WebEx : Cisco Expressway

协作边缘多数常见问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

协作边缘/莫比尔&远程访问(MRA)是虚拟私有网络少的(VPN) Jabber功能的一部署解决方案。此解决方案允许最终用户从世界上任何地方连接到内部企业资源。此指南写入给在部署说明期间,排除故障协作边缘解决方案功能迅速识别,并且解决最常见的问题客户请面对的工程师。

由思科 TAC 工程师撰稿。

先决条件

要求

Cisco 建议您了解以下主题:

  • Cisco Unified Communications Manager (CUCM)
  • 思科高速公路核心
  • 思科高速公路边缘
  • 思科IM和在线状态(IM&P)
  • Windows的思科Jabber
  • Cisco Jabber for Mac
  • Cisco Jabber for Android
  • iOS的思科Jabber
  • 安全证书
  • 域名系统 (DNS)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 视频通信服务器(VC)版本X8.1.1或以上
  • VC控制&高速公路/高速公路核心&边缘
  • CUCM版本9.1(2)SU1或以上和IM & P版本9.1(1)或以上
  • Cisco Jabber版本9.7或以上

洛金问题

Jabber无法对签到通过MRA

此症状可以由各种各样的问题导致,一些概述得此处。

1.协作边缘服务服务纪录(SRV)没有创建并且/或者波尔特8443不可达的

对于Jabber的客户端能顺利地登陆与MRA,一个特定协作边缘SRV记录一定创建和可访问外部。当Jabber客户端最初开始时,它做DNS SRV查询:

  1. _cisco-uds :此SRV记录用于为了确定CUCM服务器是否是可用的。

  2. _cuplogin :此SRV记录用于为了确定IM&P服务器是否是可用的。

  3. _collab-edge :此SRV记录用于为了确定MRA是否是可用的。

如果Jabber客户端开始和不收到_cisco-uds_cuplogin的一SRV答案,并且收到_collab-edge的一答案,则使用此答案设法与在SRV答案列出的高速公路E联系。

_collab-edge SRV记录应该指向高速公路E完全合格的域名(FQDN)用端口8443。如果_collab-edge SRV没有创建或者不是外部可用的,或者,如果它是可用,但是端口8443不可及的,然后Jabber客户端不能登陆。

2.在VC高速公路的不可接受或没有可用的证书

在Jabber客户端接收_collab-edge的后一答案,然后与有传输层安全的(TLS)高速公路联系在端口8443设法从高速公路获取证书设置通信的TLS Jabber客户端和高速公路之间。

如果高速公路没有包含高速公路FQDN或域的一有效签名证书,则这发生故障,并且Jabber客户端不能登陆。

如果此问题出现,客户应该使用在高速公路的证书签名请求(CSR)工具,自动地包括高速公路FQDN作为一附属的替代方案名称(SAN)。

注意:MRA要求安全通信高速公路C和高速公路E之间和高速公路E和外部终端之间。

高速公路C服务器认证需求

  • 在IM&P服务器配置的聊天节点别名。这要求,如果执行可扩展消息传送和在线状态协议(XMPP)联邦。在IM&P服务器在高速公路C条件下,已经发现高速公路C在CSR应该自动地包括这些。

  • 在所有电话安全配置文件FQDN格式的名称在设备配置为TLS和的CUCM的配置用于MRA。这允许CUCM和高速公路C之间的安全通信使用那些电话安全配置文件的设备的。

高速公路E服务器认证需求

  1. 为统一通信配置的所有域。这包括高速公路E和C域,为Jabber配置的电子邮件地址域和所有在线状态域。

  2. 在IM&P服务器配置的聊天节点别名。如果执行XMPP联邦,这要求。 

MRA部署指南较详细地描述此问题在页17-18。

3. 在边缘配置方面找到的没有UDS服务器

在Jabber客户端成功设立一个安全连接用高速公路E后,请求其边缘配置(get_edge_config)。此边缘配置包含_cuplogin_cisco-uds的SRV记录。如果这些SRV记录没有在边缘配置里返回,则Jabber客户端不能继续进行登录。

为了修复此,请确保_cisco-uds_cuplogin SRV记录由高速公路C创建内部地和可解决。

关于DNS SRV记录的更多信息可以在MRA部署指南的页10找到X8.5的

如果是在一个双重域,这也是常见的症状。如果在一个双重域运作并且寻找Jabber客户端没有返回任何用户数据服务(UDS),您必须保证您的配置跟随配置说明的DNS部分:莫比尔和远程访问通过Expressway/VCS在多域部署

