Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u Directe routering instelt, kunnen de volgende verbindingsproblemen met SBC (Session Border Controller) optreden:
- Sip-opties (Session Initiation Protocol) worden niet ontvangen.
- Tls-verbindingen (Transport Layer Security) treden op.
- De SBC reageert niet.
- De SBC is gemarkeerd als inactief in het Microsoft Teams-beheercentrum.
Dergelijke problemen worden waarschijnlijk veroorzaakt door een of beide van de volgende voorwaarden:
- Een TLS-certificaat ondervindt problemen.
- Een SBC is niet correct geconfigureerd voor directe routering.
In dit artikel vindt u enkele veelvoorkomende problemen met betrekking tot SIP-opties en TLS-certificaten, en vindt u oplossingen die u kunt proberen.
Overzicht van het SIP-optiesproces
De SBC verzendt een TLS-verbindingsaanvraag die een TLS-certificaat bevat naar de FULLY Qualified Domain Name (FQDN) van de SIP-proxyserver (FQDN) (bijvoorbeeld sip.pstnhub.microsoft.com).
De SIP-proxy controleert de verbindingsaanvraag.
- Als de aanvraag niet geldig is, wordt de TLS-verbinding gesloten en ontvangt de SIP-proxy geen SIP-opties van de SBC.
- Als de aanvraag geldig is, wordt de TLS-verbinding tot stand gebracht en gebruikt de SBC deze om SIP-opties naar de SIP-proxy te verzenden.
Nadat de SIP-opties zijn ontvangen, controleert de SIP-proxy de Record-Route om te bepalen of de SBC FQDN deel uitmaakt van een bekende tenant. Als de FQDN-informatie daar niet wordt gedetecteerd, controleert de SIP-proxy de contactheader.
Als de SBC FQDN wordt gedetecteerd en herkend, verzendt de SIP-proxy een 200 OK-bericht met behulp van dezelfde TLS-verbinding.
De SIP-proxy verzendt SIP-opties naar de SBC FQDN die wordt vermeld in de header Contactpersoon van de SIP-opties die zijn ontvangen van de SBC.
Nadat u SIP-opties van de SIP-proxy hebt ontvangen, reageert de SBC door een 200 OK-bericht te verzenden. Deze stap bevestigt dat de SBC in orde is.
Als laatste stap wordt de SBC gemarkeerd als Actief in het Microsoft Teams-beheercentrum.
Opmerking
In een gehost model moeten SIP-opties alleen worden verzonden vanuit de gehoste SBC. De status van SBC's die zich in een afgeleid trunk-model bevinden, is gebaseerd op de hoofd-SBC.
Problemen met SIP-opties
Nadat de TLS-verbinding tot stand is gebracht en de SBC berichten kan verzenden en ontvangen van en naar de Teams SIP-proxy, zijn er mogelijk nog steeds problemen die van invloed zijn op de indeling of inhoud van SIP-opties.
SBC ontvangt geen '200 OK'-antwoord van SIP-proxy
Deze situatie kan optreden als u een oudere versie van TLS gebruikt. Schakel TLS 1.2 in om strengere beveiliging af te dwingen.
Zorg ervoor dat uw SBC-certificaat niet zelfondertekend is en dat u het van een vertrouwde certificeringsinstantie (CA) hebt gekregen.
Als u de minimaal vereiste versie van TLS of hoger gebruikt en uw SBC-certificaat geldig is, kan het probleem optreden omdat de FQDN onjuist is geconfigureerd in uw SIP-profiel en niet wordt herkend als behorend tot een tenant. Controleer op de volgende voorwaarden en los eventuele fouten op die u vindt:
- De FQDN die wordt geleverd door de SBC in de header Record-Route of Contactpersoon verschilt van wat is geconfigureerd in Teams.
- De header Contactpersoon bevat een IP-adres in plaats van de FQDN.
- Het domein is niet volledig gevalideerd. Als u een FQDN toevoegt die niet eerder is gevalideerd, moet u deze nu valideren.
