none
SkypeForBusinessServer2015部署过程中请求证书失败 RRS feed

  • 问题

  •  

    完成SFB组件安装后请求证书时出现报错:

    警告: Request-CSCertificate 失败。
     警告: 可以在“C:\Users\administrator\AppData\Local\Temp\2\Request-CSCertificate-[2019_05_20][14_34_57].html”中找到详细的结果。
    命令执行失败: 无法连接到 PDCServer.******.com.cn。请确保您可以连接到服务器,具有适当的权限,并且您已使用正确的凭据登录。

    使用nslookup命令能正确查询到PDCServer的地址,且曾经使用过该CA为Exchange等其他服务器颁布过证书,但之前是用REQ文件进行的证书请求。
    报错信息显示RPC服务器不可用,但SFB服务器及CA服务器上RPC服务均已启动,登录用户为域管理员。

    详细报错信息如下:


    Skype for Business Server 2015 部署日志  折叠所有操作 
     操作   操作信息   记录时间   执行结果 
     ▼ Request-CSCertificate         失败 

     └    Connection: Data Source=(local)\rtclocal;Initial Catalog=xds;Integrated Security=True;Application Name=Microsoft.Rtc.Management   2019/5/20 14:14:14     

     └ ▼ 操作      2019/5/20 14:14:14   失败 

         └    证书使用: Default,WebServicesInternal,WebServicesExternal   2019/5/20 14:14:14     
         └    使用者可分辨名称(DN): CN="lync.******.com.cn";O="******";L="TJ";S="TJ";C="CN"   2019/5/20 14:14:14     
         └    使用者替代名称: sip.******.com.cn,lync.******.com.cn,dialin.******.com.cn,meet.******.com.cn,admin.******.com.cn,LyncdiscoverInternal.******.com.cn,Lyncdiscover.******.com.cn   2019/5/20 14:14:14     
         └    错误: 无法连接到 PDCServer.******.com.cn。请确保您可以连接到服务器,具有适当的权限,并且您已使用正确的凭据登录。 
    ▼ 详细信息 
    └ 类型: ArgumentException 
    └ ▼ 堆栈跟踪 
        └   在 Microsoft.Rtc.Management.Deployment.Core.CertificateServer.SubmitRequest(String requestBase64Data, CertificateRequest request) 
    在 Microsoft.Rtc.Management.Deployment.Core.CertificateServer.RequestCertificate(CertificateRequest request) 
    在 Microsoft.Rtc.Management.Deployment.Tasks.RequestCertificateTask.Action() 
    在 Microsoft.Rtc.Management.Internal.Utilities.LogWriter.InvokeAndLog(Action action) 
     
    └ ▼ 其他详细信息 
        └   错误: RPC 服务器不可用。 (异常来自 HRESULT:0x800706BA) 
    ▼ 详细信息 
    └ 类型: COMException 
    └ ▼ 堆栈跟踪 
        └   在 CERTCLIENTLib.CCertRequestClass.Submit(Int32 Flags, String strRequest, String strAttributes, String strConfig) 
    在 Microsoft.Rtc.Management.Deployment.Core.CertificateServer.<>c__DisplayClass4.b__2() 
    在 Microsoft.Rtc.Management.Internal.Utilities.DeImpersonator.<>c__DisplayClass1.b__0() 
    在 Microsoft.Rtc.Management.Internal.Utilities.DeImpersonator.Run[T](Boolean dropImpersonation, Func`1 func) 
    在 Microsoft.Rtc.Management.Deployment.Core.CertificateServer.SubmitRequest(String requestBase64Data, CertificateRequest request) 
     
     
     
     
     
       2019/5/20 14:14:14   错误 

     └    Error: 发生错误:“System.ArgumentException”“无法连接到 PDCServer.******.com.cn。请确保您可以连接到服务器,具有适当的权限,并且您已使用正确的凭据登录。”   2019/5/20 14:14:14   错误 

    2019年5月20日 6:47

答案

  • 您好,

    根据您提供的报错信息,RPC 服务器不可用。我们建议您首先检查下 Windows Management Instrumentation”服务也正常运行,另外尝试关闭防火墙。

    Lync服务器端使用 tnc 192.168.2.52 -port 135 检查RPC连接是否正常。52为CA服务器。

    此外,这个问题也可能是由于权限问题导致,我们建议您按以下步骤检查权限配置:

    DC中检查 Authenticated Users”包含在 Build in\ Certificate Service DCOM Access” 组成员中;

    Authenticated Users”;“Domain Users”;“INTERACTIVE”包含在“Build in\Users” 组成员中;

    CA服务器上运行“dcomcnfg.exe”打开组件服务控制台,导航到组件服务\计算机\My Computer,右键单击“My Computer”,选择“Properties”,检查在“Default Properties”选项卡中选择 Enable Distributed COM on this computer”;

    在“COM Security”选项卡中,单击“Access Permissions”中的“Edit Limits”,检查“Everyone”,“Certificate Service DCOM Access”具有Local AccessRemote Access权限。

    在“Launch and Activation Permissions”中的“Edit Limits”,检查 Certificate Service DCOM Access”具有Local ActivationRemote Activation权限。

    如果有权限设置不正确,修改后重启“Active Directory Certificate Service”服务,然后再在Lync服务器端申请证书。


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年5月20日 8:27
    版主
  • 您好,

    您可以参考下图:

    ADUC中,选中需要修改的用户 Attribute Editor (需要在“View”中勾选”Advanced Features“),然后找到对应的属性,修改为<not set>即可。


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月22日 7:01
    版主

全部回复

  • 您好,

    根据您提供的报错信息,RPC 服务器不可用。我们建议您首先检查下 Windows Management Instrumentation”服务也正常运行,另外尝试关闭防火墙。

    Lync服务器端使用 tnc 192.168.2.52 -port 135 检查RPC连接是否正常。52为CA服务器。

    此外,这个问题也可能是由于权限问题导致,我们建议您按以下步骤检查权限配置:

    DC中检查 Authenticated Users”包含在 Build in\ Certificate Service DCOM Access” 组成员中;

    Authenticated Users”;“Domain Users”;“INTERACTIVE”包含在“Build in\Users” 组成员中;

    CA服务器上运行“dcomcnfg.exe”打开组件服务控制台,导航到组件服务\计算机\My Computer,右键单击“My Computer”,选择“Properties”,检查在“Default Properties”选项卡中选择 Enable Distributed COM on this computer”;

    在“COM Security”选项卡中,单击“Access Permissions”中的“Edit Limits”,检查“Everyone”,“Certificate Service DCOM Access”具有Local AccessRemote Access权限。

    在“Launch and Activation Permissions”中的“Edit Limits”,检查 Certificate Service DCOM Access”具有Local ActivationRemote Activation权限。

    如果有权限设置不正确,修改后重启“Active Directory Certificate Service”服务,然后再在Lync服务器端申请证书。


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年5月20日 8:27
    版主
  • 谢谢,修改组成员后报错消失。

    目前已完成SFBserver的部署,在控制面板中启用用户时,部分用户不在添加用户的列表中显示。

    目前域内仍有以OCS2007正在运行,所有使用OCS的用户都无法在列表中显示,请问要将这部分用户迁移至skype需要如何操作?

    ps:新帖子发不出去,只好在这里问了。。。

    2019年5月21日 7:13
  • 您好,

    启用用户时如果在列表中不显示该用户,可能是由于该用户AD账户中“msRTCSIP-*”开头的某些属性有值。您可以检查一下这些属性值:先在ADUC - View”, 勾选“Advanced Features”, 然后查看用户属性 Attribute Editor”。

    至于OCS2007用户,由于OCS2007无法直接与Skype for Business 2015共存,推荐做法是搭建Lync2013服务器做一个过渡,OCS -> Lync2013 -> Skype for Business 2015. 将用户从OCS先迁移至Lync 2013,最后从2013迁移至2015.

