Problèmes de connectivité SBC

Lorsque vous configurez le routage direct, vous pouvez rencontrer les problèmes de connectivité SBC (Session Border Controller) suivants :

  • Les options SIP (Session Initiation Protocol) ne sont pas reçues.
  • Des problèmes de connexions TLS (Transport Layer Security) se produisent.
  • Le SBC ne répond pas.
  • Le SBC est marqué comme inactif dans le Centre d’administration Microsoft Teams.

Ces problèmes sont probablement dus à l’une ou l’autre des conditions suivantes :

  • Un certificat TLS rencontre des problèmes.
  • Un SBC n’est pas configuré correctement pour le routage direct.

Cet article répertorie certains problèmes courants liés aux options SIP et aux certificats TLS, et fournit des résolutions que vous pouvez essayer.

Vue d’ensemble du processus d’options SIP

  • Le SBC envoie une demande de connexion TLS qui inclut un certificat TLS au nom de domaine complet (FQDN) du serveur proxy SIP (par exemple, sip.pstnhub.microsoft.com).

  • Le proxy SIP vérifie la demande de connexion.

    • Si la demande n’est pas valide, la connexion TLS est fermée et le proxy SIP ne reçoit pas les options SIP du SBC.
    • Si la demande est valide, la connexion TLS est établie et le SBC l’utilise pour envoyer des options SIP au proxy SIP.
  • Une fois qu’il a reçu les options SIP, le proxy SIP vérifie le Record-Route pour déterminer si le nom de domaine complet SBC appartient à un locataire connu. Si les informations de nom de domaine complet ne sont pas détectées, le proxy SIP vérifie l’en-tête contact.

  • Si le nom de domaine complet SBC est détecté et reconnu, le proxy SIP envoie un message 200 OK à l’aide de la même connexion TLS.

  • Le proxy SIP envoie les options SIP au nom de domaine complet SBC qui est répertorié dans l’en-tête Contact des options SIP reçues du SBC.

  • Après avoir reçu les options SIP du proxy SIP, le SBC répond en envoyant un message 200 OK . Cette étape confirme que le SBC est sain.

  • Pour la dernière étape, le SBC est marqué comme actif dans le Centre d’administration Microsoft Teams.

Remarque

Dans un modèle hébergé, les options SIP doivent être envoyées uniquement à partir du SBC hébergé. L’état des SBC qui se trouvent dans un modèle de jonction dérivé est basé sur le SBC principal.

Problèmes d’options SIP

Une fois la connexion TLS établie et que le SBC est en mesure d’envoyer et de recevoir des messages vers et depuis le proxy SIP Teams, il peut toujours y avoir des problèmes qui affectent le format ou le contenu des options SIP.

SBC ne reçoit pas de réponse « 200 OK » du proxy SIP

Cette situation peut se produire si vous utilisez une version antérieure de TLS. Pour appliquer une sécurité plus stricte, activez TLS 1.2.

Assurez-vous que votre certificat SBC n’est pas auto-signé et que vous l’avez obtenu d’une autorité de certification approuvée.

Si vous utilisez la version minimale requise de TLS ou une version ultérieure, et que votre certificat SBC est valide, le problème peut se produire, car le nom de domaine complet est mal configuré dans votre profil SIP et n’est pas reconnu comme appartenant à un locataire. Recherchez les conditions suivantes et corrigez les erreurs détectées :

  • Le nom de domaine complet fourni par le SBC dans l’en-tête Record-Route ou Contact est différent de celui configuré dans Teams.
  • L’en-tête Contact contient une adresse IP au lieu du nom de domaine complet.
  • Le domaine n’est pas entièrement validé. Si vous ajoutez un nom de domaine complet qui n’a pas été validé précédemment, vous devez le valider maintenant.
  • Après avoir inscrit un nom de domaine SBC, vous devez l’activer en ajoutant au moins un utilisateur sous licence E3 ou E5.
SBC reçoit la réponse « 200 OK », mais pas les options SIP

Le SBC reçoit la réponse 200 OK du proxy SIP, mais pas les options SIP qui ont été envoyées à partir du proxy SIP. Si cette erreur se produit, vérifiez que le nom de domaine complet répertorié dans l’en-tête Record-Route ou Contact est correct et qu’il correspond à l’adresse IP correcte.

Une autre cause possible de ce problème peut être les règles de pare-feu qui empêchent le trafic entrant. Assurez-vous que les règles de pare-feu sont configurées pour autoriser les connexions entrantes à partir de toutes les adresses IP de signalisation de proxy SIP.

L’état SBC est inactif par intermittence

Ce problème peut se produire dans les situations suivantes :

  • Le SBC est configuré pour envoyer les options SIP non pas aux noms de domaine complets, mais aux adresses IP spécifiques auxquelles elles se résolvent. Lors d’une maintenance ou d’une panne, ces adresses IP peuvent passer à un autre centre de données. Par conséquent, le SBC envoie des options SIP à un centre de données inactif ou non répondant. Procédez comme suit :

    • Assurez-vous que le SBC est détectable et configuré pour envoyer les options SIP uniquement aux noms de domaine complets.

    • Assurez-vous que tous les appareils de l’itinéraire, tels que les SBC et les pare-feu, sont configurés pour permettre la communication vers et depuis tous les noms de domaine complets de signalisation Microsoft.

    • Pour fournir une option de basculement lorsque la connexion à partir d’un SBC est établie à un centre de données qui rencontre un problème, le SBC doit être configuré pour utiliser les trois noms de domaine complets de proxy SIP :

      • sip.pstnhub.microsoft.com
      • sip2.pstnhub.microsoft.com
      • sip3.pstnhub.microsoft.com

      Remarque

      Les appareils qui prennent en charge les noms DNS peuvent utiliser sip-all.pstnhub.microsoft.com pour résoudre toutes les adresses IP possibles.

