A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar o server de comunicação de vídeo do Cisco TelePresence (VC) para o Acesso remoto móvel (MRA) quando os domínios múltiplos são usados.
O MRA estabelecido quando há somente um domínio é relativamente direto, e você pode seguir as etapas que são documentadas no guia de distribuição. Quando o desenvolvimento envolve domínios múltiplos, torna-se mais complexo. Este documento não é um manual de configuração, mas descreve os aspectos importantes quando os domínios múltiplos são involvidos. A configuração principal é documentada no guia de distribuição do server de comunicação de vídeo do Cisco TelePresence (VC).
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Use a informação que é descrita nesta seção a fim configurar os VC.
Está aqui uma vista geral curto dos domínios diferentes:
A zona de Traversal consiste no server de Traversal (expresswayE), situado no De-Militarized Zone (DMZ), e no cliente de Traversal (expresswayC), situado dentro da rede:
O server de Traversal é ficado situado na configuração da zona na via expressa E:
O cliente de Traversal é ficado situado na configuração da zona no C da via expressa:
O usuário entra sempre com userid@domain4, porque não deve haver nenhuma diferença na experiência do usuário quando dentro ou fora. Isto significa que se domain1 é diferente de domain4, você deve configurar o domínio dos serviços de voz no cliente do Jabber. Isto é porque a parcela do domínio do início de uma sessão é usada a fim descobrir os serviços de ponta de Colaboração usando consultas do registro do serviço (SRV).
O cliente executa uma pergunta do registro do Domain Name System (DNS) SRV para o _collab-edge. _tls.<domain>. Isto implica que quando o domínio do usuário de login - a identificação é diferente do que o domínio da via expressa E, você deve usar a configuração de domínio do serviço de voz. O Jabber usa esta configuração a fim descobrir a borda da Colaboração e os UD.
Há as opções múltiplas que você pode usar a fim terminar esta tarefa:
msiexec /i CiscoJabberSetup.msi VOICE_SERVICES_DOMAIN=domain1 CLEAR=1
<?xml version="1.0" encoding="utf-8"?>
<config version ="1.0">
<Policies> <VoiceServicesDomain>domain1</VoiceServicesDomain>
</Policies>
</config>
Nota: Este método experimental é apoiado somente e não oficialmente por Cisco.
<Policies>
<VoiceServicesDomain>domain1</VoiceServicesDomain>
</Policies>
ciscojabber://provision?ServicesDomain=domain4&VoiceServicesDomain=domain1
Nota: Exige-se para usar o domínio dos serviços de voz porque você deve se assegurar de que você execute a consulta para os registros da borda SRV da Colaboração para o domínio exterior (domain1).
Esta seção descreve os ajustes de configuração para os registros externos e dos DN internos.
Externo
Tipo | Entrada | Resoluções a |
Registro SRV | _collab-edge._tls.domain1 | ExpresswayE.domain1 |
Um registro | ExpresswayE.domain1 | Endereço IP de Um ou Mais Servidores Cisco ICM NT ExpresswayE |
É importante notar isso:
Isto é exigido porque a via expressa-e ajusta um Cookie no cliente com seu próprio domínio (domain1), e se isto não combina com o domínio que está retornado pelo FQDN, o cliente não aceita isto. A identificação de bug Cisco CSCuo83458 é aberta como um realce para esta encenação.
Interno
Tipo | Entrada | Resoluções a |
Registro SRV | _cisco-uds._tcp.domain1 | cucm.domain3 |
Um registro | cucm.domain3 | Endereço IP de Um ou Mais Servidores Cisco ICM NT CUCM |
Porque o domínio dos serviços de voz é ajustado a domain1, o Jabber encaixa domain1 na URL transformada para a descoberta da configuração da borda da Colaboração (obtenha o edge_config). Uma vez que recebida, a via expressa-C executa uma pergunta do registro SRV UD para domain1 e retorna os registros na mensagem de 200 APROVAÇÕES.
Tipo | Entrada | Resoluções a |
SRV | _cisco-uds._tcp.domain4 | cucm.domain3 |
Um registro | cucm.domain3 | Endereço IP de Um ou Mais Servidores Cisco ICM NT CUCM |
Quando o cliente é on-net, a descoberta do registro SRV UD está exigida para domain4.
Você deve adicionar estes domínios do Session Initiation Protocol (SIP) na via expressa-C e permiti-los para MRA:
Quando você configura os server do gerente das comunicações unificadas de Cisco (CUCM), há duas encenações:
Isto é exigido porque quando a via expressa-C descobre que os server CUCM e o hostname estão retornados, executa uma pesquisa de DNS para hostname.domain2, que não trabalha se domain2 e domain3 são diferentes.
Com exceção das exigências gerais do certificado, algumas coisas devem ser adicionadas aos nomes alternativos sujeitos (SAN) dos Certificados:
Nota: O formato FQDN é exigido somente quando seu Certificate Authority (CA) não permite a sintaxe do hostname no SAN.
Esta seção descreve os ajustes de configuração quando o Network Interface Cards duplo (NIC) é usado.
Quando você configura a via expressa-e a fim usar interfaces de rede duplas, é importante assegurar-se de que ambas as relações estejam configuradas e usadas.
Quando as interfaces de rede duplas do uso são configuradas com um valor do Yes, a via expressa-e escuta somente na interface interna uma comunicação XMPP com a via expressa-C. Assim, você deve assegurar-se de que esta relação esteja configurada e trabalhe corretamente.
Quando somente uma relação está usada, e você configura a via expressa-e com um endereço IP público, nenhuma consideração especial deve ser tomada.
Quando somente uma relação está usada, e você configura a via expressa-e com um endereço IP privado, você deve configurar o endereço da tradução de endereço da rede estática (NAT) também:
Nesta situação, é importante assegurar isso:
Dica: Mais informação sobre disposições de rede avançada está disponível no apêndice 4 do guia de distribuição da configuração básica do server de comunicação de vídeo do Cisco TelePresence (controle com via expressa).
No momento, não há procedimento de verificação disponível para esta configuração.
Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.
Algumas encenações específicas são cobertas nesta seção, mas você pode igualmente usar o analisador das soluções da Colaboração que fornece uma vista detalhada de toda a comunicação para tentativas de login MRA e da informação de Troubleshooting baseada em seus log de diagnóstico.
Quando o endereço de peer é configurado porque um endereço IP de Um ou Mais Servidores Cisco ICM NT ou o endereço de peer não combinam o Common Name (CN), você vê este nos logs:
Event="Outbound TLS Negotiation Error" Service="SIP" Src-ip="10.48.80.161"
Src-port="25697" Dst-ip="10.48.36.171" Dst-port="7001" Detail="Peer's TLS
certificate identity was unacceptable" Protocol="TLS" Common-name="10.48.36.171"
Quando a senha está incorreta, você vê este nos logs da via expressa-e:
Module="network.ldap" Level="INFO": Detail="Authentication credential found in
directory for identity: traversal"
Module="developer.nomodule" Level="WARN" CodeLocation="ppcmains/sip/sipproxy/
SipProxyAuthentication.cpp(686)" Method="SipProxyAuthentication::
checkDigestSAResponse" Thread="0x7f2485cb0700": calculated response does not
match supplied response, calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9,
response=319a0bb365decf98c1bb7b3ce350f6ec
Event="Authentication Failed" Service="SIP" Src-ip="10.48.80.161"
Src-port="25723" Detail="Incorrect authentication credential for user"
Protocol="TLS" Method="OPTIONS" Level="1"
Quando o NIC dual é permitido mas a segunda relação não está usada nem está conectada, a via expressa-C não pode conectar à via expressa-e para uma comunicação XMPP na porta 7400, e os logs da via expressa-C mostram este:
xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,843" ThreadID=
"139747212576512" Module="Jabber" Level="INFO " CodeLocation="mio.c:1109"
Detail="Connecting on fd 28 to host '10.48.36.171', port 7400"xwayc
XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID="139747212576512"
Module="Jabber" Level="ERROR" CodeLocation="mio.c:1121" Detail="Unable to
connect to host '10.48.36.171', port 7400:(111) Connection refused"
xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID=
"139747406935808" Module="Jabber" Level="ERROR" CodeLocation=
"base_connection.cpp:104" Detail="Failed to connect to component
jabberd-port-1.expresswayc-vngtp-lab"
Quando o FQDN que está retornado pela consulta do registro SRV para a borda da Colaboração não combinar o FQDN que está configurado na via expressa-e, a mostra dos logs do Jabber este erro:
WARNING [9134000] - [csf.edge][executeEdgeConfigRequest] XAuth Cookie expiration
time is invalid or not available. Attempting to Failover.
DEBUG [9134000] - [csf.edge][executeEdgeConfigRequest]Failed to retrieve
EdgeConfig with error:INTERNAL_ERROR
Nos log de diagnóstico para a via expressa-e, você pode ver para que domínio o Cookie é ajustado na mensagem HTTPS:
Set-Cookie: X-Auth=1e1111e1-dddb-49e9-ad0d-ab34526e2b00; Expires=Fri,
09 May 2014 20:21:31 GMT; Domain=.vngtp.lab; Path=/; Secure
Quando os domínios exigidos do SORVO não são adicionados na via expressa-C, a via expressa-e não aceita mensagens para este domínio e nos log de diagnóstico você vê uma mensagem proibida 403 que seja enviada ao cliente:
ExpresswayE traffic_server[15550]:
Module="network.http.trafficserver" Level="DEBUG": Detail="Sending Response"
Txn-id="2" Dst-ip="10.48.79.80" Dst-port="50314"
HTTPMSG:
|HTTP/1.1 403 Forbidden
Date: Wed, 21 May 2014 14:31:18 GMT
Connection: close
Server: CE_E
Content-Length: 0
ExpresswayE traffic_server[15550]: Event="Sending HTTP error response"
Status="403" Reason="Forbidden" Dst-ip="10.48.79.80" Dst-port="50314"