    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月21日 7:30
    版主
  • 是这样的,目前域中已经存在了一个OCS2007以及SFB2015,均能正常运行。

    新部署的SFB2015启用了两个新建的测试用户test1和test2均能正常启用并且登录收发消息都正常,原先的OCS也能正常运行。

    然后我新建了一个test3,能在SFB控制面板启用用户时添加该用户,不过我并没有启用。

    之后为test3启用了OCS用户,可以正常登录OCS。再用SFB控制面板添加用户时,test3就不再在用户列表中出现了。

    假设现在test3为曾经使用过OCS的用户,如何才能为其启用SFB账户?



    2019年5月21日 8:53
  • 您好,

    如果一个用户已经在OCS中启用,他是无法再在Skype for Business服务器中启用的。启用一个用户,本质上是对该用户AD账户属性“msRTCSIP-*”进行配置,当在OCS中启用该用户后,这些属性会被配置,Skype for Business服务器会检测这些属性,由于这些属性已经存在值,服务器会认为该用户已经被启用,就无法再重新启用了。OCSSkype for Business是不同时期的同一产品。

    对于原先在OCS中的用户,只能通过迁移的方式从OCS迁移至其他的服务器,由于版本限制,不能直接从OCS迁移到2015,推荐的路线是先迁移至2013,再从2013迁移至2015.

    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月21日 9:05
    版主
  • 所以如果我需要让这些用户能够使用skype的话需要再部署一个2013,然后ocs2007迁移到2013,再迁移到2015吗?
    2019年5月21日 9:26
  • 您好,

    是的,您可以参考这篇文档:

    https://docs.microsoft.com/zh-cn/skypeforbusiness/plan-your-deployment/upgrade

    对于OCS 2007 R2升级至Skype for Business 2015,选择两个选项之一:

    部署全新的 Skype for Business Server 2015 环境。

    或者, 当硬件和软件满足 Skype for business Server 2015 的要求, 请升级到 Lync Server 2013, 然后使用新的就地升级功能升级到 Skype for business Server 2015

    关于如何升级到Lync 2013,您可以参考以下文档:

    https://docs.microsoft.com/zh-cn/lyncserver/migration-from-office-communications-server-2007-r2-to-lync-server-2013


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月21日 9:40
    版主
  • 我现在已经部署了新的Skype for Business Server 2015,原先OCS如果需要升级至lync2013再升级至SFB2015的话目前环境的资源无法支持,在不需要保留历史数据的情况下,能否直接对用户参数进行修改使其不再使用OCS而可以加入SFB?
    2019年5月22日 1:46
  • 您好,

    如果不需要保留数据,那可以尝试先在OCS中把用户remove,这样可以把用户AD属性msRTCSIP-*值清空,然后就可以在Skype for Businessenable该用户了。


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月22日 1:56
    版主
  • 那要怎么样remove用户呢?OCS启用用户的时候是在AD域中的用户属性里有启用的选项,但是把这个选项取消勾选之后似乎并没有改变用户AD属性。
    2019年5月22日 5:27
  • 您好,

    经调查,可以手动清除用户以下属性的值:

    msRTCSIP-PrimaryHomeServer

    msRTCSIP-PrimaryUserAddress

    msRTCSIP-UserEnabled

    将这些属性值都改成 “Not Set”,然后就可以重新启用该用户了。

    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月22日 5:53
    版主
  • 谢谢,直接在AD控制器上用dsmod修改这些属性就行吗?之前并没有对AD用户的具体属性值进行过修改,请指教
    2019年5月22日 6:33
  • 您好,

    您可以参考下图:

    ADUC中,选中需要修改的用户 Attribute Editor (需要在“View”中勾选”Advanced Features“),然后找到对应的属性,修改为<not set>即可。


    此致,

    Shaw Lu

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年5月22日 7:01
    版主
  • 十分感谢,删除相应属性值之后已经可以启用了。
    2019年5月24日 5:41