none
Edge 2013 behind TMG 2010 NAT TLS - Не подключается внешний клиент RRS feed

  • Вопрос

  • Добрый день, коллеги.

    Есть проблема при миграции роли Edge с OCS R2 в Lync 2013.

    Топология следующая:

    OCS R2 Edge -  Маршрутизируемая сеть с прямыми адресами за ISA 2004.

    Lync 2013 Edge - все роли на одном сервере за NAT TMG 2010 .

    x.x.210.40 - 10.193.101.40 - Access Edge (lyncsip.domain.ru)

    x.x.210.41 - 10.193.101.41 - WebConference (wc.domain.ru)

    x.x.210.42 - 10.193.101.42 - A/V Edge (avideo.domain.ru)

    x.x.210.43 - Адрес на котором публикуется адресная книга.(lyncpool.domain.ru)

    10.193.1.22 - Internal DMZ IP (DMZLyncEdge01.domain.ru)

    В сети используется Split DNS для домена domain.ru

    DNS для DMZLyncEdge01 - находится внутри DMZ - сети.

    В файле hosts  - прописал внутренние ресурсы (имя пула OCS R2, Lync 2013 и всех серверов).

    Правила публикации и доступа на TMG также сделал.

    Действующий Edge OCS R2 сейчас в работе и SRV смотрят на него.

    При попытке подключиться из вне (c помощью Lync Basic на Windows 7) по указанному вручную адресу (lyncsip.domain.ru) - получаю сообщение об ошибке:

    "Мы столкнулись с проблемой при подключении к серверу. Если эта проблема не исчезнет, обратитесь в группу поддержки".

    В логах регистрируются Event ID 12,1

    Если сделать автоматический выбор, клиент цепляется через инфраструктуру OCS R2.

    На сервере DMZLyncEdge01 службы запущены и слушаются нужные интерфейсы

    C:\Users\Administrator>netstat -ano | find /I "LISTENING" | find /I "443"
      TCP    0.0.0.0:4443           0.0.0.0:0              LISTENING       4
      TCP    10.193.1.22:443        0.0.0.0:0              LISTENING       2780
      TCP    10.193.101.40:443      0.0.0.0:0              LISTENING       2700
      TCP    10.193.101.41:443      0.0.0.0:0              LISTENING       2020
      TCP    10.193.101.42:443      0.0.0.0:0              LISTENING       2780
      TCP    [::]:4443              [::]:0                 LISTENING       4

    Порт 5061 не слушается, поскольку я не включал пока федерацию (её держит OCS R2)

    Сертификат от GoDaddy содержит в себе SAN для lyncsip, avideo, wc, lyncpool и назначен на Edge сервере и на TMG сервере для задачи публикации.

    При попытке проверить через testexchangeconnectivity.com

    Microsoft Connectivity Analyzer пытается получить SSL-сертификат от удаленного сервера lyncsip.domain.ru через порт 443.
     	Анализатору Microsoft Connectivity Analyzer не удалось получить удаленный SSL-сертификат.
     	
    	Подробнее
     	Сертификат не удалось проверить, так как SSL-согласование не выполнено. Это могло быть вызвано ошибкой сети или проблемой при установке сертификата.

    На сервере промежуточные сертификаты установлены , сам сертификат и вся цепочка на сервере - валидны.

    Вообщем готов рассмотреть любые советы и предложения.

    18 июня 2013 г. 6:22

Ответы

  • Вопрос: Правильно ли я понял, что поскольку не ассоциировал Edge2013 с FE пулом в Topology builder, работать и не должно. То, что проходит репликация, это означает, что после переключения все заработает. Следующий шаг, объявляем downtime - переключаем Edge в Topology Builder, включаем федеративный доступ, меняем SRV и все должно заработать?

    Да, пока не будет ассоциации, работать не будет. Тоже был простой внешних пользователей на данном этапе. 

    В моем случае, было удаление Edge Lync 2010 и установка Edge Lync 2013.


    MCITP. Знание - не уменьшает нашей глупости.

    18 июня 2013 г. 9:25
    Модератор
  • Олег, спасибо.

    Попробовали, в принципе у нас нет простоя. Старые клиенты используют SRV и autodiscovery, клиенты из пилотного пула пользуются либо старой инфраструктурой , либо новой , но с ручным указанием сервера подключения.

    Я переключил пользователей пилотного пула Lync 2013 на новый Edge, опубликовал топологию.

    Включил Access Edge Configuration.  Заработало на Lync 2013 Basic, но была проблема с тем , что не подключались клиенты OCS R2, решилось тем, что в настройках нужно вбивать lyncsip.domain.ru:443, с обязательным указанием номера порта!!!! Без этого , постоянные ошибки Schannel и нет подключалось. Проверили, голос ходит, адресная книга синхронизируется. Не ясно почему MS не предлагает Side-by-side (конечно логика просматривается: нужно в два раза больше адресов, больше имен в сертификатах, но ведь это же возможно...) миграцию, если такой сценарий возможен.

    Следующим шагом двину Legacy-user в Lync 2013, сменю внутренние и внешние SRV , далее по мануалу...

    • Помечено в качестве ответа Pavel N. Kosachev 20 июня 2013 г. 11:06
    18 июня 2013 г. 9:44

Все ответы

  • День добрый.

    Согласно документации TMG в Lync используется как Reverse Proxy.

    Проведите миграцию согласно документа Миграция с Office Communications Server 2007 R2 на Lync Server 2013.