4.高速公路C日志显示此Error:XCP_JABBERD无法的Detail= "接通主机‘%IP%’,拒绝的端口7400:(111)连接”

如果高速公路E网络接口控制器(NIC)不正确地配置,这能引起可扩展通信平台(XCP)服务器不更新。如果高速公路E满足这些标准,则您很可能将遇到此问题:

  1. 使用单个NIC。
  2. Option键先进的网络安装。
  3. 使用双重网络接口选项设置为

为了更正此问题,请更改使用双重网络接口选项对不。

原因这是的问题是,因为高速公路E细听错误的网络接口的XCP会话,导致连接发生故障/超时。高速公路E在XCP会话的TCP端口7400侦听。如果使用netstat命令从VC作为根,您能验证此。

5. VCE-E服务器主机名/域名不匹配什么在_collab-edge SRV配置

如果高速公路E服务器主机名/域名不匹配什么在_collab-edge SRV答案接收, Jabber客户端不能用高速公路E通信。Jabber客户端在get_edge_config答复使用xmppEdgeServer/地址元素建立对高速公路E的XMPP连接。

这是什么的示例xmppEdgeServer/地址看起来象在从高速公路E的get_edge_config答复到Jabber客户端:

<xmppEdgeServer>
<server>
<address>examplelab-vcse1.example.com</address>
<tlsPort>5222</tlsPort>
</server>
</xmppEdgeServer>

为了避免此,请确保_collab-edge SRV记录匹配高速公路E主机名/域名。增强CSCuo83458为此被归档了。

6.无法登录某些IM&P服务器-高速公路日志显示错误

高速公路日志显示这些错误之一:

"No realm found for host cups-example.domain.com, check connect auth configuration"
Module="cm-1.expressway-edge-example-com" Level="INFO " CodeLocation=
"SASLManager.cpp:198" Detail="Failed to query auth component for SASL mechanisms"

从高速公路C,请去Configuration>统一通信> IM&P服务器。在每个IM&P服务器旁边选择复选框并且点击刷新服务器

注意:如果这不调整问题,必须也重新启动在IM&P服务器的XCP路由器。

7.无法登陆由于现有WebEx连接订阅

Windows日志的Jabber显示此:

2014-11-22 19:55:39,122 INFO  [0x00002808] [very\WebexCasLookupDirectorImpl.cpp(134)]
[service-discovery] [WebexCasLookupDirectorImpl::makeCasLookupWhenNetworkIs
Available] - makeCasLookupForDomain result is 'Code: IS_WEBEX_CUSTOMER; Server:
http://loginp.webexconnect.com;
Url: http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com';;;.2014-11-22
19:55:39,122 INFO [0x00002808] [overy\WebexCasLookupDirectorImpl.cpp(67)]
[service-discovery] [WebexCasLookupDirectorImpl::determineIsWebexCustomer] -
Discovered Webex Result from server. Returning server result.2014-11-22 19:55:39,122
DEBUG [0x00002808] [ery\WebexCasLookupUrlConfigImpl.cpp(102)]
[service-discovery] [WebexCasLookupUrlConfigImpl::setLastCasUrl] - setting last_cas_
lookup_url : http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com2014-11-22
19:55:39,123 DEBUG [0x00002808] [pters\config\ConfigStoreManager.cpp(286)]
[ConfigStoreManager] [ConfigStoreManager::storeValue] - key : [last_cas_lookup_url]
value : [http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com]2014-11-22
19:55:39,123 DEBUG [0x00002808] [common\processing\TaskDispatcher.cpp(29)]
[TaskDispatcher] [Processing::TaskDispatcher::enqueue] - Enqueue ConfigStore::persist
Values - Queue Size: 02014-11-22 19:55:39,123 DEBUG [0x00002808] [pters\config\ConfigStore
Manager.cpp(140)]
[ConfigStoreManager] [ConfigStoreManager::getValue] - key : [last_cas_lookup_url]
skipLocal : [0] value: [http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com]
success: [true] configStoreName: [LocalFileConfigStore]

登录尝试处理对WebEx连接。

对于一永久性解决方法,您必须与WebEx联系为了安排站点退役。

应急方案:

近期,您能使用这两个选项之一从查找排除它。

  • 添加此参数到Jabberconfig.xml。然后请上传Jabberconfig.xml文件对在CUCM的TFTP server。它要求客户端登录内部地首先。

    <?xml version="1.0" encoding="utf-8"?>
    <config version="1.0">
    <Policies>
    <ServiceDiscoveryExcludedServices>WEBEX<
    /ServiceDiscoveryExcludedServices>
    </Policies>
    </config>


  • 从应用程序方面,请运行此:msiexec.exe /i CiscoJabberSetup.msi /quiet CLEAR=1 AUTHENTICATOR=CUP EXCLUDED_SERVICES=WEBEX

注意:第二个选项不为移动设备工作。

注册问题

Softphone不能注册, SIP/2.0 405没允许的方法

从高速公路C的一次诊断记录表示SIP/2.0 405方法没允许的消息以回应Jabber客户端发送的注册请求。这可能归结于在高速公路C和CUCM之间的现有的会话发起协议(SIP)中继使用端口5060/5061。

SIP/2.0 405 Method Not Allowed
Via: SIP/2.0/TCP 10.10.40.108:5060;egress-zone=CollabZone;branch=z9hG4bK81e7f5f1c1
ab5450c0b406c91fcbdf181249.81ba6621f0f43eb4f9c0dc0db83fb291;proxy-call-id=da9e25aa-
80de-4523-b9bc-be31ee1328ce;rport,SIP/2.0/TLS 10.10.200.68:7001;egress-zone=Traversal
Zone;branch=z9hG4bK55fc42260aa6a2e3741919177aa84141920.a504aa862a5e99ae796914e85d35
27fe;proxy-call-id=6e43b657-d409-489c-9064-3787fc4919b8;received=10.10.200.68;rport=
7001;ingress-zone=TraversalZone,SIP/2.0/TLS
192.168.1.162:50784;branch=z9hG4bK3a04bdf3;received=172.18.105.10;rport=50784;
ingress-zone=CollaborationEdgeZone
From: <sip:5151@collabzone>;tag=cb5c78b12b4401ec236e1642-1077593a
To: <sip:5151@collabzone>;tag=981335114
Date: Mon, 19 Jan 2015 21:47:08 GMT
Call-ID: cb5c78b1-2b4401d7-26010f99-0fa7194d@192.168.1.162
Server: Cisco-CUCM10.5
CSeq: 1105 REGISTER
Warning: 399 collabzone "SIP trunk disallows REGISTER"
Allow: INVITE, OPTIONS, INFO, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY
Content-Length: 0

为了修改此问题,请更换应用到在CUCM配置的现有SIP中继和高速公路C邻接区域为对一个不同的端口的CUCM例如5065的SIP中继安全配置文件的SIP端口。这进一步在页39的MRA部署指南解释。

配置汇总

CUCM :

  1. 创建与监听端口的一个新的SIP中继安全配置文件除5060之外(5065)。
  2. 创建SIP中继关联对SIP中继安全配置文件和目的地设置为高速公路C IP地址,端口5060。

高速公路C :

  1. 创建一个邻接区域对CUCM用目标端口除5060之外(5065)匹配CUCM配置。
  2. 在高速公路C设置>协议> SIP中,请确保高速公路C仍然侦听在5060 SIP的。

Softphone不能注册, Reason= "未知域”

从高速公路C的一次诊断记录显示Event= "注册拒绝的” Reason= "未知域” Service= " SIP” Src-ip= " XXX.XXX.XXX.XXX” Src-port="51601" Protocol= " TCP” AOR= " sip :XXX.XXX.XXX.XXX”。

为了修改此问题,请检查这些点:

  • 当目的不将使用一不安全的设备安全性配置文件时, Jabber客户端是否使用一安全设备安全性配置文件在CUCM ?

  • 如果Jabber客户端应该使用一获取的设备安全性配置文件,安全配置文件的名称在FQDN格式的和该FQDN名称配置在高速公路C的证书作为SAN ?

  • 如果Jabber客户端应该使用一获取的设备安全性配置文件,请导航对System > Enterprise Parameters > Security参数>团星安全模式并且检查团星安全模式设置到1为了验证CUCM集群被巩固了。如果值是0,管理员必须通过本文步骤巩固集群。

Softphone不能注册,辩解“超时的空闲读秒”

