locked
EDGE SERVER重開後,外網登入一直提示「伺服器沒有回應或無法連絡,正重新連線,登入可能會延遲」 RRS feed

  • 問題

  • 如題,在登入時一直顯示這行,一直無法登入

    EDGE 重開機前都是正常的

    環境為DC+前端/AV+SQL/封存/監控+DIRECTOR+EDGE

    目前內網登入都正常(BY DIRECTOR)

    但外網登入一直顯示無回應,延遲登入

    檢查LYNC SERVER控制台拓撲都有覆寫成功,毎台LYNC角色的服務都有正常啟動



    • 已編輯 Vincent,WU 2012年5月4日 上午 06:45
    2012年5月4日 上午 06:42

解答

  • Hi

    麻煩您在Edge上面用Lync Server 2010記錄工具紀錄看看相關的Log

    請您勾選S4、SIPStack,級別為所有,旗標為所有旗標

    啟動後,請用Client對Edge登入一次看看,直到錯誤訊息產生

    然後就請您停止記錄,並查看一下Log

    方便的話,可以將Log上傳嗎?(這Log可能會有點大)

    並請您先確認Client可正常解析到edge的FQDN跟sip.fqdn

    並確認5061 Port是有通的


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年5月7日 上午 08:17
    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:18
    2012年5月7日 上午 08:15
  • Hi

    Edge的防火牆設定,請您參考以下兩張圖192.168.10.111跟192.168.10.112是您內部Front End的IP Address(因為您沒提到內部Front End的IP)

    然後Director跟Edge的內部 IP要雙向通5061(TCP),並請您確認Edge的DNS設定是指向內部DNS

    (Edge要可以查詢到Director.af.com、Director要可以查到Edge.af.com)

    您的Log是從Front End上蒐集來的嗎??

    可否請您在Edge跟Director兩台同時啟動紀錄,再透過外部Client連線到Edge,確認出現錯誤訊息之後,再停止紀錄

    這步驟要確實哦~以及您要確認外部Client解析到的IP Address(sip.af.com)是Edge使用的外部IP address

    下圖的部分,您需要特別注意Access的部分,因為這會影響使用者登入

    另外,您外部的部分共用無法使用,您應該要先檢查外部DNS的Meet.af.com是否有指向內部Front End?

    (這種情況下Front End需要外部IP address,因為您沒有Proxy,需要將Meet跟Dialin直接對外(NAT可))


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年5月7日 下午 02:21
    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:17
    2012年5月7日 下午 02:11
  • Hi

    第一個問題,我只能建議您在VM中的憑證重新匯入(要匯入到Computer裡的,不是User的)

    然後請您檢查DNS的正反解析,實體跟VM有何差異

    那篇KB是要您檢查每一部Lync Server上的IIS憑證是否正確及有效,並參考這篇做測試http://blog.schertz.name/2011/05/revoked-lync-server-certificates/

    然而,您可以照這篇文章的作法,讓您測試上加快一點http://blog.schertz.name/2010/09/updating-the-lync-2010-address-book/

    執行reg add HKLM\Software\Policies\Microsoft\Communicator /v GalDownloadInitialDelay /t REG_DWORD /d 0 /f

    預設通訊錄會在這兩個路徑底下,請試著將它刪除

    On Windows XP workstations:

    %userprofile%\Local Settings\Application Data\Microsoft\Communicator\sip_<username@domain>\

    On Windows Vista or Windows 7 workstations:

    %userprofile%\AppData\Local\Microsoft\Communicator\sip_<username@domain>\

    重新啟動Lync Client,通訊錄會馬上抓,這應該會方便您測試

    第二個問題,請您確認一下一件事情,您兩部做共用的機器,都可以正確的解析到meet.af.com嗎?

    解析到的meet.af.com是Director對外的IP Address嗎?

    所以要請您確認外部Client對這方面的解析,並確認5060、5061、80、8080、443、4443對這IP是否正常

    我會建議您檢查一下每部Lync Server上的Event Log,並確認每一台Lync Server上的IIS Site都有正確啟動

    這幾個連結的資源可能會對你有幫助

    http://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=ad8ff3fb-014e-4fd7-8003-436d896ab0c6

    http://blog.schertz.name/2011/03/publishing-lync-director-web-services/

    http://social.technet.microsoft.com/Forums/en-US/ocsaddressbook/thread/a6bd0ec1-5479-4dff-8b37-80f126468fe5


    Best Regards, Daniel Liang



    • 已編輯 Daniel-Liang 2012年5月8日 下午 05:17
    • 已標示為解答 Vincent,WU 2012年5月30日 下午 07:20
    2012年5月8日 下午 02:42
  • SIP.FQDN是PING通的 (外部對EDGE?)

    EDGE.FQDN是指EDGE SERVER的內部網卡嗎?(內部對EDGE?)

    這個不是只有在內部DNS有主機A記錄

    TELNET到5061也OK

    下面是用記錄工具收集來的LOG

    用兩台不同的CLIENT登入(一台HOST、一台VM)

    OCSLogger_2012_05_07_16_51.txt

    LYNC SERVER控制台中EDGE狀態無法取得是正常的 嗎



    狀態N/A 是正常的,外網無法使用的話,請提供一下你防火牆設定的方式。

    Lusheng

    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:18
    2012年5月7日 上午 10:04
    版主

所有回覆

  • Hi

    請確認一下Event Log有沒有異常訊息,以及SIP Port有沒有LISTENING,預設是5061

    以及解析到的外部SIP Address是否正常、IIS的Site是否都有正常啟動

    Event Log中應該會有很明確的訊息,如果沒有,您需要先確認Port的部份都有通

    然後,試著用Lync Server 2010 Resource Kit去從Log中分析無法登入的原因


    Best Regards, Daniel Liang

    2012年5月4日 下午 01:38
  • 之前也架設過相同的環境好幾次,基本上都沒有去開什麼PORT(在EDGE),保持原始狀態,都可以順利登入使用

    但外部使用者部份共用功能不能使用,於是在EDGE開啟TCP 443.50000-59999 UDP 3478

    就可以順利使用所有功能,但一次重開EDGE SERVER後先是出現

    「伺服器沒有回應或無法連絡,正重新連線,登入可能會延遲」

    換成別的帳號登入就變成

    「無法登入,因為伺服器暫時無法使用。如果問題持續發生,請連絡您的系統管理員。」

    試了很久 結果變成,即使整個環境重建也是一樣的情形

    使用內網的IP段.DNS指向內部的DNS

    不管有沒有加入網域都可以順利登入LYNC(透過DIRECTOR也OK)

    換成外網IP就怎麼用都無法登入

    之前架設LYNC環境都很順利的說

    以下是成功/失敗登入的記錄

    成功(內網)

    失敗(外部)


    • 已編輯 Vincent,WU 2012年5月7日 上午 07:36
    2012年5月7日 上午 07:28
  • Hi

    麻煩您在Edge上面用Lync Server 2010記錄工具紀錄看看相關的Log

    請您勾選S4、SIPStack,級別為所有,旗標為所有旗標

    啟動後,請用Client對Edge登入一次看看,直到錯誤訊息產生

    然後就請您停止記錄,並查看一下Log

    方便的話,可以將Log上傳嗎?(這Log可能會有點大)

    並請您先確認Client可正常解析到edge的FQDN跟sip.fqdn

    並確認5061 Port是有通的


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年5月7日 上午 08:17
    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:18
    2012年5月7日 上午 08:15
  • SIP.FQDN是PING通的 (外部對EDGE?)

    EDGE.FQDN是指EDGE SERVER的內部網卡嗎?(內部對EDGE?)

    這個不是只有在內部DNS有主機A記錄

    TELNET到5061也OK

    下面是用記錄工具收集來的LOG

    用兩台不同的CLIENT登入(一台HOST、一台VM)

    OCSLogger_2012_05_07_16_51.txt

    LYNC SERVER控制台中EDGE狀態無法取得是正常的 嗎



    • 已編輯 Vincent,WU 2012年5月7日 上午 09:06
    2012年5月7日 上午 09:00
  • SIP.FQDN是PING通的 (外部對EDGE?)

    EDGE.FQDN是指EDGE SERVER的內部網卡嗎?(內部對EDGE?)

    這個不是只有在內部DNS有主機A記錄

    TELNET到5061也OK

    下面是用記錄工具收集來的LOG

    用兩台不同的CLIENT登入(一台HOST、一台VM)

    OCSLogger_2012_05_07_16_51.txt

    LYNC SERVER控制台中EDGE狀態無法取得是正常的 嗎



    狀態N/A 是正常的,外網無法使用的話,請提供一下你防火牆設定的方式。

    Lusheng

    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:18
    2012年5月7日 上午 10:04
    版主
  • 除了

    後端伺服器有新增 開啟TCP 1433 連入規則

    Edge伺服器新增

    連入規則

    允許TCP 443 .UDP 3478

    連出規則

    允許UDP 3478 . TCP 50000-59999

    其餘防火牆皆未做其他設定

    環境如下圖

    以下為原始環境的使用外網登入的log

    OCSLogger_2012_05_07_19_31.txt

    OCSLogger_2012_05_07_19_36.txt

    以下為原始環境的使用內網網段(未加入domain)登入的log

    OCSLogger_2012_05_07_19_46.txt





    • 已編輯 Vincent,WU 2012年5月7日 上午 11:49
    2012年5月7日 上午 11:06
  • Hi

    Edge的防火牆設定,請您參考以下兩張圖192.168.10.111跟192.168.10.112是您內部Front End的IP Address(因為您沒提到內部Front End的IP)

    然後Director跟Edge的內部 IP要雙向通5061(TCP),並請您確認Edge的DNS設定是指向內部DNS

    (Edge要可以查詢到Director.af.com、Director要可以查到Edge.af.com)

    您的Log是從Front End上蒐集來的嗎??

    可否請您在Edge跟Director兩台同時啟動紀錄,再透過外部Client連線到Edge,確認出現錯誤訊息之後,再停止紀錄

    這步驟要確實哦~以及您要確認外部Client解析到的IP Address(sip.af.com)是Edge使用的外部IP address

    下圖的部分,您需要特別注意Access的部分,因為這會影響使用者登入

    另外,您外部的部分共用無法使用,您應該要先檢查外部DNS的Meet.af.com是否有指向內部Front End?

    (這種情況下Front End需要外部IP address,因為您沒有Proxy,需要將Meet跟Dialin直接對外(NAT可))


    Best Regards, Daniel Liang


    • 已編輯 Daniel-Liang 2012年5月7日 下午 02:21
    • 已標示為解答 Vincent,WU 2012年5月8日 上午 02:17
    2012年5月7日 下午 02:11
  • 終於找到問題所在了
    原因是公網的DNS( 8.8.8.8)
    多了一筆director.af.com 主機A記錄

    和我的內網DIRECTOR的FQDN一樣,結果導致登入出問題

    解決方法是在本機HOST檔案新增一筆對應表記錄(192.168.10.40 director.af.com),

    因為做名稱解析時會先找本機HOST的記錄,找不到對應的才透過DNS

    但仍然有一個問題

    在實體CLIENT(不管是VM所在 HOST還是外部LAN中的其他實體機)上用外網登入LYNC,在外部伺服器可使用IP:10.59.1.50, 可以順利登入LYNC;但在用VM中的Clinet中使用IP: 10.59.1.50都會跳出「從伺服器驗證憑證時發生問題」的錯誤訊息,但使用FQDN: sip.af.com,確可以順利登入LYNC

    以下是發生此狀況時,EDGE的LOG

    OCSLogger_2012_05_08_09_46.txt

    我查看了登入成功的LOG檔

    上面很多SIP/2.0 40X Unauthorized的訊息,這是正常嗎?

