none
Внешний доступ черз EDGE (Ошибка сертификата) RRS feed

  • Общие обсуждения

  • В общем при попытке подключиться извне сети появляется ошибка:

    В общем, как от нее избавиться?

     

    Краткое описание того что есть:

    Локальный домен wgw.com: Контроллер домена LyncDC.wgw.com с DNS и CA(128.28.50.157). Front End pool(pool01.wgw.com) в локальном домене (LyncFE-128.28.50.151,LyncFE2-128.28.50.158). Сoбственно, в сети все работает вполне адекватно.

    LyncEDGE.wgw.com(не в ходит в домен). На внутренний интерфейс установлен сертификат внутреннего сервера сертификации, на внешний сертификат с внешнего центра сертификации, разположенного на ISA. EDGE находится за ISA2006. Внешний IP один - соответсвенно сервисы разнесены по портам 5061, 444, и 443(стояли по-умолчанию).

    На внешний компьютер в доверенные центры сертификации добавил сертификаты с вешнего и внутреннего CA. Клиент установлен старый(внутри сети работает).

    11 октября 2011 г. 11:00

Все ответы

  • Sip.domain.com в сертификате внешем есть?

     

    11 октября 2011 г. 11:26
  • Помимо требований к сертификатам (http://technet.microsoft.com/en-us/library/gg398519.aspx), нужно проверить время и часовой пояс на внешней клиенсткой машине на соответствие времени на серверах.


    11 октября 2011 г. 11:39
  • Sip.domain.com в сертификате внешем есть?

     


    sip.wgw.com есть. При формировании запроса к центру сертификации был выставлен по умолчанию.

     


    Помимо требований к сертификатам (http://technet.microsoft.com/en-us/library/gg398519.aspx), нужно проверить время и часовой пояс на внешней клиенсткой машине на соответствие времени на серверах.



    Есть расхождение во времени на ISA И EDGE около 6 минут. Критично?
    • Изменено Tahiaji 11 октября 2011 г. 12:07 убрал даблпост
    11 октября 2011 г. 12:01
  • ПК, с которого вы подключаетесь не доверяет Центру Сертификации, который выпустил сертификат для внешнего интерфейса Lync Server 2010 Access Edge.
    Установите на этом ПК в контеqнер "Доверенные корневые центры сертификации" Компьютера сертификат ЦС, с которого вы выпускали сертификаты для внешнего интрерфейса Lync Edge, перезагрузите Компьютер.


    MCITP
    11 октября 2011 г. 12:52
    Модератор
  • Пк(ноут), насколько я понимаю,и так доверяет внешнему центру сертификации, т.к. с него есть доступ на OCS2007 и сертификат установлен ранее.

    P.S. правила для OCS на ISA2006 при тесте доступа LYNC отключаются.

    11 октября 2011 г. 13:19
  • на внешний сертификат с внешнего центра сертификации, разположенного на ISA.
    Я, видимо, чего-то в этой жизни уже не понимаю - у вас центр сертификации находится на ISA-сервере :) ?!
    11 октября 2011 г. 16:58
    Модератор
  • sip.wgw.com есть. При формировании запроса к центру сертификации был выставлен по умолчанию.
    А вы в курсе, что у вас порт 5061 на внешнем интерфейсе вообще закрыт? Или вы сделали разрешение для конкретных адресов? А ещё у вас нет SRV-записи для автоматического обнаружения Edge-сервера ;) .
    Есть расхождение во времени на ISA И EDGE около 6 минут. Критично?
    6 не критично, но, всё же, подведите стрелки часов... Гораздо важнее - расхождение времени на клиенте - оно имеет место быть?
    11 октября 2011 г. 17:03
    Модератор
  • Вы чего-то не договариваете - у вас там миграция с OCS'а на Lync идёт? Вы сейчас меняете OCS Edge на Lync Edge?
    11 октября 2011 г. 17:11
    Модератор
  • Вы чего-то не договариваете - у вас там миграция с OCS'а на Lync идёт? Вы сейчас меняете OCS Edge на Lync Edge?

    Не совсем. OCS2007 развернут и функционирует. Параллельно с ним, больше как тестовое, происходило развертывание Lync. Пока единственной точкой пересечения стала ISA2006. Пока вопрос интеграции или совместного использования не стоит. На данном этапе задача все запустить и показать что работает.

    Гораздо важнее - расхождение времени на клиенте - оно имеет место быть?

    На клиенте и EDGE расхождения во времени нет.

    Я, видимо, чего-то в этой жизни уже не понимаю - у вас центр сертификации находится на ISA-сервере :) ?!

    Не только центр сетификации, а и еще много чего... настроено давно, до моего прихода, и в ближайшее время меняться врятли будет.

    А вы в курсе, что у вас порт 5061 на внешнем интерфейсе вообще закрыт? Или вы сделали разрешение для конкретных адресов? А ещё у вас нет SRV-записи для автоматического обнаружения Edge-сервера ;) .

    wgw условное внутреннее название домена. При мониторинге входящего соединение правило на исе отрабатывается(172.16.2.11 - внешний ip EDGE)

    Srv запись для обнаружения EDGE... что-то я слышал что это не обязательно, казалось, что раз правила на EDGE отрабатываются, в них нет необходимости. Возможно в этом не прав, попробую добавить... хотя не совсем понимаю для чего.


    • Изменено Tahiaji 12 октября 2011 г. 5:28
    12 октября 2011 г. 5:26
  • Ну вообще то клиент по SRV записи понимает на какое имя ему долбится и по какому порту, но если Вы считаете что это не важно можно неуказывать. Да имя сервера долно присутствовать в сертификате.

    12 октября 2011 г. 17:14
  • Да еще позволю дать один безполезный совет. В ключи трассировку на клиенте и в логе посмотри куда клиент пытается подключится, на какие имена и посмотри если эти имена в сертификате и в какие IP они резолвятся. Думаю дальше понятно куда копать. 
    • Изменено Morozov 12 октября 2011 г. 17:23
    12 октября 2011 г. 17:22
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    17 октября 2011 г. 13:02
  • Трассировка клиента:

    10/21/2011|10:13:51.066 1774:47C INFO  :: module=uccapi flavor=fre version=3.5.6907.221
    10/21/2011|10:13:51.067 1774:47C INFO  :: Initialization flags (100)
    10/21/2011|10:13:51.069 1774:47C ERROR ::  Failed to init PANOVideo[001FAAE4], 80070002
    10/21/2011|10:13:51.069 1774:47C TRACE :: CRTCMediaController::Initialize Start registering window class
    10/21/2011|10:13:51.069 1774:47C TRACE :: CRTCMediaController::Initialize End registering window class
    10/21/2011|10:13:51.069 1774:47C TRACE :: CRTCMediaController::Initialize Start CreateWindow(...)
    10/21/2011|10:13:51.071 1774:47C TRACE :: CRTCMediaController::Initialize End CreateWindow(...)
    10/21/2011|10:13:51.071 1774:47C TRACE :: CRTCMediaController::Initialize Start initializing registyr settings
    10/21/2011|10:13:51.072 1774:47C TRACE :: CRTCMediaController::Initialize End initializing registyr settings
    10/21/2011|10:13:51.072 1774:47C TRACE :: CRTCMediaController::Initialize Start LoadLibrary(MEDIAPLATFORMDLL)
    10/21/2011|10:13:51.083 1774:47C TRACE :: CRTCMediaController::Initialize End LoadLibrary(MEDIAPLATFORMDLL)
    10/21/2011|10:13:51.083 1774:47C TRACE :: CRTCMediaController::Initialize Start create rtp platform
    10/21/2011|10:13:51.446 1774:47C TRACE :: CRTCMediaController::Initialize End create rtp platform
    10/21/2011|10:13:51.446 1774:47C TRACE :: CRTCMediaController::Initialize Start setting ports for media
    10/21/2011|10:13:51.446 1774:47C TRACE :: CRTCMediaController::Initialize End setting ports for media
    10/21/2011|10:13:51.446 1774:47C TRACE :: CRTCMediaController::Initialize Start LoadDeviceSettings()
    10/21/2011|10:13:51.446 1774:47C INFO  :: SetDeviceDisabled[001FAA24] 0->0
    10/21/2011|10:13:51.448 1774:47C TRACE :: SetDevice[001FAA24] 00000000->0095EF5C
    10/21/2011|10:13:51.448 1774:47C INFO  :: SetDeviceDisabled[001FAA84] 0->0
    10/21/2011|10:13:51.450 1774:47C TRACE :: SetDevice[001FAA84] 00000000->009CF754
    10/21/2011|10:13:51.450 1774:47C INFO  :: SetDeviceDisabled[001FAAE4] 0->0
    10/21/2011|10:13:51.452 1774:47C TRACE :: SetDevice[001FAAE4] 00000000->009CF914
    10/21/2011|10:13:51.452 1774:47C INFO  :: SetDeviceDisabled[001FA9C4] 0->0
    10/21/2011|10:13:51.453 1774:47C INFO  :: Function: DeviceManager::Initialize
    10/21/2011|10:13:51.453 1774:47C ERROR :: HRESULT failed: 80ee002d = hr. FindDeviceByName
    10/21/2011|10:13:51.453 1774:47C ERROR :: CRTCMediaController::LoadDeviceSettings Failed while loading device- 3 with 80ee002d. 
    10/21/2011|10:13:51.769 1774:47C TRACE :: CRTCMediaController::Initialize End LoadDeviceSettings()
    10/21/2011|10:13:51.799 1774:47C INFO  :: CUccPlatform::InitializeMedia : media stack tracing enabled
    10/21/2011|10:13:51.811 1774:47C ERROR :: CHidManager::AddHidDevice - CreateFile(\\?\hid#vid_046d&pid_c03e#7&127c71bf&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}) failed with -2147024891
    10/21/2011|10:13:51.812 1774:47C ERROR :: CHidManager::EnumerateHidDevices - AddHidDevice failed 0x80070005
    10/21/2011|10:13:51.813 1774:47C INFO  :: Function: CUccAudioMediaDevice::InternalInitialize
    10/21/2011|10:13:51.813 1774:47C ERROR :: HRESULT API failed: 80004005 = hr. ParsePidVid
    10/21/2011|10:13:51.813 1774:47C INFO  :: Function: CUccAudioMediaDevice::InternalInitialize
    10/21/2011|10:13:51.813 1774:47C ERROR :: HRESULT API failed: 80004005 = hr. ParsePidVid
    10/21/2011|10:13:51.813 1774:47C INFO  :: Audio device \\?\HDAUDIO#FUNC_01&VEN_111D&DEV_7605&SUBSYS_103C1411&REV_1004#4&772152B&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\ESLAVEDHPSPEAKERWAVE
    10/21/2011|10:13:51.813 1774:47C INFO  :: No matching HID device Fond
    10/21/2011|10:13:51.813 1774:47C INFO  :: Function: CUccMediaDeviceManager::UpdateTelDeviceAdded
    10/21/2011|10:13:51.814 1774:47C TRACE :: Condition failed with 00000000: 'sbstrHidId.Length() != 0'
    10/21/2011|10:13:51.814 1774:47C INFO  :: Audio device \\?\HDAUDIO#FUNC_01&VEN_111D&DEV_7605&SUBSYS_103C1411&REV_1004#4&772152B&0&0001#{6994AD04-93EF-11D0-A3CC-00A0C9223196}\EMICIN2WAVE
    10/21/2011|10:13:51.814 1774:47C INFO  :: No matching HID device Fond
    10/21/2011|10:13:51.814 1774:47C INFO  :: Function: CUccMediaDeviceManager::UpdateTelDeviceAdded
    10/21/2011|10:13:51.814 1774:47C TRACE :: Condition failed with 00000000: 'sbstrHidId.Length() != 0'
