会議 : Cisco Expressway

コラボレーション エッジ TC ベースのエンドポイント 設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

関連するシスコ サポート コミュニティ ディスカッション

概要

必要となるモービルおよびリモートアクセス ソリューションを通して TelePresence コーデック(TC)ベースのエンドポイント登録を設定し、解決するためにものが資料に記述されています。

ポール Stojanovski によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • モービルおよびリモートアクセス ソリューション
  • ビデオ コミュニケーション コミュニケーション・サーバ(VC)認証
  • 高速道路 X8.1.1 またはそれ以降
  • Cisco Unified 通信マネージャ(CUCM)リリース 9.1.2 またはそれ以降
  • TC ベースのエンドポイント

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • VC X8.1.1 またはそれ以降
  • CUCM リリース 9.1(2)SU1 またはそれ以降および IM 及び存在 9.1(1) またはそれ以降
  • TC 7.1 またはそれ以降 ファームウェア(推奨される TC7.2)
  • VC コントロール及び高速道路/高速道路コア及びエッジ
  • CUCM
  • TC エンドポイント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

これらのコンフィギュレーションのステップは管理者が TC ベースのエンドポイントをのための保護するデバイス 登録を設定すると仮定します。 セキュア登録は CUCM のセキュア デバイス プロファイルを示す設定からスクリーン ショットがあるのであること全面的なモービルおよびリモートアクセス ソリューション ガイドが印象を与えるどんなに、要件ではないです。

作成して下さい FQDN 形式(オプションの)の CUCM のセキュア電話プロファイルを

  1. CUCM で、システム > Security > 電話セキュリティプロファイルを選択して下さい。
  2. [Add New] をクリックします。
  3. TC ベースのエンドポイント型を選択し、これらのパラメータを設定して下さい:
    1. 名前- Secure-EX90.tbtp.local (必要な FQDN 形式)
    2. デバイスセキュリティ モード-暗号化される
    3. トランスポート タイプ- TLS
    4. SIP Phone ポート- 5061

確認して下さいクラスタ セキュリティモードをです(1) -混合された(オプションの)

  1. CUCM では、System > Enterprise Parameters の順に選択 して下さい。
  2. セキュリティパラメータ > クラスタ セキュリティモード> 1.スクロールして下さい

値が 1 でなければ CUCM は保護されませんでした。 これが事実である場合、管理者は CUCM を保護するためにこれら二つの文書の 1 つを検討する必要があります。

CUCM 9.1(2) セキュリティ ガイド

CUCM 10 セキュリティ ガイド

TC ベースのエンドポイントのための CUCM のプロファイルを作成して下さい

  1. CUCM では、Device > Phone の順に選択 して下さい。
  2. [Add New] をクリックします。
  3. TC ベースのエンドポイント型を選択し、これらのパラメータを設定して下さい:
    1. MAC アドレス- TC ベースのデバイスからの MAC アドレス
    2. 必須主演されたフィールド(*)
    3. オーナー-ユーザ
    4. オーナー ユーザ ID -デバイスによって関連付けられるオーナー
    5. デバイスセキュリティ プロファイル-以前は設定されたプロファイル(Secure-EX90.tbtp.local)
    6. SIP プロファイル-標準 SIP プロファイルか以前に作成されるカスタム プロファイル

追加して下さい高速道路C/VCS C 認証(オプションの)の SAN にセキュリティプロファイル名前を

  1. 高速道路C/VCS C で、> Security 認証 > サーバ証明を『Maintenance』 を選択 して下さい。
  2. CSR を『Generate』 をクリック して下さい。
  3. 証明書署名要求(CSR)フィールドに記入し、「統一された CM 電話セキュリティプロファイル名前」に完全修飾ドメイン名 (FQDN) 形式でリストされている正確な電話セキュリティプロファイルがあることを確認して下さい。 たとえば、Secure-EX90.tbtp.local。

    : 統一された CM 電話セキュリティプロファイル名前は認証対象代替名(SAN)フィールドの背部でリストされています。

  4. 署名するべき内部またはサード パーティ 認証局 (CA)に CSR を送って下さい。
  5. > Security 認証 > サーバ証明を認証を高速道路C/VCS C にアップロードするために『Maintenance』 を選択 して下さい。

