none
Не подключается новый пользователь в S4B RRS feed

  • Вопрос

  • год назад был Линк2013. создавал пользователей в АД, добавлял в Линк. всё работало. Потом обновился до S4B, затем ещё несколько раз обновлялся вин. сервер 2012 R2 и сам S4B. потом некоторое время сервер простаивал. теперь необходимо добавить несколько пользователей. в АД добавил. В S4B при добавлении они видны, выбираю пул, указываю sip, жму Enable и получаю ошибку:

    Active Directory operation failed on «DC01.contoso.com». You cannot retry this operation: «Insufficient access rights to perform the operation
    00002098:

    вроде как проблема с правами (https://blog.eaglenn.ru/insufficient-access-rights-to-perform-the-operation-00002098/). Зашёл в АД, во вкладке Security убрал группы Ent. admin и Domain admin- не погло, всё таже ошибка. Затем зашёл во вкладку Advanced и удалил наследования - не помогло, та же ошибка. Во вкладке Members все пользователи входят в группу Domain Users. Удалил наследование у всей OU и создал нового пользователя - не помогло, та же ошибка. пробовал добавлять через PS, получал ошибку:

    старые пользователи работают нормально. подскажите, что ещё можно сделать. чтобы новый пользователь появился в скайпе??
    • Изменено serg_23 25 октября 2017 г. 12:42 а
    25 октября 2017 г. 12:39

Ответы

  • переставлял 10 раз на вин сервер 2012 R2, отдельно качал обновления (3 шт), чтобы установить их в нужной последовательности....  поставил S4B на вин сервер 2016 и всё получилось.
    • Помечено в качестве ответа serg_23 7 ноября 2017 г. 10:38
    7 ноября 2017 г. 10:28

Все ответы

  • На всякий случай - УЗ, под которой добавляете, входит в CSAdministrator?
    25 октября 2017 г. 14:37
  • да, конечно. в Members у него группы domain admin, ent admin, csadmin, schema admin, csserveradmin и др.
    26 октября 2017 г. 4:28
  • Попробуйте в identity передавать параметр разными представлениями - SamAccountName, UPN, user's SIP Address или через -Filter {samAccountName -eq "tratata"}

    P.S. У УЗ лучше забрать Ent Admin и Schema admin. Ибо их выдают временно для конкретных операций.

    26 октября 2017 г. 6:14
  • самое интересное, что раньше так работало. я добавлял в AD пользователя. а потом добавлял его в Линке. при этом я не помню, чтобы раньше отключал или включал наследование... ЩАс используется вариант по умолчанию - с наследованием (но с откл наследованием тоже не получается)   я настраиваю под учёткой админа, который входит в группы domain admin, ent admin, csadmin, schema admin, csserveradmin и др.

    что ещё в ад можно сделать?? контроллер домена и сервер Скайп установлены на вин2012R2 и обновлены по макс.

    раньше а консоли скайпа добавлял пользователя без проблем, а админа с помощью команды:

    PS C:\Windows\system32> enable-csuser -identity "tratata" -registrarpool "b-lync01.com" -sipaddress "sip:tratata@com"

    теперь обычного пользователя не могу добавить ни в консоли, ни в PS. 

    везде пишут, что для исправления этой ошибки надо включить наследование прав пользователю в АД (  http://www.exchangedude.net/index.php/2011/07/lync-control-panel-insufficient-access-rights-to-perform-the-operation/ ,  http://www.it-community.in.ua/2015/02/reshenie-problemy-pri-sozdanii-pochtovogo-yashhika-v-exchange-00002098-secerr-dsid-03150e49-problem-4003-insuff_access_rights.html/   и др ресурсах ). по умолч включено. отключал, потом включал. всё равно эта же ошибка. Пользователей пересоздавал , серваки перегружал.

    подскажите, что ещё можно предпринять?


    • Изменено serg_23 30 октября 2017 г. 11:52 а
    30 октября 2017 г. 10:53
  • Попробуйте, для теста, создать новую учетную запись администратора, дать ей необходимые права. После этого попробовать выполнить под ней Enable-CsUser из "Lync Server Management Shell".
    30 октября 2017 г. 12:28
  • А get-csUser нормально отрабатывает?

    Наследование нужно чтоб было включено.

    У вас один КД или несколько? А то может имеют место быть проблемы с репликацией - а S4B-сервер тем временем подключен к проблемному КД.

    Вообще да - попробовать из под нового админа сделать действия. Можно ещё включить аудит AD на тестовом OU/пользователе - и понаблюдать запрашивается ли доступ к объектам, и что блокируется.


    30 октября 2017 г. 14:49
  • да, get-csuser отрабатывает нормально ! кстати, пробовал другие командлеты подставлять, тоже не получилась, выдавалась та же ошибка.

    enable-csuser -identity "vas.dd" -registrarpool "srv-lync.com" -sipaddresstype samaccountname -sipdomain com

    enable-csuser -identity "vas.dd" -registrarpool "srv-lync.com" -SipAddressType EmailAddress

    нашёл закономерность. под первой админской учёткой некоторые польз. учётки создавались. например, test1, test2, vasya, lyuda и тд. но некоторые такие же простые и не получалось, но точно не получалось ни одной учётки создать, если имеется "." , например vas.dd - выдавалась ошибка. под второй админской учёткой посоздавал новых юзеров даже с "." (vas.dd, pet.mv).

    но теперь другая проблема - я клиентом не могу подключиться к серверу. пробовал на разных компах с разными ОС (вин7\10) все новые учётки - не подключается, выдаёт ошибку:

    причём под старыми пользователями вхожу без проблем.

    подскажите, что тут предпринять можно?




    • Изменено serg_23 1 ноября 2017 г. 5:24 5
    31 октября 2017 г. 6:19
  • Для начала гляньте в EventLog на сервере S4B. И на контроллерах домена гляньте события.

    И вы так и не ответили на вопрос о количестве контроллеров домена и возможных проблемах на них.

    Цитата "затем ещё несколько раз обновлялся вин. сервер 2012 R2 и сам S4B" - имеется в виду просто установка обновлений на Server 2012R2? До 2016 версии не обновлялись случаем?

    1 ноября 2017 г. 5:28
  • контроллер 1. нет, до 2016 не обновлял. 
    1 ноября 2017 г. 5:31
  • Смотрите логи.
    1 ноября 2017 г. 5:57
  • заметил ещё одну закономерность: создал пользователя в АД. логин на анг, имя на анг - в PS добавляется, а в консоли ни под первым админом, ни под вторым добавить не могу. если при создании юзера, указать сразу имя на рус, например, Тест или Василий Петрович, логин - test, то в PS не создаётся юзер, а выдаётся ошибка: Management object not found for identity "test".

    при попытке подключиться новым пользователем, ошибок на сервере в журнале в Lync Server сразу нет. было несколько ошибок 2мя часами ранее -

    EventID 30011 - Encountered an unrecognized error while processing objects from a domain. This error caused User Replicator to abort synchronization of this domain.  Synchronization will be retried for this domain.  If this domain is not enabled for Skype for Business Server, then this error can be ignored.

    Domain: com (DN: CN=Configuration,DC=com) Error: 0x32 (Insufficient Rights) ReplicationType:AddressBookReplication
    .
    Cause: The cause for this error can vary. Please review the errors listed above.
    Resolution:
    Contact support services if the error is not descriptive enough to remedy the problem..

    на польз компе в журнале в Система есть пару ошибок 3мя часами ранее -

    EventID 36884 - Сертификат, полученный от удаленного сервера, не содержит ожидаемого имени. По этой причине не удается определить, к правильному ли серверу осуществляется подключение. Ожидаемое имя сервера: sipinternal.com. Запрос на TLS-подключение не удалось выполнить. В прилагаемых данных содержится сертификат сервера.

    EventID 36882 - Сертификат, полученный от удаленного сервера, был выдан ненадежным центром сертификации. Из-за этого данные сертификата нельзя проверить. Запрос на TLS-подключение не удалось выполнить. В прилагаемых данных содержится сертификат сервера. )

    на контролере ошибок нет.

    • Изменено serg_23 1 ноября 2017 г. 9:43 в
    1 ноября 2017 г. 9:37
  • Проверьте сертификаты на сервере S4B. Валидные или нет. Так же проверьте валидность сертификата с клиентской машинки.

