Udostępnij za pośrednictwem

Problemy z łącznością SBC

  • Dotyczy: Microsoft Teams

Podczas konfigurowania routingu bezpośredniego mogą wystąpić następujące problemy z łącznością z kontrolerem obramowania sesji (SBC):

  • Opcje protokołu SIP (Session Initiation Protocol) nie są odbierane.
  • Występują problemy z połączeniami usługi Transport Layer Security (TLS).
  • SBC nie odpowiada.
  • Protokół SBC jest oznaczony jako nieaktywny w centrum administracyjnym usługi Microsoft Teams.

Takie problemy są najprawdopodobniej spowodowane przez jeden lub oba z następujących warunków:

  • Certyfikat protokołu TLS napotyka problemy.
  • Usługa SBC nie jest poprawnie skonfigurowana na potrzeby routingu bezpośredniego.

W tym artykule wymieniono niektóre typowe problemy związane z opcjami SIP i certyfikatami protokołu TLS oraz przedstawiono rozwiązania, które można wypróbować.

Omówienie procesu opcji SIP

  • SBC wysyła żądanie połączenia protokołu TLS, które zawiera certyfikat protokołu TLS do serwera proxy SIP w pełni kwalifikowana nazwa domeny (FQDN) (na przykład sip.pstnhub.microsoft.com).

  • Serwer proxy SIP sprawdza żądanie połączenia.

    • Jeśli żądanie jest nieprawidłowe, połączenie protokołu TLS jest zamknięte, a serwer proxy SIP nie odbiera opcji SIP z protokołu SBC.
    • Jeśli żądanie jest prawidłowe, nawiązywane jest połączenie protokołu TLS, a protokół SBC używa go do wysyłania opcji SIP do serwera proxy SIP.

  • Po otrzymaniu opcji SIP serwer proxy SIP sprawdza Record-Route, aby ustalić, czy nazwa FQDN SBC należy do znanej dzierżawy. Jeśli nie wykryto tam informacji O FQDN, serwer proxy SIP sprawdza nagłówek Kontakt.

  • Jeśli nazwa FQDN SBC zostanie wykryta i rozpoznana, serwer proxy SIP wyśle komunikat 200 OK przy użyciu tego samego połączenia TLS.

  • Serwer proxy SIP wysyła opcje SIP do nazwy SBC FQDN, która znajduje się w nagłówku Kontakt opcji SIP odebranych z protokołu SBC.

  • Po otrzymaniu opcji SIP z serwera proxy SIP, SBC odpowiada wysyłając komunikat 200 OK . Ten krok potwierdza, że protokół SBC jest w dobrej kondycji.

  • W ostatnim kroku SBC jest oznaczony jako Aktywny w centrum administracyjnym usługi Microsoft Teams.

Uwaga

W modelu hostowanym opcje SIP powinny być wysyłane tylko z hostowanego protokołu SBC. Stan kontrolerów SBC, które znajdują się w pochodnym modelu magistrali, jest oparty na głównym modelu SBC.

Problemy z opcjami SIP

Po pomyślnym nawiązaniu połączenia protokołu TLS i możliwości wysyłania i odbierania komunikatów do i z serwera proxy usługi Teams SIP mogą nadal występować problemy wpływające na format lub zawartość opcji SIP.

SBC nie otrzymuje odpowiedzi "200 OK" z serwera proxy SIP

Taka sytuacja może wystąpić, jeśli używasz starszej wersji protokołu TLS. Aby wymusić bardziej rygorystyczne zabezpieczenia, włącz protokół TLS 1.2.

Upewnij się, że certyfikat SBC nie ma podpisu własnego i że został on uzyskany od zaufanego urzędu certyfikacji.

Jeśli używasz minimalnej wymaganej wersji protokołu TLS lub nowszej, a certyfikat SBC jest prawidłowy, problem może wystąpić, ponieważ nazwa FQDN jest błędnie skonfigurowana w profilu SIP i nie jest rozpoznawana jako należąca do żadnej dzierżawy. Sprawdź następujące warunki i napraw wszelkie błędy, które znajdziesz:

  • Nazwa FQDN udostępniana przez usługę SBC w nagłówku Record-Route lub Kontakt różni się od nazwy skonfigurowanej w usłudze Teams.
  • Nagłówek Kontakt zawiera adres IP zamiast nazwy FQDN.
  • Domena nie jest w pełni zweryfikowana. Jeśli dodasz nazwę FQDN, która nie została wcześniej zweryfikowana, musisz ją teraz zweryfikować.
  • Po zarejestrowaniu nazwy domeny SBC należy ją aktywować, dodając co najmniej jednego użytkownika z licencją E3 lub E5.
SBC odbiera odpowiedź "200 OK", ale nie opcje SIP

SBC odbiera odpowiedź 200 OK z serwera proxy SIP, ale nie opcje SIP, które zostały wysłane z serwera proxy SIP. Jeśli wystąpi ten błąd, upewnij się, że nazwa FQDN wymieniona w nagłówku Record-Route lub Kontakt jest poprawna i rozpoznawana jako prawidłowy adres IP.

Inną możliwą przyczyną tego problemu mogą być reguły zapory, które uniemożliwiają ruch przychodzący. Upewnij się, że reguły zapory są skonfigurowane tak, aby zezwalały na połączenia przychodzące ze wszystkich adresów IP sygnalizacji serwera proxy SIP.

Stan SBC jest sporadycznie nieaktywny

Ten problem może wystąpić w następujących sytuacjach:

  • SBC jest skonfigurowany do wysyłania opcji SIP nie do nazw FQDN, ale do określonych adresów IP, które rozpoznają. Podczas konserwacji lub awarii te adresy IP mogą ulec zmianie w innym centrum danych. W związku z tym SBC będzie wysyłać opcje SIP do nieaktywnego lub nieodpowiadanego centrum danych. Wykonaj następujące czynności:

    • Upewnij się, że protokół SBC jest wykrywalny i skonfigurowany do wysyłania opcji SIP tylko do nazw FQDN.

    • Upewnij się, że wszystkie urządzenia na trasie, takie jak kontrolery SFC i zapory, są skonfigurowane tak, aby zezwalały na komunikację ze wszystkimi nazwami FQDN sygnalizującymi przez firmę Microsoft.

    • Aby zapewnić opcję trybu failover, gdy połączenie z protokołu SBC jest nawiązywane z centrum danych, w którym występuje problem, należy skonfigurować protokół SBC do używania wszystkich trzech nazw FQDN serwera proxy SIP:

      • sip.pstnhub.microsoft.com
      • sip2.pstnhub.microsoft.com
      • sip3.pstnhub.microsoft.com

      Uwaga

      Urządzenia obsługujące nazwy DNS mogą używać sip-all.pstnhub.microsoft.com do rozpoznawania wszystkich możliwych adresów IP.

    Aby uzyskać więcej informacji, zobacz SIP Signaling: FQDNS (SIP Signaling: FQDNS).

  • Zainstalowany certyfikat główny lub pośredni nie jest częścią wystawcy łańcucha certyfikatów SBC. Po rozpoczęciu uzgadniania trójstopniowego podczas procesu uwierzytelniania usługa Teams nie będzie mogła zweryfikować łańcucha certyfikatów w usłudze SBC i zresetuje połączenie. Usługa SBC może być w stanie uwierzytelnić się ponownie, gdy tylko publiczny certyfikat główny zostanie ponownie załadowany do pamięci podręcznej usługi lub łańcuch certyfikatów zostanie naprawiony na serwerze SBC. Upewnij się, że certyfikat pośredni i główny zainstalowany na serwerze SBC są poprawne.

    Aby uzyskać więcej informacji na temat certyfikatów, zobacz Publiczny zaufany certyfikat dla protokołu SBC.

Nazwa FQDN nie jest zgodna z zawartością nazwy CN lub SAN w podanym certyfikacie

Ten problem występuje, jeśli symbol wieloznaczny nie jest zgodny z poddomeną niższego poziomu. Na przykład symbol wieloznaczny \*\.contoso.com będzie zgodny z sbc1.contoso.com, ale nie customer10.sbc1.contoso.com. Nie można mieć wielu poziomów poddomen w obszarze symbolu wieloznacznego. Jeśli nazwa FQDN nie jest zgodna z nazwą pospolitą (CN) lub alternatywną nazwą podmiotu (SAN) w podanym certyfikacie, zażądaj nowego certyfikatu zgodnego z nazwami domen.

Aby uzyskać więcej informacji na temat certyfikatów, zobacz sekcję Publiczny zaufany certyfikat dla usługi SBC w sekcji Planowanie routingu bezpośredniego.

Aktywacja domeny nie jest zarejestrowana w środowisku platformy Microsoft 365

Aby w pełni aktywować domenę dla dzierżawy i rozpowszechnić ją w środowisku platformy Microsoft 365, musisz przypisać co najmniej jednego licencjonowanego użytkownika do poddomeny używanej przez usługę SBC. Po spełnieniu wszystkich wymagań aktywowanie domeny może potrwać do 24 godzin.

