• Article

Processus de connexion des appareils

 

Dernière rubrique modifiée : 2012-06-21

Cette rubrique décrit le processus de connexion des appareils. Il est primordial de bien le comprendre lors du dépannage des appareils car les étapes de ce processus sont reliées à des points de défaillance potentiels que vous pouvez dépanner.

Processus de connexion pour les téléphones IP internes

Le processus de connectivité des téléphones IP internes s’appliquent à tous les téléphones IP. Le processus est différent selon les types d’authentification utilisés par chaque téléphones IP. Seuls les nouveaux téléphones IP (c’est-à-dire le téléphone de partie commune Aastra 6721ip, le téléphone de bureau Aastra 6725ip, le téléphone IP HP 4110 [téléphone de partie commune], le téléphone IP HP 4120 [téléphone de bureau], le téléphone de partie commune IP Polycom CX500, le téléphone de bureau IP Polycom CX600 et le téléphone de conférence IP CX3000) peuvent utiliser une authentification par code confidentiel. Le téléphone de bureau IP Polycom CX700 peut utiliser un certificat ou une authentification NTLM.

98345d35-bee9-40a3-9196-8c9b140e6eac

Le processus démarre lorsque l’appareil tente d’obtenir un ID du réseau local virtuel (VLAN) en essayant le protocole LLDP (Link Layer Discovery Protocol), et dans le cas où ce dernier n’est pas disponible, en utilisant le protocole DHCP (Dynamic Host Configuration Protocol).

noteRemarque :
Si l’appareil ne parvient pas à obtenir un ID du réseau local virtuel, le processus de démarrage se poursuit.

L’appareil utilise ensuite le protocole DHCP pour se procurer une adresse IP, interroge le système DNS (Domain Name System) concernant l’enregistrement SRV pour le SIP Lync Server, puis analyse cet enregistrement pour obtenir le nom de domaine. Le nom du serveur web, ucupdates-r2, est ajouté en tant que préfixe au domaine pour accorder un nom de domaine complet (FQDN) au service web de mise à jour de périphériques. L’appareil interroge alors DNS pour l’enregistrement A du nom de domaine complet (FQDN) du service web de mise à jour de périphériques et interroge ce dernier en termes de mise à jour. Si une mise à jour est disponible, l’appareil l’extrait du magasin du service web de mise à jour de périphériques et l’applique avant de redémarrer. Après le redémarrage, l’appareil interroge le protocole DHCP afin de découvrir l’URL des services web et le nom de domaine complet (FQDN) du Directeur. L’appareil peut également déterminer le nom de domaine complet (FQDN) du Directeur en interrogeant DNS pour l’enregistrement SRV.

Lorsque l’utilisateur se connecte, le processus d’authentification débute. L’appareil télécharge la chaîne émettrice du certificat racine des services Web (si cette dernière n’a pas déjà été obtenue), puis se connecte au serveur Web sur TLS et vérifie le certificat du serveur à l’aide de cette chaîne. Le certificat et la chaîne sont stockés sur l’appareil en vue d’une utilisation ultérieure.

L’appareil procède à l’authentification, en fournissant les informations d’identification suivantes et en utilisant TLS pour les communications :

  • les nouveaux téléphones IP (Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 et Polycom CX3000) fournissent un code confidentiel et un numéro de téléphone ou de poste ;

  • le téléphone IP moins récent (Téléphone de bureau IP Polycom CX700) fournit un nom d’utilisateur, un nom de domaine et un mot de passe.

    noteRemarque :
    Les téléphones Aastra 6725ip, HP 4120, Polycom CX600, Polycom CX700 et Polycom CX3000 permettent également aux utilisateurs de se connecter en raccordant l’appareil à leur ordinateur à l’aide d’un câble USB.

Les services Web vérifient les informations d’identification en contactant le serveur d’inscriptions afin de rechercher l’utilisateur et le pool d’accueil de ce dernier. Si les informations d’identification sont correctes, l’appareil demande un certificat pour l’utilisateur, qui est renvoyé à l’appareil et également publié dans le magasin de l’utilisateur. L’appareil utilise le certificat de l’utilisateur pour authentifier la demande d’ouverture de session ainsi que toutes les communications SIP ultérieures avec le serveur d’inscriptions.

La logique suivante est utilisée pour déterminer quel nom de domaine complet (FQDN) du serveur d’inscriptions est utilisé (c’est-à-dire, celui retourné par DHCP ou celui retourné par DNS). Dans cette logique, chaque enregistrement est essayé jusqu’à ce que l’un d’eux soit le bon. Dans Lync Server, Standard Edition, l’enregistrement est publié automatiquement. Dans un pool frontal, vous devez publier manuellement l’enregistrement. Cet enregistrement A doit pointer sur l’adresse IP virtuelle (VIP) de chaque pool frontal.

  1. DNS SRV interne (TLS)

  2. Adresse DHCP (TLS)

  3. DNS SRV interne (TCP)

  4. Adresse DHCP (TCP)

  5. DNS externe (TLS)

  6. DNS externe (TCP)

Enfin, l’appareil se connecte au serveur d’inscriptions avec une demande REGISTER SIP et authentifie les communications avec le certificat de l’utilisateur. Cette ouverture de session marque le démarrage de toutes les communications SIP.

Processus de connexion pour les téléphones IP externes

Avant qu’un téléphone IP externe ne puisse se connecter, il doit avoir réussi à établir une connexion, en interne. Le processus de connexion pour les appareils qui sont situés en dehors du réseau d’entreprise diffère selon la méthode d’authentification qui a été utilisée pour cette connexion interne.

a916ffc0-2dc1-4921-8793-e4c09dae6a09

L’utilisateur d’un téléphone Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 et Polycom CX3000 doit pouvoir s’authentifier et ouvrir une session sur le serveur d’inscriptions en interne afin d’obtenir le nom de domaine complet (FQDN) du service web de mise à jour des périphériques (fourni par la mise en service de la bande entrante lorsqu’un utilisateur ouvre une session sur Lync Server) ; le certificat de serveur et la chaîne émettrice de certificats des services web ainsi que le certificat de l’utilisateur sont les éléments requis pour une connexion réussie en externe.

L’utilisateur d’un Polycom CX700 doit pouvoir ouvrir une session en interne, pour que l’appareil obtienne le nom de domaine complet (FQDN) externe du service Web de mise à jour des périphériques à partir de la mise en service de la bande entrante. L’appareil ne nécessite aucune authentification de certificat. L’authentification NTLM est suffisante.

Si l’adresse du service Web de mise à jour des périphériques ne peut être obtenue, l’appareil poursuivra le traitement et la tentative d’authentification et d’ouverture de session. Une fois l’ouverture de session réussie, l’appareil connaît le nom de domaine complet (FQDN) du serveur exécutant le service Web de mise à jour des périphériques et peut résoudre ce nom pour effectuer une demande de mise à jour.

Téléphone Polycom CX700 externe qui a utilisé l’authentification NTLM pour ouvrir une session en interne

Un Polycom CX700 externe qui a déjà ouvert une session en interne à l’aide de l’authentification NTLM tente d’abord d’obtenir une adresse IP à l’aide du serveur DHCP (externe) local. L’appareil interroge ensuite DNS, en fournissant la valeur du nom de domaine complet (FQDN) pour identifier l’adresse du serveur exécutant le service Web de mise à jour des périphériques et effectue ensuite une demande de mise à jour. Si une mise à jour est disponible, l’appareil la télécharge, l’installe et redémarre.

Après avoir redémarré, l’appareil obtient une adresse IP et effectue une nouvelle demande de mise à jour au service Web de mise à jour des périphériques. Cette fois, une autre mise à jour ne devrait pas être nécessaire ; ainsi, l’appareil interroge alors DNS concernant le SRV pour le nom de domaine complet (FQDN) du serveur d’inscriptions de l’entreprise. Une fois ce dernier obtenu, l’appareil l’interroge pour l’enregistrement A correspondant.

