تكوين متطلبات DNS والشهادة واستكشاف أخطائها وإصلاحها على Microsoft Federation عبر Expressway إلى خادم الاجتماعات Cisco Meeting Server
المحتويات
المقدمة
يصف هذا المستند متطلبات DNS والشهادة ل Microsoft Lync/Skype for Business لاتحاد بين المجالات المختلفة عبر الإنترنت.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- Expressway من Cisco
- CMS (خادم الاجتماعات من Cisco)
- Microsoft Lync أو Skype for Business server
- CUCM (Cisco Unified Communications Manager)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Expressway X8.9 أو إصدار أحدث
- Cisco Meeting Server (CMS) 2.1.2 أو إصدار أحدث
- خادم Microsoft Lync 2010 أو خادم Lync 2013 أو خادم Skype for Business - قيد التشغيل أو مستضاف في السحابة (Office365)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يسلط المستند الضوء على جانب محدد من التكامل مع عملاء Microsoft الخارجيين مع بنية Cisco الأساسية الخاصة بك باستخدام Expressway و Cisco Meeting Server (CMS). ويكون التكوين الخاص بهذا التكامل كما هو موضح في خيارات Cisco Expressway مع وثائق Cisco Meeting Server و/أو Microsoft Infrastructure المتوفرة للإصدار الخاص بك في قائمة أدلة تكوين سلسلة Cisco Expressway.
يركز المستند الحالي فقط على متطلبات DNS والشهادة في Microsoft Lync أو Skype for Business للاتحاد الخارجي. وتتم تغطية التكوينات الأخرى في دليل التكوين المشار إليه أعلاه.
التكوين
يمكن أن يكون أحد الأمثلة لتدفق المكالمات وتكوينه نقطة نهاية مسجلة من CUCM يتم تحويلها إلى عميل Skype (إما في وضع الاستعداد أو في وضع عدم التشغيل، أو تم تسجيلها في السحابة باستخدام Office365)، أو العكس - باستخدام CMS للتحويل بين بروتوكول SIP القياسي وبروتوكول Microsoft. ويمكن تحقيق ذلك من خلال الدمج وتوجيه المكالمات باستخدام خوادم Expressway، كما هو موضح في الصورة أدناه، والتي يتم الحصول عليها من خيارات Expressway من Cisco باستخدام Cisco Meeting Server و/أو دليل تكوين البنية الأساسية ل Microsoft المشار إليه في نهاية هذا المستند.
الرسم التخطيطي للشبكة
DNS
يستخدم Microsoft Lync/Skype for Business سجل _sipfederationtls._tcp.<domain>SRV لاكتشاف خوادم الاتحاد الخارجية التي سيتم إرسال المكالمات إليها (بالإضافة إلى معلومات التواجد)؛ أو لوظيفة إعادة الاتصال استنادا إلى المجال المحدد في الرأس من/p-Confirm-Identity الخاص بدعوة SIP الواردة. في هذا السيناريو، يجب أن تكون سجلات DNS متاحة على DNS العام لكلا المجالين من أجل الاتحاد بين بعضهما البعض.
يجب أن يتطابق جزء المجال من FQDN (اسم المجال المؤهل بالكامل) الذي يتم إرجاعه بواسطة البحث عن سجل SRV للمجال تماما (لا يسمح بمجالات أخرى أو مجالات فرعية أخرى). يوضح الجدول التالي مثالا لتكوين DNS للمجال ذي الاسم example.com:
| سجل SRV | _sipfederationtls._tcp.example.com | expe.example.com |
| سجل | expe.example.com | عنوان IP الخاص ب Expressway-E |
شهادة
يقوم Microsoft Lync/Skype for Business بإعداد اتصال TLS بين المجالات التي تم تكوينها على جانبي Lync و Expressway.يحتوي Microsoft Lync/Skype for Business على متطلبات شهادات الخادم التالية للاتحاد والخوادم التي يتصل بها (Expressway-E في هذا المستند):
- يجب أن تحتوي شهادة الخادم المقدمة من الخادم المطابقة للسجل A على FQDN المحدد في الاسم البديل للموضوع (أو الاسم الشائع، إذا لم تكن تستخدم SAN)
- يجب أن تكون شهادة الخادم المقدمة من الخادم موثوق بها من قبل خوادم Microsoft Lync/Skype for Business (إما موقعة من مرجع مصدق عام أو من قبل مرجع مصدق خاص تم إستيراد شهاداته الجذر/الوسيطة في قائمة المرجع المصدق عليه الخاصة بخوادم Microsoft Lync/Skype for Business). لاحظ أنه عند إستخدام Office365، يلزم الحصول على شهادات موقعة من مرجع مصدق عام.
