz1M7T6PwRpIj
    ptoE2M+6YVDag==</e:CipherValue>
                          </e:CipherData>
                        </e:EncryptedKey>
                      </KeyInfo>
                    </saml:SubjectConfirmation>
                  </saml:Subject>
                </saml:AuthenticationStatement>
                <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
                  <SignedInfo>
                    <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml
    -exc-c14n#">
                    </CanonicalizationMethod>
                    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rs
    a-sha1">
                    </SignatureMethod>
                    <Reference URI="#SamlSecurityToken-28560392-ad3f-4701-a38d-0904d
    34959e8">
                      <Transforms>
                        <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enve
    loped-signature">
                        </Transform>
                        <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n
    #">
                        </Transform>
                      </Transforms>
                      <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha2
    56">
                      </DigestMethod>
                      <DigestValue>3xYOHYM6DEvs8tw6WY5N3AlO1PIa5N749+4cE/1pv+Y=</Dig
    estValue>
                    </Reference>
                  </SignedInfo>
                  <SignatureValue>WNqz3jziXmKYldAFvjgmz+yJT4hrEp5rQag/I1UcXm5ieWLmuo
    EJFipmr9emyzbDspwGZz7/01IGkUEcHXc3vYkBRPiKCjIkNGyYCAJ3Mr9K26qtxHIyfvQMjaRVL8Bz2i
    VzHdG5rLTfNv+4dFXLK+YF8PbDU3umgKZ67zk+9u1v6xjrBdlPnaVNsHY5Bfnv2EICwQGTnavvvbGN6h
    2MV5tPuT02Rs0BQIlGGKf9XB96cCVzilYA355dfNdUtOj2mvRvdXhspBiGArikFgUVnh+qoItV4NVS1m
    FbWfe/XmTVvUWwG3Tn6IbS0skbB7XW0NdehhkUW7rahPA5BZbjHw==</SignatureValue>
                  <KeyInfo>
                    <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/ws
    s/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
                      <o:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oas
    is-wss-soap-message-security-1.1#ThumbprintSHA1">026ax2dmMey4rnAo5OL6lo5cGxI=</o
    :KeyIdentifier>
                    </o:SecurityTokenReference>
                  </KeyInfo>
                </Signature>
              </saml:Assertion>
            </RequestedSecurityToken>
            <AppliesTo xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy">
              <EndpointReference xmlns="http://www.w3.org/2005/08/addressing">
                <Address>https://lync..ru/</Address>
              </EndpointReference>
            </AppliesTo>
            <RequestedAttachedReference>
              <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/wss/2004
    /01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
                <o:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss
    -saml-token-profile-1.0#SAMLAssertionID">SamlSecurityToken-28560392-ad3f-4701-a3
    8d-0904d34959e8</o:KeyIdentifier>
              </o:SecurityTokenReference>
            </RequestedAttachedReference>
            <RequestedUnattachedReference>
              <o:SecurityTokenReference xmlns:o="http://docs.oasis-open.org/wss/2004
    /01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
                <o:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss
    -saml-token-profile-1.0#SAMLAssertionID">SamlSecurityToken-28560392-ad3f-4701-a3
    8d-0904d34959e8</o:KeyIdentifier>
              </o:SecurityTokenReference>
            </RequestedUnattachedReference>
            <RequestedProofToken>
              <ComputedKey>http://docs.oasis-open.org/ws-sx/ws-trust/200512/CK/PSHA1
    </ComputedKey>
            </RequestedProofToken>
            <Entropy>
              <BinarySecret>Spb0VQdPB7T3vH+R56n9NrPcetdiEzERwWQxZrgnhyc=</BinarySecr
    et>
            </Entropy>
            <Lifetime>
              <Created xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-ws
    s-wssecurity-utility-1.0.xsd">2012-08-14T03:37:55.8599635Z</Created>
              <Expires xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-ws
    s-wssecurity-utility-1.0.xsd">2012-08-14T11:27:27.8599635Z</Expires>
            </Lifetime>
            <KeySize>256</KeySize>
            <SignWith>http://www.w3.org/2001/04/xmldsig-more#hmac-sha256</SignWith>
          </RequestSecurityTokenResponse>
        </RequestSecurityTokenResponseCollection>
      </s:Body>
    </s:Envelope>
    
    
    TargetUri  : https://lync..ru:443/CertProv/CertProvisioningService.svc
    TargetFqdn : lync..ru
    Result     : Failure
    Latency    : 00:00:03.9137318
    Error      : Невозможно загрузить файл или сборку "Interop.CertEnroll, Version=
                 4.0.7577.199, Culture=neutral, PublicKeyToken=31bf3856ad364e35" ил
                 и один из зависимых от них компонентов. Не удается найти указанный
                  файл.
    
    Diagnosis  :
    
    
    
    Поисковики на такое сообщение об ошибке ничего не сказали.

    14 августа 2012 г. 4:46
  • Кажется ваш клиент не может получить сертификат от Lync Server'а.

    Раз ругается на компонент - попробуйте переустановить клиент Lync 2010.

    И, как обычно, отключите антивирус и другое ПО безопасности, которое может запрещать запрашивать сертификат. Всяких банк-клиентов с флэшками-токенами-гурдантами не стоит на этих машинах? :)

    14 августа 2012 г. 6:07
  • Антон, приветствую!

    Уже переустанавливал ) И антивирус выключал/удалял. Не помогает.

    Нет, не стоит. Но с машины, где стоят и токены все работает
    14 августа 2012 г. 11:38
  • Точно! У меня было такое когда крипто-про ставилось после клиента Линка. Переустановил крипто-про+Ребут= заработал Линк.


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    14 августа 2012 г. 11:41
  • Не стоит на этой машине никаких криптопровайдеров\драйверов ключей и карт. Снес антивирус еще раз - тоже не помогло.

    16 августа 2012 г. 3:46
  • net start c проблемного компа + ipconfig /all + net user "username" + w32tm /query /source + w32tm /query /status

    Пл юс на что ругается в системном логе???? Если удалить сертификат пользователя, при попытке авторизации он появляется снова?


    Ни что не вечно под луной...





    20 августа 2012 г. 14:49
  • Владимир приветствую проблемные клиенты с какими операционными системами?
    29 августа 2012 г. 18:46
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    6 сентября 2012 г. 12:31