Testen der Lync-Clientauthentifizierung in Lync Server 2013
Letzte Änderung: 05.06.2014
Überprüfungszeitplan |
Täglich |
Testtool |
Windows PowerShell |
Erforderliche Berechtigungen |
Bei der lokalen Ausführung mithilfe der Lync Server-Verwaltungsshell müssen Benutzer Mitglieder der Sicherheitsgruppe RTCUniversalServerAdmins sein. Wenn sie mit einer Remoteinstanz von Windows PowerShell ausgeführt werden, müssen Benutzern eine RBAC-Rolle zugewiesen werden, die über die Berechtigung zum Ausführen des Test-CsClientAuth-Cmdlets verfügt. Um eine Liste aller RBAC-Rollen anzuzeigen, die dieses Cmdlet verwenden können, führen Sie den folgenden Befehl an der Windows PowerShell Eingabeaufforderung aus: |
Beschreibung
Mit dem cmdlet Test-CsClientAuth können Sie ermitteln, ob sich ein Benutzer mithilfe eines Clientzertifikats beim Lync-Server anmelden kann. Sie können das cmdlet Test-CsClientAuth ausführen. Nach dem Aufrufen von Test-CsClientAuth kontaktiert das Cmdlet den Zertifikatbereitstellungsdienst und lädt eine Kopie aller Clientzertifikate für den angegebenen Benutzer herunter. Wenn ein Clientzertifikat gefunden und heruntergeladen werden kann, versucht Test-CsClientAuth, sich mit diesem Zertifikat anzumelden. Wenn die Anmeldung erfolgreich ist, melden sich Test-CsClientAuth ab und melden, dass der Test erfolgreich war. Wenn ein Zertifikat nicht gefunden oder heruntergeladen werden kann oder das Cmdlet sich nicht mit diesem Zertifikat anmelden kann, meldet Test-CsClientAuth, dass der Test fehlgeschlagen ist.
Ausführen des Tests
Das cmdlet Test-CsClientAuth wird mithilfe des Kontos eines benutzers ausgeführt, der für Lync Server aktiviert ist. Um diese Überprüfung mit einem tatsächlichen Benutzerkonto auszuführen, müssen Sie zuerst ein Windows PowerShell Anmeldeinformationenobjekt erstellen, das den Kontonamen und das Kennwort enthält. Anschließend müssen Sie das Anmeldeinformationenobjekt und die dem Konto zugewiesene SIP-Adresse einschließen, wenn das System Test-CsClientAuth aufruft:
$credential = Get-Credential "litwareinc\kenmyer"
Test-CsClientAuth -TargetFqdn "atl-cs-001.litwareinc.com"-UserSipAddress "sip:kenmyer@litwareinc.com" -UserCredential $credential
Weitere Informationen finden Sie in der Hilfedokumentation für das Cmdlet Test-CsClientAuth .
Bestimmen von Erfolg oder Fehler
Wenn sich der angegebene Benutzer mithilfe eines Clientzertifikats bei Lync Server anmelden kann, erhalten Sie eine Ähnliche Ausgabe wie die folgende, wobei die Ergebniseigenschaft als Erfolgreich gekennzeichnet ist :
TargetFqdn: atl-cs-001.litwareinc.com
Ergebnis: Erfolg
Latenz: 00:00:06.8630376
Fehler:
Diagnose:
Wenn sich der angegebene Benutzer nicht anmelden kann, wird das Ergebnis als Fehler angezeigt, und zusätzliche Informationen werden in den Eigenschaften "Fehler" und "Diagnose" aufgezeichnet:
TargetFqdn: atl-cs-001.litwareinc.com
Ergebnis: Fehler
Latenz: 00:00:03.3645259
Fehler: Ein CS-Zertifikat für den angegebenen Benutzer konnte nicht heruntergeladen werden. Überprüfen, ob
bereitgestellte URIs und Anmeldeinformationen sind richtig.
Diagnose:
In der vorherigen Ausgabe wird beispielsweise angegeben, dass der Test fehlgeschlagen ist, da für den angegebenen Benutzer kein gültiges Clientzertifikat gefunden werden konnte. Sie können eine Liste der Clientzertifikate zurückgeben, die einem Benutzer ausgestellt wurden, indem Sie einen Befehl wie folgt ausführen:
Get-CsClientCertificate -Identity "sip:kenmyer@litwareinc.com"
Wenn Test-CsClientAuth fehlschlägt, sollten Sie den Test erneut ausführen, dieses Mal einschließlich des Ausführlichen Parameters:
$credential = Get-Credential "litwareinc\kenmyer"
Test-CsClientAuth -TargetFqdn "atl-cs-001.litwareinc.com"-UserSipAddress "sip:kenmyer@litwareinc.com" -UserCredential $credential -Verbose
Wenn der Parameter "Verbose" enthalten ist, gibt Test-CsClientAuth schrittweise ein Konto für jede Aktion zurück, die versucht wurde, als die Fähigkeit des angegebenen Benutzers überprüft wurde, sich bei Lync Server anzumelden. Zum Beispiel:
Versuch, ein CS-Zertifikat für Benutzer herunterzuladen: kenmyer@litwareinc.com Endpunkt: STEpid
Webdienst-URL: https://atl-cs-001.litwareinc.com:443/CertProv/CertprovisioningService.svc
Ein CS-Zertifikat konnte nicht vom Webdienst heruntergeladen werden.
PRÜFEN:
- Die Webdienst-URL ist gültig, und die Webdienste sind funktionsfähig.
– Wenn Sie "PhoneNo\\Pin" zur Authentifizierung verwenden, stellen Sie sicher, dass sie mit dem Benutzer-URI übereinstimmen.
– Wenn Sie NTLM\Kerberos-Authentifizierung verwenden, stellen Sie sicher, dass Sie gültige Anmeldeinformationen angegeben haben.
Gründe, warum der Test möglicherweise fehlgeschlagen ist
Hier sind einige häufige Gründe, warum Test-CsClientAuth möglicherweise fehlschlägt:
Sie haben ein ungültiges Benutzerkonto angegeben. Sie können überprüfen, ob ein Benutzerkonto vorhanden ist, indem Sie einen Befehl wie den folgenden ausführen:
Get-CsUser "sip:kenmyer@litwareinc.com"Das Benutzerkonto ist gültig, aber das Konto ist derzeit nicht für Lync Server aktiviert. Führen Sie einen Befehl wie den folgenden aus, um zu überprüfen, ob ein Benutzerkonto für Lync Server aktiviert ist:
Get-CsUser "sip:kenmyer@litwareinc.com" | Select-Object EnabledWenn die Enabled-Eigenschaft auf "False" festgelegt ist, bedeutet dies, dass der Benutzer derzeit nicht für Lync Server aktiviert ist.
Der Testbenutzer verfügt möglicherweise nicht über ein gültiges Clientzertifikat. Sie können Informationen zu den Clientzertifikaten zurückgeben, die einem Benutzer zugewiesen sind, indem Sie einen Befehl wie den folgenden verwenden:
Get-CsClientCertificate -Identity "sip:kenmyer@litwareinc.com"