Aby uzyskać listę licencji wymaganych do routingu bezpośredniego, zobacz sekcję "Licencjonowanie i inne wymagania" w temacie Planowanie routingu bezpośredniego.

Aby uzyskać więcej informacji na temat tego procesu, zobacz sekcję Łączenie protokołu SBC z dzierżawą w sekcji Łączenie kontrolera obramowania sesji (SBC) z routingiem bezpośrednim.

Problemy z połączeniem protokołu TLS

Jeśli połączenie TLS zostanie zamknięte od razu, a opcje SIP nie zostaną odebrane z protokołu SBC lub jeśli 200 OK nie zostanie odebrane z protokołu SBC, problem może dotyczyć wersji protokołu TLS. Wersja protokołu TLS skonfigurowana na serwerze SBC powinna mieć wartość 1.2 lub nowszą.

Certyfikat SBC jest podpisany samodzielnie lub nie z zaufanego urzędu certyfikacji

Jeśli certyfikat SBC jest z podpisem własnym, jest nieprawidłowy. Upewnij się, że certyfikat SBC jest uzyskiwany z zaufanego urzędu certyfikacji. Certyfikat musi zawierać co najmniej jedną nazwę FQDN należącą do dzierżawy platformy Microsoft 365.

Aby uzyskać listę obsługiwanych urzędów certyfikacji, zobacz sekcję Publiczny zaufany certyfikat dla usługi SBC w sekcji Planowanie routingu bezpośredniego.

Protokół SBC nie ufa certyfikatowi serwera proxy SIP

Jeśli serwer SBC nie ufa certyfikatowi serwera proxy SIP, pobierz i zainstaluj certyfikat główny Baltimore CyberTrust na serwerze SBC. Aby pobrać certyfikat, zobacz Łańcuchy szyfrowania platformy Microsoft 365.

Aby uzyskać listę obsługiwanych urzędów certyfikacji, zobacz sekcję Publiczny zaufany certyfikat dla usługi SBC w sekcji Planowanie routingu bezpośredniego.

Certyfikat SBC jest nieprawidłowy

Jeśli pulpit nawigacyjny kondycji dla routingu bezpośredniego w centrum administracyjnym usługi Microsoft Teams wskazuje, że certyfikat SBC wygasł lub został odwołany, zażądaj lub odnów certyfikat od zaufanego urzędu certyfikacji. Następnie zainstaluj go na serwerze SBC. Aby uzyskać listę obsługiwanych urzędów certyfikacji, zobacz sekcję Publiczny zaufany certyfikat dla usługi SBC w sekcji Planowanie routingu bezpośredniego.

Po odnowieniu certyfikatu SBC należy usunąć połączenia TLS ustanowione z protokołu SBC do firmy Microsoft przy użyciu starego certyfikatu i ponownie ustanowić je przy użyciu nowego certyfikatu. Zapewni to, że ostrzeżenia dotyczące wygaśnięcia certyfikatu nie zostaną wyzwolone w centrum administracyjnym usługi Microsoft Teams. Aby usunąć stare połączenia TLS, uruchom ponownie protokół SBC w okresie, który ma niski ruch, taki jak okno obsługi. Jeśli nie możesz ponownie uruchomić protokołu SBC, skontaktuj się z dostawcą, aby uzyskać instrukcje dotyczące wymuszenia zamknięcia wszystkich starych połączeń protokołu TLS.

Brak certyfikatu SBC lub certyfikatów pośredniczących w komunikacie "Hello" protokołu SBC TLS

Sprawdź, czy prawidłowy certyfikat SBC i wszystkie wymagane certyfikaty pośrednie są zainstalowane poprawnie i czy ustawienia połączenia protokołu TLS w usłudze SBC są poprawne.

Czasami nawet jeśli wszystko wygląda poprawnie, dokładniejsze zbadanie przechwytywania pakietów może ujawnić, że certyfikat TLS nie jest dostarczany do infrastruktury usługi Teams.

Połączenie SBC zostało przerwane

Połączenie protokołu TLS zostało przerwane lub nie zostało skonfigurowane, mimo że nie występują żadne problemy z certyfikatami i ustawieniami SBC.

Połączenie TLS mogło zostać zamknięte przez jedno z urządzeń pośredniczących (na przykład zaporę lub router) na ścieżce między siecią SBC a siecią firmy Microsoft. Sprawdź, czy występują problemy z połączeniem w sieci zarządzanej, i rozwiąż je.

Więcej informacji

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.