Authentifizierungsvorgang

Lync Server 2010
 

Letztes Änderungsdatum des Themas: 2014-10-22

Gemäß der folgenden Tabelle unterstützen in UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) einige IP-Telefone die Authentifizierung über eine persönliche Identifikationsnummer (PIN) und die Zertifikatauthentifizierung, einige Telefon unterstützen die NTLM- und Zertifikatauthentifizierung, und wieder andere Telefone unterstützen beides. Für die Authentifizierung sendet das Gerät im Rahmen einer Authentifizierungsanforderung Benutzeranmeldeinformationen an Webdienste. Bei der NTLM-Authentifizierung handelt es sich bei den Anmeldeinformationen um den Domänenbenutzernamen und das Kennwort. Bei der PIN-Authentifizierung handelt es sich bei den Anmeldeinformationen um die Telefonnummer und die PIN. In beiden Fällen wird das Lync-Zertifikat des Clients, das im vorherigen Schritt abgerufen wird, zum Aushandeln der Sicherheit des Kommunikationskanals für die gesamte nachfolgende Kommunikation verwendet.

 

Telefon PIN-Authentifizierung NTLM-Authentifizierung

Aastra 6721ip-Telefon für öffentliche Bereiche

Ja

Nein

Aastra 6725ip-Tischtelefon

Ja

Ja

IP-Telefon HP 4110 (Telefon für öffentliche Bereiche)

Ja

Nein

IP-Telefon HP 4120 (Telefonapparat)

Ja

Ja

IP-Telefon Polycom CX500 (Telefon für öffentliche Bereiche)

Ja

Nein

IP-Telefonapparat Polycom CX600

Ja

Ja

Polycom CX700-IP-Tischtelefon

Ja

Polycom CX3000-IP-Konferenztelefon

Ja

Ja

noteHinweis:
Wenn zwei Benutzer dieselbe Telefonnummer eingeben, wird die Eindeutigkeit der Benutzer anhand ihrer PIN hergestellt. Falls ein Telefonnummer + PIN-Paar nicht eindeutig ist, wird für die Eindeutigkeit der Benutzer die Telefonnummer und die Durchwahl verwendet. Telefonnummer + Durchwahl müssen immer eindeutig sein. Diese Situation kann eintreten, wenn die PIN nicht während der Authentifizierung, sondern vorab festgelegt wird. Sie sollten aber mit dem Kontext der PIN-Authentifizierung vertraut sein.

Problem: Die maximal zulässige Anzahl von Authentifizierungsversuchen mit einer falschen PIN wurde für den Benutzer erreicht. Die zulässige Anzahl von Wiederholungsversuchen wird in der PIN-Richtlinie für den Standort oder den Benutzer festgelegt.

Lösung: Nachdem der Benutzer öfter als zulässig die falsche PIN eingegeben hat, kann die Sperre des Kontos nur von einem Lync Server-Administrator aufgehoben werden. Ein Administrator kann die Sperre des Kontos für diesen Benutzer mithilfe der Lync Server-Systemsteuerung aufheben. Öffnen Sie dazu die Lync Server-Systemsteuerung. Falls der Administrator kein Mitglied einer Lync Server-Administratorrolle ist, kann er sie nicht öffnen. Klicken Sie in der Lync Server-Systemsteuerung auf Benutzer, und geben Sie den Namen des Benutzers in das Suchfeld ein. Doppelklicken Sie in den Suchergebnissen auf den Benutzer, um dessen Einstellungen anzuzeigen, und setzen Sie dann die PIN des Benutzers zurück.

Alternativ kann der Benutzer seine PIN auf der Webseite Einstellungen für Einwahlkonferenzen zurücksetzen. Führen Sie eine der folgenden Aktionen aus, um die Webseite Einstellungen für Einwahlkonferenzen zu öffnen:

  • Klicken Sie im Microsoft Outlook-Client für Messaging und Zusammenarbeit auf Konferenzen und dann auf Einwähleinstellungen.

  • Klicken Sie in UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) auf Menü, klicken Sie auf Extras, und klicken Sie dann auf Einwähleinstellungen.

  • Klicken Sie in einer Besprechungseinladung auf Lokale Rufnummer suchen oder PIN für Einwahl vergessen?.

Nachdem der Benutzer die PIN zurückgesetzt hat, kann er auf dem Gerät die richtige PIN eingeben. Die Authentifizierung wird dann fortgesetzt.

Problem: Die PIN für das Konto des Benutzers ist abgelaufen. Der PIN-Ablauf wird in der PIN-Richtlinie für den Standort des Benutzers oder für einen bestimmten Benutzer festgelegt.

