Processo di connessione dei dispositivi

Lync Server 2010
 

Ultima modifica dell'argomento: 2012-06-21

In questo argomento viene descritto il processo di connessione dei dispositivi. È importante comprendere tale processo quando si effettua la risoluzione dei problemi relativi ai dispositivi perché i passaggi del processo corrispondono a punti di errore potenziali che è possibile incontrare.

Il processo di connettività per i telefoni IP interni si applica a tutti i telefoni IP. Il processo si differenzia solo per il tipo di autenticazione utilizzato da ogni telefono IP. Solo i nuovi telefoni IP, ovvero il telefono di area comune Aastra 6721ip, il telefono da tavolo Aastra 6725ip, il telefono IP di area comune HP 4110, il telefono IP da tavolo HP 4120, il telefono IP di area comune Polycom CX500, il telefono IP da tavolo Polycom CX600 e il telefono IP per conferenze Polycom CX3000, possono utilizzare l'autenticazione basata su PIN. Il telefono IP da tavolo Polycom CX700 può utilizzare l'autenticazione basata su certificati o l'autenticazione NTLM.

98345d35-bee9-40a3-9196-8c9b140e6eac

Il processo inizia con il tentativo da parte del dispositivo di ottenere l'ID di una VLAN provando prima con il protocollo LLDP (Link Layer Discovery Protocol) e, se questo non è disponibile, passando tramite fallback al protocollo DHCP (Dynamic Host Configuration Protocol).

noteNota:
Se il dispositivo non riesce a ottenere l'ID di una VLAN, il processo di avvio automatico prosegue.

Il dispositivo quindi utilizza DHCP per acquisire un indirizzo IP, richiede tramite query a DNS (Domain Name System) il record SRV per SIP di Lync Server e quindi analizza tale record per ottenere il nome del dominio. Il nome del server Web, ucupdates-r2, viene anteposto al dominio per generare il nome di dominio completo (FQDN) per il servizio Web Aggiornamento dispositivi. Il dispositivo a questo punto richiede tramite query a DNS il record A per l'FQDN di tale servizio e richiede al servizio un aggiornamento. Se è disponibile un aggiornamento, viene scaricato dall'archivio del servizio Web Aggiornamento dispositivi e applicato prima del riavvio. Dopo il riavvio, il dispositivo esegue una query su DHCP per individuare l'URL dei servizi Web e l'FQDN del Director. Il dispositivo può determinare l'FQDN del Director anche richiedendo tramite query a DNS il record SRV.

Quando l'utente inizia a eseguire l'accesso, comincia il processo di autenticazione. Il dispositivo scarica la catena di certificati della CA radice dei servizi Web (se non è stata ottenuta in precedenza) e quindi si connette al server Web su TLS e verifica il certificato del server utilizzando tale catena. Il certificato e la catena vengono archiviati nel dispositivo per un utilizzo futuro.

Il dispositivo esegue l'autenticazione, specificando le credenziali come segue e utilizzando TLS per la comunicazione:

  • I nuovi telefoni IP, ovvero Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 e Polycom CX3000, forniscono un PIN e un numero di telefono o di interno.

  • Il telefono IP meno recente, ovvero il telefono IP da tavolo Polycom CX700, fornisce un nome utente, un nome di dominio e una password.

    noteNota:
    I telefoni Aastra 6725ip, HP 4120, Polycom CX600, Polycom CX700 e Polycom CX3000 inoltre consentono agli utenti di eseguire l'accesso collegando il dispositivo al computer mediante un cavo USB.

I servizi Web verificano le credenziali contattando la funzione di registrazione per cercare l'utente e il relativo pool principale. Se le credenziali sono corrette, il dispositivo richiede per l'utente un certificato, che viene restituito al dispositivo e pubblicato nell'archivio utente. Il dispositivo utilizza il certificato dell'utente per autenticare la richiesta di accesso e tutte le successive comunicazioni SIP con la funzione di registrazione.

Per determinare quale FQDN di funzione di registrazione viene utilizzato, ovvero quello restituito da DHCP o quello restituito da DNS, viene applicata la logica seguente. In tale logica viene effettuato un tentativo con ogni record finché l'esito non è positivo. In Lync Server Standard Edition il record viene pubblicato automaticamente. In un pool Front End è necessario pubblicarlo manualmente. Questo record A deve puntare all'indirizzo IP virtuale (VIP) del pool Front End.

  1. SRV DNS interno (TLS)

  2. Indirizzo DHCP (TLS)

  3. SRV DNS interno (TCP)

  4. Indirizzo DHCP (TCP)

  5. DNS esterno (TLS)

  6. DNS esterno (TCP)

Il dispositivo infine si connette alla funzione di registrazione, con una richiesta SIP REGISTER, e autentica le comunicazioni con il certificato dell'utente. Questo accesso è l'inizio di qualsiasi comunicazione SIP.

Prima che un telefono IP esterno possa connettersi, deve già avere stabilito correttamente una connessione internamente. Il processo di connessione per i dispositivi che si trovano all'esterno della rete aziendale si differenzia a seconda del metodo di autenticazione utilizzato per tale connessione interna.

a916ffc0-2dc1-4921-8793-e4c09dae6a09

L'utente di un telefono Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 o Polycom CX3000 deve eseguire correttamente l'autenticazione e accedere alla funzione di registrazione internamente per ottenere l'FQDN del servizio Web Aggiornamento dispositivi (fornito dal provisioning di tipo in-band quando un utente esegue l'accesso a Lync Server), la catena di certificati dell'autorità di certificazione dei servizi Web, il certificato del server e il certificato dell'utente, tutti elementi necessari per consentire la connessione esterna.