    下面是Director和Edge的LOG檔

    OCSLogger.rar

    2012年5月8日 上午 02:17
  • Hi

    我的作法其實我Edge是往內部DNS作查詢,內部DNS在查不到時就往外轉,就不會有這問題

    你可以參考看看這樣的作法

    原則上在設定連線到Edge時,我這邊的做法都是自動的,並不需要改到那邊的設定(預設會連線sip.fqdn尾碼)

    我從您的Log中看到您出現憑證驗證出現問題,請您確認您有正確匯入RootCA到Computer Cert的信任根憑證裡面

    您的sip 40x error似乎是edge跟director的443驗證有問題,您可以確認一下Edge跟Director的Lync Server Event Log(在事件檢視器)

    裡面可能會有些蛛絲馬跡,另外其實我不建議使用Host檔去強制指定(我記得我試過會怪怪的)

    以上供您參考囉


    Best Regards, Daniel Liang

    2012年5月8日 上午 02:48
  • Hi

    我的作法其實我Edge是往內部DNS作查詢,內部DNS在查不到時就往外轉,就不會有這問題

    你可以參考看看這樣的作法

    原則上在設定連線到Edge時,我這邊的做法都是自動的,並不需要改到那邊的設定(預設會連線sip.fqdn尾碼)

    我從您的Log中看到您出現憑證驗證出現問題,請您確認您有正確匯入RootCA到Computer Cert的信任根憑證裡面

    您的sip 40x error似乎是edge跟director的443驗證有問題,您可以確認一下Edge跟Director的Lync Server Event Log(在事件檢視器)

    裡面可能會有些蛛絲馬跡,另外其實我不建議使用Host檔去強制指定(我記得我試過會怪怪的)

    以上供您參考囉


    Best Regards, Daniel Liang

    雖然有出現下面ERROR的訊息,但仍可登入,這對使用上有啥影響嗎

    SIP/2.0 401 Unauthorized

    SIP/2.0 403 Location profile only available when UC enabled

    會是拓撲設定的關系嗎,外部WEB是要改成director.af.com嗎?

    所有外部CLIENT都需要下載內部ROOTCA的憑證並匯入「受信任的根憑證」中,我是下載憑證鏈(*.p7b)並匯入

    我有試過在VM中不管是有沒有加入網域的CLIENT,在LYNC外/內部伺服器位置只能輸入FQDN,

    一但輸入伺服器IP就會出現「從伺服器驗證憑證時發生問題」的錯誤訊息

    另外想請問外部使用者是無法使用通訊錄的功能嗎?外部使用者好像只能用UPN格式(XXX@DOMAIN),還出現這個訊息

    是因為沒有反向PROXY關系嗎 ?


    • 已編輯 Vincent,WU 2012年5月8日 上午 05:14
    2012年5月8日 上午 05:10
  • Hi

    您透過外部時,有辦法反解IP Address嗎?

    沒辦法的話,會導致它無法驗證那個憑證的FQDN

    假設,您反解10.59.1.50回應的是IP,而不是FQDN,它是沒辦法驗證憑證FQDN的

    至於通訊錄的問題,您可以參考這篇http://support.microsoft.com/kb/939530/en-us

    不過,我建議您先檢查一下事件檢視器裡的Lync Server 2010 Event Log,應該會有訊息才對


    Best Regards, Daniel Liang

    2012年5月8日 上午 05:48
  • Hi

    您透過外部時,有辦法反解IP Address嗎?

    沒辦法的話,會導致它無法驗證那個憑證的FQDN

    假設,您反解10.59.1.50回應的是IP,而不是FQDN,它是沒辦法驗證憑證FQDN的

    至於通訊錄的問題,您可以參考這篇http://support.microsoft.com/kb/939530/en-us

    不過,我建議您先檢查一下事件檢視器裡的Lync Server 2010 Event Log,應該會有訊息才對


    Best Regards, Daniel Liang

    1.請問為何在實體機可以使用IP來做登入,在同一個區網的其他實體機器都可以順利登入,但在VM中Client就都失敗

    至於「無法與企業通訊錄進行同步處理」的問題,是出現在登入一段時間後會在右下角出現提示

    試著造http://support.microsoft.com/kb/939530/zh-tw的方法來操作,結果外網依舊不能使用通訊錄的功能

    在DC上IIS操作只有這些內容,有些叙述的東西在其中找不到


    2.其他台實體CLIENT在進行共用時會出現共用失敗,然後被踢出會議

    查LYNC LOG是發現

    SIP/2.0 481 Call Leg/Transaction Does Not Exist」、「SIP/2.0 400 Bad Request」、「 SIP/2.0 409 Conflict

    還很詭異的找非LYNC AD裡的其他網域的帳號(出現「SIP/2.0 404 Not Found」

    以下是出現上述情形時的LOG

    OCSLOG.rar


    3.雖然有出現下面ERROR的訊息,但仍可登入,這對使用上有啥影響嗎

    SIP/2.0 401 Unauthorized

    SIP/2.0 403 Location profile only available when UC enabled


    非常感謝 Daniel-Liang  不厭其煩的指點!





    2012年5月8日 下午 01:58
  • Hi

    第一個問題,我只能建議您在VM中的憑證重新匯入(要匯入到Computer裡的,不是User的)

    然後請您檢查DNS的正反解析,實體跟VM有何差異

    那篇KB是要您檢查每一部Lync Server上的IIS憑證是否正確及有效,並參考這篇做測試http://blog.schertz.name/2011/05/revoked-lync-server-certificates/

    然而,您可以照這篇文章的作法,讓您測試上加快一點http://blog.schertz.name/2010/09/updating-the-lync-2010-address-book/

    執行reg add HKLM\Software\Policies\Microsoft\Communicator /v GalDownloadInitialDelay /t REG_DWORD /d 0 /f

    預設通訊錄會在這兩個路徑底下,請試著將它刪除

    On Windows XP workstations:

    %userprofile%\Local Settings\Application Data\Microsoft\Communicator\sip_<username@domain>\

    On Windows Vista or Windows 7 workstations:

    %userprofile%\AppData\Local\Microsoft\Communicator\sip_<username@domain>\

    重新啟動Lync Client,通訊錄會馬上抓,這應該會方便您測試

    第二個問題,請您確認一下一件事情,您兩部做共用的機器,都可以正確的解析到meet.af.com嗎?

    解析到的meet.af.com是Director對外的IP Address嗎?

    所以要請您確認外部Client對這方面的解析,並確認5060、5061、80、8080、443、4443對這IP是否正常

    我會建議您檢查一下每部Lync Server上的Event Log,並確認每一台Lync Server上的IIS Site都有正確啟動

    這幾個連結的資源可能會對你有幫助

    http://www.microsoft.com/downloads/zh-tw/details.aspx?familyid=ad8ff3fb-014e-4fd7-8003-436d896ab0c6

    http://blog.schertz.name/2011/03/publishing-lync-director-web-services/

    http://social.technet.microsoft.com/Forums/en-US/ocsaddressbook/thread/a6bd0ec1-5479-4dff-8b37-80f126468fe5


    Best Regards, Daniel Liang



    • 已編輯 Daniel-Liang 2012年5月8日 下午 05:17
    • 已標示為解答 Vincent,WU 2012年5月30日 下午 07:20
    2012年5月8日 下午 02:42
  • 出現上述問題的徵結點找到了

    只要LYNC 2010 Client 安裝更新就可以解決不能用IP登入的問題

    2012年5月30日 下午 07:23