none
lync push 504 error RRS feed

  • Вопрос

  • получен сертификат, в нём все дополнительные SANы, Common Name правильный, сообщения с мобильного и на него ходят извне нормально, сайт lyncconnectivity все шаги проходит нормально кроме последнего, ошибка: Specified Remote Connectivity test(s) to Microsoft Lync Server failed.

    PIC не настраивал, не видел нигде что он нужен для Push.

    _sipfederationtls._tcp SRV во внешнем днс ссылается на порт 5061 и на внешний адрес edge

    может нужны какие-то особенные порты, кроме 5060, 5061 не считая порта для Apple Push?

    Test-CsFederatedPartner -TargetFqdn lync-edge.domain.ru -Domain "push.lync.com" -ProxyFqdn "sipfed.online.lync.com"
    Test-CsMcxPushNotification : A 504 (Server time-out) response was received from
     the network and the operation failed. See the exception details for more infor
    mation.

    запустил тест подключения через https://www.testocsconnectivity.com/ вариант autodiscover вышеуказанная ошибка, а в варианте когда я вручную указываю edge сервер - всё ок.

    проверил https://autodiscover.domain.com извне - нормально открывается, предлагает загрузить файл.

    Когда настраивал lync server, то прописывал во внешнем днс запись lyncdiscover, которая ссылается на frontend сервер, который открыт для тестов без TMG (думаю это не обязательное требование), а вот автоматическое определение edge какой записью определяется?

    Нужно ли autodiscover добавлять в edge сертификат как SAN?

    внешний сертификат прикрутил к front end Lync Server External Web Site, использовал тот же сертификат, что и для edge с common name внешнего имени edge сервера, но в SAN есть имена пула и все другие имена используемые сервером

Ответы

  • опечатка..
    Где, какая опечатка, из какого контекста?
    во внутреннем днс указывает на адрес интерфейса Edge,который смотрит в локальную сеть
    во внешнем днс указывает на адрес роутера, который перенаправляет порты 5060, 5061 на интерфейс Edge, который смотрит в ДМЗ
    В общем, рисуйте схему вашей инфраструктуры... А порт 5060 вообще не используется ;) .
    я назначил один сертификат для edge и для публичного использования и для вннутреннего в визарде и ещё на External discover site
    Как я уже говорил, так делать не надо. Что ещё за "External discover site"?
    без автодискавера все тесты проходят, а с автодискавером нет
    И не удивительно - в топологии у вас указан порт 5061, а в SRV-записи указан 443-й, который используется службой A/V ;) . Правда, судя по тому, что я вижу, этот порт у вас пробрасывается на Front-End, где стоит уже внутренний сертификат, выданный вашим "COF SubCA".
    какое-то противоречие - либо я указываю для внешнего веб сервиса отдельное имя, либо имя пула
    Под именем имеется ввиду не NetBIOS-имя, а FQND, которое ссылается на сам Front-End, а не на Director ;) .
    визард не дал это сделать через интерфейс - он видит только сертификаты у которых Common Name совпадает с Netbios-name либо с именем Edge пул
    Специально проверил у себя - нет таких ограничений. Видимо, ваш сертификат чем-то не нравится мастеру.
    В видео которое вы записывали с коллегой по настройки Edge вам давало выбрать сертификат через Wizard, из чего следует что у Common Name совпадал.
    Как я понимаю, вы говорите про это видео. Если так, то вы крайне невнимательный зритель - в 55:26 показано имя, которое указано для сертификата внутреннего интерфейса и тут FQDN-имя самого сервера просто обязано присутствовать, а в 1:00:03 показаны все имена для внешнего, где именем самого сервера и не пахнет ;) .
    Это наводит на мысль, что Common Name из External Edge name неправильно брать за основу, а им должно быть или имя пула Edge либо Netbios name Edge-сервера.
    Для внешнего сертификата - более чем правильно. Для внутреннего - FQDN-имя сервера обязательно должно присутствовать. А про NetBIOS-имена я вам, вообще, рекомендую забыть раз и навсегда ;) .
    где правда непонятно
    Я вам сказал, где она.
    Но при этом CRL внешнего ЦС доступен с Edge сервера в интернет, я специально открыл 80-й порт, чтобы устранить ошибку, но ошибка не устранилась.
    А, может, речь идёт о вашем внутреннем сертификате, в котором указано "ldap:///CN=COF SubCA,CN=aps01-tdm,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com"? У вас Edge входит в домен?
    Могу отключить проверку CRL как советуют на форумах...
    Если любите делать неправильно и ослаблять безопасность, конечно можете ;) ...
    с Common Name есть конечно простой способ проверить - это указать нетбиоснейм и еджпулнейм Lync-edge, тогда всё будет совпадать, но это много действий, да и непонятно есть ли вообще в этом смысл?!
    Как я уже неоднократно говорил, смысла нет, а про короткие NetBIOS-имена вообще забудьте.