Lösung: Der PIN-Ablauf ist eines der Attribute der PIN-Richtlinie, die dem Standort oder dem Benutzer zugewiesen ist. Zum Bestimmen der PIN-Richtlinie für den Benutzer müssen Sie sich als Mitglied einer Lync Server-Administratorrolle anmelden. Ausführliche Informationen hierzu finden Sie unter Rollenbasierte Zugriffssteuerung in der Planungsdokumentation. Öffnen Sie zunächst die Lync Server-Systemsteuerung. Falls der Administrator kein Mitglied einer Lync Server-Administratorrolle ist, kann er sie nicht öffnen.

Falls die PIN abgelaufen ist, setzen Sie die PIN des Benutzers zurück. Klicken Sie in der Lync Server-Systemsteuerung auf Benutzer, und geben Sie den Namen des Benutzers in das Suchfeld ein. Doppelklicken Sie in den Suchergebnissen auf den Benutzer, um dessen Einstellungen anzuzeigen, und setzen Sie dann die PIN des Benutzers zurück.

Alternativ können Benutzer ihre PIN auf der Webseite Einstellungen für Einwahlkonferenzen zurücksetzen. Führen Sie eine der folgenden Aktionen aus, um die Webseite Einstellungen für Einwahlkonferenzen zu öffnen:

  • Klicken Sie im Microsoft Outlook-Client für Messaging und Zusammenarbeit auf Konferenzen und dann auf Einwähleinstellungen.

  • Klicken Sie in UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) auf Menü, klicken Sie auf Extras, und klicken Sie dann auf Einwähleinstellungen.

  • Klicken Sie in einer Besprechungseinladung auf Lokale Rufnummer suchen oder PIN für Einwahl vergessen?.

Nachdem die PIN zurückgesetzt wurde, kann der Benutzer auf dem Gerät die richtige PIN eingeben. Die Authentifizierung wird dann fortgesetzt.

Problem: Der Benutzer hat keine PIN, die er für die Authentifizierung verwenden kann.

Lösung: Erstellen Sie eine PIN für den Benutzer. Öffnen Sie dazu die Lync Server-Systemsteuerung. Falls der Administrator kein Mitglied einer Lync Server-Administratorrolle ist, kann er sie nicht öffnen.

Klicken Sie in der Lync Server-Systemsteuerung auf Benutzer, und geben Sie den Namen des Benutzers in das Suchfeld ein. Doppelklicken Sie in den Suchergebnissen auf den Benutzer, um dessen Einstellungen anzuzeigen, und legen Sie die PIN des Benutzers fest.

Alternativ kann der Benutzer seine PIN auf der Webseite Einstellungen für Einwahlkonferenzen zurücksetzen. Führen Sie eine der folgenden Aktionen aus, um die Webseite Einstellungen für Einwahlkonferenzen zu öffnen:

  • Klicken Sie im Microsoft Outlook-Client für Messaging und Zusammenarbeit auf Konferenzen und dann auf Einwähleinstellungen.

  • Klicken Sie in UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) auf Menü, klicken Sie auf Extras, und klicken Sie dann auf Einwähleinstellungen.

  • Klicken Sie in einer Besprechungseinladung auf Lokale Rufnummer suchen oder PIN für Einwahl vergessen?.

Nachdem die PIN zurückgesetzt wurde, kann der Benutzer auf dem Gerät die richtige PIN eingeben. Die Authentifizierung wird dann fortgesetzt. Die neue PIN können Sie an den Benutzer senden (z. B. in einer E-Mail-Nachricht). Nachdem der Benutzer seine neue PIN erhalten hat, gibt er diese zusammen mit seiner Telefonnummer auf dem Gerät ein, um sich zu authentifizieren.

Problem: Die vom Benutzer auf dem Gerät eingegebene Telefonnummer ist nicht eindeutig oder kann keinem bestimmten Benutzer zugeordnet werden.

Lösung: Setzen Sie die Telefonnummer für den Benutzer zurück. Öffnen Sie dazu die Lync Server-Systemsteuerung. Falls der Administrator kein Mitglied einer Lync Server-Administratorrolle ist, kann er sie nicht öffnen.

Klicken Sie in der Lync Server-Systemsteuerung auf Benutzer, und geben Sie den Namen des Benutzers in das Suchfeld ein. Doppelklicken Sie in den Suchergebnissen auf den Namen des Benutzers, um dessen Einstellungen anzuzeigen, und geben Sie dann die neue Telefonnummer in das Feld Anschluss-URI ein. Klicken Sie auf Commit ausführen, um Ihre Änderungen zu speichern. Senden Sie die neue Telefonnummer an den Benutzer. Nachdem der Benutzer die neue Telefonnummer erhalten hat, sollte er diese zusammen mit einer PIN auf dem Gerät eingeben, um sich zu authentifizieren.

noteHinweis:
Wenn zwei Benutzer dieselbe Telefonnummer eingeben, wird die Eindeutigkeit der Benutzer anhand ihrer PIN hergestellt. Falls ein Telefonnummer + PIN-Paar nicht eindeutig ist, wird für die Eindeutigkeit der Benutzer die Telefonnummer und die Durchwahl verwendet. Telefonnummer + Durchwahl müssen immer eindeutig sein.