高速道路E/VCS E 認証に UC ドメインを追加して下さい

  1. 高速道路E/VCS E で、> Security 認証 > サーバ証明を『Maintenance』 を選択 して下さい。
  2. CSR を『Generate』 をクリック して下さい。
  3. CSR フィールドに記入し、TC ベースのエンドポイントが Domain Name Server (DNS)またはサービス名(SRV)形式のコラボレーション エッジ(collab エッジ)要求をに、すること「統一された CM 登録 ドメイン」がドメインが含まれているようにして下さい。
  4. 署名するべき内部かサード パーティ CA に CSR を送って下さい。
  5. > Security 認証 > サーバ証明を認証を高速道路E/VCS E にアップロードするために『Maintenance』 を選択 して下さい。

TC ベースのエンドポイントに適切な信頼された CA 認証をインストールして下さい

  1. TC ベースのエンドポイントで、> Security を『Configuration』 を選択 して下さい。
  2. CA タブを選択し、高速道路E/VCS E 認証に署名した CA 認証のために参照して下さい。
  3. 認証局を『Add』 をクリック して下さい。

    : 認証が追加に成功すれば見ます認証リストにリストしたことを。

    : TC 7.2 はプレインストールされた CA リストが含まれています。 高速道路E 認証に署名した CA がこのリストの内で含まれている場合、このセクションにリストされているステップが必要となりません。

    : プレインストールされた CA ページは便利のが「設定します」次の セクションのステップ 2 で注意される要求されたコンフィギュレーションに直接連れて行くボタンを今提供することを含まれています。

エッジ プロビジョニングのための TC ベースのエンドポイントを設定して下さい

  1. TC ベースのエンドポイントで、> ネットワーク 『Configuration』 を選択 し、これらのフィールドをきちんと記入されます DNS セクションの下で確認して下さい:
    1. ドメイン名
    2. サーバアドレス
  2. TC ベースのエンドポイントで、> プロビジョニング 『Configuration』 を選択 し、これらのフィールドをきちんと一杯にされますで確認して下さい:
    1. LoginName - CUCM で定義されたように…
    2. モード-エッジ
    3. パスワード- CUCM で定義されたように…
      外部マネージャ
    4. アドレス-高速道路E/VCS E のホスト名
    5. ドメイン- collab エッジ レコードがあるところドメイン

確認

ここでは、設定が正常に動作していることを確認します。

TC ベースのエンドポイント

  1. Web GUI では、「ホーム」へのナビゲート。 「のための SIP プロキシ 1" セクションを「登録しました」ステータスを探して下さい。 プロキシアドレスは高速道路E/VCS E です。

  2. CLI から、xstatus //prov を入力して下さい。 登録されていれば「提供される」のプロビジョニング ステータスを見るはずです。
    xstatus //prov
    *s Network 1 IPv4 DHCP ProvisioningDomain: ""
    *s Network 1 IPv4 DHCP ProvisioningServer: ""
    *s Provisioning CUCM CAPF LSC: Installed
    *s Provisioning CUCM CAPF Mode: IgnoreAuth
    *s Provisioning CUCM CAPF OperationResult: NotSet
    *s Provisioning CUCM CAPF OperationState: NonPending
    *s Provisioning CUCM CAPF ServerName: ""
    *s Provisioning CUCM CAPF ServerPort: 0
    *s Provisioning CUCM CTL State: Installed
    *s Provisioning CUCM ExtensionMobility Enabled: False
    *s Provisioning CUCM ExtensionMobility LastLoggedInUserId: ""
    *s Provisioning CUCM ExtensionMobility LoggedIn: False
    *s Provisioning CUCM ITL State: Installed
    *s Provisioning CUCM ProvisionSecurity: Signed
    *s Provisioning CUCM TVS Proxy 1 IPv6Address: ""
    *s Provisioning CUCM TVS Proxy 1 Port: 2445
    *s Provisioning CUCM TVS Proxy 1 Priority: 0
    *s Provisioning CUCM TVS Proxy 1 Server: "xx.xx.97.131"
    *s Provisioning CUCM UserId: "pstojano"

    *s Provisioning NextRetry: ""
    *s Provisioning Reason: ""
    *s Provisioning Server: "xx.xx.97.131"
    *s Provisioning Software Current CompletedAt: ""
    *s Provisioning Software Current URL: ""
    *s Provisioning Software Current VersionId: ""
    *s Provisioning Software UpgradeStatus LastChange: "2014-06-30T19:08:40Z"
    *s Provisioning Software UpgradeStatus Message: ""
    *s Provisioning Software UpgradeStatus Phase: None
    *s Provisioning Software UpgradeStatus SecondsUntilUpgrade: 0
    *s Provisioning Software UpgradeStatus SessionId: ""
    *s Provisioning Software UpgradeStatus Status: None
    *s Provisioning Software UpgradeStatus URL: ""
    *s Provisioning Software UpgradeStatus VersionId: ""
    *s Provisioning Status: Provisioned
    ** end

CUCM

CUCM では、Device > Phone の順に選択 して下さい。 リストを通ってスクロールするか、またはエンドポイントに基づいてリストをフィルタリングして下さい。 「%CUCM_IP%」メッセージがと登録されて表示されるはずです。 これの右への IP アドレスはプロキシ登録高速道路C/VCS C であるはずです。

高速道路C

  1. 高速道路C/VCS C で、> Unified Communication > ビュー プロビジョニング セッション 『Status』 を選択 して下さい
  2. TC ベースのエンドポイントの IP アドレスによってフィルタリングして下さい。 提供されたセッションの例はここに示されています:

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

登録問題は DNS が、認証問題、設定含まれている多数のファクタによって、等引き起こされる場合があります。 このセクションは remediate にある特定の問題におよびどのようにそれ直面するかどうかもの一般的に見るの一覧が含まれています。 既に文書化されていますものがのの外部の問題に動作したら、それを含むこと自由に感じて下さい。

ツール

まず最初に、破棄でツールを理解しておいて下さい。

TC エンドポイント

Web GUI

  • all.log
  • 拡張ロギングを開始して下さい(フルパケット キャプチャを含んで下さい)

CLI

これらのコマンドはリアルタイムで解決して有利です:

  • ログ ctx HttpClient デバッグ 9
  • ログ ctx PROV デバッグ 9
  • ログ 出力の <-- コンソールによってロギングを示します

次に問題を再現する効果的な方法は「Off」へおよび Web GUI 内の「エッジ」に戻って「エッジ」からのプロビジョニング モードを切り替えることです。 また xConfiguration プロビジョニング モードを開始できます: CLI のコマンド。

高速道路

CUCM

  • SDI/SDL トレース

問題 1: Collab エッジ レコードは目に見えませんおよび/またはホスト名は解決可能ではないです

見てわかるように、get_edge_config は名前解決が原因で失敗します。

TC エンドポイント ログ

15716.23 HttpClient   HTTPClientCurl error
(https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/):
'Couldn't resolve host name'

15716.23 PROV ProvisionRequest failed: 4 (Couldn't resolve host name)
15716.23 PROV I: notify_http_done: Received 0 (Couldn't resolve host name) on request
https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/

修復方法

  1. collab エッジ レコードがあり、正しいホスト名を戻すかどうか確認して下さい。
  2. クライアントで設定される DNSサーバ情報が正しいかどうか確認して下さい。

問題 2: CA は TC ベースのエンドポイントの信頼された CA リストの内でありません

TC エンドポイント ログ

15975.85 HttpClient     Trying xx.xx.105.108...
15975.85 HttpClient Adding handle: conn: 0x48390808
15975.85 HttpClient Adding handle: send: 0
15975.86 HttpClient Adding handle: recv: 0
15975.86 HttpClient Curl_addHandleToPipeline: length: 1
15975.86 HttpClient - Conn 64 (0x48396560) send_pipe: 0, recv_pipe: 0
15975.87 HttpClient - Conn 65 (0x4835a948) send_pipe: 0, recv_pipe: 0
15975.87 HttpClient - Conn 67 (0x48390808) send_pipe: 1, recv_pipe: 0
15975.87 HttpClient Connected to RTP-TBTP-EXPRWY-E.tbtp.local (xx.xx.105.108)
port 8443 (#67)
15975.87 HttpClient successfully set certificate verify locations:
15975.87 HttpClient CAfile: none
CApath: /config/certs/edge_ca_list
15975.88 HttpClient Configuring ssl context with special Edge certificate verifier
15975.88 HttpClient SSLv3, TLS handshake, Client hello (1):
15975.88 HttpClient SSLv3, TLS handshake, Server hello (2):
15975.89 HttpClient SSLv3, TLS handshake, CERT (11):
15975.89 HttpClient SSLv3, TLS alert, Server hello (2):
15975.89 HttpClient SSL certificate problem: self signed certificate in
certificate chain
15975.89 HttpClient Closing connection 67
15975.90 HttpClient HTTPClientCurl error
(https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/):
'Peer certificate cannot be authenticated with given CA certificates'

