none
Lync не проходит проверку по 5061 порту RRS feed

  • Вопрос

  • Добрый день. Тестирую соединение внешних клиентов с помощью сервиса  https://www.testocsconnectivity.com/

    По 443 порту тест проходит хорошо. По 5061 выдает ошибку:

    Testing the Remote Connectivity of user chuvashlev_as@domain.ru to the Microsoft Lync Server.   Specified Remote Connectivity test(s) to Microsoft Lync Server failed. Please examine below details of specific reason for failure. Test Steps  

    Attempting to Resolve the host name lync.domain.ru in DNS.
      Host successfully Resolved
    Additional Details
      IP(s) returned: 193.200.28.20
    Testing TCP Port 5061 on host lync.domain.ru to ensure it is listening/open.
      The port was opened successfully.
    Testing SSLCertificate for validity.
      The SSLCertificate failed one or more certificate
     
    Tell me more about this issue and how to resolve it
    Additional Details
      If you are using a Reverse Proxy to get to the Access Edge Server, this could possibly be an issue with Reverse Proxy configuration.: Exception Details: Message: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. Type: System.IO.IOException Stack Trace: at System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size) at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count) at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult) at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost) at TestOCSConnectivity.Tests.SSLCertificateTest.PerformTestReally() Exception Details: Message: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. Type: System.IO.IOException Stack Trace: at System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size) at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count) at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult) at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost) at TestOCSConnectivity.Tests.SSLCertificateTest.PerformTestReally() 

    С уважением, Чувашлев Антон Сергеевич
    • Изменено MFNSOsysadm 7 ноября 2011 г. 7:42 sef
    7 ноября 2011 г. 7:42

Ответы

  • Ну так вы, видимо, в топологии определили, что служба Edge Access работает на 443-м порту. Просто, при подключении на 5061 вас просят предоставить сертификат для установления MTLS, соответственно, подключение невозможно ;) .

    Сдался вам этот порт 5061? Измените свою SRV-запись "_sip._tls.mfnso.ru", чтоб она указывала на порт 443 и будет вам счастье... Либо, измените в топологии порт у Edge Access.

    P. S. И зачем вы в публичном сертификате прописали внутренние имена вида "*.mfnso.local"?

    • Помечено в качестве ответа MFNSOsysadm 7 ноября 2011 г. 11:23
    7 ноября 2011 г. 10:04
    Модератор

Все ответы

  • а порт 5061 открыт из вне?

    7 ноября 2011 г. 8:38
  • IP-адрес 193.200.28.20 - это адрес Edge'а или Web-сервисов на Front-End'е?

    На самом деле, у вас и по 443-му порту соединения на данный адрес не проходят ;) .

    7 ноября 2011 г. 8:40
    Модератор
  • IP-адрес 193.200.28.20 - это адрес Edge'а или Web-сервисов на Front-End'е?

    На самом деле, у вас и по 443-му порту соединения на данный адрес не проходят ;) .

    Ну я немного изменил его )) на самом деле адрес 193.232.38.20 . Все порты открыты извне и 5061 и 443.  Главное по 443 порту то он проходит, а на 5061 затыкается на уровне SSL сертификата.

     

    193.232.38.20 Это адрес Edge . Подколючение Lync клиента извне удается сделать, если прописать строку подключения lync.domain.ru:443


    С уважением, Чувашлев Антон Сергеевич
    • Изменено MFNSOsysadm 7 ноября 2011 г. 9:14 поправка
    7 ноября 2011 г. 9:12
  • Ну так вы, видимо, в топологии определили, что служба Edge Access работает на 443-м порту. Просто, при подключении на 5061 вас просят предоставить сертификат для установления MTLS, соответственно, подключение невозможно ;) .

    Сдался вам этот порт 5061? Измените свою SRV-запись "_sip._tls.mfnso.ru", чтоб она указывала на порт 443 и будет вам счастье... Либо, измените в топологии порт у Edge Access.

    P. S. И зачем вы в публичном сертификате прописали внутренние имена вида "*.mfnso.local"?

    • Помечено в качестве ответа MFNSOsysadm 7 ноября 2011 г. 11:23
    7 ноября 2011 г. 10:04
    Модератор
  • Ну так вы, видимо, в топологии определили, что служба Edge Access работает на 443-м порту. Просто, при подключении на 5061 вас просят предоставить сертификат для установления MTLS, соответственно, подключение невозможно ;) .

    Сдался вам этот порт 5061? Измените свою SRV-запись "_sip._tls.mfnso.ru", чтоб она указывала на порт 443 и будет вам счастье... Либо, измените в топологии порт у Edge Access.

    P. S. И зачем вы в публичном сертификате прописали внутренние имена вида "*.mfnso.local"?

    Внутренние имена прописал, потому что нет своего центра сертификации.

    Т.е. для внешней записи SRV поменять порт с 5061 на 443.  Но внутри то у меня работает все на 5061 порту. Внутри оставить все как есть?


    С уважением, Чувашлев Антон Сергеевич
    7 ноября 2011 г. 10:10
  • По внутренним именам понятно.

    Внутри вы подключаетесь не к Edge'у, а к Front-End'у ;). На Edge'е же у вас порт 5061 сейчас используется для федерации и поэтому требует от второй стороны сертификат для установления MTLS. Вам нужно изменить порт только во внешней SRV-записи.

    7 ноября 2011 г. 10:18
    Модератор
  • По внутренним именам понятно.

    Внутри вы подключаетесь не к Edge'у, а к Front-End'у ;). На Edge'е же у вас порт 5061 сейчас используется для федерации и поэтому требует от второй стороны сертификат для установления MTLS. Вам нужно изменить порт только во внешней SRV-записи.

    Спасибо. Протестирую.
    С уважением, Чувашлев Антон Сергеевич
    7 ноября 2011 г. 10:29
  • По внутренним именам понятно.

    Внутри вы подключаетесь не к Edge'у, а к Front-End'у ;). На Edge'е же у вас порт 5061 сейчас используется для федерации и поэтому требует от второй стороны сертификат для установления MTLS. Вам нужно изменить порт только во внешней SRV-записи.

    Клиент Lync подключился. SRV запись поправил.

    Теперь проверяю веб-доступ. Т.е. отправляю внутри предприятия ссылку на lyncmeet.

    Человек извне открывает ее и ничего не происходит, нет приглашения в собрание. lyncmeet.domain.ru это имя в глобальном DNS которое ссылается также на EDGE. Я так понял, что зайдя по ссылке будет веб приложение Lync.


    С уважением, Чувашлев Антон Сергеевич
    7 ноября 2011 г. 11:17
  • Тогда, пометьте данное обсуждение закрытым, а новый вопрос задавайте уже в новой теме - не нужно раздувать тему до бесконечности ;) ...

    7 ноября 2011 г. 11:20
    Модератор