次の方法で共有

SBC 接続の問題

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

ダイレクト ルーティングを設定すると、次のセッション ボーダー コントローラー (SBC) 接続の問題が発生する可能性があります。

  • セッション開始プロトコル (SIP) オプションは受信されません。
  • トランスポート層セキュリティ (TLS) 接続の問題が発生します。
  • SBC が応答しません。
  • SBC は、Microsoft Teams 管理センターで非アクティブとしてマークされます。

このような問題は、次のいずれかの条件または両方が原因で発生する可能性が最も高いです。

  • TLS 証明書で問題が発生します。
  • SBC がダイレクト ルーティング用に正しく構成されていません。

この記事では、SIP オプションと TLS 証明書に関連するいくつかの一般的な問題を示し、試すことができる解決策を示します。

SIP オプション プロセスの概要

  • SBC は、TLS 証明書を含む TLS 接続要求を SIP プロキシ サーバーの完全修飾ドメイン名 (FQDN) に送信します ( たとえば、sip.pstnhub.microsoft.com)。

  • SIP プロキシは接続要求をチェックします。

    • 要求が無効な場合、TLS 接続は閉じられ、SIP プロキシは SBC から SIP オプションを受信しません。
    • 要求が有効な場合、TLS 接続が確立され、SBC はそれを使用して SIP プロキシに SIP オプションを送信します。

  • SIP オプションを受信すると、SIP プロキシは Record-Route をチェックして、SBC FQDN が既知のテナントに属しているかどうかを判断します。 そこで FQDN 情報が検出されない場合、SIP プロキシは連絡先ヘッダーをチェックします。

  • SBC FQDN が検出されて認識された場合、SIP プロキシは同じ TLS 接続を使用して 200 OK メッセージを送信します。

  • SIP プロキシは、SBC から受信した SIP オプションの連絡先ヘッダーに記載されている SBC FQDN に SIP オプションを送信します。

  • SIP プロキシから SIP オプションを受信すると、SBC は 200 OK メッセージを送信して応答します。 この手順では、SBC が正常であることを確認します。

  • 最後の手順として、SBC は Microsoft Teams 管理センターで [アクティブ] としてマークされます。

注:

ホステッド モデルでは、SIP オプションは、ホストされている SBC からのみ送信する必要があります。 派生トランク モデル内の SBC の状態は、メイン SBC に基づいています。

SIP オプションの問題

TLS 接続が正常に確立され、SBC が Teams SIP プロキシとの間でメッセージを送受信できたら、SIP オプションの形式または内容に影響する問題が引き続き発生する可能性があります。

SBC が SIP プロキシから "200 OK" 応答を受信しない

この状況は、古いバージョンの TLS を使用している場合に発生する可能性があります。 より厳格なセキュリティを適用するには、TLS 1.2 を有効にします。

SBC 証明書が自己署名でないことを確認し、 信頼された証明機関 (CA) から取得したことを確認します。

必要最小限のバージョンの TLS 以上を使用していて、SBC 証明書が有効な場合は、FQDN が SIP プロファイルで正しく構成されておらず、テナントに属していると認識されていないために問題が発生する可能性があります。 次の条件を確認し、見つけたエラーを修正します。

  • Record-Route または連絡先ヘッダーで SBC によって提供される FQDN は、Teams で構成されているものとは異なります。
  • Contact ヘッダーには、FQDN の代わりに IP アドレスが含まれています。
  • ドメインが 完全に検証されていません。 以前に検証されなかった FQDN を追加する場合は、今すぐ検証する必要があります。
  • SBC ドメイン名を登録した後、 少なくとも 1 人の E3 または E5 ライセンスユーザーを追加してアクティブ化する必要があります。
SBC は"200 OK" 応答を受け取りますが、SIP オプションは受け取りません

SBC は SIP プロキシから 200 OK 応答を受信しますが、SIP プロキシから送信された SIP オプションは受信しません。 このエラーが発生した場合は、Record-Route または連絡先ヘッダーに一覧表示されている FQDN が正しく、正しい IP アドレスに解決されていることを確認します。

この問題のもう 1 つの考えられる原因は、受信トラフィックを妨げているファイアウォール規則です。 すべての SIP プロキシシグナリング IP アドレスからの着信接続を許可するようにファイアウォール規則が構成されていることを確認します。

SBC の状態が断続的に非アクティブである

この問題は、次の状況で発生する可能性があります。

  • SBC は、FQDN ではなく、解決先の特定の IP アドレスに SIP オプションを送信するように構成されています。 メンテナンスまたは停止中に、これらの IP アドレスが別のデータセンターに変更される可能性があります。 そのため、SBC は SIP オプションを非アクティブまたは応答しないデータセンターに送信します。 次の手順を実行してください。

    • SBC が検出可能であり、FQDN にのみ SIP オプションを送信するように構成されていることを確認します。

    • ルート内のすべてのデバイス (SBC やファイアウォールなど) が、すべての Microsoft シグナリング FQDN との間の通信を許可するように構成されていることを確認します。

    • SBC から問題が発生しているデータセンターへの接続時にフェールオーバー オプションを提供するには、次の 3 つすべての SIP プロキシ FQDN を使用するように SBC を構成する必要があります。