15975.90 PROV ProvisionRequest failed: 4 (Peer certificate cannot be
authenticated with given CA certificates)

15975.90 PROV I: notify_http_done: Received 0 (Peer certificate cannot be
authenticated with given CA certificates) on request
https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/

15975.90 PROV EDGEProvisionUser: start retry timer for 15 seconds

修復方法

  1. サード パーティ CA がエンドポイントのセキュリティ > CA タブの下でリストされているかどうか確認して下さい。
  2. CA がリストされている場合、正しいことを確認して下さい。

問題 3: 高速道路E は SAN の内にリストされている UC ドメインを備えていません

TC エンドポイント ログ

82850.02 CertificateVerification ERROR: [verify_edge_domain_in_san]: Edge TLS
verification failed: Edge domain 'tbtp.local' and corresponding SRVName
'_collab-edge._tls.tbtp.local' not found in certificate SAN list

82850.02 HttpClient SSLv3, TLS alert, Server hello (2):
82850.02 HttpClient SSL certificate problem: application verification failure
82850.02 HttpClient Closing connection 113
82850.02 HttpClient HTTPClientCurl error
(https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/):
'Peer certificate cannot be authenticated with given CA certificates'

高速道路E SAN

X509v3 Subject Alternative Name:
DNS:RTP-TBTP-EXPRWY-E.tbtp.local, SRV:_collab-edge._tls.tbtppppp.local

修復方法

  1. 再生高速道路E CSR UC ドメインが含まれるため。
  2. UC ドメインがであるものに TC エンドポイントで「ExternalManager ドメイン」パラメータが設定 されないことは可能性のあるです。 これが事実ならそれを一致する下さい。

問題 4: TC プロビジョニング プロファイルで供給されるユーザ名やパスワードは不正確です

TC エンドポイント ログ

83716.67 HttpClient     Server auth using Basic with user 'pstojano'
83716.67 HttpClient GET /dGJ0cC5jb20/get_edge_config/ HTTP/1.1
Authorization: xxxxxx
Host: RTP-TBTP-EXPRWY-E.tbtp.local:8443
Cookie: JSESSIONIDSSO=34AFA4A6DEE1DDCE8B1D2694082A6D0A
Content-Type: application/x-www-form-urlencoded
Accept: text/xml
User-Agent: Cisco/TC
Accept-Charset: ISO-8859-1,utf-8
83716.89 HttpClient HTTP/1.1 401 Unauthorized
83716.89 HttpClient Authentication problem. Ignoring this.
83716.90 HttpClient WWW-Authenticate: Basic realm="Cisco-Edge"
83716.90 HttpClient Server CE_C ECS is not blacklisted
83716.90 HttpClient Server: CE_C ECS
83716.90 HttpClient Date: Thu, 25 Sep 2014 17:42:51 GMT
83716.90 HttpClient Age: 0
83716.90 HttpClient Transfer-Encoding: chunked
83716.91 HttpClient Connection: keep-alive
83716.91 HttpClient
83716.91 HttpClient 0
83716.91 HttpClient Connection #116 to host RTP-TBTP-EXPRWY-E.tbtp.local
left intact
83716.91 HttpClient HTTPClientCurl received HTTP error 401

83716.91 PROV ProvisionRequest failed: 5 (HTTP code=401)
83716.91 PROV I: notify_http_done: Received 401 (HTTP code=401) on request
https://RTP-TBTP-EXPRWY-E.tbtp.local:8443/dGJ0cC5jb20/get_edge_config/

高速道路C/VCS C

2014-09-25T13:46:20-04:00 RTP-TBTP-EXPRWY-C edgeconfigprovisioning
UTCTime="2014-09-25 17:46:20,92" Module="network.http.edgeconfigprovisioning"
Level="DEBUG" Action="Received"
Request-url="https://xx.xx.97.131:8443/cucm-uds/user/pstojano/devices"

HTTPMSG:
|HTTP/1.1 401 Unauthorized

Expires: Wed, 31 Dec 1969 19:00:00 EST
Server:
Cache-Control: private
Date: Thu, 25 Sep 2014 17:46:20 GMT
Content-Type: text/html;charset=utf-8
WWW-Authenticate: Basic realm="Cisco Web Services Realm"

2014-09-25T13:46:20-04:00 RTP-TBTP-EXPRWY-C UTCTime="2014-09-25 17:46:20,92"
Module="developer.edgeconfigprovisioning.server" Level="DEBUG"
CodeLocation="edgeprotocol(1018)" Detail="Failed to authenticate user against server"
Username="pstojano" Server="('https', 'xx.xx.97.131', 8443)
"
Reason="<twisted.python.failure.Failure <type 'exceptions.Exception'>>
"2014-09-25T13:46:20-04:00 RTP-TBTP-EXPRWY-C edgeconfigprovisioning:
Level="INFO" Detail="Failed to authenticate user against server" Username="pstojano"
Server="('https', 'xx.xx.97.131', 8443)"
Reason="<twisted.python.failure.Failure
<type 'exceptions.Exception'>>" UTCTime="2014-09-25 17:46:20,92"

修復方法

  1. TC エンドポイントのプロビジョニング ページの下で入る Username/Password が有効であることを確認して下さい。
  2. CUCM データベースに対して資格情報を確認して下さい。
    1. バージョン 10 -自己心配ポータルを使用して下さい
    2. バージョン 9 - CM ユーザー オプションを使用して下さい

両方のポータルのための URL は同じです: https://%CUCM%/ucmuser/

不十分な権限エラーと示された場合、これらのロールを割り当てられますユーザに確認して下さい:

  • Standard CTI Enabled
  • 標準 CCM エンドユーザ

問題 5: TC ベースのエンドポイント登録は拒否されます

CUCM トレース

08080021.043 |16:31:15.937 |AppInfo  |SIPStationD(18400) - validTLSConnection:TLS
InvalidX509NameInCertificate, Rcvd=RTP-TBTP-EXPRWY-C.tbtp.local
,
Expected=SEP00506006EAFE. Will check SAN the next
08080021.044 |16:31:15.937 |AppInfo |SIPStationD(18400) - validTLSConnection:TLS
InvalidX509NameInCertificate Error , did not find matching SAN either,
Rcvd=RTP-TBTP-EXPRWY-C.tbtp.local, Expected=Secure-EX90.tbtp.local

08080021.045 |16:31:15.937 |AppInfo |ConnectionFailure - Unified CM failed to open
a TLS connection for the indicated device Device Name:SEP00506006EAFE

IP Address:xx.xx.97.108 IPV6Address: Device type:584 Reason code:2 App ID:Cisco
CallManager Cluster ID:StandAloneCluster Node ID:RTP-TBTP-CUCM9 08080021.046
|16:31:15.938 |AlarmErr |AlarmClass: CallManager, AlarmName: ConnectionFailure,
AlarmSeverity: Error, AlarmMessage: , AlarmDescription: Unified CM failed to open
a TLS connection for the indicated device, AlarmParameters:
DeviceName:SEP00506006EAFE, IPAddress:xx.xx.97.108, IPV6Address:,
DeviceType:584, Reason:2, AppID:Cisco CallManager, ClusterID:StandAloneCluster,
NodeID:RTP-TBTP-CUCM9,

TC エンドポイント

実際の高速道路C/VCS C

X509v3 Subject Alternative Name:
DNS:RTP-TBTP-EXPRWY-C.tbtp.local, XMPP:conference-2-StandAloneCluster5ad9a.tbtp.local

この特定のログ例で高速道路C/VCS C が SAN で電話セキュリティプロファイル FQDN が含まれていないことは明らかです。 (Secure-EX90.tbtp.local)。 Transport Layer Security (TLS)ハンドシェイクでは、CUCM は高速道路 C/VCS C のサーバ証明を点検します。 それは SAN の内でそれを見つけないので太字のエラーを投げ、FQDN 形式の電話セキュリティプロファイルを期待したことを報告します。

修復方法

  1. 高速道路C/VCS C がそれの SAN 内の FQDN 形式で電話セキュリティプロファイルがであるサーバ証明含まれていることを確認して下さい。
  2. FQDN 形式でセキュア プロファイルを使用する場合デバイスが CUCM で正しいセキュリティプロファイルを使用することを確認して下さい。
  3. これはまた Cisco バグ ID により CSCuq86376 によって引き起こすことができます。 これがケース チェック SAN 内の電話セキュリティプロファイルの高速道路C/VCS C SAN サイズおよび位置なら。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118696