Problem: Dies weist auf ein serverseitiges Problem hin, und weniger auf ein Problem mit einem bestimmten Benutzer. Öffnen Sie zum Bestimmen der Ursache des Problems die Lync Server-Verwaltungsshell, und führen Sie das Cmdlet test-OcsAuth aus. Nur ein Administrator mit der Rolle CsVoiceAdministrator oder CsAdministrator verfügt über die erforderlichen Administratorrechte und -berechtigungen zum Ausführen des Cmdlets test-OcsAuth. Ausführliche Informationen zu den Lync Server-Administratorrollen finden Sie unter Rollenbasierte Zugriffssteuerung in der Planungsdokumentation.

Lösung: Führen Sie die folgende synthetische Transaktion aus:

$cred = get-credential
test-CsClientAuth -UserSipAddress <SIP address> -UserCredential $cred -TargetFQDN

Geben Sie "TargetFQDN" nicht an, wenn die DHCP-Ermittlung verwendet werden soll. Andernfalls geben Sie den Ziel-FQDN für die synthetische Transaktion an, um die DHCP-Ermittlung zu umgehen.

Die Ausgabe zeigt, an welchem Punkt bei der Authentifizierung ein Fehler aufgetreten ist. Beispielsweise erhält die DHCP-Ermittlungsmeldung möglicherweise keine Antwort. Befolgen Sie die Anweisungen in der Transaktionsausgabe, um das Problem zu beheben.

Problem: Ein Benutzer gibt seine gültigen Anmeldeinformationen ein (unabhängig davon, ob er eine PIN und eine Telefonnummer auf einem Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500 oder Polycom CX600 oder aber einen Domänenbenutzernamen und ein Kennwort auf einem Polycom CX700 verwendet). Der Benutzer kann jedoch von Lync nicht angemeldet werden. Der Benutzer wird nicht für Unified Communications (UC) aktiviert. Auf dem Gerät wird eine Meldung angezeigt, dass die Anmeldung nicht möglich ist, weil die Anmeldeadresse nicht stimmt oder das Konto nicht eingerichtet ist.

Lösung: Aktivieren Sie den Benutzer für Lync Server. Öffnen Sie dazu die Lync Server-Systemsteuerung. Falls der Administrator kein Mitglied einer Lync Server-Administratorrolle ist, kann er sie nicht öffnen.

Klicken Sie in der Lync Server-Systemsteuerung auf Benutzer, und geben Sie den Namen des Benutzers in das Suchfeld ein. Doppelklicken Sie in den Suchergebnissen auf den Benutzer, um dessen Einstellungen anzuzeigen, und aktivieren Sie dann das Kontrollkästchen Aktiviert für Lync Server. Wählen Sie unter Telefonie die Option Enterprise-VoIP aus, und geben Sie die Telefonnummer des Benutzer in das Feld Anschluss-URI ein. Ändern Sie ggf. die Wählplanrichtlinie des Benutzers. Klicken Sie auf Commit ausführen, um Ihre Änderungen zu speichern.

Wenn der Benutzer seine Anmeldeinformationen auf dem Gerät erneut eingibt, kann er sich authentifizieren und erneut anmelden. Dieses Mal kann sich der Benutzer bei Lync Server anmelden.

Problem: Bei der Anforderung zum Abrufen und Veröffentlichen für das Zertifikat des Benutzers kann ein Fehler auftreten, wenn das Zertifikat des Benutzers von der Registrierungsstelle nicht in den Benutzerdiensten veröffentlicht werden kann. Das Gerät erhält das Zertifikat des Benutzers nicht, und der Benutzer kann sich nicht anmelden und muss von vorne beginnen.

Lösung: Stellen Sie sicher, dass von den Webdiensten ein Zertifikat für den Benutzer generiert und veröffentlicht werden kann, indem Sie die folgende synthetische Transaktion ausführen:

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN

Geben Sie "TargetFQDN" nicht an, wenn die DHCP-Ermittlung verwendet werden soll. Andernfalls geben Sie den Ziel-FQDN für die synthetische Transaktion an, um die DHCP-Ermittlung zu umgehen.

Die Ausgabe zeigt, an welchem Punkt bei der Authentifizierung ein Fehler aufgetreten ist. Beispielsweise erhält die DHCP-Ermittlungsmeldung möglicherweise keine Antwort. Befolgen Sie die Anweisungen in der Transaktionsausgabe, um das Problem zu beheben.

Wenn das Problem dadurch behoben wird, starten Sie das Gerät neu, und fordern Sie den Benutzer auf, sich erneut zu authentifizieren. Beheben Sie andernfalls das angegebene Problem.

 
Anzeigen: