• 發行項

裝置連線程序

 

上次修改主題的時間: 2012-06-21

本主題會說明裝置連線程序。在疑難排解裝置問題時請務必了解本程序,因為本程序的步驟會對應至您要移難排解的可能失敗點。

內部 IP 電話的連線程序

內部 IP 電話的連線程序適用於所有 IP 電話。程序的差異僅在於每款 IP 電話所使用的驗證類型。只有新的 IP 電話 (亦即,Aastra 6721ip 公用區電話、Aastra 6725ip 電話機、HP 4110 IP 電話 [公用區電話]、HP 4120 IP 電話 [電話機]、Polycom CX500 IP 公用區電話、Polycom CX600 IP 電話機以及 Polycom CX3000 IP 會議電話) 可以使用個人識別碼 (PIN) 驗證。Polycom CX700 IP 電話機可以使用憑證或 NTLM 驗證。

98345d35-bee9-40a3-9196-8c9b140e6eac

程序會假設裝置會先嘗試 Link Layer Discovery Protocol (LLDP) 試圖取得虛擬區域網路 (VLAN) ID,若無法取得,就會恢復使用動態主機設定通訊協定 (DHCP)。

note附註:
若裝置無法取得 VLAN ID,啟動載入程序就會繼續。

接下來,裝置就會使用 DHCP 來取得 IP 位址,並查詢網域名稱系統 (DNS) 以取得 Lync Server SIP 的 SRV 記錄,然後解析該記錄以取得網域名稱。Web 伺服器名稱,ucupdates-r2,則會加到網域之前,以提供裝置更新 Web 服務的完整網域名稱 (FQDN)。然後,裝置會查詢 DNS A 記錄,以取得裝置更新 Web 服務的 FQDN,並查詢裝置更新 Web 服務以取得更新。若有更新,裝置就會將其從裝置更新 Web 服務存放區取出,並加以套用然後重新開機。重新開機之後,裝置就會查詢 DHCP 以探索 Web 服務 URL 與 Director 的 FQDN。裝置也能透過查詢 DNS SRV 記錄,來判定 Director 的 FQDN。

使用者開始登入時,驗證程序就會開始。裝置即會下載 Web 服務的根憑證簽發者鏈結 (若之前已取得的話) 然後透過 TLS 連線至 Web 伺服器,並使用該鏈結驗證伺服器的憑證。即會將憑證和鏈結儲存在裝置上,以供未來使用。

裝置會驗證,如下所示般提供憑證並使用 TLS 進行通訊:

  • 新 IP 電話 (Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600 和 Polycom CX3000) 會提供 PIN 碼以及電話號碼或分機。

  • 舊款 IP 電話 (Polycom CX700 IP 電話機) 會提供使用者名稱、網域名稱以及密碼。

    note附註:
    Aastra 6725ip、HP 4120、Polycom CX600、Polycom CX700 和 Polycom CX3000 也可讓使用者用 USB 纜線將裝置機連線到電腦,以進行登入。

Web 服務會透過登錄器來查閱使用者與使用者主集區,以檢查憑證。若憑證正確,裝置就會要求使用者的憑證,其會傳回到裝置也會發佈到使用者存放區。裝置會利用使用者的憑證來驗證登入要求以及所有與登錄器的後續 SIP 通訊。

下列邏輯是用來判定要使用哪個登錄器 FQDN (亦即 DHCP 或 DNS 所傳回的 FQDN)。在這個邏輯中,會嘗試每個記錄直到其中一個成功為止。在 Lync Server Standard Edition 中,記錄會自動發佈,而在前端集區中,您必須手動發佈記錄。這個 A 記錄應該指向前端集區的虛擬 IP (VIP)。

  1. 內部 DNS SRV (TLS)

  2. DHCP 位址 (TLS)

  3. 內部 DNS SRV (TCP)

  4. DHCP 位址 (TCP)

  5. 外部 DNS (TLS)

  6. 外部 DNS (TCP)

最後,裝置會利用 SIP REGISTER 要求連線至登錄器,並利用使用者憑證來驗證通訊。這個登入是所有 SIP 通訊的開始。

外部 IP 電話的連線程序

外部 IP 電話首先要能成功進行內部連線後,才能順利連線。公司網路外部的裝置連線程序會依據其內部連線所使用的驗證方法而有所差異。

a916ffc0-2dc1-4921-8793-e4c09dae6a09

Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600 和 Polycom CX3000 的使用者必須成功驗證並登入內部登錄器,以取得裝置更新 Web 服務的 FQDN (當使用者登入 Lync Server 時由頻內佈建所提供)、Web 服務簽發者憑證鏈結與服務憑證,以及使用者的憑證,這些都是外部連線成功的必要項目。

