none
как проверить взаимодействие edge и frontend? RRS feed

  • Вопрос

  • клиенты из вне не подключаются..

    по логам говорит сервер не доступен. теленетом тестировал доступность порта - порт доступен. видимо где-то между серверами нет согласия.

    может есть какая то утилита которая проверит связи между серверами?

    онлайн утилиту я не могу использовать, требует сертификат от внешнего центра сертификации(хотя ставил галку не проверять его) https://testconnectivity.microsoft.com/

Ответы

  • просмотрел топологию заново..

    нашел ошибку - не верно указал внешний адрес, который за натом.

    и заодно сделал топологию с одним внешним ип.

    автоподключение работает

    всем спасибо!

    • Помечено в качестве ответа YuriyTN 30 сентября 2015 г. 4:24

Все ответы

  • DNS и  сертификаты Edge правильно сконфигурированы? Требуемые порты между Edge и Frontend открыты?

    Do not multiply entities beyond what is necessary

  • сертификаты выписаны:

    edge внешний - сертификат выписан собственным центром(на клиенте и edge сертификат центра помещен в доверенные корневые центры) на имена: sip.  , av. , sipexternal. , wc.

    edge внутренний: edge.

    на внутреннем front-end

    установлен сертификат Auth
    и сертификат lync: sip. , lync. ,  meet. ,  lyncdiscoverInternal. , lyncdiscover. - на локальный и внешний домен
    dialin.  - на локальный домен

    lync-web. , - внешний домен

    порты вроде все, я и спрашиваю может есть какая-то утилита которая бы просканировала.

    порты открывал согласно схеме, но возникли сомнения, т.к. согласно схемы со стороны edge в сторону frontend открыт долден быть только один порт 5061, все остальные от фронтенда.

    однако со стороны интернета в сторону edge открываются несколько портов: 443, 5061, 5269,3478, 50000-59999

    реверс-прокси не ставил, как я понял он нужен для авто обнаружения и meet. на внешнем клиенте я вручную ставлю адрес сервера.

    и настолько ли нужен именно реверс-прокси? не достаточноли просто натом прокинуть 4443 порт на 443 и 8080 на 80 соответственно?

    функция реверс прокси какая-то сомнительная.

    или он все-таки выполняет какие-то фильтрующие функции?

  • кстати статус репликации стоит "успешно"

    в моем понимании что фронт-енд и edge обмениваются между собой

  • вы на внешнем клиенте в адресе подключения указываете явно порт 443?

    Насчет Reverse Proxy. Его роль необходима при внешнем доступе, поскольку он публикует веб службы Lync Server, такие как дистрибуция адресной книги, доступ к материалам конференций и подключение к конференциям с помощью Lync Web App.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 июля 2015 г. 5:46
  • да, обязательно указываю порт 443

  • Внешний доступ пользователю разрешен? В панели управления Lync пункт панели навигации Federation and External Access. Закладки External Access Policy и Access Edge Configuration.

    Do not multiply entities beyond what is necessary

  • да, разрешено
  • Пользовался этим: https://testconnectivity.microsoft.com/

    1) Домен локальный и внешний одинаковые или разные? Если разные - с DNS все в порядке?

    2) В настройках на FE внешний доступ включен?

    3) Конфигурация Edge  с 3-мя Ip или 1-м?

      

  • я пробовал этим пользоваться, но он просит сертификат для дальнейшей проверки, у меня пока нет сертификата, выписанного внешним центром. Я пока выписываю сертификаты своим центром.

    1. домены разные на edge в качестве первого днс указал внутренний. имена разрешаются корректно как на edge так и frontend

    2. если имеется ввиду Доступ к федерации и внешний доступ, то а включен как в политиках так и в конфигурации

    3. edge в dmz зоне, поэтому добавил один интерфейс и на нем завел 4 ip адреса. 1 - внутренний и на этот ип настроил разрешающие правила до фронтенда, остальные 3 ip адреса 2,3,4 соотв. внешний, веб-конф и аудио-видео конф. на них так же прописал соотв. правила для внешних соединений. (порты открывал по мануалу: http://www.microsoft.com/en-us/download/details.aspx?id=14966  )


    • Изменено YuriyTN 3 июля 2015 г. 6:40
  • Шлюз для сетевых подключений Edge у вас указан только для внешних интерфейсов?

    Рекомендую установить на Edge какой-нибудь сниффер (хотя бы Microsoft Network Monitor) и посмотреть что происходит с сетевыми подключениями.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 июля 2015 г. 6:56

  • https://testconnectivity.microsoft.com/ - работает и на своих, без публичных, 

    ставишь галку "пропустить доверие  SSL" и он тебе выдаст что то на подобии этого,

    по крайней мере у меня так.  

    Идет проверка удаленного подключения пользователя имя@***.ru к серверу Microsoft Lync.

      Не удалось выполнить указанные проверки удаленного подключения к серверу Microsoft Lync. См. ниже причины сбоя.
     
    Подробнее
      Затраченное время: 11802 мс.
     
    Этапы проверки
     
    Попытка разрешить имя узла sip.***.ru в службе DNS.
      Имя узла успешно разрешено.
     
    Подробнее
    Проверка порта TCP 443 на узле sip.***.ru, чтобы убедиться, что он прослушивается или открыт.
      Порт успешно открыт.
     
    Подробнее
    Проверка SSL-сертификата на действительность.
      Сертификат прошел все требования проверки.
     
    Подробнее
     
    Этапы проверки
    Идет проверка удаленного подключения пользователя имя@***.ru к серверу Microsoft Lync.
      Не удалось выполнить указанные проверки удаленного подключения к серверу Microsoft Lync. См. ниже причины сбоя.
       <label for="testSelectWizard_ctl12_ctl06_ctl03_tmmArrow">Подробные сведения об этой проблеме и способах ее устранения</label>
     
    Подробнее
      Не удалось войти. Ошибка: Сообщение об ошибке: The certificate chain was issued by an authority that is not trusted.
    Тип ошибки: TlsFailureException.

    • Изменено Max_77 3 июля 2015 г. 7:08
  • А внутри все работает? Клиенты видят друг друга? Если домены разные то используют Split-Brain DNS. 
  • ип адреса же на одном интерфейсе, и шлюз поэтому один на все IP Адреса

    в настройках протокола tcp/ip я указал основной ип адрес-  10.0.0.1, и дополнительно еще 3 адреса: 10.0.0.2, 10.0.0.3, 10.0.0.4 шлюз ставится единый при этом

    может так нельзя делать? и обязательно разные интерфейсы должны быть?

  • да почему ж нельзя. можно и так, конечно. Edge у вас на виртуальной машине или на физической? Пограничный (внешний) файрвол все что надо пробрасывает на интерфейсы Edge?

    Do not multiply entities beyond what is necessary

  • у меня все останавливается на этом:

    Идет проверка удаленного подключения к серверу Microsoft Lync через сервер пограничного доступа Lync sip.***.ru и порт 443 для определения того, может ли пользователь student_it@***.ru подключаться удаленно.
      Не удалось выполнить указанные проверки удаленного подключения к серверу Microsoft Lync. См. ниже причины сбоя.
     
    Подробнее
     
    Затраченное время: 1654 мс.
     
    Этапы проверки
     
    Попытка разрешить имя узла sip.***.ru в службе DNS.
      Имя узла успешно разрешено.
     
    Подробнее
     
    Возвращено IP-адресов: 77.242.111.42
    Затраченное время: 694 мс.
    Проверка порта TCP 443 на узле sip.***.ru, чтобы убедиться, что он прослушивается или открыт.
      Порт успешно открыт.
     
    Подробнее
     
    Затраченное время: 532 мс.
    Проверка SSL-сертификата на действительность.
      Не удалось выполнить одну или несколько проверок SSL-сертификата.
     
    Подробнее
     
    Затраченное время: 427 мс.
     
    Этапы проверки
     
    Microsoft Connectivity Analyzer пытается получить SSL-сертификат от удаленного сервера sip.***.ru через порт 443.
      Анализатору Microsoft Connectivity Analyzer не удалось получить удаленный SSL-сертификат.
     
    Подробнее
     
    Сертификат не удалось проверить, так как SSL-согласование не выполнено. Это могло быть вызвано ошибкой сети или проблемой при установке сертификата.
    Затраченное время: 407 мс.

    сертификат выпущен собственным центром, я так понял поэтому действительность не подтверждена, или я не прав?

  • внутри работает, и звонки между клиентами и через атс в город и конференции и передачи файлов, трансляция раб столов и т.д. frontend отрабатывает все основные функции


    • Изменено YuriyTN 3 июля 2015 г. 8:08
  • по логике на Edge  должно быть два интерфейса 

    Внутренний: IP, Mask, DNS (GateWay - нет)

    Внешний: IP(alternative IP), Mask, GateWay(out), DNS-нет


    • Изменено Max_77 3 июля 2015 г. 7:31
  • Анализатор не может получить сертификат от Edge. Не просто проверить его а именно получить. Сколько внешних IP у вас выделено для сервисов Edge? Должно быть три. И внимательно посмотрите публичную зону DNS. Ваш адрес не разрешается в имя.

    Do not multiply entities beyond what is necessary

  • виртуальный.

    наты:

    ip nat inside source static tcp 10.7.7.3 443 77.***.***.42 443 extendable
    ip nat inside source static tcp 10.7.7.4 443 77.***.***.43 443 extendable
    ip nat inside source static tcp 10.7.7.3 5061 77.***.***.42 5061 extendable


    ip nat pool poolLyncAvEDGE 10.7.7.5 10.7.7.5 netmask 255.255.255.0 type rotary
    ip access-list extended aclLyncAvEdge
    permit tcp any any range 50000 59999
    permit udp any any range 50000 59999
    permit tcp any any eq 443
    permit tcp any any eq 3478
    exit

    ip nat inside destination list aclLyncAvEdge pool poolLyncAvEDGE

    клиент при первом подключении отругался на сертификат, я добавил сертификат своего центра сертификации в доверенные корневые.

    сейчас он не ругается а просто говорит мол не могу

    в евентах ошибок нет, только info

    в логах ошибки на автодискавери только, но у меня его пока и нет..

    у меня и создалось впечатление, то edge порты слушает, но не транслирует на frontend

    в DMZ зоне 10.7.7.3 - это для EDGE
    10.7.7.4 - web conf
    10.7.7.5 - audio/video conf



    • Изменено YuriyTN 3 июля 2015 г. 8:03

  • на внешнем днс у меня прописано:

    srv:
    _sip._tls.***.ru.        IN    SRV    0    0    443    sip.***.ru.
    _sipfederationtls._tcp.***.ru.        IN    SRV    0    0    443  sip.***.ru.

    av.***.ru.        IN    A    77.***.***.44
    sip.***.ru.        IN    A    77.***.***.42
    wc.***.ru.        IN    A    77.***.***.43

    клиент подключается по адресу sip.***.ru:443

  • Еще раз проверьте сводку по открытым портам, согласно руководства

    Do not multiply entities beyond what is necessary

  • Добрый день!

    Из темы до конца так и не понял топологию вашего развертывания, у вас Edge за Nat?

    Зачем вам 3 ip адреса?

    Как NAT пробрасывает порт 443 в итоге? У вас 2 адреса для 443 порта: 10.7.7.4 и 10.7.7.3

    Можете попробовать сделать с одним адресом с разными портами для служб?

    3 июля 2015 г. 16:25
  • просмотрел топологию заново..

    нашел ошибку - не верно указал внешний адрес, который за натом.

    и заодно сделал топологию с одним внешним ип.

    автоподключение работает

    всем спасибо!

    • Помечено в качестве ответа YuriyTN 30 сентября 2015 г. 4:24