    Pour plus d’informations, consultez SIGNAL SIP : FQDNS.

  • Le certificat racine ou intermédiaire installé ne fait pas partie de l’émetteur de chaîne de certificats SBC. Lorsque le SBC démarre l’établissement d’une liaison triple pendant le processus d’authentification, le service Teams ne pourra pas valider la chaîne de certificats sur le SBC et réinitialisera la connexion. Le SBC peut être en mesure de s’authentifier à nouveau dès que le certificat racine public est à nouveau chargé sur le cache de service ou que la chaîne de certificats est fixe sur le SBC. Assurez-vous que le certificat intermédiaire et le certificat racine installés sur le SBC sont corrects.

    Pour plus d’informations sur les certificats, consultez Certificat approuvé public pour le SBC.

Le nom de domaine complet ne correspond pas au contenu de CN ou SAN dans le certificat fourni

Ce problème se produit si un caractère générique ne correspond pas à un sous-domaine de niveau inférieur. Par exemple, le caractère générique \*\.contoso.com correspondrait à sbc1.contoso.com, mais pas à customer10.sbc1.contoso.com. Vous ne pouvez pas avoir plusieurs niveaux de sous-domaines sous un caractère générique. Si le nom de domaine complet ne correspond pas au nom commun (CN) ou à l’autre nom d’objet (SAN) dans le certificat fourni, demandez un nouveau certificat qui correspond à vos noms de domaine.

Pour plus d’informations sur les certificats, consultez le certificat approuvé public pour la section SBC du routage direct du plan.

L’activation de domaine n’est pas inscrite dans l’environnement Microsoft 365

Pour activer entièrement un domaine pour un locataire et le distribuer sur l’environnement Microsoft 365, vous devez affecter au moins un utilisateur sous licence au sous-domaine utilisé par le SBC. Lorsque toutes les conditions sont remplies, l’activation du domaine peut prendre jusqu’à 24 heures.

Pour obtenir la liste des licences requises pour le routage direct, consultez la section « Licences et autres exigences » du routage direct de plan.

Pour plus d’informations sur ce processus, consultez la section Connecter le SBC à la section client de Connecter votre contrôleur de frontière de session (SBC) au routage direct.

Problèmes de connexion TLS

Si la connexion TLS est fermée immédiatement et que les options SIP ne sont pas reçues du SBC, ou si 200 OK n’est pas reçu du SBC, le problème peut être lié à la version TLS. La version TLS configurée sur le SBC doit être 1.2 ou ultérieure.

Le certificat SBC est auto-signé ou non à partir d’une autorité de certification approuvée

Si le certificat SBC est auto-signé, il n’est pas valide. Assurez-vous que le certificat SBC est obtenu auprès d’une autorité de certification approuvée. Le certificat doit contenir au moins un nom de domaine complet qui appartient à un locataire Microsoft 365.

Pour obtenir la liste des autorités de certification prises en charge, consultez le certificat approuvé public pour la section SBC du routage direct du plan.

SBC n’approuve pas le certificat proxy SIP

Si le SBC n’approuve pas le certificat proxy SIP, téléchargez et installez le certificat racine Baltimore CyberTrust sur le SBC. Pour télécharger le certificat, consultez chaînes de chiffrement Microsoft 365.

Pour obtenir la liste des autorités de certification prises en charge, consultez le certificat approuvé public pour la section SBC du routage direct du plan.

Le certificat SBC n’est pas valide

Si le tableau de bord d’intégrité pour le routage direct dans le Centre d’administration Microsoft Teams indique que le certificat SBC a expiré ou a été révoqué, demandez ou renouvelez le certificat auprès d’une autorité de certification approuvée. Ensuite, installez-le sur le SBC. Pour obtenir la liste des autorités de certification prises en charge, consultez le certificat approuvé public pour la section SBC du routage direct du plan.

Lorsque vous renouvelez le certificat SBC, vous devez supprimer les connexions TLS qui ont été établies du SBC à Microsoft avec l’ancien certificat et les rétablir avec le nouveau certificat. Cela garantit que les avertissements d’expiration de certificat ne sont pas déclenchés dans le Centre d’administration Microsoft Teams. Pour supprimer les anciennes connexions TLS, redémarrez le SBC pendant une période avec un trafic faible, tel qu’une fenêtre de maintenance. Si vous ne pouvez pas redémarrer le SBC, contactez le fournisseur pour obtenir des instructions pour forcer la fermeture de toutes les anciennes connexions TLS.

Le certificat SBC ou les certificats intermédiaires sont manquants dans le message SBC TLS « Hello »

Vérifiez qu’un certificat SBC valide et tous les certificats intermédiaires requis sont installés correctement et que les paramètres de connexion TLS sur le SBC sont corrects.

Parfois, même si tout semble correct, un examen plus approfondi de la capture de paquets peut révéler que le certificat TLS n’est pas fourni à l’infrastructure Teams.

La connexion SBC est interrompue

La connexion TLS est interrompue ou n’est pas configurée même si les certificats et les paramètres SBC ne rencontrent aucun problème.

La connexion TLS a peut-être été fermée par l’un des appareils intermédiaires (par exemple, un pare-feu ou un routeur) sur le chemin d’accès entre le SBC et le réseau Microsoft. Recherchez les problèmes de connexion au sein de votre réseau managé et corrigez-les.

Informations supplémentaires

Encore besoin d’aide ? Accédez à Microsoft Community.