Processo di autenticazione

Lync Server 2010
 

Ultima modifica dell'argomento: 2014-10-22

In UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) alcuni telefoni IP supportano i numeri PIN e l'autenticazione dei certificati, alcuni supportano NTLM e l'autenticazione dei certificati e alcuni supportano entrambi i tipi, come descritto nella tabella seguente. Per eseguire l'autenticazione, il dispositivo invia le credenziali utente ai servizi Web come parte della richiesta di autenticazione. Nel caso dell'autenticazione NTLM, le credenziali sono il nome utente di dominio e la password. Nel caso dell'autenticazione PIN, le credenziali sono il numero di telefono e il PIN. In entrambi i casi, il certificato Lync del client, ottenuto nel passaggio precedente, viene utilizzato per negoziare la sicurezza del canale di comunicazione per tutte le comunicazioni successive.

 

Telefono Autenticazione PIN Autenticazione NTLM

Telefono di area comune Aastra 6721ip

No

Telefono da tavolo Aastra 6725ip

Telefono IP HP 4110 (telefono di area comune)

No

Telefono IP HP 4120 (telefono da tavolo)

Telefono di area comune IP Polycom CX500

No

Telefono da tavolo IP Polycom CX600

Telefono IP da tavolo Polycom CX700

Telefono IP per conferenze Polycom CX3000

noteNota:
Se due utenti immettono lo stesso numero di telefono, viene utilizzato il PIN per distinguerli. Se una coppia numero di telefono + PIN non è univoca, come distinzione vengono utilizzati il numero di telefono e l'interno. La coppia numero di telefono + interno deve sempre essere univoca. Questo scenario può verificarsi quando il PIN viene impostato precedentemente anziché durante l'autenticazione. È tuttavia importante comprendere il contesto dell'autenticazione PIN.

Problema: è stato effettuato il numero massimo di tentativi di autenticazione utilizzando un PIN non corretto per l'utente. Il numero di tentativi consentito è impostato nei criteri per il PIN per il sito o per l'utente.

Soluzione: dopo che l'utente ha immesso il proprio PIN in modo errato per un numero di volte superiore ai tentativi consentiti, l'account può essere sbloccato esclusivamente da un amministratore in Lync Server. Un amministratore può sbloccare l'account per tale utente utilizzando il Pannello di controllo di Lync Server. A tale scopo, connettersi al Pannello di controllo di Lync Server. Se l'amministratore non è membro di un ruolo amministrativo di Lync Server, non può connettersi al Pannello di controllo di Lync Server. Fare clic su Utente e digitare il nome dell'utente nel campo di ricerca. Nei risultati della ricerca fare doppio clic sull'utente per visualizzarne le impostazioni e quindi reimpostare il PIN.

In alternativa, l'utente può reimpostare il proprio PIN nella pagina Web Impostazioni conferenza telefonica con accesso esterno. Per aprire la pagina Web Impostazioni conferenza telefonica con accesso esterno, effettuare una delle operazioni seguenti:

  • Nel client di messaggistica e collaborazione Microsoft Outlook, fare clic su Servizio di conferenza e quindi su Impostazioni connessioni remote.

  • In UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) fare clic su Menu e scegliere Impostazioni connessioni remote dal menu Strumenti.

  • In un invito a una riunione fare clic su Trova un numero locale o PIN di accesso dimenticato.

Dopo che l'utente reimposta il PIN, può reimmettere il PIN corretto sul dispositivo e l'autenticazione prosegue.

Problema: il PIN per l'account dell'utente è scaduto. La scadenza del PIN è impostata nei criteri per il PIN del sito in cui l'utente è ospitato o di un utente specifico.

Soluzione: la scadenza del PIN è uno degli attributi dei criteri per il PIN assegnati al sito o all'utente. Per determinare quali criteri per il PIN sono applicati all'utente, è necessario accedere come membro di un ruolo di amministrativo di Lync Server. Per informazioni dettagliate, vedere Controllo di accesso basato sui ruoli nella documentazione relativa alla pianificazione. Connettersi innanzitutto al Pannello di controllo di Lync Server. Se l'amministratore non è membro di un ruolo amministrativo di Lync Server, non può connettersi.

Se il PIN dell'utente è scaduto, reimpostarlo. Nel Pannello di controllo di Lync Server fare clic su Utente e quindi digitare il nome dell'utente nel campo di ricerca. Nei risultati della ricerca fare doppio clic sull'utente per visualizzarne le impostazioni e quindi reimpostare il PIN.

In alternativa, gli utenti possono reimpostare il loro PIN nella pagina Web Impostazioni conferenza telefonica con accesso esterno. Per aprire la pagina Web Impostazioni conferenza telefonica con accesso esterno, eseguire una delle operazioni seguenti:

  • Nel client di messaggistica e collaborazione Microsoft Outlook fare clic su Servizio di conferenza e quindi su Impostazioni connessioni remote.

  • In UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) fare clic su Menu e scegliere Impostazioni connessioni remote dal menu Strumenti.

  • In un invito a una riunione fare clic su Trova un numero locale o PIN di accesso dimenticato.

Dopo che l'utente reimposta il PIN, può reimmettere il PIN corretto sul dispositivo e l'autenticazione prosegue.

Problema: l'utente non ha un PIN da utilizzare per l'autenticazione.

Soluzione: creare un PIN per l'utente. A tale scopo, connettersi al Pannello di controllo di Lync Server. Se l'amministratore non è membro di un ruolo amministrativo di Lync Server, non può connettersi.

Nel Pannello di controllo di Lync Server fare clic su Utente e quindi digitare il nome dell'utente nel campo di ricerca. Nei risultati della ricerca, fare doppio clic sull'utente per visualizzarne le impostazioni e quindi impostare il PIN.

In alternativa, l'utente può impostare il proprio PIN nella pagina Web Impostazioni conferenza telefonica con accesso esterno. Per aprire la pagina Web Impostazioni conferenza telefonica con accesso esterno, effettuare una delle operazioni seguenti:

  • Nel client di messaggistica e collaborazione Microsoft Outlook fare clic su Servizio di conferenza e quindi su Impostazioni connessioni remote.

  • In UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) fare clic su Menu e scegliere Impostazioni connessioni remote dal menu Strumenti.

  • In un invito a una riunione fare clic su Trova un numero locale o PIN di accesso dimenticato.

Dopo che l'utente reimposta il PIN, può reimmettere il PIN corretto sul dispositivo e l'autenticazione prosegue. È possibile fornire il nuovo PIN all'utente (ad esempio, in un messaggio di posta elettronica). Dopo che l'utente riceve il nuovo PIN, può immettere questo valore insieme al proprio numero di telefono nel dispositivo per effettuare l'autenticazione.

Problema: il numero di telefono immesso dall'utente sul dispositivo non è univoco e non può essere attribuito a un utente specifico.

Soluzione: reimpostare il numero di telefono per l'utente. A tale scopo, connettersi al Pannello di controllo di Lync Server. Se l'amministratore non è membro di un ruolo amministrativo di Lync Server, non può connettersi.

Nel Pannello di controllo di Lync Server fare clic su Utente e quindi digitare il nome dell'utente nel campo di ricerca. Nei risultati della ricerca fare doppio clic sul nome dell'utente per visualizzarne le impostazioni e quindi digitare il nuovo numero di telefono nel campo URI linea. Per salvare le modifiche, fare clic su Commit. Inviare il nuovo numero di telefono all'utente. Dopo che l'utente riceve il nuovo numero di telefono, deve immettere questo valore, insieme a un PIN, nel dispositivo per effettuare l'autenticazione.

noteNota:
Se due utenti immettono lo stesso numero di telefono, i loro PIN vengono utilizzati per distinguerli. Se una coppia numero di telefono + PIN non è univoca, come distinzione vengono utilizzati il numero di telefono e l'interno. La coppia numero di telefono + interno deve sempre essere univoca.

Problema: questa situazione indica un problema sul lato server piuttosto che un problema di un utente specifico. Per determinare l'origine del problema, aprire Lync Server Management Shell ed eseguire il cmdlet test-OcsAuth. Solo un amministratore con il ruolo CsVoiceAdministrator o CsAdministrator dispone di autorizzazioni e diritti di amministratore sufficienti per eseguire il cmdlet test-OcsAuth. Per informazioni dettagliate sui ruoli amministrativi di Lync Server, vedere Controllo di accesso basato sui ruoli nella documentazione relativa alla pianificazione.

Soluzione: eseguire la transazione sintetica di seguito:

$cred = get-credential
test-CsClientAuth -UserSipAddress <SIP address> -UserCredential $cred -TargetFQDN

Non specificare TargetFQDN se si desidera utilizzare l'individuazione DHCP. In caso contrario, fornire il nome di dominio completo (FQDN) della destinazione per ignorare l'individuazione DHCP.

L'output mostra in che punto l'autenticazione non è riuscita. Ad esempio, è possibile che il messaggio di individuazione DHCP non riceva una risposta. Attenersi alle indicazioni nell'output della transazione per risolvere il problema.

Problema: un utente immette le proprie credenziali valide (sia che utilizzi un PIN e numero di telefono su Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500 o Polycom CX600 oppure un nome di dominio e password su Polycom CX700), tuttavia, Lync non riesce a connettere l'utente. L'utente non viene abilitato per le comunicazioni unificate. Il dispositivo visualizza un messaggio analogo al seguente: "Impossibile accedere. L'indirizzo di accesso non è corretto o l'account non è impostato".

Soluzione: abilitare l'utente per Lync Server. A tale scopo, connettersi al Pannello di controllo di Lync Server. Se l'amministratore non è membro di un ruolo amministrativo di Lync Server, non può connettersi.

Nel Pannello di controllo di Lync Server fare clic su Utente e digitare il nome dell'utente nel campo di ricerca. Nei risultati della ricerca fare doppio clic sull'utente per visualizzarne le impostazioni e quindi selezionare la casella di controllo Abilitato per Lync Server. In Telefonia selezionare VoIP aziendale e quindi digitare il numero di telefono dell'utente nel campo URI linea. Se necessario, modificare i criteri di dial plan dell'utente. Per salvare le modifiche, fare clic su Commit.

Quando l'utente reimmette le proprie credenziali nel dispositivo, può eseguire l'autenticazione e riconnettersi. Ora è in grado di accedere a Lync Server.

Problema: la richiesta get-and-publish per il certificato dell'utente può non riuscire se il servizio di registrazione non è in grado di pubblicare il certificato dell'utente nei servizi utente. Il dispositivo non riceverà il certificato dell'utente e l'utente non potrà accedere e dovrà riavviare.

Soluzione: verificare che i servizi Web siano in grado di generare e pubblicare un certificato per l'utente, eseguendo la transazione sintetica di seguito:

$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN

Se si desidera utilizzare l'individuazione DHCP, non specificare TargetFQDN. Se non si desidera utilizzare DHCP, fornire l'FQDN di destinazione nella transazione sintetica e l'individuazione DHCP verrà ignorata.

L'output mostra in che punto l'autenticazione non è riuscita. Ad esempio, è possibile che il messaggio di individuazione DHCP non riceva una risposta. Attenersi alle indicazioni nell'output della transazione per risolvere il problema.

In caso di esito positivo, riavviare il dispositivo e provare nuovamente a effettuare l'autenticazione. In caso di errore, risolvere il problema indicato.

 
Mostra: