Verbindungsherstellung für Geräte

Lync Server 2010
 

Letztes Änderungsdatum des Themas: 2012-06-21

In diesem Thema wird der Geräteverbindungsprozess beschrieben. Bei der Problembehandlung von Geräten müssen Sie mit diesem Prozess unbedingt vertraut sein, da diese Schritte Fehler zur Folge haben können, für die Sie eine Problembehandlung vornehmen können.

Der Verbindungsprozess für interne IP-Telefone gilt für alle IP-Telefone und unterscheidet sich lediglich bezüglich des jeweils verwendeten Authentifizierungstyps. Nur für die neuen IP-Telefone (d. h, das Aastra 6721ip-Telefon in öffentlichen Bereichen, das Aastra 6725ip-Tischtelefon, das HP 4110-IP-Telefon [in öffentlichen Bereichen], das HP 4120-IP-Telefon [Tischtelefon], das Polycom CX500-IP-Telefon in öffentlichen Bereichen, das Polycom CX600-IP-Tischtelefon und das Polycom CX3000-IP-Konferenztelefon) kann die Authentifizierung über eine persönliche Identifikationsnummer (PIN) verwendet werden. Für das Polycom CX700-IP-Tischtelefon kann die Zertifikatauthentifizierung oder NTLM-Authentifizierung verwendet werden.

98345d35-bee9-40a3-9196-8c9b140e6eac

Der Prozess beginnt mit dem Versuch des Geräts, eine VLAN-ID (Virtual Local Area Network, virtuelles lokales Netzwerk) abzurufen, und zwar zuerst mit LLDP (Link Layer Discovery-Protokoll). Sollte dieses Protokoll nicht verfügbar sein, wird auf DHCP (Dynamic Host Configuration-Protokoll) zurückgegriffen.

noteHinweis:
Falls das Gerät keine VLAN-ID abrufen kann, wird der Bootstrappingprozess fortgesetzt.

Anschließend fordert das Gerät mithilfe von DHCP eine IP-Adresse an, fragt den SRV-Eintrag für Lync Server SIP in DNS (Domain Name System) ab, und sucht dann in diesem Eintrag nach dem Domänennamen. Der Name des Webservers, ucupdates-r2, wird der Domäne vorangestellt, um den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Geräteaktualisierungswebdiensts zu erstellen. Das Gerät fragt dann den A-Datensatz für den vollqualifizierten Domänennamen des Gerätaktualisierungswebdiensts in DNS ab und überprüft den Gerätaktualisierungswebdienst auf ein Update. Falls es ein Update gibt, wird es aus dem Speicher des Geräteaktualisierungswebdiensts abgerufen und angewendet, bevor ein Neustart durchgeführt wird. Nach dem Neustart fragt das Gerät DHCP ab, um nach der Webdienste-URL und dem vollqualifizierten Domänennamen des Directors zu suchen. Das Gerät kann außerdem den vollqualifizierten Domänennamen des Directors bestimmen, indem der SRF-Eintrag in DNS abgefragt wird.

Wenn der Benutzer mit der Anmeldung beginnt, wird der Authentifizierungsprozess gestartet. Das Gerät lädt die Stammzertifikat-Ausstellerkette der Webdienste herunter (falls dies noch nicht geschehen ist), stellt dann per TLS eine Verbindung mit dem Webserver her und überprüft das Zertifikat des Servers mithilfe dieser Kette. Das Zertifikat und die Kette werden für die spätere Verwendung auf dem Gerät gespeichert.

Das Gerät wird authentifiziert, wobei die folgenden Anmeldeinformationen bereitgestellt werden und TLS für die Kommunikation verwendet wird:

  • Die neuen IP-Telefone (Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 und Polycom CX3000) stellen eine PIN und eine Telefonnummer oder Durchwahl bereit.

  • Das ältere IP-Telefon (Polycom CX700-IP-Tischtelefon) stellt einen Benutzername, einen Domänennamen und ein Kennwort bereit.

    noteHinweis:
    Bei den IP-Telefonen Aastra 6725ip, HP 4120, Polycom CX600, Polycom CX700 und Polycom CX3000 können sich Benutzer auch anmelden, indem sie das Gerät mithilfe eines USB-Kabels an den Computer anschließen.

