Problemas comunes de inicio de sesión y detección
Última modificación del tema: 2009-07-20
Al solucionar problemas de inicio de sesión, una de las primeras cosas que hay que determinar es si el usuario ha especificado la información correcta. A continuación, asegúrese de que la cuenta del usuario es una cuenta activa que está habilitada para Office Communications Server. Si el problema no reside en la información del usuario, analice la configuración del servidor. Al investigar el inicio de sesión desde el servidor, determine primero si la configuración de la conexión cliente está establecida en configuración automática o manual. En esta sección se describen algunos problemas comunes encontrados durante el inicio de sesión desde el punto de vista del usuario y del servidor.
Información de usuario incorrecta
Los siguientes escenarios ilustran algunos problemas comunes de inicio de sesión relacionados con la cuenta del usuario o la información que el usuario intenta usar durante el inicio de sesión.
Dirección de inicio de sesión incorrecta
Al intentar iniciar sesión en Communicator, el usuario podría ver el mensaje "No se puede iniciar sesión en Communicator. Puede que haya especificado una dirección de inicio de sesión, nombre de usuario o contraseña incorrectos, o puede que el servicio de autenticación sea incompatible con esta versión del programa".
Normalmente, el usuario está intentando iniciar sesión con una dirección que no coincide con el URI del SIP especificado en las propiedades de Active Directory del usuario. El formato del URI del SIP lo determina el administrador al habilitar a los usuarios para Office Communications Server. La dirección URL del SIP se puede generar a partir de la dirección de correo electrónico del usuario, el nombre principal o nombre completo del usuario, o la cuenta del Administrador de cuentas de seguridad (el nombre de inicio de sesión utilizado en versiones anteriores del sistema operativo Windows). El usuario debe intentar iniciar sesión de nuevo utilizando el formato correcto del URI del SIP.
La cuenta del usuario no está habilitada para Office Communications Server
Si el usuario especifica el formato correcto del URI del SIP y sigue sin poder iniciar sesión, el administrador de red debe comprobar que la cuenta del usuario está habilitada, que el usuario está habilitado para Office Communications Server y que la contraseña de la cuenta no ha expirado ni se ha restablecido.
Para obtener información sobre cómo habilitar cuentas de usuario, vea la Biblioteca técnica de Microsoft Office Communications Server 2007 R2 en https://go.microsoft.com/fwlink/?Linkid=144479, bajo Operations > Administering Office Communications Server 2007 R2 > Managing User Accounts (en inglés).
El usuario no tiene permisos en la carpeta de perfil
Si un usuario recibe un error en el que se indica que el servidor no está disponible, active el registro de eventos de Windows para Communicator y compruebe el registro de seguimiento de eventos de Windows. Los registros pueden mostrar un error de "acceso denegado" al crear la carpeta de Communicator bajo C:\Documents and Settings\<nombre de usuario>\Configuración local\Datos de programa\Microsoft. Para resolver este problema, proporcione al usuario los derechos adecuados en la carpeta de Communicator.
Errores de inicio de sesión con la configuración manual
Con la configuración manual, los problemas de inicio de sesión provienen normalmente de entradas de nombre de servidor incorrectas en la configuración de conexión avanzada del cliente. En el Visor de eventos del cliente, puede aparecer un mensaje similar al siguiente: "Communicator no pudo conectar con el servidor 192.168.0.2 (192.168.0.2) en el puerto 5060 debido al error 10061", que hace referencia a la dirección IP de un servidor al que no se pudo conectar el cliente. O puede ver referencias que indiquen que el servidor presentado por el servidor no coincide con el nombre de host esperado. A menudo, estos errores se producen porque se ha especificado una dirección IP de servidor en el cuadro de diálogo Configuración de conexión avanzada del cliente.
En lugar de escribir la dirección IP del servidor o un nombre NetBIOS en el cuadro de diálogo Configuración de conexión avanzada, especifique el FQDN del servidor.
Cuando utilice la configuración manual para configurar la conexión, tendrá que saber también si se requiere TLS para las conexiones entre los clientes y Office Communications Server. Si se requiere TLS, la opción TLS debe estar seleccionada en el cuadro de diálogo Configuración de conexión avanzada y se debe especificar el FQDN del servidor (en lugar de la dirección IP o nombre NetBIOS del servidor), de forma que el nombre del servidor coincida con los certificados instalados.
Si las conexiones al servidor usan TCP, asegúrese de que las propiedades del grupo de servidores de Office Communications Server están establecidas en el puerto de escucha TCP 5060.
Errores de inicio de sesión con la configuración automática
Con la configuración automática, pueden surgir problemas con la configuración de DNS, los certificados o los nombres de servidor.
Configuración de DNS
Si utiliza la configuración automática, asegúrese de que el certificado de servidor admite el nombre del servidor publicado en DNS. Para obtener información sobre la creación necesaria de registros DNS que habilitan la detección de clientes y servidores, así como sobre la compatibilidad del inicio de sesión automático del cliente (si su organización desea proporcionar esta funcionalidad), consulte el artículo de Microsoft Office Communications Server 2007 R2, "Requisitos del Sistema de nombres de dominio (DNS)", en https://go.microsoft.com/fwlink/?linkid=146936.
Cuando los clientes estén configurados para iniciar sesión automáticamente, asegúrese de que existe el registro DNS SRV adecuado. Si utiliza una conexión TLS, agregue el siguiente registro SRV y asígnelo al registro de host del servidor:
_sipinternaltls._tcp.<dominio> over port 5061.
Nota
Si el dominio SIP es diferente del dominio de Office Communications Server, es recomendable que cree un registro de host sip.<dominio> en lugar del registro de host de Office Communications Server.
Si utiliza una conexión TCP, agregue el siguiente registro SRV y asígnelo al registro de host del servidor:
_sipinternal._tcp.<dominio> over port 5060
Comprobación estricta de nombres
Si los clientes utilizan la configuración automática para iniciar sesión y se requiere TLS, algunas veces se puede realizar un seguimiento de los errores de conexión en la configuración de la directiva EnableStrictDNSNaming. Cuando Communicator está configurado para la conexión automática y se requiere TLS, esta directiva permite que Office Communicator envíe y reciba mensajes instantáneos de forma segura al utilizar el servicio de comunicaciones SIP. Esta directiva no afecta a los servicios de Windows .NET o Microsoft Exchange Server. Gran parte de la confusión que subyace a la directiva EnableStrictDNSNaming proviene de una descripción imprecisa de la directiva. Si se establece incorrectamente esta directiva, se pueden producir problemas inesperados con la negociación TLS y el inicio de sesión en el cliente. A continuación se incluye una explicación precisa de esta directiva.
Si establece la directiva EnableStrictDNSNaming en Habilitada, los clientes de Communicator solo pueden conectarse a un servidor si su nombre coincide con el dominio del URI del SIP del usuario o si su FQDN es sip.<dominio del URI>. Por ejemplo, si el URI del SIP del usuario es usuario@contoso.com, Communicator solamente podrá conectarse a los servidores siguientes:
- contoso.com
- sip.contoso.com
Si no configura esta directiva o la establece en Deshabilitada, los clientes de Communicator pueden comunicarse con cualquier servidor SIP que tenga un FQDN que termine con la parte del dominio del URI del SIP del usuario. Por ejemplo, Communicator podrá comunicar con los servidores denominados sip.division.contoso.com o lc.contoso.com. El inconveniente es que un atacante puede responder a la consulta de DNS inicial con un nombre de servidor como attacker.contoso.com. Si no configura esta directiva o la deshabilita, puede ser más susceptible a sufrir ataques de intermediario ("man-in-the-middle").
Una razón para no habilitar esta directiva es si la organización tiene varios subdominios y, al instalar los certificados, necesita disponer de flexibilidad para permitir nombres del servidor no estrictos.
Para habilitar esta directiva, asegúrese de que el FQDN del servidor SIP coincide con uno de los formatos de nomenclatura estrictos.
Nota
Puede configurar esta opción de directiva bajo Configuración del equipo y Configuración de usuario, pero la configuración de directiva que hay bajo Configuración del equipo tiene prioridad.
Los usuarios externos no pueden iniciar sesión
Si los usuarios internos pueden iniciar sesión pero no así los usuarios externos, puede haber un problema con la manera en que se han configurado los protocolos de autenticación, los puertos especificados durante el inicio de sesión o la configuración de cifrado del servidor.
Establecer el protocolo de autenticación en NTLM y Kerberos
Office Communications Server 2007 R2 utiliza los protocolos de autenticación NTLM o Kerberos, según la ubicación del usuario. El protocolo Kerberos, que requiere la conectividad del cliente a Active Directory, se utiliza para los usuarios internos con credenciales de Active Directory. Los usuarios externos que tienen credenciales de Active Directory pero que se conectan desde fuera del firewall corporativo usan NTLM.
Si los usuarios externos no se pueden autenticar, asegúrese de que el protocolo de autenticación en las propiedades del servidor front-end de Office Communications Server está establecido en NTLM y Kerberos.
Inicio de sesión del cliente en el puerto 5061, escucha del servidor perimetral de acceso en el puerto 443
Los clientes que se conectan desde fuera del firewall corporativo usan el puerto 443 para las comunicaciones SIP con servidores perimetrales. A veces los clientes están configurados para conectarse al servidor mediante la configuración manual, pero el servidor externo está configurado con el puerto incorrecto. Por ejemplo, si un cliente se configura manualmente para conectarse a un servidor en el puerto 5061 mientras que el servidor perimetral de acceso está a la escucha en el puerto 443, se producirá un error en la conexión. Compruebe el campo Configuración de conexión avanzada del cliente bajo Nombre de servidor externo o dirección IP y asegúrese de que la entrada especifica el puerto 443, por ejemplo, sip.domain.com:443.
Además, especifique el puerto 443 si utiliza la directiva de grupo para especificar el nombre del servidor externo.
Discrepancias entre NTLMMINCLIENTSEC y NTLMMINSERVERSEC
Las organizaciones pueden utilizar directivas locales y directivas de grupo para definir la configuración de seguridad específica en los dominios de Windows Server con el fin de aplicar medidas de seguridad más estrictas. Una de estas configuraciones es la configuración de autenticación NTLMv2, que se puede definir para requerir el cifrado en las comunicaciones entre los servidores y clientes. Si la configuración en el cliente y en el servidor no coincide, no se puede establecer la comunicación.
La configuración de la autenticación NTLMv2 se encuentra en las siguientes claves del Registro:
HKey_Local_Machine\System\CurrentControlSet\Control\Lsa\MSV1_0ntlmminclientsec
HKey_Local_Machine\System\CurrentControlSet\Control\Lsa\MSV1_ ntlmminserversec
A veces el servidor se configurará para exigir el cifrado, pero no así el cliente. En este caso, la solicitud NTLM del cliente no pasa por el servidor front-end. Esta situación afecta principalmente a los usuarios externos, porque NTLM es el único protocolo de autenticación que pueden utilizar los clientes externos para iniciar sesión. Por ejemplo, si la clave del servidor se configura con un valor de 0x20080030, que especifica el cifrado de 128 bits, pero no así los clientes, los clientes no podrán iniciar sesión. Debe asegurarse de que esta clave del cliente está configurada de forma que coincida con la configuración del servidor.
Para obtener más información, vea el artículo 823659 de Microsoft Knowledge Base, "Problemas de compatibilidad que pueden producirse entre clientes, servicios y programas al modificar la configuración de seguridad y la asignación de derechos de usuario", en https://go.microsoft.com/fwlink/?linkid=147230.