Polycom CX700 的使用者必須成功內部登入,裝置才能取得來自頻內佈建的外部裝置更新 Web 服務的 FQDN。裝置不需要使用憑證驗證,即可完成這個動作;NTLM 驗證已足夠。

或者,如果無法取得裝置更新 Web 服務位址,裝置會繼續處理並嘗試驗證與登入。成功登入後,裝置就能取得執行裝置更新 Web 服務之伺服器的 FQDN,並加以解析以查詢更新。

使用 NTLM 驗證內部登入的外部 Polycom CX700

已使用 NTLM 驗證成功內部登入的外部 Polycom CX700,會先嘗試使用本機 (外部) DHCP 取得 IP 位址。之後,裝置會查詢 DNS,提供 FQDN 值以找出執行裝置更新 Web 服務之伺服器的位址,然後查詢更新。如果有可以使用的更新,裝置就會下載更新、加以安裝,然後重新啟動。

重新啟動後,裝置就會再次取得 IP 位址並查詢裝置更新 Web 服務以取得更新。這時候,應該就不需要其他更新,因此裝置會查詢 DNS SRV,以取得企業的登錄器 FQDN。取得之後,裝置就會查詢對應的 A 記錄。

接下來,裝置就會使用 NTLM 作為憑證來連線與驗證。登錄器會確認驗證並傳回使用者的主集區與 SIP URI。然後,裝置會傳送 SIP REGISTER 要求以登入,登錄器即可在 ACK 回應中傳回 Web 服務的 FQDN。

這時候,裝置會連線至 Web 服務並再次取得 Web 伺服器的憑證鏈結。取得之後,裝置會先嘗試透過 TCP 來驗證,這時會受到拒絕,因為外部網路的 Web 服務需要安全的通訊,然後裝置就會採用 TLS。Web 服務會回應 TLS 查詢,並提供 Web 伺服器憑證以作為其認證。透過使用之前下載的憑證鏈結,裝置就可以驗證 Web 服務,並傳送 getAndPublish 要求。Web 服務會為裝置上的使用者產生憑證,將其發佈至使用者存放區,並傳回至裝置。

從這時候開始,裝置就可以使用憑證驗證 (建議的方法),由於已具備所需的憑證,裝置就會使用憑證驗證來進行後續的連線要求。

使用憑證驗證內部登入的外部 Aastra 6725ip、HP 4120、Polycom CX600 以及 Polycom CX700

在這種情況下,啟動時,外部裝置會先嘗試使用本機 (外部) DHCP 伺服器取得 IP 位址。之後,裝置會查詢 DNS,提供 FQDN 值 (之前使用內部佈建所取得) 以取得裝置更新 Web 服務的位址,然後查詢更新。如果有可以使用的更新,裝置就會下載更新、加以安裝,然後重新啟動。

重新啟動之後,裝置就會再次進行 IP 位址擷取程序,然後傳送 TLS 驗證要求給 Web 服務,並提供使用者憑證以作為其認證。如果 Web 服務可以驗證使用者,回應就會成功,且裝置會傳送 SIP REGISTER 要求至外部登錄器位址,並提供使用者的個人識別碼 (PIN) 以及電話號碼/分機以作為認證。

如需外部使用者存取的詳細資料,請參閱<規劃>文件中的<規劃外部使用者存取>。

啟動載入程序

在 IP 電話開機並連線至公司網路時,啟動載入程序如下:

tip提示:
其中每個階段都可能發生問題,這些問題會依據裝置是位於組織防火牆的內部或外部而所有差異,而 IP 電話是新或舊款也會有所影響。若要了解此程序期間會發生的問題,請參閱下列主題。

  1. 尋找 VLAN 識別碼

  2. 取得 IP 位址

  3. 尋找裝置更新 Web 服務

  4. 檢查更新

  5. 取得登錄器 FQDN 和 Web 服務 URL

  6. 連線至 Web 服務和下載根 CA 憑證鏈結

  7. 驗證程序

  8. 接收及發佈憑證

  9. 登入 Lync Server