    10/21/2011|10:13:51.821 1774:47C INFO  :: Function: CUccMediaDeviceManager::GetBoolProperty
    10/21/2011|10:13:51.821 1774:47C TRACE :: Condition failed with 80ee0058: 'spProperty.IsValid()'
    10/21/2011|10:13:51.822 1774:47C INFO  :: Function: CUccMediaDeviceManager::GetBoolProperty
    10/21/2011|10:13:51.822 1774:47C TRACE :: Condition failed with 80ee0058: 'spProperty.IsValid()'
    10/21/2011|10:13:51.822 1774:47C INFO  :: Function: CUccMediaDeviceManager::GetBoolProperty
    10/21/2011|10:13:51.822 1774:47C TRACE :: Condition failed with 80ee0058: 'spProperty.IsValid()'
    10/21/2011|10:13:51.822 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Default device changed to <- Log message too long!
    10/21/2011|10:13:51.822 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Selected device changed to <- Log message too long!
    10/21/2011|10:13:51.823 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Default device changed to <- Log message too long!
    10/21/2011|10:13:51.823 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Selected device changed to <- Log message too long!
    10/21/2011|10:13:51.823 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Default device changed to <- Log message too long!
    10/21/2011|10:13:51.824 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Selected device changed to <- Log message too long!
    10/21/2011|10:13:51.824 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Default device changed to <HP Webcam [2 MP Fixed]> for category=0 media=2 direction=1 reason=2
    10/21/2011|10:13:51.825 1774:47C INFO  :: CUccMediaDeviceManager::FireDeviceChanged - Selected device changed to <HP Webcam [2 MP Fixed]> for category=0 media=2 direction=1 reason=2
    10/21/2011|10:13:51.834 1774:47C TRACE :: SipStackGlobalInit - Doing WSAStatusup(1,1)
    10/21/2011|10:13:51.835 1774:47C TRACE :: SipStackGlobalInit - WsaData fields: wsaVersion=1.1(0x101), wVersion=1.1(0x101), wHighVersion=2.2(0x202)
    10/21/2011|10:13:51.835 1774:47C TRACE :: client[001F9FA8] new sipStack[00221FC0]
    10/21/2011|10:13:52.583 1774:47C INFO  :: CUccServerEndpoint::Initialize - This endpoint is  sharing presentity data.
    10/21/2011|10:13:52.594 1774:47C INFO  :: Outgoing 044D0EB8-<sip:test11@wgw.com>, local=(null)
    10/21/2011|10:13:53.278 1774:14CC ERROR :: gethostbyname failed for host pool01.wgw.com, error: 0x2af9
    10/21/2011|10:13:53.278 1774:14CC ERROR :: DNS_RESOLUTION_WORKITEM::ProcessWorkItem ResolveHostName failed 80072af9
    10/21/2011|10:13:53.279 1774:47C TRACE :: SIP_MSG_PROCESSOR::OnDnsResolutionComplete[044D0EB8] Entered host pool01.wgw.com
    10/21/2011|10:13:53.279 1774:47C ERROR :: SIP_MSG_PROCESSOR::OnDnsResolutionComplete - error : 80ee0066
    10/21/2011|10:13:53.279 1774:47C TRACE :: SIP_MSG_PROCESSOR::UseHttpProxy try resolve HttpProxy
    10/21/2011|10:13:53.328 1774:47C TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback 3c
    10/21/2011|10:13:53.331 1774:47C TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback 3c
    10/21/2011|10:13:53.332 1774:47C ERROR :: SIP_MSG_PROCESSOR::OnDnsResolutionComplete - setting m_RequestSocketErrorCode to 0. Old value is 80ee0066
    10/21/2011|10:13:53.338 1774:1210 TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback a
    10/21/2011|10:13:53.648 1774:1210 TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback 64
    10/21/2011|10:13:53.648 1774:47C TRACE :: SIP_MSG_PROCESSOR::HttpProxyProcessWinProc receives WM_HttpProxy_PROCESS_FINAL_MESSAGE
    10/21/2011|10:13:53.648 1774:47C ERROR :: HTTP_PROXY_RESOLVE_CONTEXT::~HTTP_PROXY_RESOLVE_CONTEXT HPContext handle 1 deleted, this 044D9AF0
    10/21/2011|10:13:53.649 1774:47C TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback 46
    10/21/2011|10:13:53.649 1774:47C TRACE :: Entering callback SIP_MSG_PROCESSOR::HttpProxyCallback 46
    10/21/2011|10:13:53.649 1774:47C TRACE :: SIP_MSG_PROCESSOR::OnRequestSocketConnectComplete - Enter this: 044D0EB8, callid=(null), ErrorCode: 0x80ee001c
    10/21/2011|10:13:53.649 1774:47C ERROR :: Releasing socket and notifying transactions
    10/21/2011|10:13:53.649 1774:47C ERROR :: SIP_MSG_PROCESSOR::NotifyRequestSocketConnectComplete - Error: 80ee001c
    10/21/2011|10:13:53.649 1774:47C ERROR :: OUTGOING_TRANSACTION::OnRequestSocketConnectComplete - connection failed error 80ee001c
