Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si configura l'instradamento diretto, è possibile che si verifichino i problemi di connettività SBC (Session Border Controller) seguenti:
- Le opzioni SIP (Session Initiation Protocol) non vengono ricevute.
- Si verificano problemi di connessioni TLS (Transport Layer Security).
- SBC non risponde.
- L'SBC è contrassegnato come inattivo nell'interfaccia di amministrazione di Microsoft Teams.
Tali problemi sono probabilmente causati da una o entrambe le condizioni seguenti:
- Un certificato TLS presenta problemi.
- Un SBC non è configurato correttamente per l'instradamento diretto.
Questo articolo elenca alcuni problemi comuni relativi alle opzioni SIP e ai certificati TLS e fornisce soluzioni che è possibile provare.
Panoramica del processo delle opzioni SIP
SBC invia una richiesta di connessione TLS che include un certificato TLS al server proxy SIP Nome di dominio completo (FQDN) (ad esempio, sip.pstnhub.microsoft.com).
Il proxy SIP controlla la richiesta di connessione.
- Se la richiesta non è valida, la connessione TLS viene chiusa e il proxy SIP non riceve le opzioni SIP da SBC.
- Se la richiesta è valida, viene stabilita la connessione TLS e la SBC la usa per inviare le opzioni SIP al proxy SIP.
Dopo aver ricevuto le opzioni SIP, il proxy SIP controlla il Record-Route per determinare se l'FQDN SBC appartiene a un tenant noto. Se le informazioni sul nome di dominio completo non vengono rilevate, il proxy SIP controlla l'intestazione Contatto.
Se viene rilevato e riconosciuto l'FQDN SBC, il proxy SIP invia un messaggio 200 OK usando la stessa connessione TLS.
Il proxy SIP invia le opzioni SIP all'FQDN SBC elencato nell'intestazione Contatto delle opzioni SIP ricevute da SBC.
Dopo aver ricevuto le opzioni SIP dal proxy SIP, SBC risponde inviando un messaggio 200 OK . Questo passaggio conferma che il SBC è integro.
Come passaggio finale, il certificato SBC è contrassegnato come Attivo nell'interfaccia di amministrazione di Microsoft Teams.
Nota
In un modello ospitato, le opzioni SIP devono essere inviate solo dall'SBC ospitato. Lo stato degli SBC che si trovano in un modello trunk derivato è basato sull'SBC principale.
Problemi relativi alle opzioni SIP
Dopo che la connessione TLS è stata stabilita correttamente e lo SBC è in grado di inviare e ricevere messaggi da e verso il proxy SIP di Teams, potrebbero ancora verificarsi problemi che influiscono sul formato o sul contenuto delle opzioni SIP.
SBC non riceve una risposta "200 OK" dal proxy SIP
Questa situazione può verificarsi se si usa una versione precedente di TLS. Per applicare una sicurezza più rigorosa, abilitare TLS 1.2.
Assicurarsi che il certificato SBC non sia autofirmto e che sia stato ottenuto da un'autorità di certificazione (CA) attendibile.
Se si usa la versione minima richiesta di TLS o versione successiva e il certificato SBC è valido, il problema potrebbe verificarsi perché il nome di dominio completo non è configurato correttamente nel profilo SIP e non è riconosciuto come appartenente a un tenant. Verificare le condizioni seguenti e correggere eventuali errori rilevati:
- Il nome di dominio completo fornito da SBC nell'intestazione Record-Route o Contatto è diverso da quello configurato in Teams.
- L'intestazione Contact contiene un indirizzo IP anziché il nome di dominio completo.
- Il dominio non è completamente convalidato. Se si aggiunge un FQDN non convalidato in precedenza, è necessario convalidarlo ora.
- Dopo aver registrato un nome di dominio SBC, è necessario attivarlo aggiungendo almeno un utente con licenza E3 o E5.
SBC riceve la risposta "200 OK", ma non le opzioni SIP
L'SBC riceve la risposta 200 OK dal proxy SIP, ma non le opzioni SIP inviate dal proxy SIP. Se si verifica questo errore, verificare che il nome di dominio completo elencato nell'intestazione Record-Route o Contatto sia corretto e che venga risolto nell'indirizzo IP corretto.
Un'altra possibile causa di questo problema potrebbero essere le regole del firewall che impediscono il traffico in ingresso. Assicurarsi che le regole del firewall siano configurate per consentire le connessioni in ingresso da tutti gli indirizzi IP di segnalazione proxy SIP.
Lo stato SBC è intermittentemente inattivo
Questo problema può verificarsi nelle situazioni seguenti:
L'SBC è configurato per inviare le opzioni SIP non ai nomi FQDN, ma agli indirizzi IP specifici in cui vengono risolti. Durante la manutenzione o le interruzioni, questi indirizzi IP potrebbero passare a un data center diverso. Pertanto, SBC invierà opzioni SIP a un data center inattivo o non reattivo. Eseguire le operazioni seguenti:
Assicurarsi che SBC sia individuabile e configurato per inviare le opzioni SIP solo ai nomi FQDN.
Assicurarsi che tutti i dispositivi nella route, ad esempio SBC e firewall, siano configurati per consentire la comunicazione da e verso tutti gli FQDN con segnalazione Microsoft.
Per fornire un'opzione di failover quando viene stabilita la connessione da un SBC a un data center che sta riscontrando un problema, è necessario configurare SBC in modo da usare tutti e tre i nomi FQDN proxy SIP:
- sip.pstnhub.microsoft.com
- sip2.pstnhub.microsoft.com
- sip3.pstnhub.microsoft.com
Nota
I dispositivi che supportano i nomi DNS possono usare sip-all.pstnhub.microsoft.com per risolvere tutti gli indirizzi IP possibili.
Per altre informazioni, vedere SEGNALAZIONE SIP: FQDNS.
Il certificato radice o intermedio installato non fa parte dell'autorità di certificazione della catena di certificati SBC. Quando il SBC avvia l'handshake a tre vie durante il processo di autenticazione, il servizio Teams non sarà in grado di convalidare la catena di certificati nel SBC e reimpostare la connessione. Il certificato SBC potrebbe essere in grado di eseguire di nuovo l'autenticazione non appena il certificato radice pubblico viene caricato di nuovo nella cache del servizio o la catena di certificati è fissa nel certificato SBC. Assicurarsi che il certificato intermedio e radice installato nel certificato SBC sia corretto.
Per altre informazioni sui certificati, vedere Certificato attendibile pubblico per SBC.
L'FQDN non corrisponde al contenuto di CN o SAN nel certificato fornito
Questo problema si verifica se un carattere jolly non corrisponde a un sottodominio di livello inferiore. Ad esempio, il carattere jolly \*\.contoso.com corrisponde sbc1.contoso.com, ma non customer10.sbc1.contoso.com. Non è possibile avere più livelli di sottodomini con un carattere jolly. Se il nome di dominio completo non corrisponde al nome comune (CN) o al nome alternativo soggetto (SAN) nel certificato specificato, richiedere un nuovo certificato corrispondente ai nomi di dominio.
Per altre informazioni sui certificati, vedere la sezione Certificato attendibile pubblico per la sezione SBC di Plan Direct Routing.For more information about certificates, see the Public trusted certificate for the SBC section of Plan Direct Routing.For more information about certificates, see the Public trusted certificate for the SBC section of Plan Direct Routing.
L'attivazione del dominio non è registrata nell'ambiente Microsoft 365
Per attivare completamente un dominio per un tenant e distribuirlo nell'ambiente Microsoft 365, è necessario assegnare almeno un utente con licenza al sottodominio usato da SBC. Quando vengono soddisfatti tutti i requisiti, l'attivazione del dominio può richiedere fino a 24 ore.