على سبيل المثال:
يجب أن تحتوي شهادة الخادم الخاصة بخادم Expressway-E المطابقة ل expe.example.com كما هو موضح في المثال أعلاه على الإدخالات الدنيا التالية:
- (فقط إذا لم يكن هناك أسماء بديلة للموضوع) الاسم الشائع يجب أن يكون expe.example.com
- (في حالة توفر أسماء بديلة للموضوع) يجب أن يحتوي الاسم البديل للموضوع على إدخال expe.example.com
- يجب أن يكون المصدر العلوي لشجرة الشهادات مرجع مصدق عام (أو يجب إضافة المرجع المصدق في قائمة المرجع المصدق الموثوق به لخوادم Microsoft Lync/Skype)
ملاحظة:
لا يلزم تضمين المجال (example.com) على نفسه كاسم موضوع بديل.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
يحتوي القسم على معلومات التسجيل والتوابع التي يتم أخذها من نشر مختبر الاختبار بالمواصفات التالية:
- مجال Skype هو skype.lab
- مجال UC (Expressway-E و Expressway-C و CUCM) هو Steven.lab
- مجال CMS للمستخدمين والمساحات هو acano.steven.lab (يتوفر أيضا cms.steven.lab)
نظرا لأنه من المستحسن إستخدام مجال منفصل لخادم الاجتماعات من Cisco (يختلف عن مجال الاتصالات الموحدة الآخر على UCM/Expressway)، من المحتمل أن يكون لديك مجال مختلف على خادم Expressway-E وقد يؤدي ذلك إلى مشاكل في التكامل تتعلق بالمتطلبات الخاصة باتحاد SIP على جانب Microsoft Lync/Skype for Business Server.
الأعراض ومراجعة السجل
عند عدم تطابق المتطلبات الخاصة بشهادات DNS على جانب خادم Microsoft Lync/Skype، تلاحظ الأعراض التالية:
- عندما يتم إجراء مكالمة من البنية الأساسية للاتصالات الموحدة نحو Microsoft Lync/Skype، يمكنك مشاهدة المكالمة الصادرة في منطقة DNS في Expressway-E إلى Skype، ولكن مع طرح خطأ مهلة خادم (504) على الفور، يظهر على صفحة الحالة > محفوظات البحث في Expressway-E:
- عند إجراء مكالمة من Microsoft Lync/Skype تجاه البنية الأساسية للاتصالات الموحدة، لا ترى المكالمة الواردة على Expressway-E كما هو موضح في صفحة الحالة > محفوظات البحث في Expressway-E.
يشرح هذا القسم الفرعي كيفية التحقق من هذا السيناريو باستخدام تسجيل الدخول في مزيد من التفاصيل والتحقق من التكوين الخاطئ بالضبط.
الاتصال ب Microsoft Lync/Skype
في تدفق الاستدعاء هذا، ترى في التسجيل التشخيصي ل Expressway-E دعوة SIP الخارجة نحو Skype (إذا كان بإمكانه حل سجل _sipfederationtls._tcp SRV إلى FQDN و IP)، متبوعا مباشرة باستجابة المهلة الزمنية 504 للخادم دون أي تفاصيل إضافية كما هو موضح على قصاصة التسجيل التالية:
2017-03-02T08:10:46.240+01:00 vcse tvcs: UTCTime="2017-03-02 07:10:46,240" Module="network.sip" Level="DEBUG": Action="Received" Local-ip="10.48.36.47" Local-port="25002" Src-ip="10.48.36.6" Src-port="5061" Msg-Hash="13707918855517357847" SIPMSG: |SIP/2.0 504 Server time-out Via: SIP/2.0/TLS 10.48.36.47:5061;egress-zone=DNSZone1;branch=z9hG4bK42ee6fd77d32cc8925196770b950b33554.731d73c3f4246d6a255e38a9f695bfc0;proxy-call-id=6b2a018a-2da5-4013-a7e5-4e1455feadf7;rport;received=10.48.36.47;ms-received-port=25002;ms-received-cid=100 Via: SIP/2.0/TLS 10.48.36.46:5061;egress-zone=TraversalZoneClient1;branch=z9hG4bK1f8bbe5926dc6abd06ea964d8fde1450156486;proxy-call-id=e7e33845-c384-4c28-a42d-016863640fbb;received=10.48.36.46;rport=28119;ingress-zone=TraversalZoneServer1 Via: SIP/2.0/TLS 10.48.54.160:52768;branch=z9hG4bK6594a02846406f4a5459d5f58a8d26b3;received=10.48.54.160;ingress-zone=NeighborZoneAcano1SIP Call-ID: f1b3ad5d-183b-4632-b210-c2f9bec71960 CSeq: 2066245576 INVITE From: "DX70 Steven" <sip:2000@acano.steven.lab>;tag=9fea3e7d70afd884 To: <sip:stejanss@skype.lab>;tag=C65A7B0A8766A5F1D386474833D07882 Server: RTC/6.0 Content-Length: 0
يتم عرض نفس الاستجابة (بدون أي معلومات إضافية) بغض النظر عما إذا كان خطأ في سجلات DNS أو في شهادة الخادم ل Expressway-E.
وبالتالي لمراجعة هذا الأمر بمزيد من التفاصيل، يجب عليك مراجعة تسجيل خادم Lync/Skype Edge، حيث يمكنك الاطلاع على التحذيرات والأخطاء وفقا للأخطاء المحتملة التي تحدث:
- خطأ محتمل: لا تتطابق نتيجة FQDN لسجل SRV تماما مع المجال كما هو الحال في رأس من/p-Confirm-Identity الخاص بالدعوة الواردة إلى Skype. في مقتطفات السجل هذه، يحتوي رأس FROM/P-Confirmed-Identity لدعوة SIP على acano.steven.lab كمجال، ولكن _sipfederationtls._tcp.acano.steven.lab يشير إلى vcse.steven.lab بدلا من vcse.acano.steven.lab:
TL_WARN(TF_DIAG) [sfvedge\sfvedge]0584.0A44::03/02/2017-07:10:46.230.0000773E (SIPStack,SIPAdminLog::WriteDiagnosticEvent:SIPAdminLog.cpp(830)) [156659184] $$begin_record Severity: warning Text: The domain of the message resolved by DNS SRV but none of the FQDNs is in the same domain Result-Code: 0xc3e93d6f SIPPROXY_E_EPROUTING_MSG_ALLOWED_DOMAIN_NO_SRV_MATCH SIP-Start-Line: INVITE sip:stejanss@skype.lab SIP/2.0 SIP-Call-ID: f1b3ad5d-183b-4632-b210-c2f9bec71960 SIP-CSeq: 2066245576 INVITE Peer: vcse.steven.lab:25002 Data: domain="acano.steven.lab";fqdn1="vcse.steven.lab:5061" $$end_record
- خطأ محتمل: لا تحتوي شهادة خادم Expressway-E على FQDN الناتج من سجل _sipfederationtls._tcp SRV. يتم إرسال نفس دعوة SIP و_sipfederationtls._tcp.acano.steven.lab يشير إلى vcse.acano.steven.lab، ولكن FQDN لا يحتوي على قائمة SAN لشهادات خادم Expressway-E:
TL_ERROR(TF_DIAG) [sfvedge\sfvedge]0B60.0D6C::03/02/2017-06:30:40.025.00005602 (SIPStack,SIPAdminLog::WriteDiagnosticEvent:SIPAdminLog.cpp(833)) [3634190282] $$begin_record Severity: error Text: Message cannot be routed because the peer's certificate does not contain a matching FQDN Result-Code: 0xc3e93d67 SIPPROXY_E_ROUTING_MSG_CERT_MISMATCH SIP-Start-Line: INVITE sip:stejanss@skype.lab SIP/2.0 SIP-Call-ID: e144704c-1dd0-4ea7-929f-77e7e071c24c SIP-CSeq: 1567605805 INVITE Peer: vcse.steven.lab:25001 Data: expected-fqdn="vcse.acano.steven.lab";certName="vcse.steven.lab";info="The peer certificate does not contain a matching FQDN" $$end_record
الاتصال من Microsoft Lync/Skype
بالنسبة لتدفق المكالمات هذا، لا ترى الكثير في تسجيل الدخول إلى Expressway-E حيث لا يرسل خادم Skype Edge الدعوة للخارج وتحتاج إلى الاعتماد على تسجيل Skype. أستخدم إما تسجيل دخول خادم Lync/Skype (Edge) أو تسجيل عميل Lync/Skype نفسه للتحقق من المشكلة بمزيد من العمق.
يتوفر تسجيل عميل Skype على كمبيوتر Windows على المسار التالي:
C:\Users\<username>\AppData\Local\Microsoft\Office\16.0\Lync\Tracing\Lync-UccApi-x.UccApiLog
وقد يكون مفيدا في حالة مستخدمي Office365 Skype عندما لا يكون هناك وصول مباشر إلى خوادم Skype متوفرا. في هذا التسجيل، يمكنك مشاهدة رسالة دعوة SIP التي تم إرسالها بواسطة العميل والاستجابة المناسبة لذلك.
إذا واجهت مشاكل مع DNS أو متطلبات الترخيص على Skype وفقا لهذا المستند، فستتلقى استجابات 504 مهلة الخادم (بما في ذلك سبب الفشل) من خوادم Skype:
- خطأ محتمل: نتيجة FQDN لسجل SRV لا تتطابق تماما مع المجال الذي تم محاولة استدعاؤه. تظهر قصاصة السجل هذه محاولة الاتصال بمستخدم أو مساحة باستخدام المجال cms.steven.lab ويشير _sipfederationtls._tcp.cms.steven.lab إلى vcse.sub.cms.steven.lab:
SIP/2.0 504 Server time-out Authentication-Info: TLS-DSK qop="auth", opaque="FA404B9C", srand="8168D157", snum="38", rspauth="65d8d93b66e5b217115e3b1636bf433c9f5df54a", targetname="SfBFE.skype.lab", realm="SIP Communications Service", version=4 From: "Steven Janssens"
;tag=280f2bf329;epid=c21eec507a To:
;tag=98283FD4A66E24FFB4967CDB73149B25 Call-ID: d0bce97cce8a45fcbb8cc973ba0282da CSeq: 1
INVITE Via: SIP/2.0/TLS 10.55.186.71:62937;ms-received-port=62937;ms-received-cid=6DA00 ms-diagnostics: 1009;
reason="No match for domain in DNS SRV results";
domain="
cms.steven.lab";
fqdn1="
vcse.sub.cms.steven.lab:5061";source="sip.skype.lab" Server: RTC/6.0 Content-Length: 0
- خطأ محتمل: لا تحتوي شهادة خادم Expressway-E على FQDN الناتج من سجل _sipfederationtls._tcp SRV. تظهر قصاصة السجل هذه محاولة الاتصال بمستخدم أو مساحة باستخدام المجال cms.steven.lab الذي يتم حل_sipfederationtls._tcp.cms.steven.lab له بشكل صحيح إلى vcse.cms.steven.lab ولكن FQDNهذا غير موجود في Subject Alternative Names في شهادة خادم Expressway-E (مع الاسم الشائع as vcse.steven.lab):
SIP/2.0 504 Server time-out Authentication-Info: TLS-DSK qop="auth", opaque="FA404B9C", srand="1D8F66EF", snum="49", rspauth="67836c7ffc0f6132b2304006969a219d9252aabd", targetname="SfBFE.skype.lab", realm="SIP Communications Service", version=4 From: "Steven Janssens"
;tag=a1ea5f9a46;epid=c21eec507a To:
;tag=B7D9BF35417873B07792AAD244E6B230 Call-ID: 5e38e39898cf40188170f0d70644a87b CSeq: 1
INVITE Via: SIP/2.0/TLS 10.55.186.71:62937;ms-received-port=62937;ms-received-cid=6DA00 ms-diagnostics: 1010;
reason="Certificate trust with another server could not be established";ErrorType="The peer certificate does not contain a matching FQDN";
tls-target="
vcse.cms.steven.lab";
PeerServer="
vcse.steven.lab";HRESULT="0x80090322(SEC_E_WRONG_PRINCIPAL)";source="sip.skype.lab" Server: RTC/6.0 Content-Length: 0
التعليقات