Compartir a través de

Problemas de conectividad de SBC

  • Artículo
  • Se aplica a:
    Microsoft Teams

Al configurar el enrutamiento directo, es posible que experimente los siguientes problemas de conectividad del controlador de borde de sesión (SBC):

  • No se reciben las opciones del Protocolo de inicio de sesión (SIP).
  • Se producen problemas de conexiones de seguridad de la capa de transporte (TLS).
  • El SBC no responde.
  • El SBC se marca como inactivo en el Centro de administración de Microsoft Teams.

Es más probable que estos problemas se deban a cualquiera de las condiciones siguientes o a ambas:

  • Un certificado TLS experimenta problemas.
  • Un SBC no está configurado correctamente para el enrutamiento directo.

En este artículo se enumeran algunos problemas comunes relacionados con las opciones SIP y los certificados TLS, y se proporcionan soluciones que puede probar.

Introducción al proceso de opciones sip

  • El SBC envía una solicitud de conexión TLS que incluye un certificado TLS al nombre de dominio completo (FQDN) del servidor proxy SIP (por ejemplo, sip.pstnhub.microsoft.com).

  • El proxy SIP comprueba la solicitud de conexión.

    • Si la solicitud no es válida, la conexión TLS se cierra y el proxy SIP no recibe opciones SIP del SBC.
    • Si la solicitud es válida, se establece la conexión TLS y el SBC la usa para enviar opciones SIP al proxy SIP.

  • Después de recibir las opciones SIP, el proxy SIP comprueba el Record-Route para determinar si el FQDN de SBC pertenece a un inquilino conocido. Si no se detecta la información del FQDN allí, el proxy SIP comprueba el encabezado Contacto.

  • Si se detecta y reconoce el FQDN del SBC, el proxy SIP envía un mensaje 200 OK mediante la misma conexión TLS.

  • El proxy SIP envía opciones SIP al FQDN del SBC que aparece en el encabezado Contacto de las opciones SIP recibidas del SBC.

  • Después de recibir opciones SIP desde el proxy SIP, el SBC responde enviando un mensaje 200 OK . Este paso confirma que el SBC está en buen estado.

  • Como último paso, el SBC se marca como Activo en el Centro de administración de Microsoft Teams.

Nota:

En un modelo hospedado, las opciones SIP deben enviarse solo desde el SBC hospedado. El estado de los SBC que se encuentran en un modelo de tronco derivado se basa en el SBC principal.

Problemas de opciones SIP

Una vez que la conexión TLS se ha establecido correctamente y el SBC puede enviar y recibir mensajes hacia y desde el proxy SIP de Teams, es posible que todavía haya problemas que afecten al formato o al contenido de las opciones SIP.

SBC no recibe una respuesta "200 OK" del proxy SIP

Esta situación puede producirse si usa una versión anterior de TLS. Para aplicar una seguridad más estricta, habilite TLS 1.2.

Asegúrese de que el certificado SBC no está autofirmado y de que lo obtuvo de una entidad de certificación (CA) de confianza.

Si usa la versión mínima necesaria de TLS o superior y el certificado SBC es válido, el problema podría producirse porque el FQDN está mal configurado en el perfil SIP y no se reconoce como perteneciente a ningún inquilino. Compruebe las siguientes condiciones y corrija los errores que encuentre:

  • El FQDN proporcionado por el SBC en el encabezado Record-Route o Contact es diferente de lo que está configurado en Teams.
  • El encabezado Contact contiene una dirección IP en lugar del FQDN.
  • El dominio no está totalmente validado. Si agrega un FQDN que no se validó anteriormente, debe validarlo ahora.
  • Después de registrar un nombre de dominio SBC, debe activarlo agregando al menos un usuario con licencia E3 o E5.
SBC recibe la respuesta "200 OK", pero no las opciones SIP

El SBC recibe la respuesta 200 OK del proxy SIP, pero no las opciones SIP que se enviaron desde el proxy SIP. Si se produce este error, asegúrese de que el FQDN que aparece en el encabezado Record-Route o Contact es correcto y se resuelve en la dirección IP correcta.

Otra posible causa de este problema podrían ser las reglas de firewall que impiden el tráfico entrante. Asegúrese de que las reglas de firewall estén configuradas para permitir las conexiones entrantes desde todas las direcciones IP de señalización de proxy SIP.

El estado de SBC está inactivo intermitentemente

Este problema puede producirse en las siguientes situaciones:

  • El SBC está configurado para enviar opciones SIP no a FQDN, sino a las direcciones IP específicas en las que se resuelven. Durante el mantenimiento o las interrupciones, estas direcciones IP pueden cambiar a otro centro de datos. Por lo tanto, el SBC enviará opciones SIP a un centro de datos inactivo o no responde. Haga lo siguiente:

    • Asegúrese de que el SBC se puede detectar y configurar para enviar opciones SIP solo a FQDN.

    • Asegúrese de que todos los dispositivos de la ruta, como los SBC y los firewalls, están configurados para permitir la comunicación hacia y desde todos los FQDN de señalización de Microsoft.

    • Para proporcionar una opción de conmutación por error cuando se realiza la conexión desde un SBC a un centro de datos que experimenta un problema, el SBC debe configurarse para usar los tres FQDN de proxy SIP:

      • sip.pstnhub.microsoft.com
      • sip2.pstnhub.microsoft.com
      • sip3.pstnhub.microsoft.com

      Nota:

      Los dispositivos que admiten nombres DNS pueden usar sip-all.pstnhub.microsoft.com para resolver todas las direcciones IP posibles.

    Para obtener más información, vea Señalización SIP: FQDNS.

  • El certificado raíz o intermedio instalado no forma parte del emisor de la cadena de certificados SBC. Cuando el SBC inicia el protocolo de enlace triple durante el proceso de autenticación, el servicio teams no podrá validar la cadena de certificados en el SBC y restablecerá la conexión. Es posible que el SBC pueda autenticarse de nuevo tan pronto como el certificado raíz público se cargue de nuevo en la memoria caché del servicio o la cadena de certificados se corrigió en el SBC. Asegúrese de que el certificado intermedio y raíz instalado en el SBC sea correcto.

    Para obtener más información sobre los certificados, consulte Certificado de confianza público para el SBC.

FQDN no coincide con el contenido de CN o SAN en el certificado proporcionado

Este problema se produce si un carácter comodín no coincide con un subdominio de nivel inferior. Por ejemplo, el carácter comodín \*\.contoso.com coincidiría con sbc1.contoso.com, pero no con customer10.sbc1.contoso.com. No puede tener varios niveles de subdominios con un carácter comodín. Si el FQDN no coincide con el nombre común (CN) o el nombre alternativo del firmante (SAN) en el certificado proporcionado, solicite un nuevo certificado que coincida con los nombres de dominio.

Para obtener más información sobre los certificados, consulte la sección Certificado de confianza pública para la sección SBC de Planeamiento del enrutamiento directo.

La activación de dominio no está registrada en el entorno de Microsoft 365

Para activar completamente un dominio para un inquilino y distribuirlo a través del entorno de Microsoft 365, debe asignar al menos un usuario con licencia al subdominio que usa el SBC. Cuando se cumplen todos los requisitos, el dominio puede tardar hasta 24 horas en activarse.

Para obtener una lista de las licencias necesarias para el enrutamiento directo, consulte la sección "Licencias y otros requisitos" del Plan de enrutamiento directo.

Para obtener más información sobre este proceso, consulte la sección Conexión del SBC al inquilino de Conexión del controlador de borde de sesión (SBC) al enrutamiento directo.

Problemas de conexión TLS

Si la conexión TLS se cierra inmediatamente y las opciones SIP no se reciben del SBC, o si 200 OK no se recibe del SBC, el problema podría ser con la versión tls. La versión de TLS configurada en el SBC debe ser 1.2 o posterior.

El certificado SBC es autofirmado o no de una entidad de certificación de confianza

Si el certificado SBC está autofirmado, no es válido. Asegúrese de que el certificado SBC se obtiene de una entidad de certificación (CA) de confianza. El certificado debe contener al menos un FQDN que pertenezca a un inquilino de Microsoft 365.

Para obtener una lista de ca admitidas, consulte la sección Certificado de confianza pública para la sección SBC de Planeamiento del enrutamiento directo.

SBC no confía en el certificado de proxy SIP

Si el SBC no confía en el certificado de proxy SIP, descargue e instale el certificado raíz Baltimore CyberTrust en el SBC. Para descargar el certificado, consulte Cadenas de cifrado de Microsoft 365.

Para obtener una lista de ca admitidas, consulte la sección Certificado de confianza pública para la sección SBC de Planeamiento del enrutamiento directo.

El certificado SBC no es válido

Si el panel de mantenimiento para el enrutamiento directo en el Centro de administración de Microsoft Teams indica que el certificado SBC ha expirado o revocado, solicite o renueve el certificado desde una entidad de certificación (CA) de confianza. A continuación, instálelo en el SBC. Para obtener una lista de ca admitidas, consulte la sección Certificado de confianza pública para la sección SBC de Planeamiento del enrutamiento directo.

Al renovar el certificado SBC, debe quitar las conexiones TLS que se establecieron del SBC a Microsoft con el certificado anterior y volver a establecerlas con el nuevo certificado. Al hacerlo, se asegurará de que las advertencias de expiración de certificados no se desencadenen en el Centro de administración de Microsoft Teams. Para quitar las conexiones TLS antiguas, reinicie el SBC durante un período de tiempo que tenga poco tráfico, como una ventana de mantenimiento. Si no puede reiniciar el SBC, póngase en contacto con el proveedor para obtener instrucciones para forzar el cierre de todas las conexiones TLS antiguas.

Faltan certificados SBC o certificados intermedios en el mensaje "Hola" de TLS de SBC

Compruebe que un certificado SBC válido y todos los certificados intermedios necesarios están instalados correctamente y que la configuración de conexión TLS en el SBC es correcta.

A veces, incluso si todo parece correcto, un examen más detallado de la captura de paquetes podría revelar que el certificado TLS no se proporciona a la infraestructura de Teams.

Se interrumpe la conexión SBC

La conexión TLS se interrumpe o no se configura aunque los certificados y la configuración de SBC no experimenten ningún problema.

Es posible que uno de los dispositivos intermedios (como un firewall o un enrutador) haya cerrado la conexión TLS en la ruta de acceso entre el SBC y la red de Microsoft. Compruebe si hay problemas de conexión dentro de la red administrada y solucione los problemas.

Más información

¿Aún necesita ayuda? Visite Comunidad Microsoft.