Проблемы с подключением SBC
При настройке прямой маршрутизации могут возникнуть следующие проблемы с подключением к пограничному контроллеру сеансов (SBC):
- Параметры протокола SIP не получены.
- Возникают проблемы с подключениями TLS.
- SBC не отвечает.
- SBC помечается как неактивный в Центре администрирования Microsoft Teams.
Такие проблемы, скорее всего, вызваны одним или обоими из следующих условий:
- Возникают проблемы с сертификатом TLS.
- SBC неправильно настроен для прямой маршрутизации.
В этой статье перечислены некоторые распространенные проблемы, связанные с параметрами SIP и сертификатами TLS, а также приведены способы их устранения.
Обзор процесса параметров SIP
SBC отправляет запрос на подключение TLS, включающий сертификат TLS, на полное доменное имя прокси-сервера SIP (FQDN) (например, sip.pstnhub.microsoft.com).
Прокси-сервер SIP проверяет запрос на подключение.
- Если запрос недопустим, подключение TLS закрывается, а прокси-сервер SIP не получает параметры SIP от SBC.
- Если запрос действителен, подключение TLS устанавливается, а SBC использует его для отправки параметров SIP прокси-сервера SIP.
После получения параметров SIP прокси-сервер SIP проверяет Record-Route, чтобы определить, принадлежит ли полное доменное имя SBC известному клиенту. Если сведения о полном доменном имени там не обнаружены, прокси-сервер SIP проверяет заголовок Contact.
Если полное доменное имя SBC обнаружено и распознано, прокси-сервер SIP отправляет сообщение 200 OK с помощью того же подключения TLS.
Прокси-сервер SIP отправляет параметры SIP в полное доменное имя SBC, указанное в заголовке Contact параметров SIP, полученных от SBC.
После получения параметров SIP от прокси-сервера SIP SBC отправляет сообщение 200 ОК . Этот шаг подтверждает работоспособности SBC.
В качестве последнего шага SBC помечается как активный в Центре администрирования Microsoft Teams.
Примечание.
В размещенной модели параметры SIP следует отправлять только из размещенного SBC. Состояние SBC, которые находятся в производной магистральной модели, основано на main SBC.
Проблемы с параметрами SIP
После успешной установки TLS-подключения, когда SBC сможет отправлять и получать сообщения на прокси-сервер SIP Teams и из нее, могут возникнуть проблемы, влияющие на формат или содержимое параметров SIP.
SBC не получает ответ "200 OK" от прокси-сервера SIP
Такая ситуация может возникнуть, если вы используете более раннюю версию TLS. Чтобы обеспечить более строгую безопасность, включите TLS 1.2.
Убедитесь, что сертификат SBC не является самозаверяющим и что вы получили его из доверенного центра сертификации (ЦС).
Если вы используете минимальную требуемую версию TLS или более поздней, а сертификат SBC действителен, проблема может возникнуть из-за неправильной настройки полного доменного имени в профиле SIP и не распознается как принадлежащее ни одному клиенту. Проверьте наличие следующих условий и исправьте все ошибки, которые вы обнаружите:
- Полное доменное имя, предоставляемое SBC в заголовке Record-Route или Contact, отличается от настроенного в Teams.
- Заголовок Contact содержит IP-адрес вместо полного доменного имени.
- Домен не полностью проверен. Если вы добавите полное доменное имя, которое ранее не было проверено, его необходимо проверить сейчас.
- После регистрации доменного имени SBC его необходимо активировать, добавив по крайней мере одного пользователя с лицензией E3 или E5.
SBC получает ответ "200 OK", но не параметры SIP
SBC получает ответ 200 OK от прокси-сервера SIP, но не от параметров SIP, отправленных с прокси-сервера SIP. В случае возникновения этой ошибки убедитесь, что полное доменное имя, указанное в заголовке Record-Route или Contact, правильно и разрешается на правильный IP-адрес.
Другой возможной причиной этой проблемы могут быть правила брандмауэра, которые предотвращают входящий трафик. Убедитесь, что правила брандмауэра настроены так, чтобы разрешить входящие подключения со всех IP-адресов прокси-сервера SIP.
Состояние SBC периодически неактивно
Эта проблема может возникать в следующих ситуациях:
SBC настроен для отправки параметров SIP не в полные доменные имена, а на конкретные IP-адреса, на которые они разрешаются. Во время обслуживания или простоя эти IP-адреса могут быть изменены на другой центр обработки данных. Таким образом, SBC будет отправлять параметры SIP в неактивный или не отвечающий центр обработки данных. Выполните указанные ниже действия.
Убедитесь, что SBC доступен для обнаружения и настроен для отправки параметров SIP только в полные доменные имена.
Убедитесь, что все устройства в маршруте, такие как SBC и брандмауэры, настроены таким образом, чтобы разрешить обмен данными со всеми полными доменными именами Майкрософт.
Чтобы обеспечить отработку отказа при подключении из SBC к центру обработки данных, в котором возникла проблема, необходимо настроить SBC на использование всех трех полных доменных имен прокси-сервера SIP:
- sip.pstnhub.microsoft.com
- sip2.pstnhub.microsoft.com
- sip3.pstnhub.microsoft.com
Примечание.
Устройства, поддерживающие DNS-имена, могут использовать sip-all.pstnhub.microsoft.com для разрешения на все возможные IP-адреса.
Дополнительные сведения см. в разделе Sip Signaling: FQDNS.
Установленный корневой или промежуточный сертификат не является частью издателя цепочки сертификатов SBC. Когда SBC запускает трехстороннее подтверждение во время проверки подлинности, служба Teams не сможет проверить цепочку сертификатов в SBC и сбросит подключение. SBC может снова пройти проверку подлинности, как только общедоступный корневой сертификат снова загружен в кэш службы или цепочка сертификатов будет исправлена в SBC. Убедитесь, что в SBC установлены правильные промежуточные и корневые сертификаты.
Дополнительные сведения о сертификатах см. в разделе Общедоступный доверенный сертификат для SBC.
Полное доменное имя не соответствует содержимому CN или SAN в предоставленном сертификате.
Эта проблема возникает, если подстановочный знак не соответствует поддомену нижнего уровня. Например, подстановочный знак \*\.contoso.com будет соответствовать sbc1.contoso.com, но не customer10.sbc1.contoso.com. Подстановочный знак не может содержать несколько уровней поддоменов. Если полное доменное имя не соответствует общему имени (CN) или альтернативному имени субъекта (SAN) в предоставленном сертификате, запросите новый сертификат, соответствующий вашим доменным именам.
Дополнительные сведения о сертификатах см. в разделе Общедоступный доверенный сертификат для SBCстатьи Планирование прямой маршрутизации.
Активация домена не зарегистрирована в среде Microsoft 365
Чтобы полностью активировать домен для клиента и распространить его в среде Microsoft 365, необходимо назначить по крайней мере одного лицензированного пользователя поддомену, используемому SBC. При выполнении всех требований активация домена может занять до 24 часов.
Список лицензий, необходимых для прямой маршрутизации, см. в разделе "Лицензирование и другие требования" статьи Планирование прямой маршрутизации.
Дополнительные сведения об этом процессе см. в разделе Подключение SBC к клиентустатьи Подключение пограничного контроллера сеансов (SBC) к прямой маршрутизации.
Проблемы с подключением TLS
Если подключение TLS закрыто сразу и параметры SIP не получены из SBC или если 200 OK не получено от SBC, проблема может быть связана с версией TLS. В SBC должна быть настроена версия TLS 1.2 или выше.
Сертификат SBC самозаверяющий или не из доверенного ЦС
Если сертификат SBC самозаверяющий, он недопустим. Убедитесь, что сертификат SBC получен из доверенного центра сертификации (ЦС). Сертификат должен содержать по крайней мере одно полное доменное имя, принадлежащее клиенту Microsoft 365.
Список поддерживаемых ЦС см. в разделе Общедоступный доверенный сертификат для SBCстатьи Планирование прямой маршрутизации.
SBC не доверяет сертификату прокси-сервера SIP
Если SBC не доверяет сертификату прокси-сервера SIP, скачайте и установите корневой сертификат Baltimore CyberTrust в SBC. Сведения о том, как скачать сертификат, см. в статье Цепочки шифрования Microsoft 365.
Список поддерживаемых ЦС см. в разделе Общедоступный доверенный сертификат для SBCстатьи Планирование прямой маршрутизации.
Сертификат SBC недопустим
Если панель мониторинга работоспособности для прямой маршрутизации в Центре администрирования Microsoft Teams указывает, что срок действия сертификата SBC истек или отозван, запросите или продлейте сертификат из доверенного центра сертификации (ЦС). Затем установите его в SBC. Список поддерживаемых ЦС см. в разделе Общедоступный доверенный сертификат для SBCстатьи Планирование прямой маршрутизации.
При обновлении сертификата SBC необходимо удалить tls-подключения, установленные из SBC к Корпорации Майкрософт с помощью старого сертификата, и повторно установить их с помощью нового сертификата. Это позволит гарантировать, что предупреждения об истечении срока действия сертификата не будут активированы в Центре администрирования Microsoft Teams. Чтобы удалить старые подключения TLS, перезапустите SBC в течение периода с низким объемом трафика, например в период обслуживания. Если не удается перезапустить SBC, обратитесь к поставщику за инструкциями по принудительному закрытию всех старых подключений TLS.
Сертификат SBC или промежуточные сертификаты отсутствуют в сообщении SBC TLS "Hello"
Убедитесь, что действительный сертификат SBC и все необходимые промежуточные сертификаты установлены правильно, а параметры подключения TLS в SBC верны.
Иногда, даже если все выглядит правильно, более тщательное изучение записи пакетов может показать, что сертификат TLS не предоставляется инфраструктуре Teams.
Подключение SBC прервано
Подключение TLS прерывается или не настраивается, даже если с сертификатами и параметрами SBC не возникает никаких проблем.
Подключение TLS может быть закрыто одним из промежуточных устройств (например, брандмауэром или маршрутизатором) на пути между SBC и сетью Майкрософт. Проверьте наличие проблем с подключением в управляемой сети и исправьте их.
Дополнительная информация
Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.