locked
Запуск OCS2007R2 Front End SE с сертификатом без имени пула RRS feed

  • Вопрос

  • OCS 2007R2 Front End Standard Edition:

    FQDN-сервера - "ocs-fe.comp.local"
    имя pool - "ocs-fe.comp.local"

    Снаружи сервер (адресная книга и т.п.) опубликован по имени "ocs.comp.ru" (пробросом портов с Ext Firewall без Reverse Proxy).
    В DMZ также установлен EDGE.
    На внутренних DNS серверах все записи (_sipinternaltls, _sip и др.) указывают на имя ocs.comp.ru. 
    На сервере FE установлен сертификат выданный внутренним CA с записями:

    Subject: ocs-fe.comp.local
    SAN: ocs.comp.ru

    -------

    При попытке заменить сертификат на OCS FE:
    с Subject: ocs.comp.ru
    все службы OCS FE стартуют нормально, кроме 1 - не стартует служба "Audio/Video Conf" с ошибкой:

    Event ID: 32022
    Task Category: (1017)
    Level: Error
    Keywords: Classic
    User: N/A
    Computer: OCS-FE.comp.local
    Description:
    An invalid certificate was selected for TLS connections.
    Issuer: CN=CA-ROOT, DC=comp, DC=local
    Serial Number: ***

    Cause: The selected certificate could not be found or the subject name of the certificate does not match the FQDN of the server or pool.


    -------
    Что сделано:
    - Имя сервера ocs.comp.ru с помощью OCSTrustEntry.vbs в список доверенных добавлен.
    - Имя сервера ocs.comp.ru с помощью WMI добавлен: http://support.microsoft.com/kb/938288/en-us
    - url для адресной книги при внутреннем доступе изменён на ocs.comp.ru: http://www.ocspedia.com/ABS/Addsrv_Set.htm
    - в SPN записи для учеток RTC***, от имени которых стартуют службы OCS добавлено имя ocs.comp.ru
    -------
    Что ещё мешает запустить OCS с сертификатом с именем ocs.comp.ru без имени пула?
    Может быть попробовать переименовать пул в разделе конфигурации в AD (через ADSIEdit и т.п.)? Переименование пула в принципе возможно для OCS FE SE?

    24 июня 2010 г. 5:47