Die Webdienste überprüfen die Anmeldeinformationen, indem die Registrierungsstelle kontaktiert wird, um nach dem Benutzer und dem Home-Pool des Benutzers zu suchen. Wenn die Anmeldeinformationen stimmen, wird ein Zertifikat für den Benutzer angefordert, das an das Gerät zurückgeschickt wird und außerdem im Benutzerspeicher veröffentlicht wird. Das Gerät authentifiziert mithilfe des Benutzerzertifikats die Anmeldeanforderung und die gesamte nachfolgende SIP-Kommunikation mit der Registrierungsstelle.

Mithilfe der folgenden Logik wird bestimmt, welcher vollqualifizierte Domänenname (FQDN) der Registrierungsstelle verwendet wird (d. h., der von DHCP oder von DNS zurückgegebene vollqualifizierte Domänenname). Bei dieser Logik werden die Datensätze so lange nacheinander versucht, bis einer der Datensätze erfolgreich ist. In Lync Server Standard Edition wird der Datensatz automatisch veröffentlich. In einem Front-End-Pool müssen Sie den Datensatz manuell veröffentlichen. Dieser A-Datensatz sollte auf die virtuelle IP-Adresse (VIP) des Front-End-Pools verweisen.

  1. Interner DNS-SRV (TLS)

  2. DHCP-Adresse (TLS)

  3. Interner DNS-SRV (TCP)

  4. DHCP-Adresse (TCP)

  5. Externer DNS (TLS)

  6. Externer DNS (TCP)

Schließlich stellt das Gerät mithilfe einer SIP REGISTER-Anforderung eine Verbindung mit der Registrierungsstelle her und authentifiziert die Kommunikation mit dem Zertifikat des Benutzers. Diese Anmeldung ist der Beginn jeder SIP-Kommunikation.

Bevor ein externes IP-Telefon eine Verbindung herstellen kann, muss eine erfolgreiche interne Verbindung bestehen. Der Verbindungsprozess für Geräte außerhalb des Unternehmensnetzwerks hängt von der jeweiligen Authentifizierungsmethode ab, die für diese interne Verbindung verwendet wurde.

a916ffc0-2dc1-4921-8793-e4c09dae6a09

Der Benutzer eines Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 und Polycom CX3000 muss sich erfolgreich authentifizieren und intern bei der Registrierungsstelle anmelden, um den vollqualifizierten Domänennamen (FQDN) des Geräteaktualisierungswebdiensts (mittels der In-Band-Bereitstellung, wenn sich ein Benutzer bei Lync Server anmeldet), die Webdienste-Ausstellerzertifikatskette und das Serverzertifikat sowie das Zertifikat des Benutzers abzurufen. Alle diese Komponenten sind für eine erfolgreiche externe Verbindung erforderlich.

Der Benutzer eines Polycom CX700 muss sich intern erfolgreich anmelden, damit der externe vollqualifizierte Domänenname des Gerätaktualisierungswebdiensts vom Gerät per In-Band-Bereitstellung abgerufen wird. Hierfür muss nicht die Zertifikatauthentifizierung verwendet werden. Die NTLM-Authentifizierung ist ausreichend.

Wenn die Adresse des Gerätaktualisierungswebdiensts nicht abgerufen werden kann, wird die Verarbeitung durch das Gerät fortgesetzt, und es wird versucht, die Authentifizierung und die Anmeldung auszuführen. Nach der erfolgreichen Anmeldung kennt das Gerät den vollqualifizierten Domänennamen des Servers, auf dem der Gerätaktualisierungswebdienst ausgeführt wird, und löst diesen auf, um nach einem Update zu suchen.

Ein externes Polycom CX700, das bereits mithilfe der NTLM-Authentifizierung intern angemeldet ist, versucht zunächst mithilfe des lokalen (externen) DHCP-Servers eine IP-Adresse abzurufen. Im nächsten Schritt wird DNS abgefragt, wobei der vollqualifizierte Domänenname (FQDN) für die Suche nach der Adresse des Servers eingegeben wird, auf dem der Gerätaktualisierungswebdienst ausgeführt wird, und anschließend wird nach einem Update gesucht. Falls ein Update verfügbar ist, wird es heruntergeladen und installiert und das Gerät anschließend neu gestartet.

Nach dem Neustart wird erneut eine IP-Adresse abgerufen und erneut der Geräteaktualisierungswebdienst nach einem Update durchsucht. Dieses Mal sollte kein weiteres Update erforderlich sein, weshalb DNS nach dem SRV-Eintrag für den Registrierungsstellen-FQDN des Unternehmens abgefragt wird. Anschließend wird der entsprechende A-Datensatz abgefragt.

Im nächsten Schritt stellt das Gerät eine Verbindung her und nimmt die Authentifizierung vor, wobei NTLM als Anmeldeinformationen verwendet wird. Die Registrierungsstelle bestätigt die Authentifizierung und gibt den Home-Pool des Benutzers und den SIP-URI zurück. Das Gerät sendet dann eine SIP REGISTER-Anforderung zum Anmelden, und die Registrierungsstelle gibt den vollqualifizierten Domänennamen (FQDN) der Webdienste in der ACK-Antwort zurück.

Nun stellt das Gerät eine Verbindung mit den Webdiensten her und ruft die Zertifikatskette des Webservers ab. Anschließend wird versucht, zunächst per TCP zu authentifizieren. Dies wird jedoch abgelehnt, da Webdienste im Extranet eine sichere Kommunikation erfordern. Danach wird versucht, per TLS zu authentifizieren. Die Webdienste antworten auf die TLS-Anfrage, und das Webserverzertifikat wird als Anmeldeinformationen angegeben. Mithilfe der zuvor heruntergeladenen Zertifikatskette ist die Authentifizierung der Webdienste möglich. Das Gerät sendet eine getAndPublish-Anforderung. Die Webdienste generieren auf dem Gerät ein Zertifikat für den Benutzer, veröffentlichen es im Benutzerspeicher und geben es an das Gerät zurück.

Ab diesem Zeitpunkt kann das Gerät die Zertifikatauthentifizierung (die bevorzugte Methode) verwenden, da die erforderlichen Anmeldeinformationen vorhanden sind. Die Zertifikatauthentifizierung wird für nachfolgende Verbindungsanforderungen verwendet.

In diesem Fall versucht das externe Gerät zunächst, mithilfe des lokalen (externen) DHCP-Servers eine IP-Adresse abzurufen. Im nächsten Schritt wird DNS abgefragt, wobei der zuvor mithilfe der In-Band-Bereitstellung abgerufene vollqualifizierte Domänenname (FQDN) für die Suche nach der Adresse des Gerätaktualisierungswebdiensts eingegeben wird, und anschließend wird nach einem Update gesucht. Falls ein Update verfügbar ist, wird es heruntergeladen und installiert und das Gerät anschließend neu gestartet.

Nach dem Neustart durchläuft das Gerät erneut den Prozess zum Abrufen der IP-Adresse und sendet eine TLS-Authentifizierungsanforderung an die Webdienste, wobei das Benutzerzertifikat als Anmeldeinformationen eingegeben wird. Falls der Benutzer von den Webdiensten validiert werden kann, ist die Antwort erfolgreich. In diesem Fall wird eine SIP REGISTER-Anforderung an die Adresse der externen Registrierungsstelle gesendet, wobei die PIN des Benutzers und die Telefonnummer/Durchwahl als Anmeldeinformationen bereitgestellt werden.

Ausführliche Informationen zum externen Benutzerzugriff finden Sie unter Planen des Zugriffs externer Benutzer in der Planungsdokumentation.

Nachdem ein IP-Telefon eingeschaltet und mit dem Unternehmensnetzwerk verbunden wurde, erfolgt der Bootstrappingprozess wie folgt:

tipTipp:
In allen diesen Phasen können Probleme auftreten. Diese Probleme können variieren, je nachdem, ob sich das Gerät innerhalb oder außerhalb der der Firewall Ihrer Organisation befindet und ob es sich um ein neues oder ein älteres IP-Telefon handelt. Informationen zu Problemen, die sich während dieses Prozesses ergeben können, finden Sie in den folgenden Themen.
  1. Ermitteln der VLAN-ID

  2. Anfordern einer IP-Adresse

  3. Suchen des Geräteupdate-Webdiensts

  4. Suchen nach Updates

  5. Abrufen des FQDN des Registrierungspools und der Webdienst-URL

  6. Herstellen einer Verbindung mit dem Webdienst und Herunterladen der Zertifikatkette der Stammzertifizierungsstelle

  7. Authentifizierungsvorgang

  8. Empfangen und Veröffentlichen von Zertifikaten

  9. Anmelden bei Lync Server

 
Anzeigen: