none
MS Lync Login Error [Certificate] RRS feed

  • Вопрос

  • Здраствуйте!

    Установил MS Lync Server 2010. Во время установки все прошло гладко, кроме сертификата. Там надо было выбрать CA, но у меня ничего не было в списке. Я зашел в server manager  и установил роль Active Directory Certificate Services. Далее в the ‘Select Role Services’ , выбрал  Certification Authority  и Certification Authority Web Enrollment.

    После этого новый CA появился в списке, и я смог закончить установку. Позже установил клиентскую программу, чтобы протестировать. Но во время логина, появилась ошибка "There was a problem verifying the certificate from the server". 

    Кто-нибудь сталкивался с этим?

    7 августа 2012 г. 10:02

Ответы

  • Проблема решена. И дело было вовсе не в сертификатах. Вообщем, я вводил IP в Internal Server Name or IP & External Server Name or IP

    Надо вводить не IP, а FQDN. В моем случай mslync2.mslynctest.kz. Потом зашел в hosts.txt и там добавил строку

    89.218.23.171   mslync2.mslynctest.kz

    И все заработало :) 

    Всем спасибо за помощь. 

    • Помечено в качестве ответа Erlen1989 10 августа 2012 г. 11:49
    10 августа 2012 г. 11:49

Все ответы

  • Нужно установить сертификат вашего центра сертификации в контейнер "доверенные корневые центры сертификации" в хранилище компьютера. это нужно, чтобы клиент доверял центру сертификации, выдавшему сертификат сервера.

    Делается через консоль MMC  - certificates. поищите в гугле процедуру, если требуется.

    • Предложено в качестве ответа Dmitry.I 8 августа 2012 г. 6:04
    7 августа 2012 г. 10:07
  • Либо включите возможность распространения сертификата CA через групповые политики, тогда при подключении любого компьютера к вашему домену, где развернут Lync Server 2010, сертификаты автоматически будут размещаться в требуемом хранилище.

    Do not multiply entities beyond what is necessary

    7 августа 2012 г. 10:51
  • Нужно установить сертификат вашего центра сертификации в контейнер "доверенные корневые центры сертификации" в хранилище компьютера. это нужно, чтобы клиент доверял центру сертификации, выдавшему сертификат сервера.

    Делается через консоль MMC  - certificates. поищите в гугле процедуру, если требуется.

    Спасибо за ответ. Вообщем, сделал так. Зашел на сервере в MMC и оттуда сделал export сертификата. Скачал его себе на клиентский компьютер и в нем зашел в MMC и импортировал его в доверенные корневые центры сертификации.

    Но к сожалению, проблема так и осталась нерешенной. Может я что-то не так сделал?

    7 августа 2012 г. 11:01
  • при запуске оснастки MMC на рабочей станции Вы выбрали учетную запись компьютера (computer account) ?

    Do not multiply entities beyond what is necessary

    7 августа 2012 г. 11:47
  • Пробовал оба варианта. Как и компьютера, так и текущего юзера.
    7 августа 2012 г. 11:50
  • то есть вы развернули роль CA, сконфигурировали его как Enterprise Root CA, сгененрировали сертификат, затем его экспортом-импортом положили в хранилище доверенных корневых центров сертификации локального компьютера? В принципе все верно.

    А попробуйте зайти на СА через браузер: ("http://<EnterpriseCA>/certsrv) и скачать сертификат RootCA. Если не ошибаюсь, вторая снизу ссылка.


    Do not multiply entities beyond what is necessary



    • Изменено Dmitry.I 7 августа 2012 г. 12:05
    7 августа 2012 г. 12:04
  • Да, все сделано было так. Ошибка не исчезла. Меня насторожил тот факт, что во время установки MS Lync Server 2010, в шаге "Install, Request, Assign Certificates" там где "Select a CA from the list detected in your environemet" ничего не было. Мне пришлось установить роль Active Directory Certificate Services. Может я что-то не так там сделал? 
    8 августа 2012 г. 4:19
  • Так после развертывания Enterprise CA вы запускали третий шаг установки в Lync Server Deployment Wizard? Так где речь про запрос и принятие сертификата? И второе. Необходимо разместить сертификат CA в хранилище доверенных корневых центров сертификации так же не сервере Lync.


    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 4:50
  • Так после развертывания Enterprise CA вы запускали третий шаг установки в Lync Server Deployment Wizard? Так где речь про запрос и принятие сертификата? И второе. Необходимо разместить сертификат CA в хранилище доверенных корневых центров сертификации так же не сервере Lync.


    Do not multiply entities beyond what is necessary

    Да, после развертывания CA, я успешно ( казалось бы ) сделал 3-ий шаг в Lync Server Deployment Wizard.

    Также я разместил сертификат на всех машинах в хранилище довернных корневых центров. Вот только у меня вопрос. У меня 2 физических сервера. На первом у меня установлен AD и является домен контроллером. На втором стоит сам Линк Сервер. Так вот, где лучше развернуть CA ? Хотя пробовал на и на первом, и на втором. 

    8 августа 2012 г. 5:23
  • Вообщем сейчас уже ситуация такова. Установил MS Lync клиентскую программа на серваке, на котором стоит Lync Server 2010. В настройках клиента там где Internal Server написал:   mslync2.mslynctest.kz ( имя сервака.домен ) и на external server указал IP этого же сервака. И смог залогиниться.  А вот с другого компьютера не могу зайти, все та же ошибка сертификата. 
    8 августа 2012 г. 6:02
  • В тестовом окружении как правило Enterprise CA развертывают на контроллере домена, в продуктивной среде этого не рекомендуется, но тем не менее возможно.