    P. S. Вы в таком маленьком вопросе умудрились задать ещё десяток попутных - я бы рекомендовал выделять их в отдельные ветки, чтоб не загромаждать исходную тему ;) .

    • Помечено в качестве ответа SIDERMANN 22 мая 2012 г. 16:50
    Модератор

Все ответы

  • Перечислите все ваши DNS-записи и имена в сертификате...

    Особенных портов нет.

    А причём тут "https://autodiscover.domain.com" и Lync? Это имя, разве что, нужно для работы с Exchange'м.

    Можно, конечно, выставить Front-End в интернет и напрямую, но для этого нужно произвести соответствующую настройку и всё это является неподдерживаемым решением.

    Для нахождения Edge'а используется SRV-запись "_sip._tls.domain.ru".

    Самому Edge'у имя "autodiscover" в сертификате не требуется. Как я уже говорил, это имя используется исключительно для Exchange'а.

    Модератор
  • имел ввиду lyncdiscover

    записи:

    DNS Name=sip.domain.com
    DNS Name=externaledgename.domain.com
    DNS Name=conference.domain.com
    DNS Name=edgenetbiosname.domain.com
    DNS Name=lyncdiscover.domain.com
    DNS Name=pstn.domain.com
    DNS Name=lyncdiscoverinternal.domain.com
    DNS Name=poolname.domain.com
    DNS Name=frontendnetbiosname.domain.com
    DNS Name=dialin.domain.com
    DNS Name=meet.domain.com
    DNS Name=sipinternal.domain.com
    DNS Name=sipexternal.domain.com
    DNS Name=ocs.domain.com
    DNS Name=live.domain.com

    "произвести соответствующую настройку" - всё что я сделал это в иисе сделал биндинг к сертификату внешнего ЦС, который исопльзуется на edge

    _sip._tls.domain.com - ссылается на 443 порт и на внешнее имя edge.

    странно что тест без автодискавера проходит...просто вручную указал внешнее имя edge и всё


    • Изменено SIDERMANN 15 мая 2012 г. 20:05
  • А чего ради такое огромное количество имён, ещё и дублирующих друг-друга?

    Значит, внешние клиенты работают не с внешним сайтом, а с внутренним ;) .

    И чего же в этом странного?

    P. S. Я ответил на все ваши вопросы, вы же мой про DNS-записи проигнорировали ;) .

    Модератор
  • для того чтобы исключить вероятность, что что-то забуду, а оно будет нужно, больше не меньше)

    "Значит, внешние клиенты работают не с внешним сайтом, а с внутренним ;)" - как это, не понял? как исправить?

    я ж перечислил все имена в предыдущем посте

  • Так, может, для начала следовало бы ознакомиться с документацией и заранее выяснить, всё что нужно, а не пытаться поднять всё с наскока ;) ?

    Ну так это :) . Внешний сайт работает на портах 8080 и 4443, к которым ни кто не обращается - всё идёт по стандартным 80 и 443, что в итоге приводит к работе с внутренним сайтом, ибо эти порты привязаны к нему. Собственно, выполнить привязку соответствующим образом.

    Вы перечислили имена в сертификате, а я просил ещё и DNS-записи - вещи совершенно разные ;) .

    Модератор
  • я поднимал линк по документации...

    да - на 8080 и 4443, я на роутере перенаправляю с 443 порта

    днс записи из внешнего днс или внутреннего?

  • Видимо, вы её очень быстро в диагональном режиме читали, ибо многие ваши вопросы очень базовые, которые в мельчайших подробностях там расписаны :) .

    Тогда - другое дело.

    Внешнего, разумеется - вы же про Push-уведомления спрашиваете.

    Модератор
  • внешние dns записи:

    lyncdiscover.domain.com A - ссылается на front-end с редиректом 443-го порта на 4443

    externaledgename.domain.com A - днс запись edge сервера, отличается от нетбиос имени ortitсервера, именно эта запись указана в edge-pool топологии

    sip.domain.com A - ссылается на IP-адрес edge-сервера

    _sip._tls.domain.com SRV port 443 - ссылается на externaledgename.domain.com

    _sipfederationtls._tcp.domain.com SRV port 5061 - ссылается на sip.domain.com

    poolname.domain.com - ссылается на front-end. это же имя является именем указаным в external web services. Возможно неправильно что  external web services и internal web services имеют одинаковое имя, но во внешнем и внутреннем днс разные IP-адреса?

    внутренние днс записи:

    poolname.domain.com A - ссылается на ссылается на front-end

    lyncdiscoverinternal.domain.com CNAME ссылается на poolname.domain.com

    _sip_tls.domain.com SRV port 5061 - ссылается на  poolname.domain.com

    _sipinternaltls._tcp.domain.com port 5061 - ссылается на  poolname.domain.com

    _sipinternal._tcp.domain.com SRV port 5060 - ссылается на  poolname.domain.com

    sip.domain.com  A - ссылается на IP-адрес poolname.domain.com

    sipinternal.domain.com - ссылается на IP-адрес poolname.domain.com

    некоторые днс записи унаследованы от OCS 2007, я их перенаправлял на серверы Lync

    имеет ли значение где у меня внешний сертификат а где внутренний?

     

    Test-CsFederatedPartner –TargetFqdn <internal interface FQDN of Edge server used for federated SIP traffic> -Domain <FQDN of federated domain> -ProxyFqdn <FQDN of the Access Edge server used by the federated organization>

    и

     Test-CsMcxPushNotification –AccessEdgeFqdn <Access Edge service FQDN>

    выдают как я писал 504-ю ошибку. Может есть другие команды, которые позволят показать что не так настроено?

    установил BPA, показал, что всё ок, кроме того что гипервизор не от МС)

    не знаю важно или нет, но пока серверы OCS из топологии не удалял

    предчувствие что дело в факте прохождения теста https://www.testocsconnectivity.com/ без autodiscover и ошибка прохождения с autodiscover.

    Напоминаю, что Lync у меня извне работает с мобильного, с ПК, с IOS, не работает только Push Notifications

    • Изменено SIDERMANN 17 мая 2012 г. 1:23
  • что-то не так...

    я выключаю edge сервер, а сообщения всё равно с мобильного и обратно отправляются, как будто он работает напрямую с Front End без edge

    :-(((

    мобильный клиент продолжает работать, на ноутбуке из интернета пропала связь


    • Изменено SIDERMANN 17 мая 2012 г. 0:43
  • почитал параллельную тему http://social.technet.microsoft.com/Forums/ru-RU/lync2010ru/thread/fcce3c03-e224-4bc7-8304-0b51f60c94cd

    подумал может у меня тоже идёт обращение к внутреннему веб сервису. Выключил Lync Server Internal Web Site - всё работает.

    хочу ещё попробовать прописать в топологии разные имена внешнего и внутреннего сервисов, ибо сейчас это одно и то же имя при том, что это ещё и имя пула Lync Server, возможно так нельзя делать?

    Дополнено:

    из документации:

    1. Fully qualified domain name (FQDN) for target host, do one of the following:
      • For an internal DNS record, type or browse to the internal Web Services FQDN for your Director pool (for example, lyncwebdir01.contoso.local), and then click OK.
      • For an external DNS record, type or browse to the external Web Services FQDN for your Director pool (for example, lyncwebextdir.contoso.com), and then click OK.

    If you do not use a Director, use the internal and external Web Services FQDN for the Front End pool, or, for a single server, the FQDN for the Front End Server or Standard Edition server.

    то есть можно можно использовать имя пула для внешнего и внутреннего имени

    • Изменено SIDERMANN 17 мая 2012 г. 2:53
  • Ошибка 504 появляется при запуске на Front End Server при запуске на Edge Server

    Test-CsFederatedPartner –TargetFqdn <internal interface FQDN of Edge server used for federated SIP traffic> -Domain <FQDN of federated domain> -ProxyFqdn <FQDN of the Access Edge server used by the federated organization>

    и

     Test-CsMcxPushNotification –AccessEdgeFqdn <Access Edge service FQDN>

    ошибка такая:

    This machine does not have any assigned certificate.

    Хотя сертификат установлен

    странно то что при назначении сертификатов на Edge он предлагал только сертификаты в которых Common Name совпадал с  Netbios Name и с именем Edge Pool, но после импорта через powershell появился сертификат с внешним именем Edge из Edge Settings в топологии.

    Но возможно некорректно иметь имя Edge Pool/Netbios Edge Servername не совпадающим с Edge External Settings?

  • У Stanky видимо закончилось терпение, нет больше сил искать ошибки неправильной настройки...
  • externaledgename.domain.com A - днс запись edge сервера, отличается от нетбиос имени ortitсервера, именно эта запись указана в edge-pool топологии
    Что такое "ortitсервера"? На какой IP-адрес она указывает? Покажите вашу тополочию в части Edge'а и этого имени...
    _sipfederationtls._tcp.domain.com SRV port 5061 - ссылается на sip.domain.com
    Возможно, в этом ваша проблема и заключается.
    Возможно неправильно что external web services и internal web services имеют одинаковое имя, но во внешнем и внутреннем днс разные IP-адреса?
    Если делать всё правильно и нужен будет доступ к Mobility через внутреннюю сеть, то имена должны быть разными.
    lyncdiscoverinternal.domain.com CNAME ссылается на poolname.domain.com
    Опять же, если идти в правильном русле, то эта запись будет только мешать. Из остальных записей, я бы оставил только "_sip._tls" или "_sipinternaltls._tcp" (в действительности, разницы в них ноль) - остальные можете смело удалять, так они совершенно не используются.
    имеет ли значение где у меня внешний сертификат а где внутренний?
    Вопроса не понял. Вообще, если доверие сертификату имеется и прописаны правильные имена, разницы нет.
    Может есть другие команды, которые позволят показать что не так настроено?
    Реальные ответы могут дать только логи или вовсе сетевой трафик ;) .
    предчувствие что дело в факте прохождения теста https://www.testocsconnectivity.com/ без autodiscover и ошибка прохождения с autodiscover.
    Не понял, что вы хотели этим сказать.
    Напоминаю, что Lync у меня извне работает с мобильного, с ПК, с IOS, не работает только Push Notifications
    Я помню :) .
    Модератор
  • что-то не так...
    Как раз - всё так :).
    я выключаю edge сервер, а сообщения всё равно с мобильного и обратно отправляются, как будто он работает напрямую с Front End без edge
    Именно ;) ! Edge, для Mobility, используется исключительно для работы Push-уведомлений.
    Модератор
  • подумал может у меня тоже идёт обращение к внутреннему веб сервису
    Это очень легко проверить, скачав XML-файл по ссылке "https://poolname.domain.com/Autodiscover/AutodiscoverService.svc/root?sipuri=" - в самом начале будет указано расположение, типа ""AccessLocation":"External"".
    сейчас это одно и то же имя при том, что это ещё и имя пула Lync Server, возможно так нельзя делать?
    Скажем так, поддерживаемым сценарием это не является, о чём в документации по Mobility это чётко написано, но работать оно будет. Но если вы, всё, хотите подключаться по внутренней сети мобильными клиентами, имя нужно изменить.
    то есть можно можно использовать имя пула для внешнего и внутреннего имени
    То есть, если у вас нет Director'а, вы указываете ссылки на сам пул ;) .
    Модератор
  • странно то что при назначении сертификатов на Edge он предлагал только сертификаты в которых Common Name совпадал с Netbios Name и с именем Edge Pool
    Видимо, вы назначали сертификат на внутренний интерфейс Edge'а ;) . Сам никогда так не делал, но ходят слухи, что если один и тот же сертификат назначить на внешний и внутренний интерфейсы, при каких-то условиях пользователи входят без ввода пароля.
    Но возможно некорректно иметь имя Edge Pool/Netbios Edge Servername не совпадающим с Edge External Settings?
    Если я правильно понимаю, что вы имеете в виду - только так и надо делать. В смысле, имена совпадать не должны.
    Модератор
  • Ну, это вы зря ;) ! Если б вы следили за моей активностью на форуме, заметили бы, что некоторые темы, порой, я несколько месяцев до логического конца могу доводить и уж если начал, то не бросаю, либо признаюсь в своей беспомощности. Просто, вы написали слишком много всего и чтоб на это не то что ответить, а банально прочитать, нужно сосредоточиться и уделить время, которого, как всегда, нет.
    • Помечено в качестве ответа SIDERMANN 17 мая 2012 г. 18:17
    • Снята пометка об ответе SIDERMANN 17 мая 2012 г. 18:23
    Модератор
  • опечатка..

    во внутреннем днс указывает на адрес интерфейса Edge,который смотрит в локальную сеть

    во внешнем днс указывает на адрес роутера, который перенаправляет порты 5060, 5061 на интерфейс Edge, который смотрит в ДМЗ

    порты открывал по минимуму, чтобы хоть IM и Push заработал

  • Если делать всё правильно и нужен будет доступ к Mobility через внутреннюю сеть, то имена должны быть разными.

    Опять же, если идти в правильном русле, то эта запись будет только мешать. Из остальных записей, я бы оставил только "_sip._tls" или "_sipinternaltls._tcp" (в действительности, разницы в них ноль) - остальные можете смело удалять, так они совершенно не используются.

    пока опустим эти момент


    • Изменено SIDERMANN 17 мая 2012 г. 17:27
  • имеет ли значение где у меня внешний сертификат а где внутренний?

    имел ввиду где назначал сертифкат внутреннего ЦС где внешнего, а то я назначил один сертификат для edge и для публичного использования и для вннутреннего в визарде и ещё на External discover site

  • предчувствие что дело в факте прохождения теста https://www.testocsconnectivity.com/ без autodiscover и ошибка прохождения с autodiscover.

    на этом веб сайте можно выбрать тестирование с автодискавер и без него, так вот без автодискавера все тесты проходят, а с автодискавером нет.

  • с мобильного девайса такие файлы открыть нельзя, поэтому попробовал с ноутбука..показало что external site.

    прописал разные имена внешнего и внутреннего, опубликовал топологию.

    То есть, если у вас нет Director'а, вы указываете ссылки на сам пул ;) 

    какое-то противоречие - либо я указываю  для внешнего веб сервиса отдельное имя, либо имя пула. Сейчас у меня для внешнего отдельное имя, для внутреннего - имя пула Lync. оба имени есть в сертификатах внешнего и внутреннего сайта автодискавер - внешний работает по сертификату Edgeб внутренний по сертификату внутреннего ЦС.

  • я назначил и на внутренний и на внешний один и тот же сертификат, но визард не дал это сделать через интерфейс - он видит только сертификаты у которых Common Name совпадает с Netbios-name либо с именем Edge пул - так как и нетбиос и имя едж пула у меня одинаковые, точно не могу сказать что является признаком.

    Это вызывает подозрение. В видео которое вы записывали с коллегой по настройки Edge вам давало выбрать сертификат через Wizard, из чего следует что у Common Name совпадал.