- Nadat u een SBC-domeinnaam hebt geregistreerd, moet u deze activeren door ten minste één gebruiker met een E3- of E5-licentie toe te voegen.
SBC ontvangt '200 OK'-antwoord, maar geen SIP-opties
De SBC ontvangt het 200 OK-antwoord van de SIP-proxy, maar niet van de SIP-opties die zijn verzonden vanuit de SIP-proxy. Als deze fout optreedt, controleert u of de FQDN die wordt vermeld in de header Record-Route of Contactpersoon juist is en wordt omgezet in het juiste IP-adres.
Een andere mogelijke oorzaak voor dit probleem kan firewallregels zijn die binnenkomend verkeer voorkomen. Zorg ervoor dat firewallregels zijn geconfigureerd om binnenkomende verbindingen van alle IP-adressen voor SIP-proxy-signalering toe te staan.
SBC-status is af en toe inactief
Dit probleem kan optreden in de volgende situaties:
De SBC is geconfigureerd om SIP-opties niet te verzenden naar FQDN's, maar naar de specifieke IP-adressen waarnaar ze worden omgezet. Tijdens onderhoud of storingen kunnen deze IP-adressen veranderen in een ander datacenter. Daarom verzendt de SBC SIP-opties naar een inactief of niet-reagerend datacenter. Ga als volgt te werk:
Zorg ervoor dat de SBC kan worden gedetecteerd en geconfigureerd om SIP-opties alleen naar FQDN's te verzenden.
Zorg ervoor dat alle apparaten in de route, zoals SPC's en firewalls, zijn geconfigureerd om communicatie van en naar alle FQDN's voor Microsoft-signalering toe te staan.
Als u een failoveroptie wilt bieden wanneer de verbinding van een SBC wordt gemaakt met een datacenter dat een probleem ondervindt, moet de SBC worden geconfigureerd voor het gebruik van alle drie de SIP-proxy-FQDN's:
- sip.pstnhub.microsoft.com
- sip2.pstnhub.microsoft.com
- sip3.pstnhub.microsoft.com
Opmerking
Apparaten die DNS-namen ondersteunen, kunnen sip-all.pstnhub.microsoft.com gebruiken om alle mogelijke IP-adressen op te lossen.
Zie SIP-signalering: FQDNS voor meer informatie.
Het geïnstalleerde basis- of tussenliggende certificaat maakt geen deel uit van de verlener van de SBC-certificaatketen. Wanneer de SBC de handshake in drie richtingen start tijdens het verificatieproces, kan de Teams-service de certificaatketen op de SBC niet valideren en wordt de verbinding opnieuw ingesteld. De SBC kan mogelijk opnieuw worden geverifieerd zodra het openbare basiscertificaat opnieuw in de servicecache wordt geladen of de certificaatketen is opgelost op de SBC. Zorg ervoor dat het tussenliggende en basiscertificaat dat op de SBC is geïnstalleerd, juist zijn.
Zie Openbaar vertrouwd certificaat voor de SBC voor meer informatie over certificaten.
FQDN komt niet overeen met de inhoud van CN of SAN in het opgegeven certificaat
Dit probleem treedt op als een jokerteken niet overeenkomt met een subdomein op een lager niveau. Het jokerteken \*\.contoso.com komt bijvoorbeeld overeen met sbc1.contoso.com, maar niet customer10.sbc1.contoso.com. U kunt niet meerdere niveaus van subdomeinen onder een jokerteken hebben. Als de FQDN niet overeenkomt met de algemene naam (CN) of alternatieve onderwerpnaam (SAN) in het opgegeven certificaat, vraagt u een nieuw certificaat aan dat overeenkomt met uw domeinnamen.
Zie de sectie Openbaar vertrouwd certificaat voor de SBC van Directe routering plannen voor meer informatie over certificaten.
Domeinactivering is niet geregistreerd in de Microsoft 365-omgeving
Als u een domein voor een tenant volledig wilt activeren en distribueren via de Microsoft 365-omgeving, moet u ten minste één gelicentieerde gebruiker toewijzen aan het subdomein dat wordt gebruikt door de SBC. Wanneer aan alle vereisten wordt voldaan, kan het tot 24 uur duren voordat het domein is geactiveerd.
Zie de sectie Licentie- en andere vereisten van Plan Direct Routing voor een lijst van licenties die vereist zijn voor directe routering.
Zie de sectie De SBC verbinden met de tenant van Connect your Session Border Controller (SBC) to Direct Routing (SBC) voor meer informatie over dit proces.
TLS-verbindingsproblemen
Als de TLS-verbinding direct wordt gesloten en SIP-opties niet worden ontvangen van de SBC, of als 200 OK niet wordt ontvangen van de SBC, kan het probleem te maken hebben met de TLS-versie. De TLS-versie die is geconfigureerd op de SBC moet 1.2 of hoger zijn.
SBC-certificaat is zelfondertekend of niet van een vertrouwde CA
Als het SBC-certificaat zelfondertekend is, is het niet geldig. Zorg ervoor dat het SBC-certificaat is verkregen van een vertrouwde certificeringsinstantie (CA). Het certificaat moet ten minste één FQDN bevatten die deel uitmaakt van een Microsoft 365-tenant.
Zie de sectie Openbaar vertrouwd certificaat voor de SBC van Directe routering plannen voor een lijst met ondersteunde CA's.
SBC vertrouwt SIP-proxycertificaat niet
Als de SBC het SIP-proxycertificaat niet vertrouwt, downloadt en installeert u het Baltimore CyberTrust-basiscertificaat op de SBC. Zie Microsoft 365-versleutelingsketens om het certificaat te downloaden.
Zie de sectie Openbaar vertrouwd certificaat voor de SBC van Directe routering plannen voor een lijst met ondersteunde CA's.
SBC-certificaat is ongeldig
Als het statusdashboard voor directe routering in het Microsoft Teams-beheercentrum aangeeft dat het SBC-certificaat is verlopen of ingetrokken, vraagt u het certificaat aan of vernieuwt u het certificaat bij een vertrouwde certificeringsinstantie (CA). Installeer deze vervolgens op de SBC. Zie de sectie Openbaar vertrouwd certificaat voor de SBC van Directe routering plannen voor een lijst met ondersteunde CA's.
Wanneer u het SBC-certificaat vernieuwt, moet u de TLS-verbindingen verwijderen die van de SBC naar Microsoft zijn gemaakt met het oude certificaat en deze opnieuw tot stand brengen met het nieuwe certificaat. Als u dit doet, zorgt u ervoor dat waarschuwingen voor het verlopen van certificaten niet worden geactiveerd in het Microsoft Teams-beheercentrum. Als u de oude TLS-verbindingen wilt verwijderen, start u de SBC opnieuw op in een periode met weinig verkeer, zoals een onderhoudsvenster. Als u de SBC niet opnieuw kunt starten, neemt u contact op met de leverancier voor instructies om het sluiten van alle oude TLS-verbindingen af te dwingen.
SBC-certificaat of tussenliggende certificaten ontbreken in het bericht 'Hallo' van SBC TLS
Controleer of een geldig SBC-certificaat en alle vereiste tussenliggende certificaten correct zijn geïnstalleerd en of de TLS-verbindingsinstellingen op de SBC juist zijn.
Soms, zelfs als alles er juist uitziet, kan een nader onderzoek van de pakketopname uitwijzen dat het TLS-certificaat niet wordt verstrekt aan de Teams-infrastructuur.
SBC-verbinding is onderbroken
De TLS-verbinding wordt onderbroken of niet ingesteld, ook al ondervinden de certificaten en SBC-instellingen geen problemen.
De TLS-verbinding is mogelijk gesloten door een van de tussenliggende apparaten (zoals een firewall of router) op het pad tussen de SBC en het Microsoft-netwerk. Controleer op verbindingsproblemen binnen uw beheerde netwerk en los deze op.
Meer informatie
Meer hulp nodig? Ga naar Microsoft Community.