Alors, l’appareil se connecte et s’authentifie, en utilisant NTLM comme informations d’identification. Le serveur d’inscriptions confirme l’authentification et retourne le pool d’accueil de l’utilisateur et l’URI SIP. L’appareil envoie ensuite une demande REGISTER SIP pour ouvrir une session et le serveur d’inscriptions retourne le nom de domaine complet (FQDN) des services Web dans la réponse ACK.

À ce moment précis, l’appareil se connecte aux services Web et obtient la chaîne de certificats du serveur Web. Une fois cette dernière obtenue, l’appareil effectue alors une tentative d’authentification sur TCP, qui est refusée car les services Web dans l’extranet nécessitent des communications sécurisées, et sur TLS. Les services Web répondent à la requête TLS, en fournissant le certificat du serveur Web comme informations d’identification. En utilisant la chaîne de certificats précédemment téléchargée, l’appareil est en mesure d’authentifier les services Web. Il envoie une requête getAndPublish. Les services Web génèrent un certificat pour l’utilisateur sur l’appareil, le publie dans le magasin de l’utilisateur et le retourne à l’appareil.

À partir de ce moment-là, l’appareil peut utiliser une authentification de certificat (méthode préférée), car il dispose désormais des informations d’identification nécessaires, et il utilise une authentification de certificat pour les demandes de connexion ultérieures.

Téléphones Aastra 6725ip, HP 4120, Polycom CX600 et Polycom CX700 qui ont utilisé l’authentification de certificat pour ouvrir une session en interne

Dans ce cas, au démarrage, l’appareil externe essaie au préalable d’obtenir une adresse IP à l’aide du serveur DHCP (externe) local. Ensuite, l’appareil interroge DNS, en fournissant la valeur du nom de domaine complet (FQDN) qu’il a obtenu à l’aide de la mise en service de la bande entrante, pour se procurer l’adresse du service Web de mise à jour des périphériques, et il effectue alors une demande de mise à jour. Si une mise à jour est disponible, l’appareil la télécharge, l’installe et redémarre.

Après avoir redémarré, l’appareil reprend le processus d’obtention de l’adresse IP, puis envoie une demande d’authentification TLS aux services Web, en fournissant le certificat de l’utilisateur comme informations d’identification. Si les services Web peuvent valider l’utilisateur, la réponse est un succès, et l’appareil envoie une demande REGISTER SIP à l’adresse du serveur d’inscriptions externe, en fournissant le code confidentiel de l’utilisateur et le numéro de téléphone ou de poste comme informations d’identification.

Pour plus d’informations sur l’accès des utilisateurs externes, voir Planification de l’accès des utilisateurs externes dans la documentation de planification.

Processus de démarrage

Une fois qu’un téléphone IP est alimenté et connecté au réseau d’entreprise, le processus de démarrage est le suivant :

tipConseil :
Des problèmes peuvent se produire à chacune de ces étapes, et ils peuvent être différents selon si l’appareil est à l’intérieur ou à l’extérieur du pare-feu de l’organisation et selon si le téléphone IP est un ancien ou nouveau modèle. Pour plus d’informations sur les problèmes susceptibles de se produire pendant ce processus, voir les rubriques suivantes.

  1. Recherche de l’ID VLAN

  2. Obtenir une adresse IP

  3. Rechercher le service Web de mise à jour des périphériques

  4. Rechercher des mises à jour

  5. Obtenir le nom de domaine complet du serveur d’inscriptions et l’URL des services Web

  6. Connexion au service Web et téléchargement de la chaîne de certificats de l’autorité de certification racine

  7. Processus d’authentification

  8. Recevoir et publier le certificat

  9. Se connecter à Lync Server