SBC 連線問題
當您設定直接路由時,可能會遇到下列會話邊界控制器 (SBC) 連線問題:
- 未收到會話起始通訊協定 (SIP) 選項。
- 傳輸層安全性 (發生 TLS) 連線問題。
- SBC 不會回應。
- SBC 在 Microsoft Teams 系統管理中心內標示為非作用中。
這類問題很可能是由下列任一或兩種情況所造成:
- TLS 憑證發生問題。
- SBC 未正確設定直接路由。
本文列出一些與 SIP 選項和 TLS 憑證相關的常見問題,並提供您可以嘗試的解決方法。
SIP 選項程式概觀
SBC 會將包含 TLS 憑證的 TLS 連線要求傳送至 SIP Proxy 伺服器完整域名 (FQDN) (例如, sip.pstnhub.microsoft.com) 。
SIP Proxy 會檢查連線要求。
- 如果要求無效,TLS 連線就會關閉,而且 SIP Proxy 不會從 SBC 接收 SIP 選項。
- 如果要求有效,則會建立 TLS 連線,而 SBC 會使用它來將 SIP 選項傳送至 SIP Proxy。
收到 SIP 選項之後,SIP Proxy 會檢查 Record-Route,以判斷 SBC FQDN 是否屬於已知的租使用者。 如果在該處未偵測到 FQDN 資訊,SIP Proxy 會檢查聯繫人標頭。
如果偵測到並辨識 SBC FQDN,SIP Proxy 會使用相同的 TLS 連線傳送 200 OK 訊息。
SIP Proxy 會將 SIP 選項傳送至 SBC FQDN,此 SBC FQDN 會列在從 SBC 接收之 SIP 選項的 [連絡人] 標頭中。
從 SIP Proxy 接收 SIP 選項之後,SBC 會藉由傳送 200 OK 訊息來回應。 此步驟會確認 SBC 狀況良好。
在最後一個步驟中,SBC 會在 Microsoft Teams 系統管理中心標示為 [作用中]。
注意事項
在 裝載的模型中,SIP 選項應該只從裝載的 SBC 傳送。 衍生主幹模型中的 SBC 狀態是以主要 SBC 為基礎。
SIP 選項問題
成功建立 TLS 連線,且 SBC 能夠在 Teams SIP Proxy 中來回傳送和接收訊息之後,可能仍有問題會影響 SIP 選項的格式或內容。
SBC 不會收到來自 SIP Proxy 的「200 確定」回應
如果您使用舊版的 TLS,可能會發生這種情況。 若要強制執行更嚴格的安全性,請啟用 TLS 1.2。
請確定您的 SBC 憑證不是自我簽署,而且您是從信任的證書頒發 機構單位 (CA) 取得。
如果您使用的是 TLS 或更高版本的最低必要版本,而且您的 SBC 憑證有效,則可能會發生此問題,因為 SIP 配置檔中的 FQDN 設定錯誤,且無法辨識為屬於任何租使用者。 檢查下列條件,並修正您發現的任何錯誤:
- SBC 在 Record-Route 或聯繫人標頭中提供的 FQDN 與 Teams 中設定的不同。
- 聯繫人標頭包含IP位址,而不是 FQDN。
- 網域未 完全驗證。 如果您新增先前未驗證的 FQDN,您必須立即進行驗證。
- 註冊 SBC 功能變數名稱之後,您必須 新增至少一個 E3 或 E5 授權使用者來啟用它。
SBC 收到「200 確定」回應,但不會收到SIP選項
SBC 會從 SIP Proxy 接收 200 OK 回應,但不會收到從 SIP Proxy 傳送的 SIP 選項。 如果發生此錯誤,請確定 Record-Route 或聯繫人標頭中所列的 FQDN 正確,並解析為正確的 IP 位址。
此問題的另一個可能原因可能是防火牆規則會防止連入流量。 請確定防火牆規則已設定為允許來自所有 SIP Proxy 傳送IP位址的連入連線。
SBC 狀態間歇性非作用中
此問題可能會在下列情況下發生:
SBC 設定為不會將 SIP 選項傳送至 FQDN,而是傳送至其解析的特定 IP 位址。 在維護或中斷期間,這些IP位址可能會變更為不同的資料中心。 因此,SBC 會將 SIP 選項傳送至非作用中或沒有回應的數據中心。 請執行下列動作:
請確定 SBC 可探索並設定為僅將 SIP 選項傳送至 FQDN。
請確定路由中的所有裝置,例如 SBC 和防火牆,都已設定為允許與所有 Microsoft 發出訊號的 FQDN 進行通訊。
若要在從 SBC 連線到發生問題的數據中心時提供故障轉移選項,必須將 SBC 設定為使用這三個 SIP Proxy FQDN:
- sip.pstnhub.microsoft.com
- sip2.pstnhub.microsoft.com
- sip3.pstnhub.microsoft.com
注意事項
支援 DNS 名稱的裝置可以使用 sip-all.pstnhub.microsoft.com 來解析為所有可能的 IP 位址。
如需詳細資訊,請參閱 SIP 訊號:FQDNS。
安裝的根或中繼憑證不是 SBC 憑證鏈結簽發者的一部分。 當 SBC 在驗證程式期間啟動三向交握時,Teams 服務將無法驗證 SBC 上的憑證鏈結,並會重設連線。 一旦在服務快取上再次載入公用跟證書,或在 SBC 上修正憑證鏈結,SBC 就可以再次驗證。 請確定安裝在 SBC 上的中繼和跟證書正確無誤。
如需憑證的詳細資訊,請 參閱 SBC 的公用信任憑證。
FQDN 不符合所提供憑證中 CN 或 SAN 的內容
如果通配符不符合較低層級的子域,就會發生此問題。 例如,通配符 \*\.contoso.com 會比對 sbc1.contoso.com,但不會 customer10.sbc1.contoso.com。 通配符下不能有多個子域層級。 如果 FQDN 不符合所提供憑證中的 [一般名稱 (CN) 或主體替代名稱 (SAN) ,則要求符合您功能變數名稱的新憑證。
如需憑證的詳細資訊,請參閱規劃直接路由的 SBC 的公開信任憑證一節。
網域啟用未在 Microsoft 365 環境中註冊
若要完整啟用租使用者的網域,並透過 Microsoft 365 環境散發網域,您必須將至少一個授權使用者指派給 SBC 所使用的子域。 當符合所有需求時,最多可能需要 24 小時的時間才能啟動網域。
如需直接路由所需的授權清單,請參閱 規劃直接路由的一節。
如需此程式的詳細資訊,請參閱將會話邊界控制器 (SBC) 連線到直接路由中的將 SBC 連線到租使用者一節。
TLS 連線問題
如果 TLS 連線立即關閉,且 SIP 選項未從 SBC 接收,或是未從 SBC 接收 到 200 OK ,則問題可能是 TLS 版本的問題。 在 SBC 上設定的 TLS 版本應該是 1.2 或更高版本。
SBC 憑證是自我簽署,或不是來自受信任的 CA
如果 SBC 憑證是自我簽署,則無效。 請確定 SBC 憑證是從受信任的證書頒發機構單位 (CA) 取得。 憑證必須至少包含一個屬於 Microsoft 365 租使用者的 FQDN。
如需支援的 CA 清單,請參閱規劃直接路由的 SBC 的公開信任憑證一節。
SBC 不信任 SIP Proxy 憑證
如果 SBC 不信任 SIP Proxy 憑證,請在 SBC 上下載並安裝 Baltimore CyberTrust 跟證書。 若要下載憑證,請參閱 Microsoft 365 加密鏈結。
如需支援的 CA 清單,請參閱規劃直接路由的 SBC 的公開信任憑證一節。
SBC 憑證無效
如果 Microsoft Teams 系統管理中心的 直接路由健全狀況儀錶板 指出 SBC 憑證已過期或撤銷,請向受信任的證書頒發機構單位要求或更新憑證, (CA) 。 然後,將它安裝在 SBC 上。 如需支援的 CA 清單,請參閱規劃直接路由的 SBC 的公開信任憑證一節。
當您更新 SBC 憑證時,必須移除使用舊憑證從 SBC 與 Microsoft 建立的 TLS 連線,並使用新的憑證重新建立這些連線。 這麼做可確保不會在 Microsoft Teams 系統管理中心觸發憑證到期警告。 若要移除舊的 TLS 連線,請在具有低流量的時間範圍期間重新啟動 SBC,例如維護期間。 如果您無法重新啟動 SBC,請連絡廠商以取得指示,以強制關閉所有舊的 TLS 連線。
SBC TLS “Hello” 訊息中遺漏 SBC 憑證或中繼憑證
檢查是否已正確安裝有效的 SBC 憑證和所有必要的中繼憑證,以及 SBC 上的 TLS 連線設定是否正確。
有時候,即使一切看起來都正確,更仔細檢查封包擷取也可能會顯示 TLS 憑證未提供給 Teams 基礎結構。
SBC 連線中斷
即使憑證和 SBC 設定沒有任何問題,TLS 連線還是會中斷或未設定。
TLS 連線可能已由其中一個中繼裝置關閉, (例如防火牆或路由器) SBC 與 Microsoft 網路之間的路徑。 檢查您 Managed 網路內的任何連線問題,並加以修正。
其他相關資訊
是否仍需要協助? 前往 Microsoft Community。