      • sip.pstnhub.microsoft.com
      • sip2.pstnhub.microsoft.com
      • sip3.pstnhub.microsoft.com

      注:

      DNS 名をサポートするデバイスは、sip-all.pstnhub.microsoft.com を使用して、使用可能なすべての IP アドレスに解決できます。

    詳細については、「 SIP シグナリング: FQDNS」を参照してください。

  • インストールされているルート証明書または中間証明書は、SBC 証明書チェーン発行者の一部ではありません。 認証プロセス中に SBC が 3 方向ハンドシェイクを開始すると、Teams サービスは SBC で証明書チェーンを検証できず、接続がリセットされます。 SBC は、パブリック ルート証明書がサービス キャッシュに再び読み込まれるか、SBC で証明書チェーンが固定されるとすぐに、再び認証できる場合があります。 SBC にインストールされている中間証明書とルート証明書が正しいことを確認します。

    証明書の詳細については、「 SBC のパブリック信頼された証明書」を参照してください。

FQDN が、指定された証明書の CN または SAN の内容と一致しない

この問題は、ワイルドカードが下位レベルのサブドメインと一致しない場合に発生します。 たとえば、ワイルドカード \*\.contoso.com は sbc1.contoso.com と一致しますが、customer10.sbc1.contoso.com は一致しません。 ワイルドカードの下に複数レベルのサブドメインを含めることはできません。 FQDN が指定された証明書の共通名 (CN) またはサブジェクト代替名 (SAN) と一致しない場合は、ドメイン名と一致する新しい証明書を要求します。

証明書の詳細については、「ダイレクト ルーティングの計画」の「SBC のパブリック信頼された証明書」セクションを参照してください。

ドメインのアクティブ化が Microsoft 365 環境に登録されていない

テナントのドメインを完全にアクティブ化し、Microsoft 365 環境に配布するには、SBC によって使用されるサブドメインに少なくとも 1 人のライセンスユーザーを割り当てる必要があります。 すべての要件が満たされると、ドメインがアクティブ化されるまでに最大 24 時間かかることがあります。

ダイレクト ルーティングに必要なライセンスの一覧については、「ダイレクト ルーティングの 計画」の「ライセンスとその他の要件」セクションを参照してください。

このプロセスの詳細については、「セッション ボーダー コントローラー (SBC) をダイレクト ルーティングに接続する」の「SBC をテナントに接続する」セクションを参照してください。

TLS 接続の問題

TLS 接続がすぐに閉じられ、SIP オプションが SBC から受信されない場合、または SBC から 200 OK が受信されない場合、問題は TLS バージョンにある可能性があります。 SBC で構成されている TLS バージョンは 1.2 以上である必要があります。

SBC 証明書が自己署名であるか、信頼された CA からのものではありません

SBC 証明書が自己署名の場合は無効です。 SBC 証明書が信頼された証明機関 (CA) から取得されていることを確認します。 証明書には、Microsoft 365 テナントに属する少なくとも 1 つの FQDN が含まれている必要があります。

サポートされている CA の一覧については、「直接ルーティングの計画」の「SBC のパブリック信頼された証明書」セクションを参照してください。

SBC が SIP プロキシ証明書を信頼しない

SBC が SIP プロキシ証明書を信頼しない場合は、SBC に Baltimore CyberTrust ルート証明書をダウンロードしてインストールします。 証明書をダウンロードするには、「 Microsoft 365 暗号化チェーン」を参照してください。

サポートされている CA の一覧については、「直接ルーティングの計画」の「SBC のパブリック信頼された証明書」セクションを参照してください。

SBC 証明書が無効です

Microsoft Teams 管理センターの Health Dashboard for Direct Routing が SBC 証明書の有効期限が切れているか失効していることを示している場合は、信頼された証明機関 (CA) から証明書を要求または更新します。 次に、SBC にインストールします。 サポートされている CA の一覧については、「直接ルーティングの計画」の「SBC のパブリック信頼された証明書」セクションを参照してください。

SBC 証明書を更新するときは、古い証明書を使用して SBC から Microsoft に確立された TLS 接続を削除し、新しい証明書で再確立する必要があります。 これにより、Microsoft Teams 管理センターで証明書の有効期限の警告がトリガーされないようにします。 古い TLS 接続を削除するには、メンテナンス期間などのトラフィックが少ない期間に SBC を再起動します。 SBC を再起動できない場合は、ベンダーに問い合わせて、すべての古い TLS 接続を強制的に終了する手順を確認してください。

SBC 証明書または中間証明書が SBC TLS "Hello" メッセージに表示されない

有効な SBC 証明書と必要なすべての中間証明書が正しくインストールされていること、および SBC の TLS 接続設定が正しいことを確認します。

すべてが正しく見えても、パケット キャプチャを詳しく調べると、TLS 証明書が Teams インフラストラクチャに提供されていないことが明らかになる場合があります。

SBC 接続が中断される

証明書と SBC の設定で問題が発生しない場合でも、TLS 接続が中断されるか、設定されません。

TLS 接続は、SBC と Microsoft ネットワークの間のパス上の中間デバイス (ファイアウォールやルーターなど) によって閉じられた可能性があります。 マネージド ネットワーク内の接続の問題を確認し、修正します。

詳細

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。