SBC 连接问题
设置直接路由时,可能会遇到以下会话边界控制器 (SBC) 连接问题:
- 不接收会话初始协议 (SIP) 选项。
- 传输层安全性 (TLS) 连接出现问题。
- SBC 不响应。
- SBC 在 Microsoft Teams 管理中心中标记为非活动状态。
此类问题很可能是由以下任一或两种情况引起的:
- TLS 证书遇到问题。
- SBC 未正确配置直接路由。
本文列出了一些与 SIP 选项和 TLS 证书相关的常见问题,并提供可以尝试的解决方案。
SIP 选项过程概述
SBC 将包含 TLS 证书的 TLS 连接请求发送到 SIP 代理服务器完全限定的域名 (FQDN) (,例如 ,sip.pstnhub.microsoft.com) 。
SIP 代理检查连接请求。
- 如果请求无效,则 TLS 连接将关闭,SIP 代理不会从 SBC 接收 SIP 选项。
- 如果请求有效,则建立 TLS 连接,SBC 使用它将 SIP 选项发送到 SIP 代理。
收到 SIP 选项后,SIP 代理会检查 Record-Route,以确定 SBC FQDN 是否属于已知租户。 如果未检测到 FQDN 信息,SIP 代理将检查联系人标头。
如果检测到并识别 SBC FQDN,SIP 代理会使用相同的 TLS 连接发送 200 正常 消息。
SIP 代理将 SIP 选项发送到从 SBC 接收的 SIP 选项的“联系人”标头中列出的 SBC FQDN。
从 SIP 代理接收 SIP 选项后,SBC 通过发送 200 正常 消息进行响应。 此步骤确认 SBC 正常。
最后一步,SBC 在 Microsoft Teams 管理中心中标记为 “活动 ”。
注意
在 托管模型中,SIP 选项应仅从托管的 SBC 发送。 派生中继模型中的 SBC 状态基于main SBC。
SIP 选项问题
成功建立 TLS 连接,并且 SBC 能够向 Teams SIP 代理发送和接收消息后,可能仍存在影响 SIP 选项的格式或内容的问题。
SBC 未收到来自 SIP 代理的“200 正常”响应
如果使用旧版 TLS,则可能会出现这种情况。 若要强制实施更严格的安全性,请启用 TLS 1.2。
请确保 SBC 证书不是自签名证书,并且你从 受信任的证书颁发机构 (CA) 获取。
如果使用 TLS 的最低要求版本或更高版本,并且 SBC 证书有效,则可能会出现此问题,因为 FQDN 在 SIP 配置文件中配置错误,并且无法识别为属于任何租户。 检查以下条件,并修复发现的任何错误:
- SBC 在 Record-Route 或联系人标头中提供的 FQDN 不同于 Teams 中配置的内容。
- 联系人标头包含 IP 地址,而不是 FQDN。
- 域未 完全验证。 如果添加以前未验证的 FQDN,则必须立即对其进行验证。
- 注册 SBC 域名后,必须至少 添加一个 E3 或 E5 许可用户来激活它。
SBC 接收“200 正常”响应,但不接收 SIP 选项
SBC 接收来自 SIP 代理的 200 正常 响应,而不是从 SIP 代理发送的 SIP 选项。 如果发生此错误,请确保 Record-Route 或联系人标头中列出的 FQDN 正确,并解析为正确的 IP 地址。
此问题的另一个可能原因可能是阻止传入流量的防火墙规则。 确保防火墙规则配置为允许来自所有 SIP 代理信号 IP 地址的传入连接。
SBC 状态间歇性处于非活动状态
在以下情况下,可能会出现此问题:
SBC 配置为将 SIP 选项不发送到 FQDN,而是发送到它们解析到的特定 IP 地址。 在维护或中断期间,这些 IP 地址可能会更改为其他数据中心。 因此,SBC 将向非活动或无响应的数据中心发送 SIP 选项。 请执行以下操作:
确保 SBC 是可发现的,并且配置为仅将 SIP 选项发送到 FQDN。
确保路由中的所有设备(如 SBC 和防火墙)都配置为允许与所有 Microsoft 发信号 FQDN 通信。
若要在从 SBC 连接到遇到问题的数据中心时提供故障转移选项,必须将 SBC 配置为使用所有三个 SIP 代理 FQDN:
- sip.pstnhub.microsoft.com
- sip2.pstnhub.microsoft.com
- sip3.pstnhub.microsoft.com
注意
支持 DNS 名称的设备可以使用 sip-all.pstnhub.microsoft.com 解析为所有可能的 IP 地址。
有关详细信息,请参阅 SIP 信令:FQDNS。
已安装的根证书或中间证书不属于 SBC 证书链颁发者。 当 SBC 在身份验证过程中启动三向握手时,Teams 服务将无法验证 SBC 上的证书链,并将重置连接。 在服务缓存中再次加载公共根证书或证书链固定在 SBC 上时,SBC 可能能够再次进行身份验证。 确保 SBC 上安装的中间证书和根证书正确无误。
有关证书的详细信息,请参阅 SBC 的公共受信任证书。
FQDN 与提供的证书中 CN 或 SAN 的内容不匹配
如果通配符与较低级别的子域不匹配,则会出现此问题。 例如,通配符 \*\.contoso.com 将匹配 sbc1.contoso.com,但不 customer10.sbc1.contoso.com。 通配符下不能有多个级别的子域。 如果 FQDN 与提供的证书中的“公用名 (CN) ”或“使用者备用名称” (SAN) 不匹配,请请求与域名匹配的新证书。
有关证书的详细信息,请参阅计划直接路由的 SBC 的公共受信任证书部分。
未在 Microsoft 365 环境中注册域激活
若要完全激活租户的域并将其分发到 Microsoft 365 环境,必须将至少一个许可用户分配到 SBC 使用的子域。 满足所有要求后,最多可能需要 24 小时才能激活域。
有关直接路由所需的许可证列表,请参阅 计划直接路由的“许可和其他要求”部分。
有关此过程的详细信息,请参阅将会话边界控制器 (SBC) 连接到直接路由中的将 SBC 连接到租户部分。
TLS 连接问题
如果 TLS 连接立即关闭,并且未从 SBC 接收 SIP 选项,或者如果未从 SBC 收到 200 正常 ,则 TLS 版本可能存在问题。 在 SBC 上配置的 TLS 版本应为 1.2 或更高版本。
SBC 证书是自签名的或不来自受信任的 CA
如果 SBC 证书是自签名证书,则无效。 确保从受信任的证书颁发机构获取 SBC 证书, (CA) 。 证书必须至少包含一个属于 Microsoft 365 租户的 FQDN。
有关支持的 CA 的列表,请参阅计划直接路由的 SBC 的公共受信任证书部分。
SBC 不信任 SIP 代理证书
如果 SBC 不信任 SIP 代理证书,请在 SBC 上下载并安装 Baltimore CyberTrust 根证书。 若要下载证书,请参阅 Microsoft 365 加密链。
有关支持的 CA 的列表,请参阅计划直接路由的 SBC 的公共受信任证书部分。
SBC 证书无效
如果 Microsoft Teams 管理中心中 用于直接路由的运行状况仪表板 指示 SBC 证书已过期或吊销,请从受信任的证书颁发机构请求或续订证书, (CA) 。 然后,在 SBC 上安装它。 有关支持的 CA 的列表,请参阅计划直接路由的 SBC 的公共受信任证书部分。
续订 SBC 证书时,必须使用旧证书删除从 SBC 到 Microsoft 建立的 TLS 连接,并使用新证书重新建立它们。 这样做可确保不会在 Microsoft Teams 管理中心触发证书过期警告。 若要删除旧的 TLS 连接,请在流量较低的时间段(例如维护时段)内重启 SBC。 如果无法重启 SBC,请联系供应商以获取强制关闭所有旧 TLS 连接的说明。
SBC TLS“Hello”消息中缺少 SBC 证书或中间证书
检查是否正确安装了有效的 SBC 证书和所有必需的中间证书,以及 SBC 上的 TLS 连接设置是否正确。
有时,即使一切看起来正确,仔细检查数据包捕获可能会发现 TLS 证书未提供给 Teams 基础结构。
SBC 连接中断
即使证书和 SBC 设置没有遇到任何问题,TLS 连接也会中断或未设置。
TLS 连接可能已被中间设备之一关闭, (例如防火墙或路由器) SBC 与 Microsoft 网络之间的路径。 检查托管网络内是否存在任何连接问题,并予以修复。
更多信息
仍然需要帮助? 请转到 Microsoft 社区。