    После того как вы запустили мастер запроса сертификата, в окне выбора появился Ваш центр сертификации? Если да, то по завершении процедуры запроса, началась ли процедура привязки этого сертификата?


    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 6:03
  • Да, все было сделано. 

    Вообщем, как я и сказал, я смог подключиться через клиентскую программу. Для тестирования, я установил клиент-программу на эти 2 сервера и смог залогиниться. Но вот что странно, пользователи друг друга не видят. Не знаете, что это может значить?

    8 августа 2012 г. 6:38
  • Не видят - в смысле не работает поиск? Все таки лучше бы вы добили вопрос по работе клиентской части с рабочей станции. А что касается неработающего поиска - поищите здесь же на форуме - было несколько тем по этому вопросу, чтобы не повторяться лишний раз.


    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 7:00
  • Да, вы правы. На счет поиска потом исправлю. 

    Много чего уже перепробовал, все никак не подсоединяется с компьютера, который не в домене. Все та же ошибка "There was a problem verifying the certificate from the server". 

    Как вы думаете, это проблема точно связана с тем, что клиентская машина не доверяет сертификату сервера?

    8 августа 2012 г. 7:50
  • Я только что в тестовом окружении подключил клиента с машины не входящей ни в какой домен к Lync Server.

    Что сделал: Через браузер подключился к Enetrise CA, скачал с него сертификат Root CA и установил его на рабочей станции поместив в хранилище корневых доверенных центров.

    Далее. Импортировал сертификат Lync в файл .cer, и так же установил его на рабочей станции, указав что разместиться он должен автоматически.

    Все, после этого клиент подключился к серверу.


    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 8:38
  • Я вот тоже пытался подключиться через браузер к Enterprise CA, и хотел скачать сертификат Root CA, в браузере вбил "http://mslync2.mslynctest.kz/certsrv" , на что получил ответ что веб-страница не доступна. Попробовал telnet xxxxxxxx 80. Не удалось подключиться. Зашел на этот сервак, там написал " telnet localhost 80". Вылезла ошибка "Could not open connection to the host on port 80".  

    я так понял, что у меня этот порт закрыт??? Зашел в брэндмауэер и там добавил порт 80 в список разрешенных. Но не помогло. Хотя Web Server установлен...

    8 августа 2012 г. 9:00
  • как вариант, если это тестовое развертывание. предлагаю отключить брендмауэр и на DC и на сервере Lync, и прописать в браузере адрес Enterprise CA в доверенные узлы.

    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 9:03
  • Вообщем, сделал как вы сказали. После этого вбли в браузере https://89.218.23.171/certsrv, на что вылезла страница ошибки сервера. 

    404 - File or directory not found.

    The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.

    8 августа 2012 г. 9:12
  • вообще-то надо по имени... попробуйте непосредственно на сервере, где развернута роль СА проделать то же самое, то есть зайти на него через браузер.

    И кстати, при развертывании служб сертификации вы добавляли возможности WEB-публикации сервиса СА?


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 8 августа 2012 г. 9:21
    8 августа 2012 г. 9:19
  • 

    Вывел следующее...

    8 августа 2012 г. 9:27
  • а если просто по http: ?

    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 9:31
  • Internet Explorer cannot display the webpage

    8 августа 2012 г. 9:34
  • Хм..

    Тогда лучше поступить следующим образом:

    Снести роль СА с сервера, где развернут Lync Server, развернуть роль CA на контроллере домена (включая интеграцию с AD и веб-публикацию), перевыпустить сертификат СА, затем повторно выполнить третий шаг в Lync Deployment Wizard (request Certificate). после чего поместить сертификат СА в хранилище корневых доверенных центров рабочей станции (должен загрузиться через web браузер).


    Do not multiply entities beyond what is necessary

    8 августа 2012 г. 9:43
  • Я все сделал как вы сказали. Сейчас зашел через браузер на Enterprise CA. Хочу спросить что мне скачать? 


    Install CA certificate
    Download CA certificate
    Download CA certificate chain

    Я так понял, что как только я скачаю этот сертификат, мне надо будет зайти в mmc и там сделать import в хранилище корневых доверенных центров? 

    И второй вопрос: Вы говорили "Далее. Импортировал сертификат Lync в файл .cer, и так же установил его на рабочей станции, указав что разместиться он должен автоматически."

    Это получается 2 раза импортировать?


    • Изменено Erlen1989 8 августа 2012 г. 10:55
    8 августа 2012 г. 10:15
  • Вообщем, все сделал. Но все равно не помогло. Все та же ошибка. У меня складывается ощущение, что виной тому, что некоторые порты на сервере Линка закрыты. Может ли это быть так? Ведь компьютеры внутри домена спокойно логинятся. Если так, то какие порты должны быть открыты?
    8 августа 2012 г. 11:17
  • Я же рекомендовал: в тестовых целях отключите брендмауэр на доменном уровне. А информация по портам для сервера и клиента доступна Здесь

    Do not multiply entities beyond what is necessary

    9 августа 2012 г. 4:38
  • Проблема решена. И дело было вовсе не в сертификатах. Вообщем, я вводил IP в Internal Server Name or IP & External Server Name or IP

    Надо вводить не IP, а FQDN. В моем случай mslync2.mslynctest.kz. Потом зашел в hosts.txt и там добавил строку

    89.218.23.171   mslync2.mslynctest.kz

    И все заработало :) 

    Всем спасибо за помощь. 

    • Помечено в качестве ответа Erlen1989 10 августа 2012 г. 11:49
    10 августа 2012 г. 11:49