当您检查高速公路E日志在Jabber客户端在寄存器消息发送的时间段期间时,您也许如代码片断所示遇到一个空闲读秒超时的错误此处。

2015-02-02T19:46:31+01:00 collabedge tvcs: UTCTime="2015-02-02 18:46:31,144" 
Module="network.tcp" Level="DEBUG": Src-ip="JabberPubIP" Src-port="4211"
Dst-ip="VCS-E_IP" Dst-port="5061" Detail="TCP Connecting"
2015-02-02T19:46:31+01:00 collabedge tvcs: UTCTime="2015-02-02 18:46:31,144"
Module="network.tcp" Level="DEBUG": Src-ip="JabberPubIP" Src-port="4211" Dst-ip=
"VCS-E_IP" Dst-port="5061" Detail="TCP Connection Established"2015-02-02T19:46:49+01:00
collabedge tvcs: UTCTime="2015-02-02 18:46:49,606"
Module="network.tcp" Level="DEBUG": Src-ip="92.90.21.82" Src-port="4211" Dst-ip=
"VCS-E_IP" Dst-port="5061" Detail="TCP Connection Closed" Reason="Idle
countdown expired
"

此片断表明防火墙有开放的端口5061;然而,没有在足够量的时刻通过,因此TCP连接结束的应用层流量。

如果遇到此情况,有在高速公路E前面的防火墙有SIP打开的检查/应用层网关的高度可能性(ALG)功能。为了修正此问题,您必须diable此功能。如果对如何是不确定的执行此,您应该参考您的防火墙供应商的产品文档。

关于SIP Inspection/ALG的更多信息,您能参考VC控制和高速公路基本部署指南(页55)的附录4。

Jabber和EX客户端无法对寄存器对高速公路E,当设置与LSC

为了更正此问题,请上传CAPF.pem证书对高速公路E认证机关托拉斯列表。

介质问题

没有梅迪亚,当您通过MRA呼叫

在与配置的NAT的单个NIC部署,这些参数未命中或没正确地配置:

  • 高速公路C没有指向高速公路E公网IP地址,提供防火墙到发夹信令。

  • 如果指向高速公路E FQDN TLS的,请验证FQDN必须解决到高速公路E公网IP地址。

  • 这些在高速公路E没有配置:

    xConfiguration Ethernet 1 IP V4 Address: "<Internal_IP>"
    xConfiguration Ethernet 1 IP V4 StaticNAT Address: "<Public_IP>"
    xConfiguration Ethernet 1 IP V4 StaticNAT Mode: "On"

关于此的更多信息可以在VC控制&高速公路部署指南的页63找到。

没有回铃,当在MRA的呼叫对PSTN

此问题归结于在高速公路的一个限制在版本x8.5之前。Cisco Bug ID CSCua72781描述高速公路C如何不转发在敲响在穿越区域间的183会话进展的早媒体或180。如果运行版本x8.1.x或x8.2.x,您可升级到版本x8.5或二者择一执行列出的应急方案此处。

使用在Cisco Unified Border Element (多维数据集)的一应急方案是可能的,如果做把183变成180的一SIP配置文件并且应用它在流入的拨号对等体。例如:

voice class sip-profiles 11
response 183 sip-header SIP-StatusLine modify "SIP/2.0 183 Session Progress"
"SIP/2.0 180 Ringing"

之后他们会禁用任一的180早期的梅迪亚CUCM >多维数据集或者多维数据集的SIP配置文件在SIP UA配置模式内。

disable-early-media 180

高速公路中心问题

高速公路C也许显示“XMPP路由器:非激活”错误

在您完成配置后,您也许遇到此错误:

此错误能为描述的几个不同的原因发生此处:

  • Unified CM服务在高速公路C/E.没有启用。

    为了调整此问题,请完成这些步骤:

    1. 导航到Configuration>区域>区域>穿越区域
    2. 选择Unified Communcations服务的在SIP部分下。
    3. 单击 Save


  • LAN2是活跃,但是不在使用中的在高速公路E。

    为了调整此问题,请完成这些步骤:

    1. 导航对从高速公路E的System > IP
    2. 选择使用双重网络接口参数的。


  • SIP域在高速公路C未定义。

    为了调整此问题,请完成这些步骤:

    1. 导航对Configuration>域>New
    2. 添加您的域并且启用SIP注册和供应在Unified CMIM和在线状态服务在Unified CM
    3. 创建域。


  • 高速公路C IM和在Unified CM的在线状态服务没有打开。

    为了调整此问题,请完成这些步骤:

    1. 导航对Configuration>域>选择您的域
    2. 设置IM和在线状态服务在Unified CM开。
    3. 单击 Save


  • 在高速公路C和高速公路E之间的穿越区域不安全。

    为了调整此问题,请完成这些步骤:

    1. 保证穿越设置强制已加密。
    2. 保证在高速公路C的对等地址设置对高速公路E而不是IP地址主机名,以便匹配证书。

CUCM和IM&P问题

防止CUCM被添加的ASCII错误

当您添加CUCM到高速公路C时,您遇到防止CUCM被添加的ASCII错误。

当高速公路C添加CUCM到其数据库时,通过关连获得和列出功能的一系列的AXL查询运行。这些的示例包括getCallManagerlistCallManagerlistProcessNodelistProcessNodeServicegetCCMVersion。在getCallManager进程运行后,由设置的ExecuteSQLQuery继任获取所有CUCM呼叫管理器托拉斯或Tomcat信任。

一旦CUCM接收查询和执行对此, CUCM然后报告返回所有其证书。如果其中一证书包含非ASCII字符,高速公路在位置42487生成在Web接口的一个错误类似于ascii编码不能解码字节0xc3 :序数不在range(128)。

此问题在版本x8.2跟踪与Cisco Bug ID CSCuo54489和被解决。

5061的出站TLS失败从高速公路C到在安全部署的CUCM

此问题出现,当您使用在CUCM的自签名证书,并且Tomcat.pem/CallManager.pem有相同主题。问题解决与Cisco Bug ID CSCun30200修改问题的应急方案是删除tomcat.pem和禁用TLS从在高速公路C的CUCM配置验证。

IM&P遇到的服务器没被添加的和错误

当您添加一个IM&P服务器时,高速公路C报告“此服务器不无法IM和Presence Server”或“通信与.AXL查询HTTP错误''HTTPError:500'",导致不被添加的IM&P服务器。

作为IM&P服务器的新增内容一部分,高速公路C使用一AXL查询寻找在一个明确目录的IM&P证书。由于欠缺CSCul05131,证书不在该存储;因此,您遇到错误错误。

遇到的XCP服务器错误

在高速公路C上,在读“非激活可及的状态>统一通信下, XCP服务器错误错误显示,但是连接不上升。检查密码”。

解决方案将重新启动两条高速公路。

其他问题

在Jabber客户端的语音邮件状态显示“没有连接

为了顺利地做Jabber客户端语音邮件状态连接,您必须配置在HTTP服务器Whitelist内的Cisco Unity Connection IP地址或主机名在高速公路C。

为了从高速公路C完成此,请执行相关步骤:

版本的x8.1和x8.2步骤

  1. 点击Configuration>统一通信> Configuration>配置HTTP服务器允许列表
  2. 点击新>回车Create条目IP/的Hostname>
  3. Jabber客户端的注销,然后记录上一步。

版本的x8.5步骤

  1. 点击Configuration>统一通信> Unity Connection服务器
  2. 点击新>回车IP/主机名,用户帐户凭证>Add地址
  3. Jabber客户端的注销,然后记录上一步。

联系方式照片不出现在Jabber客户端通过高速公路

莫比尔&远程访问解决方案只utiltizes联系方式照片解决方法的UDS。这要求您有存储一Web服务器的联机照片。配置是二倍的。

  1. 必须修改Jabberconfig.xml处理客户端到联系方式照片解决方法的Web服务器。此处配置应该达到此。

    <Directory>
    <DirectoryServerType>UDS</DirectoryServerType>
    <PhotoUriWithToken>http://%IP/Hostname%/photo%%uid%%.jpg<
    /PhotoUriWithToken>
    <UdsServer>%IP%</UdsServer>
    <MinimumCharacterQuery>3</MinimumCharacterQuery>
    </Directory>


  2. 高速公路C必须有在HTTP服务器内列出的Web服务器允许列表。

    1. 点击Configuration>统一通信> Configuration>配置HTTP服务器允许列表
    2. 点击新>回车Create条目IP/的Hostname>
    3. Jabber客户端的注销,然后记录上一步。


    注意:关于UDS联系方式照片解决方法的更多信息,参考Jabber联系方式照片文档

提示在洛金期间, Jabber客户端接受高速公路E证书

为了从接受高速公路证书的被提示终止Jabber客户端,您必须满足如下所示的两criteteria :

  • 运行Jabber客户端的设备/计算机必须有在其证书信任存储内列出的高速公路E证书的签署人。

    注意:这容易完成,如果使用公共认证机关,因为移动设备包含大证书信任存储。



  • 用于collab边缘记录的外部域一定是存在高速公路E证书的SAN内。

    注意:当接收它时, Jabber客户端搜索SAN此域。如果它不存在,提示您接受它。

相关信息



Document ID: 118798