    Lync 2013 Edge - все роли на одном сервере за NAT TMG 2010 .

    Edge Lync это отдельная роль и не может быть совмещена с другими ролями, и она располагается параллельно TMG, а не перед ним.


    MCITP. Знание - не уменьшает нашей глупости.

    18 июня 2013 г. 6:51
    Модератор
  • День добрый.

    Согласно документации TMG в Lync используется как Reverse Proxy. - Да, я это знаю.

    Проведите миграцию согласно документа Миграция с Office Communications Server 2007 R2 на Lync Server 2013.- Именно по этому документу и делаю - на шаге 7 - репликация проходит!

    Lync 2013 Edge - все роли на одном сервере за NAT TMG 2010 .  - Имелось ввиду Consolidated Edge (все внешние сервисы на одном сервере). Конечно же это отдельная VM  в DMZ сетях, как я написал выше.

    Edge Lync это отдельная роль и не может быть совмещена с другими ролями, и она располагается параллельно TMG, а не перед ним.



    Также запустил https://testocsconnectivity.com/

     
    
    Attempting to Resolve the host name lyncsip.domain.ru in DNS.
     Host successfully Resolved
    Additional Details
     IP(s) returned: x.x.210.40
    
    
    Testing TCP Port 443 on host lyncsip.domain.ru to ensure it is listening/open.
     The port was opened successfully.
    
    
    Testing SSLCertificate for validity.
     The certificate passed all validation requirements.validation checks.
    Additional Details
     Subject: CN=sip.domain.ru, OU=Domain Control Validated, Issuer SERIALNUMBER=07969287, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godaddy.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US
    
    
    Testing the Remote Connectivity to Microsoft Lync Server through the Access Edge Server lyncsip.domain.ru running on port number 443 to see if user p.lisicyn@domain.ru can connect remotely.
     Specified Remote Connectivity test(s) to Microsoft Lync Server failed. Please examine below details of specific reason for failure.
     
    Tell me more about this issue and how to resolve it
    
    Additional Details
     Subscription for provisioning data did not return a valid MRAS URI.

    Также в момент подключения снял логи с Edge серверас помощью (Lync Server 2013 Logging Tool) Снимал только SIPStack. На выходе получилось следующее:

    TL_INFO(TF_CONNECTION) [0]0A8C.0CD8::06/18/2013-07:10:43.961.00000124 (SIPStack,SIPAdminLog::WriteConnectionEvent:1198.idx(446))[138952383] 
    $$begin_record
    Severity: information
    Text: TLS negotiation started
    Local-IP: 10.193.101.40:443
    Peer-IP: 109.188.127.13:10917
    Connection-ID: 0x1000
    Transport: TLS
    $$end_record
    
    TL_ERROR(TF_SECURITY) [0]0A8C.0CD8::06/18/2013-07:10:44.007.000001ae (SIPStack,SIPAdminLog::WriteSecurityEvent:1198.idx(297))[138952383] 
    $$begin_record
    Text: The connection from a remote user client is refused because remote user access is disabled
    Result-Code: 0xc3e93d6d SIPPROXY_E_CONNECTION_EXTERNAL_INTERNET_ACCESS_DISABLED
    Peer-IP: 109.188.127.13:10917
    Peer: 109.188.127.13:10917
    $$end_record
    

    Вопрос: Правильно ли я понял, что поскольку не ассоциировал Edge2013 с FE пулом в Topology builder, работать и не должно. То, что проходит репликация, это означает, что после переключения все заработает. Следующий шаг, объявляем downtime - переключаем Edge в Topology Builder, включаем федеративный доступ, меняем SRV и все должно заработать?

    18 июня 2013 г. 7:17
  • Вопрос: Правильно ли я понял, что поскольку не ассоциировал Edge2013 с FE пулом в Topology builder, работать и не должно. То, что проходит репликация, это означает, что после переключения все заработает. Следующий шаг, объявляем downtime - переключаем Edge в Topology Builder, включаем федеративный доступ, меняем SRV и все должно заработать?

    Да, пока не будет ассоциации, работать не будет. Тоже был простой внешних пользователей на данном этапе. 

    В моем случае, было удаление Edge Lync 2010 и установка Edge Lync 2013.


    MCITP. Знание - не уменьшает нашей глупости.

    18 июня 2013 г. 9:25
    Модератор
  • Олег, спасибо.

    Попробовали, в принципе у нас нет простоя. Старые клиенты используют SRV и autodiscovery, клиенты из пилотного пула пользуются либо старой инфраструктурой , либо новой , но с ручным указанием сервера подключения.

    Я переключил пользователей пилотного пула Lync 2013 на новый Edge, опубликовал топологию.

    Включил Access Edge Configuration.  Заработало на Lync 2013 Basic, но была проблема с тем , что не подключались клиенты OCS R2, решилось тем, что в настройках нужно вбивать lyncsip.domain.ru:443, с обязательным указанием номера порта!!!! Без этого , постоянные ошибки Schannel и нет подключалось. Проверили, голос ходит, адресная книга синхронизируется. Не ясно почему MS не предлагает Side-by-side (конечно логика просматривается: нужно в два раза больше адресов, больше имен в сертификатах, но ведь это же возможно...) миграцию, если такой сценарий возможен.

    Следующим шагом двину Legacy-user в Lync 2013, сменю внутренние и внешние SRV , далее по мануалу...

    • Помечено в качестве ответа Pavel N. Kosachev 20 июня 2013 г. 11:06
    18 июня 2013 г. 9:44