    Это наводит на мысль, что Common Name из External Edge name неправильно брать за основу, а им должно быть или имя пула Edge либо Netbios name Edge-сервера. Но в блогах вроде писалось именно про имя из External Settings - где правда непонятно, есть только ошибка:

    This machine does not have any assigned certificate.

  • В итоге:

    1. До конца непонятно правильная ли у меня конфигурация DNS
    2. Непонятка с Common Name Edge сертификата
    3. Непонятно не мешает ли использование Edge сертификата везде где я его использую
    4. Autodiscover сайт отдаётся правильный
    5. Почему https://www.testocsconnectivity.com/ без autodiscover даёт нормальное прохождение тестов, а с ним ошибку (в разрезе ошибок на сертификат непонятно почему этот тест не ругается на него)
    6. Нормальная ли топология, открытые порты
    7. Отсутствие TMG не может же быть причиной, ведь он работает по подобию роутера в данном случае

    • Изменено SIDERMANN 17 мая 2012 г. 18:49
  • Вот ещё ошибка, хотя не думаю, что это причина всех бед:

    Warning: Revocation status unknown. Cannot contact the revocation server specified in certificate

    тоже самое и при сертификате с внутреннего ЦС

    это выдаёт в журнале Wizard'а на Edge сервер при Assign

    Но при этом CRL внешнего ЦС доступен с Edge сервера в интернет, я специально открыл 80-й порт, чтобы устранить ошибку, но ошибка не устранилась. Могу отключить проверку CRL как советуют на форумах...

    с Common Name есть конечно простой способ проверить - это указать нетбиоснейм и еджпулнейм Lync-edge, тогда всё будет совпадать, но это много действий, да и непонятно есть ли вообще в этом смысл?!

    • Изменено SIDERMANN 17 мая 2012 г. 19:01
  • опечатка..
    Где, какая опечатка, из какого контекста?
    во внутреннем днс указывает на адрес интерфейса Edge,который смотрит в локальную сеть
    во внешнем днс указывает на адрес роутера, который перенаправляет порты 5060, 5061 на интерфейс Edge, который смотрит в ДМЗ
    В общем, рисуйте схему вашей инфраструктуры... А порт 5060 вообще не используется ;) .
    я назначил один сертификат для edge и для публичного использования и для вннутреннего в визарде и ещё на External discover site
    Как я уже говорил, так делать не надо. Что ещё за "External discover site"?
    без автодискавера все тесты проходят, а с автодискавером нет
    И не удивительно - в топологии у вас указан порт 5061, а в SRV-записи указан 443-й, который используется службой A/V ;) . Правда, судя по тому, что я вижу, этот порт у вас пробрасывается на Front-End, где стоит уже внутренний сертификат, выданный вашим "COF SubCA".
    какое-то противоречие - либо я указываю для внешнего веб сервиса отдельное имя, либо имя пула
    Под именем имеется ввиду не NetBIOS-имя, а FQND, которое ссылается на сам Front-End, а не на Director ;) .
    визард не дал это сделать через интерфейс - он видит только сертификаты у которых Common Name совпадает с Netbios-name либо с именем Edge пул
    Специально проверил у себя - нет таких ограничений. Видимо, ваш сертификат чем-то не нравится мастеру.
    В видео которое вы записывали с коллегой по настройки Edge вам давало выбрать сертификат через Wizard, из чего следует что у Common Name совпадал.
    Как я понимаю, вы говорите про это видео. Если так, то вы крайне невнимательный зритель - в 55:26 показано имя, которое указано для сертификата внутреннего интерфейса и тут FQDN-имя самого сервера просто обязано присутствовать, а в 1:00:03 показаны все имена для внешнего, где именем самого сервера и не пахнет ;) .
    Это наводит на мысль, что Common Name из External Edge name неправильно брать за основу, а им должно быть или имя пула Edge либо Netbios name Edge-сервера.
    Для внешнего сертификата - более чем правильно. Для внутреннего - FQDN-имя сервера обязательно должно присутствовать. А про NetBIOS-имена я вам, вообще, рекомендую забыть раз и навсегда ;) .
    где правда непонятно
    Я вам сказал, где она.
    Но при этом CRL внешнего ЦС доступен с Edge сервера в интернет, я специально открыл 80-й порт, чтобы устранить ошибку, но ошибка не устранилась.
    А, может, речь идёт о вашем внутреннем сертификате, в котором указано "ldap:///CN=COF SubCA,CN=aps01-tdm,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com"? У вас Edge входит в домен?
    Могу отключить проверку CRL как советуют на форумах...
    Если любите делать неправильно и ослаблять безопасность, конечно можете ;) ...
    с Common Name есть конечно простой способ проверить - это указать нетбиоснейм и еджпулнейм Lync-edge, тогда всё будет совпадать, но это много действий, да и непонятно есть ли вообще в этом смысл?!
    Как я уже неоднократно говорил, смысла нет, а про короткие NetBIOS-имена вообще забудьте.