L'utente di un telefono Polycom CX700 deve riuscire ad accedere internamente, in modo che il dispositivo ottenga l'FQDN del servizio Web Aggiornamento dispositivi esterno dal provisioning di tipo in-band. A tale scopo, non è necessario che il dispositivo utilizzi l'autenticazione basata su certificati. È sufficiente l'autenticazione NTLM.

In alternativa, se non si riesce a ottenere l'indirizzo del servizio Web Aggiornamento dispositivi, il dispositivo proseguirà con l'elaborazione e tenterà di eseguire l'autenticazione e l'accesso. Dopo che l'accesso avrà avuto esito positivo, il dispositivo conoscerà l'FQDN del server che esegue il servizio Web Aggiornamento dispositivi e lo risolverà per richiedere un aggiornamento.

Un telefono Polycom CX700 esterno che ha già eseguito l'accesso internamente mediante l'autenticazione NTLM, innanzitutto tenta di ottenere un indirizzo IP utilizzando il server DHCP (esterno) locale. Il dispositivo quindi esegue una query su DNS, fornendo il valore dell'FQDN per individuare l'indirizzo del server che esegue il servizio Web Aggiornamento dispositivi, e richiede un aggiornamento. Se ne è disponibile uno, il dispositivo lo scaricherà e installerà e quindi si riavvierà.

Dopo il riavvio, il dispositivo ottiene di nuovo un indirizzo IP e richiede nuovamente un aggiornamento al servizio Web Aggiornamento dispositivi. Questa volta non dovrebbe essere necessario un altro aggiornamento, pertanto il dispositivo richiede a DNS il record SRV dell'FQDN della funzione di registrazione dell'azienda. Dopo averlo ottenuto, il dispositivo richiede il record A corrispondente.

Il dispositivo quindi si connette ed esegue l'autenticazione utilizzando NTLM come credenziali. La funzione di registrazione conferma l'autenticazione e restituisce l'URI SIP e il pool principale dell'utente. Il dispositivo poi invia una richiesta SIP REGISTER per eseguire l'accesso e la funzione di registrazione restituisce l'FQDN dei servizi Web nella risposta ACK.

A questo punto il dispositivo si connette ai servizi Web e ottiene la catena di certificati del server Web. Dopo averla ottenuta, il dispositivo tenta di eseguire prima l'autenticazione su TCP, ma l'esito sarà negativo perché i servizi Web nella rete Extranet richiedono le comunicazioni sicure, e quindi tenta su TLS. I servizi Web rispondono alla query TLS fornendo il certificato del server Web come credenziale. Utilizzando la catena di certificati scaricata in precedenza, il dispositivo è in grado di autenticare i servizi Web. Invia perciò una richiesta getAndPublish. I servizi Web generano un certificato per l'utente nel dispositivo, lo pubblicano nell'archivio utente e quindi lo restituiscono al dispositivo.

Da questo punto in poi, il dispositivo può utilizzare l'autenticazione basata su certificati (metodo preferito) dal momento che dispone delle credenziali necessarie, quindi utilizza tale autenticazione per le richieste di connessione successive.

In questo caso, all'avvio il dispositivo esterno innanzitutto tenta di acquisire un indirizzo IP utilizzando il server DHCP (esterno) locale. Il dispositivo poi esegue una query su DNS, fornendo il valore dell'FQDN ottenuto in precedenza mediante il provisioning di tipo in-band, per recuperare l'indirizzo del servizio Web Aggiornamento dispositivi e quindi richiede un aggiornamento. Se ne è disponibile uno, il dispositivo lo scarica e installa e quindi si riavvia.

Dopo il riavvio, il dispositivo esegue di nuovo il processo di acquisizione dell'indirizzo IP e quindi invia una richiesta di autenticazione TLS ai servizi Web, fornendo il certificato utente come credenziali. Se i servizi Web possono convalidare l'utente, la risposta sarà un esito positivo e il dispositivo invierà una richiesta SIP REGISTER all'indirizzo di funzione di registrazione esterno, fornendo il PIN e il numero di telefono/interno dell'utente come credenziali.

Per informazioni dettagliate sull'accesso degli utenti esterni, vedere Pianificazione dell'accesso utente esterno nella documentazione relativa alla pianificazione.

Dopo che un telefono IP viene acceso e si connette alla rete aziendale, viene eseguito il processo di avvio automatico seguente:

tipSuggerimento:
I problemi possono verificarsi in ogni fase e possono essere di natura diversa a seconda che il dispositivo si trovi all'interno o all'esterno del firewall dell'organizzazione e che si tratti di un telefono IP nuovo o meno recente. Per comprendere quali problemi possono verificarsi durante questo processo, vedere gli argomenti seguenti:
  1. Ricerca dell'ID della VLAN

  2. Ottenere un indirizzo IP

  3. Trovare il servizio Web Aggiornamento dispositivi

  4. Verificare la disponibilità di aggiornamenti

  5. Ottenere l'FQDN del server di registrazione e l'URL del servizio Web

  6. Eseguire la connessione al servizio Web e scaricare la catena di certificati della CA radice

  7. Processo di autenticazione

  8. Ricevere e pubblicare il certificato

  9. Accedere a Lync Server

 
Mostra: