Proceso de conexión de dispositivos
Última modificación del tema: 2012-06-21
En este tema, se describe el proceso de conexión de dispositivos. Es importante comprender este proceso al solucionar problemas de dispositivos, ya que los pasos de este proceso se asocian con posibles puntos de error que se pueden resolver.
Proceso de conexión para teléfonos IP internos
El proceso de conexión para teléfonos IP internos se aplica a todos los teléfonos IP. El proceso difiere solamente en los tipos de autenticación que utiliza cada teléfono IP. Solo los teléfonos IP nuevos (es decir, teléfono de área común Aastra 6721ip, teléfono de escritorio Aastra 6725ip, teléfono IP HP 4110 [teléfono de área común], teléfono IP HP 4120 [teléfono de escritorio], teléfono de área común IP Polycom CX500, teléfono de escritorio IP Polycom CX600 y teléfono de conferencia IP Polycom CX3000) pueden usar la autenticación de número de identificación personal (PIN). El teléfono de escritorio IP Polycom CX700 puede utilizar la autenticación de certificados o NTLM.
El proceso comienza con el intento del dispositivo por obtener un identificador de red de área local virtual (VLAN). Primero intenta con el Protocolo de detección de nivel de vínculo (LLDP) y, si no está disponible, recurre al Protocolo de configuración dinámica de host (DHCP).
Nota
Si el dispositivo no puede obtener un identificador de VLAN, el proceso de arranque continúa.
Posteriormente, el dispositivo utiliza DHCP para adquirir una dirección IP, consulta el Sistema de nombres de dominio (DNS) para obtener el registro SRV del SIP de Lync Server y luego analiza ese registro para obtener el nombre de dominio. El nombre del servidor web, ucupdates-r2, se agrega al principio del dominio para proporcionar el nombre de dominio completo (FQDN) del servicio web de actualización de dispositivos. El dispositivo luego consulta DNS para obtener el registro A del FQDN del servicio web de actualización de dispositivos y consulta ese servicio para obtener una actualización. Si existe una actualización, el dispositivo la extraerá del almacén del servicio web de actualización de dispositivos y la aplicará antes del reinicio. Después del reinicio, el dispositivo consulta DHCP para detectar la URL de los servicios web y el FQDN del director. El dispositivo también puede determinar el FQDN del director mediante una consulta del registro SRV en DNS.
El proceso de autenticación comienza cuando el usuario inicia sesión. El dispositivo descarga la cadena de emisores de certificados raíz de los servicios web (si no se obtuvo anteriormente), y luego se conecta con el servidor web a través de TLS y utiliza esa cadena para comprobar el certificado del servidor. El certificado y la cadena se almacenan en el dispositivo para usarlos en el futuro.
Se autentica el dispositivo. Para ello, se proporcionan las credenciales que figuran a continuación y se utiliza TLS para la comunicación:
Los nuevos teléfonos IP (Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 y Polycom CX3000) proporcionan un PIN y un número de teléfono o extensión.
El teléfono IP más antiguo (teléfono de escritorio IP Polycom CX700) proporciona un nombre de usuario, nombre de dominio y contraseña.
Nota
Los teléfonos Aastra 6725ip, HP 4120, Polycom CX600, Polycom CX700 y Polycom CX3000 también permiten que los usuarios inicien sesión si conectan el dispositivo al equipo por medio de un cable USB.
Los servicios web comprueban las credenciales. Para ello, se comunican con el registrador para buscar el usuario y el grupo de servidores principales del usuario. Si las credenciales son correctas, el dispositivo solicita un certificado para el usuario, que se devuelve al dispositivo y también se publica en el almacén de usuarios. El dispositivo utiliza el certificado del usuario para autenticar la solicitud de inicio de sesión y todas las comunicaciones SIP posteriores que se establecen con el registrador.
Se emplea la siguiente lógica para determinar qué FQDN del registrador se utiliza (es decir, el FQDN devuelto por DHCP o por DNS). En esta lógica, se prueban todos los registros hasta que se encuentra uno correcto. En Lync Server Standard Edition, el registro se publica automáticamente. En un grupo de servidores front-end, debe publicar el registro de forma manual. Este registro A debe apuntar a la dirección IP virtual (VIP) del grupo de servidores front-end.
DNS SRV interno (TLS)
Dirección DHCP (TLS)
DNS SRV interno (TCP)
Dirección DHCP (TCP)
DNS externo (TLS)
DNS externo (TCP)
Por último, el dispositivo se conecta al registrador, con una solicitud SIP REGISTER, y autentica las comunicaciones con el certificado del usuario. Este inicio de sesión constituye el punto de partida de cualquier comunicación SIP.
Proceso de conexión para teléfonos IP externos
Para poder conectar un teléfono IP externo, se debe haber establecido una conexión interna correcta con el teléfono. El proceso de conexión para los dispositivos ubicados fuera de la red corporativa varía en función del método de autenticación utilizado para esa conexión interna.
Los usuarios de Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 y Polycom CX3000 deben autenticarse correctamente e iniciar sesión en el registrador de forma interna para obtener el FQDN del servicio web de actualización de dispositivos (proporcionado por el aprovisionamiento en banda cuando un usuario inicia sesión en Lync Server), la cadena de certificados de emisores de los servicios web, el certificado de servidor y el certificado de usuario, los cuales son necesarios para establecer una conexión externa correctamente.
Los usuarios de Polycom CX700 deben iniciar sesión de manera interna y satisfactoria para que el dispositivo obtenga el FQDN externo del servicio web de actualización de dispositivos del aprovisionamiento en banda. El dispositivo no necesita usar la autenticación de certificados para llevar a cabo esta acción, ya que es suficiente con la autenticación NTLM.
Asimismo, si no se puede obtener la dirección del servicio web de actualización de dispositivos, el dispositivo continuará el proceso e intentará llevar a cabo la autenticación y el inicio de sesión. Tras iniciar sesión correctamente, el dispositivo conocerá el FQDN del servidor que ejecuta el servicio web de actualización de dispositivos y lo resolverá para buscar una actualización.
Polycom CX700 externo con inicio de sesión interno mediante la autenticación NTLM
Un teléfono Polycom CX700 externo que ya inició sesión de manera interna mediante la autenticación NTLM intenta obtener primero una dirección IP por medio del servidor DHCP local (externo). A continuación, el dispositivo consulta DNS, proporciona el valor de FQDN para ubicar la dirección del servidor que ejecuta el servicio web de actualización de dispositivos y luego busca una actualización. Si hay una actualización disponible, el dispositivo la descargará e instalará y, posteriormente, se reiniciará.
Tras el reinicio, el dispositivo obtiene de nuevo una dirección IP y vuelve a consultar el servicio web de actualización de dispositivos para obtener una actualización. En esta ocasión, no debería necesitar otra actualización, por lo que el dispositivo consulta DNS para obtener el SRV para el FQDN del registrador de la empresa. Una vez que lo obtiene, el dispositivo busca el registro A correspondiente.
Posteriormente, el dispositivo se conecta y se autentica, utilizando NTLM como credenciales. El registrador confirma la autenticación, y devuelve el URI de SIP y el grupo de servidores principales del usuario. El dispositivo luego envía una solicitud SIP REGISTER para iniciar sesión y el registrador devuelve el FQDN de los servicios web en la respuesta ACK.
El dispositivo se conecta a los servicios web y obtiene la cadena de certificados del servidor web. Una vez que la obtiene, el dispositivo intenta autenticarse primero a través de TCP, intento que se rechaza porque los servicios web de la extranet requieren comunicaciones seguras, y luego a través de TLS. Los servicios web proporcionan el certificado del servidor web como credencial en respuesta a la consulta TLS. Al usar la cadena de certificados descargada anteriormente, el dispositivo puede autenticar los servicios web. El dispositivo envía una solicitud getAndPublish. Los servicios web generan un certificado para el usuario del dispositivo, lo publican en el almacén de usuarios y lo envían de nuevo al dispositivo.
A partir de este momento, el dispositivo puede utilizar la autenticación de certificados (el método preferido), ya que tiene las credenciales que necesita, y también usará esta autenticación para las solicitudes de conexión posteriores.
Aastra 6725ip, HP 4120, Polycom CX600 y Polycom CX700 externos con inicio de sesión interno mediante la autenticación de certificados
En este caso, en el inicio, el dispositivo externo intenta adquirir una dirección IP por medio del servidor DHCP local (externo). A continuación, el dispositivo consulta DNS (para ello, proporciona el valor de FQDN que obtuvo anteriormente con el aprovisionamiento en banda) para obtener la dirección del servicio web de actualización de dispositivos y luego busca una actualización. Si hay una actualización disponible, el dispositivo la descarga e instala y, posteriormente, se reinicia.
Tras el reinicio, el dispositivo vuelve a pasar por el proceso de adquisición de una dirección IP y luego envía una solicitud de autenticación TLS a los servicios web y proporciona el certificado de usuario como credenciales. Si los servicios web pueden validar el usuario, se obtendrá un resultado correcto como respuesta y el dispositivo enviará una solicitud SIP REGISTER a la dirección externa del registrador. Para ello, proporcionará el número de identificación personal (PIN) y el número de teléfono o extensión del usuario como credenciales.
Para obtener más información sobre el acceso de usuarios externos, consulte Planeación del acceso de usuarios externos en la documentación de planeación.
Proceso de arranque
Una vez que se enciende un teléfono IP y se lo conecta a la red corporativa, el proceso de arranque continúa del modo siguiente:
Sugerencia: |
---|
Es posible que surjan problemas en cada una de estas etapas, y los problemas pueden variar en función de si el dispositivo está dentro o fuera del firewall de la organización y de si se trata de un teléfono IP nuevo o más antiguo. Para conocer los problemas que pueden surgir durante este proceso, consulte los temas que figuran a continuación. |