Per un elenco delle licenze necessarie per l'instradamento diretto, vedere la sezione "Licenze e altri requisiti" di Plan Direct Routing.For a list of the license that are required for Direct Routing, see the "Licensing and other requirements" section of Plan Direct Routing.
Per altre informazioni su questo processo, vedere la sezione Connect the SBC to the tenant di Connect your Session Border Controller (SBC) to Direct Routing .For more information about this process, see the Connect the SBC to the tenantsection of Connect your Session Border Controller (SBC) to Direct Routing.For more information about this process, see the Connect the SBC to the tenant section of Connect your Session Border Controller (SBC) to Direct Routing.
Problemi di connessione TLS
Se la connessione TLS viene chiusa immediatamente e le opzioni SIP non vengono ricevute da SBC o se non viene ricevuto 200 OK da SBC, il problema potrebbe riguardare la versione di TLS. La versione TLS configurata in SBC deve essere 1.2 o successiva.
Il certificato SBC è autofirma o meno da una CA attendibile
Se il certificato SBC è autofirma, non è valido. Assicurarsi che il certificato SBC sia ottenuto da un'autorità di certificazione (CA) attendibile. Il certificato deve contenere almeno un fqdn appartenente a un tenant di Microsoft 365.
Per un elenco delle CA supportate, vedere la sezione Certificato attendibile pubblico per la sezione SBC di Plan Direct Routing .For a list of supported CA, see the Public trusted certificate for the SBC section of Plan Direct Routing.
SBC non considera attendibile il certificato proxy SIP
Se SBC non considera attendibile il certificato proxy SIP, scaricare e installare il certificato radice Baltimore CyberTrust nel certificato SBC. Per scaricare il certificato, vedere Catene di crittografia di Microsoft 365.
Per un elenco delle CA supportate, vedere la sezione Certificato attendibile pubblico per la sezione SBC di Plan Direct Routing .For a list of supported CA, see the Public trusted certificate for the SBC section of Plan Direct Routing.
Certificato SBC non valido
Se il dashboard di integrità per il routing diretto nell'interfaccia di amministrazione di Microsoft Teams indica che il certificato SBC è scaduto o revocato, richiedere o rinnovare il certificato da un'autorità di certificazione attendibile. Quindi, installarlo nel SBC. Per un elenco delle CA supportate, vedere la sezione Certificato attendibile pubblico per la sezione SBC di Plan Direct Routing .For a list of supported CA, see the Public trusted certificate for the SBC section of Plan Direct Routing.
Quando si rinnova il certificato SBC, è necessario rimuovere le connessioni TLS stabilite da SBC a Microsoft con il certificato precedente e ristabilire con il nuovo certificato. In questo modo, gli avvisi di scadenza del certificato non vengono attivati nell'interfaccia di amministrazione di Microsoft Teams. Per rimuovere le connessioni TLS precedenti, riavviare SBC durante un intervallo di tempo con traffico ridotto, ad esempio una finestra di manutenzione. Se non è possibile riavviare SBC, contattare il fornitore per istruzioni per forzare la chiusura di tutte le connessioni TLS precedenti.
Certificato SBC o certificati intermedi mancanti nel messaggio SBC TLS "Hello"
Verificare che un certificato SBC valido e tutti i certificati intermedi necessari siano installati correttamente e che le impostazioni di connessione TLS nel certificato SBC siano corrette.
A volte, anche se tutto sembra corretto, un esame più approfondito dell'acquisizione di pacchetti potrebbe rivelare che il certificato TLS non viene fornito all'infrastruttura di Teams.
La connessione SBC viene interrotta
La connessione TLS viene interrotta o non configurata anche se i certificati e le impostazioni SBC non riscontrano problemi.
La connessione TLS potrebbe essere stata chiusa da uno dei dispositivi intermedi (ad esempio un firewall o un router) nel percorso tra SBC e la rete Microsoft. Verificare la presenza di eventuali problemi di connessione all'interno della rete gestita e correggerli.
Ulteriori informazioni
Ulteriore assistenza Visitare la community Microsoft.