none
Нужна помощь в настройке доступа клиентов из вне RRS feed

  • Вопрос

  • Итак, в 3 дня придумали развернуть Lync ) Разветывал сразу в живом домене и Front-End и Edge, параллельно слушая увлекательную и познавательную трилогию (за неё отдельное спасибо Ингизу и Александру). 2 дня устанавливал настраивал, инструкций практически не читал. Добрался до публикации на TMG (EDGE за TMG, 1 внешний ip) - мозг почти закипел, поэтому делал почти под диктовку.

    Итог: внутри всё работает (конференции, доступность, дружба с Exchange и т.д.). А вот с наружи - как-то не очень:

    1. комп доменный (учетка лок. админа), запускаю Lync, ввожу в нём свои учетные данные - работает (и даже звонит); Но не могу дать доступ к своему видео (оппонента вижу), не могу расшарить рабочий стол или увидеть рабочий стол оппонента и т.д. И вроде бы не грузится GAL.

    2. комп недоменный, но сертик CA установлен. Запускаю Lync, указываю свой e-mail (совпадает с sip), ввожу учетные данные и ошибся при вводе пароля ) повторно пароль не спрашивает, а сразу говорит, что не может найти сервер для этого адреса...

    Прошу прощения, но совсем запутался уже... Но по порядку: какие записи должны быть на внешнем DNS для автоматического определения сервера?

    сейчас есть A записи sip, meet, conf, av, sipexternal - все указывают на один ip; сделал SRV записи _sipexternal._tcp port 5061 ссылается на А sipexternal и _sip._tsl port 5061 ссылается на sip. По этому же адресу опубликованы сервисы Exchange.

    29 марта 2012 г. 6:21

Ответы

Все ответы

  • забыл приложить результат testocsconnectivity:

    Attempting to Resolve the host name sip.domain.ru in DNS.
    Host successfully Resolved
     Additional Details
     IP(s) returned: 93.*.*.2

    Testing TCP Port 5061 on host sip.avtotver.ru to ensure it is listening/open.
     The port was opened successfully.

    Testing SSLCertificate for validity.
     The certificate passed all validation requirements.validation checks.
     Additional Details
     Subject: CN=ocs.domain.local, Issuer CN=domain-DC-CA, DC=domain, DC=local

    Testing the Remote Connectivity of user user@domain.ru to the Microsoft Lync Server.
    Specified Remote Connectivity test(s) to Microsoft Lync Server failed. Please examine below details of specific reason for failure.

     Additional Details
     Subscription for provisioning data did not return a valid MRAS URI.

    29 марта 2012 г. 8:51
  • Очень плохо, что не читали ;) .

    Записи "sipexternal" и "_sipexternal._tcp" не нужны. Если у вас все службы Edge'а висят на одном адресе, для чего вам записи "conf" и "av"? Как у вас в топологии настроено?

    Надеюсь, вы один и тот же порт не используете одновременно для Reverse Proxy и NAT'а?

    29 марта 2012 г. 11:12
    Модератор
  • Такс... перелопатил топологию:
    дефолтный sip домен: domain.ru
    доп. поддерживанемые домены: список из десятка доменных имен
    симпл урлы:  Phone access: https://dialin.domain.ru
      Meeting: https://meet."список из десятка доменных имен".ru

    Front-End-Standard
    Internal web services: http:80, https:443
    External web services: http:8080, https:4443

    Edge
    Internal FQDN: ocs.domain.local
    Internal ip: 192.168.1.102
    Federation enabled (port 5061) - федерации пока не планируются
    External Settings
    SIP Access FQDN: sip.domain.ru
    SIP Access ip: 192.168.1.101
    SIP Access port: 5061
    SIP Access protocol: TLS
    Web Conferencing Edge service FQDN: sip.domain.ru
    Web Conferencing Edge service ip: 192.168.1.101
    Web Conferencing Edge service port: 444
    Web Conferencing Edge service protocol: TLS
    A/V service FQDN: sip.domain.ru
    A/V service ip: 192.168.1.101
    A/V service port: 443
    A/V service protocol: TCP

    Галка Enable separate FQDN and ip address for web and A/V снята т.к. используются 1 внешний и 1 внутренний ip адреса и для TMG и для Lync Edge

    По TMG: есть слушатель порта 443 с серификатом для имен вида *."список из десятка доменных имен".ru. Он же используется для публикации сервисов Exchange, RDWeb и Lync Web Components в том числе.
    Правила публикации Lync EDGE 1 в 1 как в Вашем кино, но без сетевых правил доступа для разных ip (для меня не актуально).

    29 марта 2012 г. 12:11
  • И да, порт 443 используется в правилах публикации с прослушивателями и в правилах публикации "не веб-серверов", например Lync EDGE SIP (TLS 443) - протокол публикации "HTTPS-сервер" :(
    29 марта 2012 г. 12:18
    • Помечено в качестве ответа Peter Koreshkov 30 марта 2012 г. 15:13
    29 марта 2012 г. 12:25
    Модератор
  • Я уже понял... читаю параллелую ветку )

    У меня есть в филиале еще один TMG без слушателей порта 443 и другим внешним ip. Он мне сможет помочь?
    Я имею ввиду следующее:
    TMG 1 - внешний Ip 93.*.*.2 - на нём правила публикации web-сервисов Lync + правило доступа Lync EDGE во внешний мир.
    TMG 2 - внешний Ip 93.*.*.3 - на нём правила проброса портов (в том числе 443) на EDGE.

    Если так возможно, то как разнести сервисы Lync по этим 2-м ip адресам и какие внешние DNS записи куда должны ссылаться?

    P.S. просто так: этот нюанс с одним внешним ip адресом и различными вариантами публикации порта 443 - это недостаток TMG или же это возможность с заранее урезанным функционалом?

    29 марта 2012 г. 12:46
  • Если вы хотите, чтоб Edge публиковался через второй TMG, то именно через него он и должен выходить в мир, иначе работать у вас не будет.

    Ну так те, что относятся к Edge'у на соответствующий адрес и должны указывать. Вы же говорили, что вы смотрели наши записи - мы там всё более чем подробно рассказывали ;) .

    А вообще, зачем вы так заморачиваетесь? Просто разнесите службы по портам, чтоб Edge не использовал 443-й порт...

    P. S. Это принципиально разные технологии публикации, которые между сабой несовместимы.

    29 марта 2012 г. 13:21
    Модератор
  • т.е. в топологии поправить:

    A/V service port: 443   - например на 445

    а на TMG в правилах Lync EDGE SIP (TLS 443), Lync EDGE WebConf (TLS 443), Lync AV STUN (TCP 443) исправить протокол с стандартного "HTTPS-сервер", например на "HTTPS-сервер 445"

    Я правильно понимаю? Прошу прощения, но совсем запутался ))

    29 марта 2012 г. 13:46
  • 445 - стандартный системный порт, использующийся для доступа к общим папкам и принтерам (SMB), так что, использовать вы его не сможете ;) .

    В вашем случае, на Edge'е оставить только один "внешний" IP-адрес, указать, что все службы будут висеть на одном имени, для службы Access указать порт 5061, Web Conference - 444, A/V - 442.

    29 марта 2012 г. 13:51
    Модератор
  • Да, с 445 я погорячился, вернее очепятался...

    Сделал протокол "HTTPS-сервер 442", разрешил SSL по порту 442, сделал правило NAT (у меня на TMG настроен ISP с 2я провайдерами).

    Сейчас вроде всё работает, жду адресную книгу...

    второй вопросик: что делать с недоменными компами? как на них запустить Lync с автонастройкой?

    30 марта 2012 г. 6:05
  • Ну а в чём проблема-то с этими клиентами?

    И, опять же - мы это тоже показывали и рассказывали ;) .

    30 марта 2012 г. 8:40
    Модератор
  • Прошу прощения, с других компов работает. Проблема на конкретном клиенте: при запросе учетных данных по запарке ввел админские вместо пользовательских... отсюда следует вопрос где нужно вычистить кэш с неверно введенными данными?

    30 марта 2012 г. 11:39
  • Для начала, посмотрите диспетчер учётных данных и удалите сертификат пользователя из хранилища...

    30 марта 2012 г. 13:22
    Модератор
  • Всё оказалось гораз до проще: почистить диспетчер учетных данных Windows.

    Однако, у меня не грузится адресная книга (и на доменном и на не доменном ПК) - Lync говорит "Невозможно выполнить синхронизацию информации из адресной книги".

    Глядя на параллельную ветку, в IE открываю https://sip.domain.ru/abs/handler/C-1007-1009.lsabs и после ввода логина/пароля скачиваю файл.

    В моём случае куда копать?
    30 марта 2012 г. 14:42
  • Ну так я именно это вам и предлагал ;) .

    В вашем случае, сперва закройде данную тему, а по вопросу адресной книши создайте новую...

    30 марта 2012 г. 14:45
    Модератор
  • Stаnky , спасибо Вам за помощь! Пошел в другую тему.
    30 марта 2012 г. 15:10