    Сюда можете кинуть вывод команды с S4B-сервера: 

    Get-CsCertificate | select Issuer, NotAfter, Subject, AlternativeNames, Use, Thumbprint

    1 ноября 2017 г. 10:20
  • PS C:\Windows\system32> Get-CsCertificate | select Issuer, NotAfter, Subject, AlternativeNames, Use, Thumbprint

    Issuer           : CN=DC03-CA, DC=com

    NotAfter         : 4/4/2018 7:25:53 PM

    Subject          : CN=B-LYNC01.com

    AlternativeNames : {sip.com, B-LYNC01.com, dialin.com, meet.com...}

    Use              : Default

    Thumbprint       : 08C077F224E1BEA9B040A819595B674B0DFDB75A

     

    Issuer           : CN=B-DC03-CA, DC=com

    NotAfter         : 4/4/2018 7:25:53 PM

    Subject          : CN=B-LYNC01.com

    AlternativeNames : {sip.com, B-LYNC01.com, dialin.com, meet.com...}

    Use              : WebServicesInternal

    Thumbprint       : 08C077F224E1BEA9B040A819595B674B0DFDB75A

     

    Issuer           : CN=B-DC03-CA, DC=com

    NotAfter         : 4/4/2018 7:25:53 PM

    Subject          : CN=B-LYNC01.com

    AlternativeNames : {sip.com, B-LYNC01.com, dialin.com, meet.com...}

    Use              : WebServicesExternal

    Thumbprint       : 08C077F224E1BEA9B040A819595B674B0DFDB75A

     

    Issuer           : CN=B-DC03-CA, DC=com

    NotAfter         : 4/4/2018 7:26:46 PM

    Subject          : CN=com

    AlternativeNames : {}

    Use              : OAuthTokenIssuer

    Thumbprint       : 66FBBBDC2B7CF3F8A525B1F4ED3D33C50C6360B1
    1 ноября 2017 г. 10:55
  • Такое ощущение, что после всех ваших обновлений (что WS, что SFB) появилась куча ошибок и всё смешалось в один ком. Вы не хотите рассмотреть вариант полной переустановки SFB на чистый сервер, публикации топологии заново и т.п.? 
    1 ноября 2017 г. 11:01
  • уже рассматриваю такой вариант.... это ужас конечно, но больше время потерял на разборку полётов и ничё не получилось
    1 ноября 2017 г. 11:10
  • Что по сертификату? Он валидный - если просмотреть на сервере и на клиенте?

    Ещё интересный момент - в ошибке у вас "Ожидаемое имя сервера: sipinternal.com". Есть ли в сертификате в SAN это имя? Либо покажите все SAN командой

    Get-CsCertificate -Type Default | select -ExpandProperty AlternativeNames

    Вообще - запись sipinternal.sipdomain.com говорит о том, что в вашем DNS'е нет ни lyncdiscoverinternal.sipdomain.com, ни SRV-записей для автообнаружения. Либо они не корректные. A-запись "sipinternal" вообще отрабатывает чуть ли не в последнюю очередь.

    Так что проверьте свои DNS-записи на наличие:

    A-запись lyncdiscoverinternal.sipdomain.com

    SRV-запись _sipinternaltls._tcp.sipdomain.com

    1 ноября 2017 г. 11:22
  • У вас domain prep выполнен? Судя по ошибкам про отсутствие прав, проблема вряд ли в сервере. Может, наводили порядок в AD и удалили неугодные разрешения?:)
    1 ноября 2017 г. 11:23
  • недавно не выполнял и порядок в АД не наводил, только новых юзеров создавал. записи в днс все прежние, ничё не менялось.

     lyncdiscoverinternal.sipdomain.com у меня CNAME

    SRV-запись _sipinternaltls._tcp.sipdomain.com - имется !


    • Изменено serg_23 1 ноября 2017 г. 12:05 п
    1 ноября 2017 г. 12:04
  • домен у вас один? что отдает Get-CsAdDomain ?

    1 ноября 2017 г. 12:11
  • да, домен 1, контроллер домена 1.

    PS C:\Windows\system32> Get-CsCertificate -Type Default | select -ExpandProperty AlternativeNames
    sip.com
    B-LYNC01.com
    dialin.com
    meet.com
    admin.com
    LyncdiscoverInternal.com
    Lyncdiscover.com

    PS C:\Windows\system32> Get-CsAdDomain
    LC_DOMAINSETTINGS_STATE_READY

    1 ноября 2017 г. 12:16
  • Запись *b-lync01 - живая? IP-адрес по ней действительный от S4B-сервера?

    Удалите записи sip, sipinternal, lyncdiscover - это устаревшие записи, либо вообще для внешних пользователей. _sipinternaltls и lyncdiscoverinternal внутри организации будет вполне достаточно.

    И ответьте уже насчет сертификатов. Вы проверили их валидность на стороне сервера и клиента?

    На сервере события смотрели в Event Viewer - Applications and Services Log - Lync Server? Посмотрите ещё в системных на наличие ошибок.

    Ну и вообще с чего нужно было начать: get-CsWindowsService - все службы запущены?

    1 ноября 2017 г. 12:50
  • Ещё можно качнуть тулзу и посмотреть, почему клиент подключиться не может.

    Скачайте Lync Connectivity Analyzer. К сожалению Microsoft почему-то изъяли его из официальной загрузки, оставили другую утилиту - но там отображается меньше нужной информации. Ссылку на скачивание можно найти например тут

    Скачайте, запустите, заполните нужные поля - в результатах в меня "Show" выберите "Detailed Information" и скиньте сюда результат.

    1 ноября 2017 г. 12:58
  • а как вы определяете, что записи устаревшие?

    сертификат валидный с 04.04.2016 до 04.04.2021. этот же сертификат распространил я и на клиенты с помощью политик.

    службы все включены. в логах винды новых ошибок нет. только EventID 30011, выше описанная.

    лишние записи в днс удалил, не помогло.

    1 ноября 2017 г. 13:21
  • Устаревшие - имеется в виду, что они только для совместимости со старыми системами и дублируются записями, которые мы оставили. Статей много про autodiscover. Вот тут к примеру почитайте чтоб понимание было.

    В итоге запись *b-lync01 рабочая? Резолвится в рабочий IP-адрес вашего S4B-сервера?

    То что сертификат не просрочен - ещё не значит, что он валидный. У вас может слетели корневые сертификаты на клиентах - текст ошибки как бы намекает на какие-то проблемы "Сертификат, полученный от удаленного сервера, был выдан ненадежным центром сертификации. Из-за этого данные сертификата нельзя проверить. Запрос на TLS-подключение не удалось выполнить."

    Поэтому и прошу - элементарно даже открыть сертификат и проверить, что цепочка доверия нормальная.

    Можно проверить валидность:

    certutil -f –urlfetch -verify C:\путь_к_сертификату.cer

    Покажите вывод.

    Ну и ждем вывода результатов с Lync Analizer Tool.

    PS. и что значит фраза "этот же сертификат распространил я и на клиенты с помощью политик"? Это о чем речь идет? Об корневом сертификате? Так его не надо дополнительно распространять - судя по всему ЦС стоит на вашем КД - значит корневой сертификат автоматом распространяется по всем машинкам в домене. Если вы дополнительно ещё и групповой политикой его добавили в распространение - у вас могут появиться задублированные сертификате в корневом хранилище. А это очень не нравится серверу S4B

    1 ноября 2017 г. 14:58
  • сервер резолвится. проверил статус сертификата - везде ОК, расположен он в Доверенных корневых центрах сертификации. да, ЦС установлен на КД. распространил я сертификат политиками, так как без клиенты не подключались к серверу, выдавая ошибку - невозможно проверить сертификат (ну или как-то так).
    1 ноября 2017 г. 16:39
  • Отправьте логи диагностики подключения.
    2 ноября 2017 г. 2:15
  • переставлял 10 раз на вин сервер 2012 R2, отдельно качал обновления (3 шт), чтобы установить их в нужной последовательности....  поставил S4B на вин сервер 2016 и всё получилось.
    • Помечено в качестве ответа serg_23 7 ноября 2017 г. 10:38
    7 ноября 2017 г. 10:28
  • Я догадываюсь о каких обновлениях идёт речь)) 10 раз можно было не переставлять - а просто 1 раз загуглить))

    Причина описана в комментариях "The KB2982006 installation fails if the DLLs that are updated already have a newer version.
    Please note that using this workaround we wont modify those DLLs, we are just adding the KB2982006 to the installed package list."

    Но раз поставили на 2016 сервер - ещё лучше)

    8 ноября 2017 г. 6:22