Cisco Unified Communications Manager Release 10.5(1)の IM and Presence サービスに対するドメイン間フェデレーション
SIP フェデレーション統合に関するトラブルシューティング
SIP フェデレーション統合に関するトラブルシューティング

目次

SIP フェデレーション統合に関するトラブルシューティング

一般的な Cisco Adaptive Security Appliance の問題と推奨される操作

証明書の設定に関する問題

IM and Presence サービスと Cisco Adaptive Security Appliance(ASA)の間での証明書失敗

IM and Presence サービス と Cisco Adaptive Security Appliance 間の証明書の設定にエラーがあります。

Cisco Adaptive Security Appliance の時刻とタイム ゾーンが正しく設定されていない可能性があります。

  • Cisco Adaptive Security Appliance で時刻とタイム ゾーンを設定します。

  • IM and Presence サービスCisco Unified Communications Manager で時刻とタイム ゾーンが正しく設定されていることを確認します。

この統合の前提条件となる設定タスク

Cisco Adaptive Security Appliance と Microsoft Access Edge 間の証明書に関するエラー

Cisco Adaptive Security Appliance への証明書の登録時に、Cisco Adaptive Security Appliance と Microsoft Access Edge 間の証明書の設定が失敗しました。

Cisco Adaptive Security Appliance で SCEP の登録を使用している場合、SCEP アドオンのインストールと設定が正しく行われていない可能性があります。 SCEP アドオンをインストールして設定します。

SSL ハンドシェイクでの証明書のエラー

SSL ハンドシェイクで証明書のエラーが表示されます。

証明書に FQDN がありません。 IM and Presence Service CLI でドメインを設定し、IM and Presence Service で FQDN がある証明書を再生成する必要があります。 証明書を再生成する場合、IM and Presence Service で SIP プロキシを再起動する必要があります。

証明書署名要求を VeriSign に送信するときにエラーが発生する

証明書の登録に VeriSign を使用しています。 証明書署名要求を VeriSign の Web サイトに貼り付けると、エラー(通常は 9406 または 9442 エラー)が表示されます。

証明書署名要求の件名に情報が足りません。 更新の証明書署名要求(CSR)ファイルを VeriSign に送信する場合、証明書署名要求の件名には次の情報を含める必要があります。

  • 国(Country)(2 文字の国コードのみ)

  • 都道府県(State)(省略なし)

  • 市区町村(Locality)(省略なし)

  • 組織名(Organization Name)

  • 組織単位(Organizational Unit)

  • 一般名(Common Name)(FQDN)

件名行エントリは次の形式にする必要があります。

(config-ca-trustpoint)# subject-name cn=fqdn,U=organisational_unit_name,C=country,St=state,L=locality,O=organisation

IM and Presence Service のドメインまたはホスト名を変更する際の SSL エラー

CLI から IM and Presence Service ドメインを変更すると、IM and Presence ServiceCisco Adaptive Security Appliance 間で SSL 証明書のエラーが発生します。

CLI から IM and Presence Service ドメイン名を変更する場合、IM and Presence Service の自己署名証明書 sipproxy.pem が再生成されます。 そのため、sipproxy.pem 証明書を Cisco Adaptive Security Appliance に再インポートする必要があります。 具体的には、Cisco Adaptive Security Appliance の現在の sipproxy.pem 証明書を削除し、(再生成された)sipproxy.pem 証明書を再インポートします。

TLS プロキシ クラス マップの作成時にエラーが発生する

TLS プロキシ クラス マップを設定するときに、次のエラーが表示されます。

ciscoasa(config)# class-map ent_imp_to_external

ciscoasa(config-cmap)# match access-list ent_imp_to_external

ERROR: Specified ACL (ent_imp_to_external) either does not exist or its type is not supported by the match command.

ciscoasa(config-cmap)# exit

ciscoasa(config)# class-map ent_external_to_imp

ciscoasa(config-cmap)# match access-list ent_imp_to_external

ERROR: Specified ACL (ent_external_to_imp) either does not exist or its type is not supported by the match command.

ciscoasa(config-cmap)#

外部ドメインのアクセス リストが存在しません。 前述の例では、ent_externa_to_imp というアクセス リストが存在しません。 access list コマンドを使用して、外部ドメインの拡張アクセス リストを作成してください。

サブスクリプションがアクセス エッジに到達しない

Microsoft Office Communicator からのサブスクリプションが Access Edge に到達しません。 OCS から、ピアとしての Access Edge に関するネットワーク機能エラーがレポートされます。 Access Edge サービスが起動しません。

Access Edge では、[Allow(許可)] タブと [IM Provider(IM プロバイダ)] タブの両方で IM and Presence Service ドメインを設定できます。 IM and Presence Service ドメインは、[IM Provider(IM プロバイダ)] タブでのみ設定します。 アクセス エッジの [Allow(許可)] タブから IM and Presence Service ドメインを削除します。 [IM Provider(IM プロバイダ)] タブに IM and Presence Service ドメインのエントリがあることを確認します。


(注)  


IM and Presence Service は複数のドメインをサポートします。 各 IM and Presence ドメインを必ず確認し、[Allow(許可)] タブに削除する必要がある誤ったエントリがあるかどうかを確認します。


アップグレード後の Cisco Adaptive Security Appliance に問題がある

ソフトウェアのアップグレード後に Cisco Adaptive Security Appliance がブートしません。

新しいソフトウェア イメージは、TFTP サーバおよび Cisco Adaptive Security Appliance の ROM Monitor(ROMMON)を使用して Cisco Adaptive Security Appliance にダウンロードできます。 ROMMON は、TFTP や関連する診断ユーティリティでイメージのロードと取得を行うために使用できるコマンドライン インターフェイスです。

手順
    ステップ 1   コンソール ポートから近くの TFTP サーバのポートにコンソール ケーブル(Cisco Adaptive Security Appliance に付属する青色のケーブル)を接続します。
    ステップ 2   HyperTerminal または同等のものを開きます。
    ステップ 3   表示されるすべてのデフォルト値を受け入れます。
    ステップ 4   Cisco Adaptive Security Appliance をリブートします。
    ステップ 5   ブート時に Esc を押して ROMMON にアクセスします。
    ステップ 6   次の一連のコマンドを入力して Cisco Adaptive Security Appliance をイネーブルにし、TFTP サーバからイメージをダウンロードします。

    ip asa_inside_interface server tftp_server interface ethernet 0/1 file name_of_new_image

    (注)     

    指定するイーサネット インターフェイスは、Cisco Adaptive Security Appliance の Inside インターフェイスと一致する必要があります。

    ステップ 7   TFTP サーバのソフトウェア イメージを推奨される場所(TFTP ソフトウェアによって異なります)に保存します。
    ステップ 8   ダウンロードを開始するには、次のコマンドを入力します。

    tftp dnld

    (注)     

    TFTP サーバが別のサブネットに属する場合、ゲートウェイを定義する必要があります。


    署名付き Microsoft CA サーバ-クライアント認証証明書を Microsoft OCS 2008 でインストールできない

    Microsoft CA によって署名されたサーバ-クライアント認証証明書は、Windows 2008 を実行している Microsoft Office Communications Server(OCS)のローカル コンピュータ ストアにインストールできません。 現在のユーザ ストアからローカルのコンピュータ ストアへ証明書をコピーしようとすると、秘密キーがないというエラー メッセージで失敗します。

    次の手順を実行できます。

    1. ローカル ユーザとして OCS にログインします。

    2. 証明書を作成します。

    3. CA サーバから証明書を承認します。

    4. OCS にログイン中に、証明書をファイルにエクスポートし、秘密キーがエクスポートされていることを確認します。

    5. OCS(ローカル コンピュータ)からログオフします。

    6. OCS に再度ログインしますが、この場合は OCS ドメイン ユーザとしてログインします。

    7. 証明書ウィザードを使用し、証明書ファイルをインポートします。 証明書がローカル コンピュータ ストアにインストールされます。 この時点で、[OCS Certificate(OCS 証明書)] タブで証明書を選択できるようになります。

    一般的な統合の問題と推奨される操作

    アベイラビリティを交換できない

    問題    Cisco Jabber と Microsoft Office Communicator 間でアベイラビリティ情報を交換できません。
    解決法    OCS/アクセス エッジ、IM and Presence Service、および Cisco Jabber について記載されているトラブルシューティング手順を実行します。
    OCS/アクセス エッジ:
    1. アクセス エッジのパブリック インターフェイスで、証明書が正しく設定されていない可能性があります。 Microsoft CA を使用している場合、1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 という OID 値を使用していることを確認します。 証明書の [General(全般)] タブには正しくない値が表示されます(正しい場合は表示されません)。 また、IM and Presence Service とアクセス エッジ間の TLS ハンドシェイクの Ethereal トレースでも正しくない値を確認できます。

      証明書の種類が [Other(その他)] で OID 値が 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 の Access Edge のパブリック インターフェイスの証明書を再生成します。

    2. フロントエンド サーバが OCS で実行されていない可能性があります。

      「Office Communications Server Front-End」サービスが実行されていることを確認します。 このサービスを確認するには、[Start(スタート)] > [Programs(プログラム)] > [Administrative Tools(管理ツール)] > [Computer Management(コンピュータの管理)] を選択します。 [Services and Applications(サービスとアプリケーション)][Services(サービス)] を選択し、[Office Communications Server Front-End] サービスを確認します。 実行されている場合、このサービスのステータスは [Started(開始)] です。

    IM and Presence Service
    1. IM and Presence Service で証明書が正しく設定されていない可能性があります。

      IM and Presence Service の正しい sipproxy-trust 証明書を生成します。

    2. スタティック ルートを使用している場合、アクセス エッジのパブリック インターフェイスを指すスタティック ルートを設定します。 スタティック ルートは「ドメイン」に設定されたルート タイプを持ち、反転した宛先パターンが設定されている必要があります。 たとえば、フェデレーション ドメインが "abc.com" である場合は、宛先アドレスのパターンは .com .abc.* に設定する必要があります。 スタティック ルートは Cisco Unified CM IM and Presence Administration を使用し、[Presence(プレゼンス)] > [Routing(ルーティング)] > [Static Routes(スタティック ルート)] を選択します。

    3. DNS SRV のチェックを実行し、影響を受けるユーザのドメインをどちら側でも解決できることを確認します。

    Cisco Jabber クライアント:

    Cisco Jabber はクライアント コンピュータから不正な DNS 設定を取得する可能性があります。 以下を実行する必要があります。
    1. クライアント コンピュータの DNS 設定を確認します。
    2. DNS 設定を変更する場合は、Cisco Jabber を再起動します。

    IM の送受信に関する問題

    Microsoft Office Communicator ユーザと Cisco Jabber 8.0 ユーザ間で IM を送受信するときに問題があります。

    DNS 設定、アクセス エッジ、Microsoft Office Communicator クライアント、IM and Presence Service について記載されているトラブルシューティングを実行します。

    DNS の設定:

    DNS SRV レコードが作成されていないか、正しく設定されていない可能性があります。 DNS SRV レコードがすべてのドメインに対して正しく設定されているかどうかを確認します。 IM and Presence とアクセス エッジの両方からの type=srv に対して nslookup を実行します。

    アクセス エッジ側
    1. アクセス エッジのコマンド プロンプトに nslookup と入力します。
    2. set type=srv と入力します。
    3. IM and Presence ドメインの SRV レコードを入力します。たとえば、_sipfederationtls._tcp.abc.com と入力します(この abc.com はドメイン名です)。 SRV レコードが存在する場合、IM and Presence Service または Cisco Adaptive Security Appliance の FQDN が返されます。

      IM and Presence Service 側:

    4. リモート アクセス アカウントを使用して、ssh で IM and Presence Service ノードにログインします。
    5. 前述の Access Edge と同様の手順を実行します。ただし、ここでは OCS ドメイン名を使用します。

    Microsoft Office Communicator クライアント

    Microsoft Office Communicator 2007 ユーザは、自分のプレゼンスを [Do Not Disturb(取り込み中)](DND)に設定している可能性があります。 Microsoft Office Communicator 2007 が DND に設定されている場合、他のユーザから IM を受信しません。 Microsoft Office Communicator ユーザのプレゼンスを別の状態に設定します。

    IM and Presence Service
    1. DNS SRV ではなくスタティック ルートを使用している場合、スタティック ルートが正しく設定されていない可能性があります。 アクセス エッジ のパブリック インターフェイスを指すスタティック ルートを設定します。 スタティック ルートは「ドメイン」に設定されたルート タイプを持ち、反転した宛先パターンが設定されている必要があります。 たとえば、フェデレーション ドメインが "abc.com" である場合は、宛先アドレスのパターンは ".com .abc.*" に設定する必要があります。 スタティック ルートは、Cisco Unified CM IM and Presence Administration[Presence(プレゼンス)] > [Routing(ルーティング)] > [Static Routes(スタティック ルート)] を選択して設定します。

    2. [Federation IM Controller Module Status(フェデレーション IM コントロール モジュールのステータス)] が無効にされている可能性があります。 Cisco Unified CM IM and Presence Administration で、[System(システム)] > [Service Parameters(サービス パラメータ)] を選択し、[SIP Proxy service(SIP プロキシ サービス)] を選択します。 ウィンドウの下部で、IM ゲートウェイ ステータス パラメータが設定されていることを確認します。

    3. フェデレーテッド ドメインが追加されていないか、正しく設定されていない可能性があります。 Cisco Unified CM IM and Presence Administration で、[Presence(プレゼンス)] > [Inter-Domain Federation(ドメイン間フェデレーション)] を選択し、正しいフェデレーテッド ドメインが追加されていることを確認します。

    少し時間が経つとアベイラビリティと IM の交換を利用できなくなる

    Cisco Jabber と Microsoft Office Communicator 間でアベイラビリティと IM を共有できますが、少し時間が経つと、相互にアベイラビリティを確認できなくなり、IM も交換できなくなります。

    OCS/Access Edge:

    1. Access Edge で、内部エッジと外部エッジの両方の FQDN が同じである可能性があります。 また、同じ FQDN の 2 つの「A」レコードのエントリが DNS にあり、一方が外部エッジの IP アドレスに解決され、もう一方が内部エッジの IP アドレスに解決される可能性があります。

      Access Edge で、内部エッジの FQDN を変更し、更新したレコード エントリを DNS に追加します。 元々 Access Edge の内部 IP に解決されていた DNS エントリを削除します。 また、Access Edge の内部エッジの証明書を設定し直します。

    2. OCS のグローバル設定とフロントエンドのプロパティで、Access Edge の FQDN が誤って入力されている可能性があります。 OCS で、内部エッジの新しい FQDN を反映するようにサーバを設定し直します。

    DNS 設定:

    DNS SRV レコードが作成されていないか、正しく設定されていない可能性があります。 必要な「A」レコードと SRV レコードを追加します。

    在席ステータスの変更と IM 配信の遅延

    Cisco Jabber と Microsoft Office Communicator 間で、IM and Presence Service 状態の変更の配信が遅れます。

    IM and Presence Service ノードで、Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context に [Disable Empty TLS Fragments(空の TLS フラグメントの無効化)] オプションが選択されていない可能性があります。

    手順
      ステップ 1   Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインします。 [System(システム)] > [Security(セキュリティ)] > [TLS Context Configuration(TLS コンテキスト設定)] を選択します。
      ステップ 2   Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context リンクをクリックします。
      ステップ 3   TLS コンテキスト情報の領域で、[Disable Empty TLS Fragments(空の TLS フラグメントの無効化)] チェックボックスをオンにします。
      ステップ 4   [Save(保存)] をクリックします。

      403 FORBIDDEDN が次のアベイラビリティ サブスクリプション試行を返す

      IM and Presence Service で Microsoft Office Communicator ユーザのアベイラビリティにサブスクライブしようとすると、OCS サーバから 403 FORBIDDEN メッセージが送信されます。

      Access Edge サーバで、IM and Presence Service ノードが IM サービス プロバイダ リストに追加されていない可能性があります。 Access Edge サーバで、IM サービス プロバイダーのリストに IM and Presence Service ノードのエントリを追加します。 Access Edge の DNS サーバに、IM and Presence Service ノードのパブリック アドレスを指す IM and Presence Service ドメインの _sipfederationtls レコードがあることを確認します。

      または

      Access Edge サーバで、IM and Presence Service ノードが [Allow(許可)] リストに追加されている可能性があります。 Access Edge サーバで、IM and Presence Service ノードを指す [Allow(許可)] リストからエントリを削除します。

      NOTIFY メッセージでタイムアウトが発生する

      NOTIFY メッセージを送信するときに IM and Presence Service と Microsoft OCS 間で TCP を使用して直接フェデレーションが行われている場合、IM and Presence Service がタイムアウトします。

      場合によっては、IM and Presence Service ノードで [Use Transport in Record-Route Header(レコード ルート ヘッダーでトランスポートを使用)] をイネーブルにする必要があります。

      手順
        ステップ 1   [Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence Administration)] ユーザ インターフェイスにログインします。 [System(システム)] > [Service Parameters(サービス パラメータ)] を選択します。
        ステップ 2   [Server(サーバ)] ドロップダウン リストからノードを選択します。
        ステップ 3   [Service] ドロップダウン リスト ボックスで、[Cisco SIP Proxy] サービスを選択します。
        ステップ 4   [SIP Parameters (Clusterwide)(SIP パラメータ(Clusterwide))] セクションで、[Use Transport in Record-Route Header(レコード ルート ヘッダのトランスポートを使用)] パラメータの [On(有効化)] を選択します。
        ステップ 5   [Save(保存)] をクリックします。

        IM and Presence Service 証明書が受け入れられない

        Access Edge が IM and Presence サービスからの証明書を受け入れません。

        IM and Presence サービス/Cisco Adaptive Security Appliance と Access Edge 間の TLS ハンドシェイクが失敗している可能性があります。

        OCS/Access Edge:

        1. Access Edge の IM プロバイダ リストに IM and Presence サービス ノードのパブリック FQDN を含め、IM and Presence サービス証明書の件名の CN が一致することを確認します。 [Allow(許可)] リストに IM and Presence サービスの FQDN を設定しない場合、IM and Presence サービス証明書の件名の CN が IM and Presence サービス ドメインの SRV レコードの FQDN に解決される必要があります。

        2. OCS でグローバルにフェデレーションがイネーブルであり、フロントエンド サーバでフェデレーションがイネーブルであることを確認します。

        3. DNS SRV を解決できない場合、DNS が正しく設定され、Access Edge から type=srv の nslookup が実行されることを確認します。

        4. Access Edge のコマンド プロンプトに nslookup と入力します。
        5. set type=srv と入力します。
        6. たとえば、次のように IM and Presence サービス ドメインの SRV レコードを入力します。 _sipfederationtls._tcp.abc.com(この abc.com はドメイン名です)。 SRV レコードが存在する場合、IM and Presence サービス/Cisco Adaptive Security Appliance の FQDN が返されます。

        IM and Presence サービス/Cisco Adaptive Security Appliance

        IM and Presence サービスと Cisco Adaptive Security Appliance で暗号を確認します。 [IM and Presence Service Administration(IM and Presence Service Administration)] にログインし、[System(システム)] > [Security(セキュリティ)] > [TLS Context Configuration(TLS コンテキスト設定)] > [Default Cisco SIP Proxy Peer Auth TLS Context(デフォルト Cisco SIP プロキシ ピア認証 TLS コンテキスト)] を選択し、「TLS_RSA_WITH 3DES_EDE_CBC_SHA」暗号が選択することを確認します。

        OCS でフロントエンド サーバの起動に問題がある

        OCS でフロントエンド サーバが起動しません。

        OCS で、Access Edge のプライベート インターフェイスの FQDN が [Authorized Hosts(認定ホスト)] のリストに定義されている可能性があります。 OCS の [Authorized Hosts(認定ホスト)] のリストから Access Edge のプライベート インターフェイスを削除します。

        OCS のインストール時に、RTCService と RTCComponentService という 2 つの Active Directory ユーザ アカウントが作成されます。 これらのアカウントには管理者が定義したパスワードが付与されますが、これら両方のアカウントでは、[Password never expires(パスワードが無期限)] オプションがデフォルトで選択されないため、パスワードは定期的に期限切れになります。 OCS サーバで RTCService または RTCComponentService のパスワードをリセットするには、次の手順を実行します。

        手順
          ステップ 1   ユーザ アカウントを右クリックします。
          ステップ 2   [Reset Password(パスワードをリセット)] を選択します。
          ステップ 3   ユーザ アカウントを右クリックします。
          ステップ 4   [Properties(プロパティ)] を選択します。
          ステップ 5   [Account(アカウント)] タブを選択します。
          ステップ 6   [Password Never Expires(パスワードが無期限)] チェックボックスをオンにします。
          ステップ 7   [OK(OK)] をクリックします。