none
Федерации lync-edge RRS feed

Ответы

  • Ну и чего ж вы хотите? У вас Edge'и общаются друг с другом через "внутренние" интерфейсы ;) !

    Для примера: ваш "lync-edge.kbl.nsk.su" для домена "test.ru" в конечном итоге должен получать "внешний" адрес "192.168.2.137", а вовсе не "внутренний" 192.168.2.136".

    • Помечено в качестве ответа the_shadow82 13 января 2012 г. 3:30
    11 января 2012 г. 15:41
    Модератор
  • Разобрался - надо было поменять в днс адресс службы _sipfederationtls._tcp.test.ru на значение sip.test.ru с lync-edge-t.test.ru. Все заработало, спасибо за помощь!
    • Помечено в качестве ответа the_shadow82 13 января 2012 г. 3:34
    13 января 2012 г. 3:34

Все ответы

  • Ваши Edge'ы сертификатам друг-друга доверяют?
    27 декабря 2011 г. 5:27
    Модератор
  • Ещё могу предложить для ознакомления наш труд.

    27 декабря 2011 г. 5:49
    Модератор
  • Сертификаты "соседнего" домена закинул в доверенные корневые сервера edge (и одного и другого). Ваш труд также смотрел - весьма занимательно.
    27 декабря 2011 г. 6:18
  • Тогда, запускайте сбор логов и смотрите что происходит при отправке сообщения...

    27 декабря 2011 г. 6:25
    Модератор
  • А какие флажки в logging tool выставить, не подскажите?
    27 декабря 2011 г. 7:58
  • Тех, что выставлены по умолчанию - вполне для вас достаточно.
    27 декабря 2011 г. 8:02
    Модератор
  • Ни одного не выставлено :(
    27 декабря 2011 г. 8:13
  • Значит, это вы уже "нахимичили" ;) .

    Основные - "S4" и" SIP Stack".

    27 декабря 2011 г. 8:15
    Модератор
  • Примерно такого вида есть мессаги:

    TL_INFO(TF_PROTOCOL) [12]0B4C.281C::12/27/2011-08:19:44.659.000092e4 (SIPStack,SIPAdminLog::TraceProtocolRecord:SIPAdminLog.cpp(125))$$begin_record
    Trace-Correlation-Id: 3142142885
    Instance-Id: 00010E6C
    Direction: outgoing
    Peer: 192.168.2.198:1739
    Message-Type: response
    Start-Line: SIP/2.0 504 Server time-out
    From: "ФИО"<sip:kans@kbl.nsk.su>;tag=42bad8429b;epid=1e3f513e7b
    To: <sip:bsp@test.ru>;tag=B71466F30E7591299F54DD91C23BEF33
    CSeq: 1 INVITE
    Call-ID: 4ceefd67dec7418fa918f94804c1c06e
    Authentication-Info: TLS-DSK qop="auth", opaque="A99C59AA", srand="26E05477", snum="318", rspauth="7eee7734b974d30ef17493757e6b8d639a7f063e", targetname="lync.kbl.nsk.su", realm="SIP Communications Service", version=4
    Via: SIP/2.0/TLS 192.168.2.198:1739;ms-received-port=1739;ms-received-cid=31300
    ms-diagnostics: 1047;reason="Failed to complete TLS negotiation with a federated peer server";WinsockFailureCode="10054(WSAECONNRESET)";WinsockFailureDescription="The peer forced closure of the connection";Peer="lync-edge-t.test.ru";Port="5061";source="sip.kbl.nsk.su"
    Server: RTC/4.0
    Content-Length: 0
    Message-Body: –
    $$end_record

    27 декабря 2011 г. 8:45
  • Ну, судя по сообщению, установить TLS-соединение с вашим "lync-edge-t.test.ru" не удалось. У вас TCP-порт 5061 с обеих сторон открыт?

    27 декабря 2011 г. 12:16
    Модератор
  • Да, проверил telnet'ом и nslоokup'ом с одного и с другого edg'а - видит и порты открыты. Они у меня оба в одной подсети, фаерволл выключен.
    28 декабря 2011 г. 2:12
  • И тишина....
    29 декабря 2011 г. 1:50
  • Сюдя по:

    Failed to complete TLS negotiation with a federated peer server

     

    всетаки на ежах есть проблема с доверием, я бы порекомендовал перепроверить сертификаты и перехапустить эдже акцес сервис.

     

    Сюдя по:

    The peer forced closure of the connection

    они смогли увидеть друг друга нормально, посмотрите еще в эвент логах ежа в отделе "Lync Server"

     

    29 декабря 2011 г. 5:29
  • А как они, ксатит, друг-друга находят? Через DNS или вы их явно прописали? Если второе, то как именно?
    29 декабря 2011 г. 7:36
    Модератор
  • Прописаны в днсах друг у друга - сами линки и сопутствующие сервисы.
    29 декабря 2011 г. 9:33
  • А можно более подробно с указанием "явок и паролей" ;) ?
    29 декабря 2011 г. 9:40
    Модератор
  • admin    Узел (A)    192.168.2.135    статический
    av    Узел (A)    192.168.2.139    статический
    conf    Узел (A)    192.168.2.138    статический
    dial-in    Узел (A)    192.168.2.135    статический
    lync-edge-t    Узел (A)    192.168.2.136    27.12.2011 9:00:00
    lync-edge-t    Узел (A)    192.168.2.139    27.12.2011 9:00:00
    lync-edge-t    Узел (A)    192.168.2.138    27.12.2011 9:00:00
    lync-edge-t    Узел (A)    192.168.2.137    27.12.2011 9:00:00
    lync-t    Узел (A)    192.168.2.135    23.12.2011 15:00:00
    meet    Узел (A)    192.168.2.135    статический

    sip    Узел (A)    192.168.2.135    статический
    sip2    Узел (A)    192.168.2.137   

    и

    _sipfederationtls    Расположение службы (SRV)    [0][0][5061] lync-edge-t.test.ru.    статический
    _sipinternaltls    Расположение службы (SRV)    [0][0][5061] lync-t.test.ru.    статический

    и соответственно аналогичные записи для kbl.nsk.su

     

     

     

    29 декабря 2011 г. 9:47
  • Чего-то я не пойму для чего вам такая куча мусора? Почему у вас запись Edge'а разрешается в 4 IP-адреса? Для чего служат записи "sip" и "sip2"? Какие адреса у вас, вообще, являются внешними, если тут всё в одной подсети? Какие сертификаты и с какими именами у вас на Edge'е установлены?

    29 декабря 2011 г. 10:13
    Модератор
  • В днс добавлялось уже все что можно

    lync-edge-t    Узел (A)    192.168.2.136    27.12.2011 9:00:00 - внутренний
    lync-edge-t    Узел (A)    192.168.2.139    27.12.2011 9:00:00 - внешний
    lync-edge-t    Узел (A)    192.168.2.138    27.12.2011 9:00:00 - внешний
    lync-edge-t    Узел (A)    192.168.2.137    27.12.2011 9:00:00 - внешний

    - это интерфейсы ежа, тк он в домене - то все это самодобовляется в днс

    av    Узел (A)    192.168.2.139    статический
    conf    Узел (A)    192.168.2.138    статический

    sip2    Узел (A)    192.168.2.137

    - это сервисы ежа

    остальное относится к lync

     

    30 декабря 2011 г. 2:24
  • Ну так уберите в настройках сетевого интерфейса регитрацию в DNS'е ;) .

    У вас, вообще, два сетевых интерфейса или только один? Который аз адресов является внутренним? 192.168.2.136?

    Удалите записи "sip" и "sip2" - они не нужны.

    Каким образом организации разрешают через DNS имена друг друга?

    31 декабря 2011 г. 16:48
    Модератор
  • Регистрацию убрал, sip и sip2 убил, 192.168.2.136 - внутренний IP - без изменений
    10 января 2012 г. 5:35
  • В днсах руками дописаны записи и заведены соответствующие зоны.
    10 января 2012 г. 5:36
  • На Edge'е "lync-edge-t.test.ru" запустите nslookup и разрешите SRV-запись "_sipfederationtls._tcp.kbl.nsk.su" и тоже самое наоборот...
    10 января 2012 г. 19:04
    Модератор
  • c lync-edge-t.test.ru:

    C:\Users\kans>nslookup
    Default Server:  win-7bdxg7czxxw.test.ru
    Address:  192.168.2.128

    > set type=all
    > _sipfederationtls._tcp.kbl.nsk.su
    Server:  win-7bdxg7czxxw.test.ru
    Address:  192.168.2.128

    _sipfederationtls._tcp.kbl.nsk.su       SRV service location:
              priority       = 0
              weight         = 0
              port           = 5061
              svr hostname   = lync-edge.kbl.nsk.su
    lync-edge.kbl.nsk.su    internet address = 192.168.2.95

    > _sipfederationtls._tcp.test.ru
    Server:  win-7bdxg7czxxw.test.ru
    Address:  192.168.2.128

    _sipfederationtls._tcp.test.ru  SRV service location:
              priority       = 0
              weight         = 0
              port           = 5061
              svr hostname   = lync-edge-t.test.ru
    lync-edge-t.test.ru     internet address = 192.168.2.136
    lync-edge-t.test.ru     internet address = 192.168.2.137
    lync-edge-t.test.ru     internet address = 192.168.2.138
    lync-edge-t.test.ru     internet address = 192.168.2.139
    > _

    с lync-edge.kbl.nsk.su:

    C:\Users\kans>nslookup
    Default Server:  go_control.kbl.nsk.su
    Address:  192.168.2.20

    > set type=all
    > _sipfederationtls._tcp.test.ru
    Server:  go_control.kbl.nsk.su
    Address:  192.168.2.20

    _sipfederationtls._tcp.test.ru  SRV service location:
              priority       = 0
              weight         = 0
              port           = 5061
              svr hostname   = lync-edge-t.test.ru
    lync-edge-t.test.ru     internet address = 192.168.2.136
    > _sipfederationtls._tcp.kbl.nsk.su
    Server:  go_control.kbl.nsk.su
    Address:  192.168.2.20

    _sipfederationtls._tcp.kbl.nsk.su       SRV service location:
              priority       = 0
              weight         = 0
              port           = 5061
              svr hostname   = lync-edge.kbl.nsk.su
    lync-edge.kbl.nsk.su    internet address = 192.168.2.95
    >

    где-то так.

     

     

    11 января 2012 г. 6:01
  • для lync-edge-t.test.ru днс почистил, теперь _sipfederationtls._tcp.test.ru  SRV service location только одно - на 192.168.2.136
    11 января 2012 г. 7:33
  • Ну и чего ж вы хотите? У вас Edge'и общаются друг с другом через "внутренние" интерфейсы ;) !

    Для примера: ваш "lync-edge.kbl.nsk.su" для домена "test.ru" в конечном итоге должен получать "внешний" адрес "192.168.2.137", а вовсе не "внутренний" 192.168.2.136".

    • Помечено в качестве ответа the_shadow82 13 января 2012 г. 3:30
    11 января 2012 г. 15:41
    Модератор
  • Упс... накосячил. Поправил записи в днсах - теперь

    _sipfederationtls._tcp.test.ru - на 192.168.2.137

    _sipfederationtls._tcp.kbl.nsk.su - на 192.168 .2.96

    т.е. на sip edg'а

    но все равно не работает.

     

    12 января 2012 г. 8:49
  • А ваши Front-End'ы после этой правки в какие адреса имена Edge'й разрешают?
    12 января 2012 г. 9:57
    Модератор
  • Для "своего" внутренний IP, для "соседнего" внешний IP sip. Теперь в логах говорит, что сертификат не устраивает - оба lync'a и edg'a получают сертификаты с одного CA - это нормально?

     

    TL_ERROR(TF_CONNECTION) [0]070C.0EF8::01/12/2012-09:59:21.866.00000014 (SIPStack,SIPAdminLog::TraceConnectionRecord:SIPAdminLog.cpp(160))$$begin_record
    LogType: connection
    Severity: error
    Text: Outbound TLS negotiation failed
    Local-IP: 192.168.2.96:49382
    Peer-IP: 192.168.2.137:5061
    Peer-FQDN: lync-edge-t.test.ru
    Connection-ID: 0x7003
    Transport: TLS
    Result-Code: 0x80090322
    $$end_record

    TL_ERROR(TF_DIAG) [0]070C.0EF8::01/12/2012-09:59:21.866.00000016 (SIPStack,SIPAdminLog::TraceDiagRecord:SIPAdminLog.cpp(143))$$begin_record
    LogType: diagnostic
    Severity: error
    Text: Message was not sent because the connection was closed
    SIP-Start-Line: INVITE sip:bsp@test.ru SIP/2.0
    SIP-Call-ID: 8ff869b6bee242f089f9d1ed7abeb5f1
    SIP-CSeq: 1 INVITE
    Peer: lync-edge-t.test.ru:5061
    $$end_record

    TL_INFO(TF_PROTOCOL) [0]070C.0EF8::01/12/2012-09:59:21.866.0000001b (SIPStack,SIPAdminLog::TraceProtocolRecord:SIPAdminLog.cpp(125))$$begin_record
    Trace-Correlation-Id: 280371639
    Instance-Id: 00000257
    Direction: outgoing;source="local";destination="internal edge"
    Peer: lync.kbl.nsk.su:59778
    Message-Type: response
    Start-Line: SIP/2.0 504 Server time-out
    From: "К А С"<sip:kans@kbl.nsk.su>;tag=f587715efa;epid=1e3f513e7b
    To: <sip:bsp@test.ru>;tag=2564F9E72F53952EEF60E4EA8A2B3F4B
    CSeq: 1 INVITE
    Call-ID: 8ff869b6bee242f089f9d1ed7abeb5f1
    Via: SIP/2.0/TLS 192.168.2.120:59778;branch=z9hG4bKB0658CB3.20EE04C8A0897DEA;branched=FALSE;ms-received-port=59778;ms-received-cid=3C00
    Via: SIP/2.0/TLS 192.168.2.198:2320;ms-received-port=2320;ms-received-cid=48500
    ms-diagnostics: 1010;reason="Certificate trust with another server could not be established";ErrorType="The peer certificate does not contain a matching FQDN";TlsTarget="lync-edge-t.test.ru";HRESULT="0x80090322";source="sip.kbl.nsk.su"
    Server: RTC/4.0
    Content-Length: 0
    ms-edge-proxy-message-trust: ms-source-type=EdgeProxyGenerated;ms-ep-fqdn=lync-edge.kbl.nsk.su;ms-source-verified-user=verified
    Message-Body: –
    $$end_record

     

     

    13 января 2012 г. 1:57
  • Разобрался - надо было поменять в днс адресс службы _sipfederationtls._tcp.test.ru на значение sip.test.ru с lync-edge-t.test.ru. Все заработало, спасибо за помощь!
    • Помечено в качестве ответа the_shadow82 13 января 2012 г. 3:34
    13 января 2012 г. 3:34