    P. S. Вы в таком маленьком вопросе умудрились задать ещё десяток попутных - я бы рекомендовал выделять их в отдельные ветки, чтоб не загромаждать исходную тему ;) .

    • Помечено в качестве ответа SIDERMANN 22 мая 2012 г. 16:50
    Модератор
  • пуш нотификации заработали, но пока не понял что помогло...

    менял сертификаты на сайтах автодискавери, сделал для внутреннего взаимодействия edge внутренний сертификат, поудалял лишние записи.

    при этом все описанные выше ошибки остались...

    буду разбираться на следующей неделе..

  • Бывает :) .

    P. S. Но вы бы, всё же, ответили на все, поставленные мною вопросы - я же на ваши ответил ;) .

    Модератор
  • я б вчера ответил,  если б не Бавария и Челси)

  • Ну так ответьте сегодня :) ...
    Модератор
  • Где, какая опечатка, из какого контекста?

    " нетбиос имени ortitсервера"

    В общем, рисуйте схему вашей инфраструктуры... А порт 5060 вообще не используется ;) .

    схему долго - лучше на словах:

    edge за роутером в отдельной подсети одним интерфейсом и вторым в локалку. Front End в локалке и пока без TMG, а просто на роутере проброс порта 443 на 4443, в локалке между серверами и клиентами никакие порты не заблокированы, так лучше для тестов.

    Как я уже говорил, так делать не надо. Что ещё за "External discover site"?

    поставил сертификат внутреннего ЦС на edge для внутреннего испльзования. External discover site - Lync Server External Web Site

    сайт к которому обращаются клиенты для autodiscover расположения внутри или снаружи. На нём пока оставил внешний сертификат.

    И не удивительно - в топологии у вас указан порт 5061, а в SRV-записи указан 443-й, который используется службой A/V ;)

    О какой записи идёт речь?

    Видимо, ваш сертификат чем-то не нравится мастеру

    Очень вероятно, но только вот чем?))

    А не нравится он не только мастеру,а и командам проверки федерации и пуш нотификаций

    А, может, речь идёт о вашем внутреннем сертификате, в котором указано "ldap:///CN=COF SubCA,CN=aps01-tdm,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=com"? У вас Edge входит в домен?

    я по разному пробовал - и внутренний и внешний ругается на недоступность CRL, хотя оба доступны. Edge в домене.

    Если любите делать неправильно и ослаблять безопасность, конечно можете ;) ...

    Проверка CRL в данном случае не особо ослабит безопасность, ибо отзывы никогда не потребуются)

  • ответил сегодня)

    странно что пуш работает, несмотря на описанные ошибки

    А то как работает пуш мне не нравится, хотя МС пишет что исправили эту проблему, но на самом деле проблема есть:

    http://social.technet.microsoft.com/Forums/ru-RU/ocsmobility/thread/478c580f-aaa0-4b2d-bd90-797b6153e186

  • поменял_sip._tls.domain.com на порт 5061 - это действительно ошибка. Теперь тест проходит нормально с автодискавер. спасибо.

    Но к сожалению как работает пуш в линке мне совсем не нравится))) (подробности писал выше)


    • Изменено SIDERMANN 22 мая 2012 г. 16:50