    10/21/2011|10:13:53.649 1774:47C TRACE :: CUccServerEndpoint::UpdateEndpointState - Update state from 1 to 0. Status 80EE001C. Status text (null).
    10/21/2011|10:13:53.650 1774:47C INFO  :: Function: CUccServiceOperationManager::DisableServManager
    10/21/2011|10:13:53.650 1774:47C TRACE :: Condition failed with 80ee0061: 'm_fServMgrEnabled'
    10/21/2011|10:13:53.650 1774:47C INFO  :: Function: CUccServerEndpoint::UpdateEndpointState
    10/21/2011|10:13:53.650 1774:47C ERROR :: HRESULT API failed: 80ee0061 = hr. DisableServManager
    10/21/2011|10:13:53.651 1774:47C INFO  :: Outgoing 044D0EB8-<sip:test11@wgw.com>, local=(null)
    10/21/2011|10:13:53.651 1774:47C TRACE :: SIP_STACK::RefreshProviderInfoForAllDialogs - enter [0x00221FC0]
    10/21/2011|10:13:53.651 1774:47C TRACE :: SIP_STACK::RefreshProviderInfoForAllDialogs - exit [00221FC0]
    10/21/2011|10:13:53.654 1774:47C TRACE :: SIP_MSG_PROCESSOR::OnDnsResolutionComplete[044D0EB8] Entered host iv-pro.com
    10/21/2011|10:13:53.655 1774:47C INFO  :: CSIPCompressor::Initialize - Compression setting 2, threshold 128000, timeout 5000
    10/21/2011|10:13:53.660 1774:47C INFO  :: ASYNC_SOCKET::SetHttpProxyAddr HttpProxyAddr [0.0.0.0:0]
    10/21/2011|10:13:53.660 1774:47C INFO  :: ASYNC_SOCKET::Connect - Tunneling [no] - DestAddr [81.90.*.*:5061] - Host [iv-pro.com:5061] - RemotePrincipalName - [iv-pro.com], this 044E3420
    10/21/2011|10:13:54.069 1774:47C TRACE :: Async work item posted for TLS negotiation: this 044E3420
    10/21/2011|10:13:54.069 1774:47C TRACE :: ASYNC_SOCKET::SendOrQueueIfSendIsBlocking sending sendBuffer 044D0A78, this 044E3420, pSendBuffer->m_BufLen = 125
    10/21/2011|10:13:54.070 1774:47C TRACE :: ASYNC_SOCKET::SendHelperFn sendBuffer 044D0A78 sent, this 044E3420, m_BytesSent = 125, pSendBuffer->m_BufLen = 125
    10/21/2011|10:13:55.522 1774:47C TRACE :: Async work item posted for TLS negotiation: this 044E3420
    10/21/2011|10:13:55.524 1774:14CC ERROR :: SECURE_SOCKET: negotiation failed: 80090322, principal name: [iv-pro.com]
    10/21/2011|10:13:55.525 1774:47C ERROR :: ASYNC_SOCKET::OnConnectError (0x80ee0065) - enter
    10/21/2011|10:13:55.526 1774:47C TRACE :: SIP_MSG_PROCESSOR::OnRequestSocketConnectComplete - Enter this: 044D0EB8, callid=(null), ErrorCode: 0x80ee0065
    10/21/2011|10:13:55.526 1774:47C ERROR :: Releasing socket and notifying transactions
    10/21/2011|10:13:55.526 1774:47C ERROR :: SIP_MSG_PROCESSOR::NotifyRequestSocketConnectComplete - Error: 80ee0065
    10/21/2011|10:13:55.526 1774:47C ERROR :: OUTGOING_TRANSACTION::OnRequestSocketConnectComplete - connection failed error 80ee0065
    10/21/2011|10:13:55.526 1774:47C TRACE :: CUccServerEndpoint::UpdateEndpointState - Update state from 1 to 0. Status 80EE0065. Status text (null).
    10/21/2011|10:13:55.526 1774:47C INFO  :: Function: CUccServiceOperationManager::DisableServManager
    10/21/2011|10:13:55.526 1774:47C TRACE :: Condition failed with 80ee0061: 'm_fServMgrEnabled'
    10/21/2011|10:13:55.526 1774:47C INFO  :: Function: CUccServerEndpoint::UpdateEndpointState
    10/21/2011|10:13:55.526 1774:47C ERROR :: HRESULT API failed: 80ee0061 = hr. DisableServManager
    10/21/2011|10:13:55.526 1774:47C INFO  :: Function: CUccEndpoint::Disable
    10/21/2011|10:13:55.526 1774:47C TRACE :: Condition failed with 80ee0092: 'GetState() != UCCES_IDLE'
    10/21/2011|10:13:55.529 1774:47C TRACE :: SIP_STACK::DeleteProviderProfile freed profile at index 0
    

     

    Пакеты:

    Клиент-ISA:

    ISA-EDGE:

    P.S. Прошу прощение за задержку в ответе.


    • Изменено Tahiaji 21 октября 2011 г. 7:33
    21 октября 2011 г. 7:25
  • В общем такое дело: центр сертификации, который якобы должен был быть внешним, оказался не совсем внешним... а именно недоступным снаружи.

    Существует ли возможность подключаться снаружи с использованием только внутренних сертификатов?

    P.S. Внутренее доменное имя нигде не зарегистрировано снаружи, т.е. используется только внутри организации. Сервисы, выдающие бесплатные или триальные сертификаты, требуют подверждения подлинности(принадлежности) домена, а он то как раз и не зарегистрирован и врятли будет.  Есть ли возможность как-то это обойти?

     

     

    4 ноября 2011 г. 7:48
  • установите корневой сертификат центра сертификации в список доверенных корневых сертификатов на клиенте - это, как правило, решает проблему

    4 ноября 2011 г. 13:00