Eén van de mogelijkheden van Lync is het aanbieden van de IM, Web Conference en A/V services via de Edge Server aan het internet. Dit kan natuurlijk ook voor de nodige problemen zorgen:
- clients kunnen geen verbinding maken;
- clients kunnen niet deelnemen aan een Web Conference;
- clients kunnen geen audio/video gesprekken met elkaar voeren;
Maar waar moet je in dit geval beginnen met troubleshooten? Als eerst dien je natuurlijk te kijken of alle clients hier last van hebben of slechts één client. In dit laatste geval is het natuurlijk het meest logisch als je specifiek op deze client gaat kijken of er geen firewall o.i.d. geïnstalleerd staat. Als er namelijk poorten worden geblokkeerd door deze client zou dit goed het probleem kunnen veroorzaken.
Als het probleem zich bij alle clients voordoet zul je je moeten concentreren op de Lync Servers. Hier zul je ook weer moeten kijken wat het probleem is, dit bepaald namelijk op welke server je begint met troubleshooten.
Wanneer clients vanaf het lokale netwerk wel kunnen connecteren dan zijn er een paar mogelijkheden die onderzicht dienen te worden:
- niet alle services zijn gestart;
- de policy verbiedt het de gebruiker om connectie te maken vanaf remote;
- de benodigde firewall poorten staan niet open;
- de certificaten zijn niet correct geconfigureerd;
Niet alle services zijn gestart
Om gebruik te maken van alle functionaliteiten vanaf extern dienen uiteraard alle services op de Edge Server gestart te zijn. In OCS 2007 R2 waren dit er 4, in Lync zijn het er 5:
- Lync Server Access Edge
- Lync Server Audio/Video Authentication
- Lync Server Audio/Video Edge
- Lync Server Replica Replicator Agent
- Lync Server Web Conferencing Edge
Wanneer bijvoorbeeld de Access Edge niet draait zal het niet mogelijk zijn voor gebruikers om in te loggen. Draaien de Audio/Video Authentication & Edge service niet dan zullen er geen audio/video gesprekken mogelijk zijn tussen gebruikers vanaf extern met gebruikers intern.
Wanneer er replicatie wordt toegestaan vanaf het LAN naar de Edge Server t.b.v. configuratie wijzigingen kan het niet draaien van de Replica Replicator Agent voor vreemde problemen zorgen. Deze service is er namelijk voor verantwoordelijk om configuratie wijzigingen door te voeren op de Edge Server en dit vervolgens terug te rapporten aan de Central Managent Store.
Policy staat geen remote connectie toe
Wanneer je via het Lync Control Panel naar de optie external user access gaat en dan de tab Access Edge Confifugration selecteerd zul je standaard alleen de global policy vinden. Deze policy zal op alle gebruikers worden toegepast welke Lync enabled zijn. Met de policy optie genaamd remote user access kunnen we toestaan of gebruikers connectie mogen maken vanaf buiten het LAN. Indien je dit in de global policy zou aanpassen dan is dit dus van toepassing op alle Lync enabled gebruikers. Dit kan natuurlijk niet altijd gewenst zijn, indien je dit slechts voor een select gezelschap wilt inschakelen maak dan een aparte policy hiervoor aan, bijvoorbeeld een user policy.
Benodigde firewall poorten staan niet open
Omdat de Edge in de DMZ staat en deze verbindingen vanaf/naar het internet toe zal moeten staan vereist dit diverse aanpassingen in de firewall. Daarnaast zal er verkeer vanaf/naar het LAN toegestaan moeten worden. In onderstaande tabel is een overzicht te zien van deze poorten:
| van | naar | poort | protocol | opmerking | |
|---|---|---|---|---|---|
| internet | reverse proxy | 80 | TCP | Gebruikt om te inkomende connecties van externe gebruikers te accepteren | |
| internet | reverse proxy | 443 | TCP | Gebruikt voor het downloaden van meeting content, group expension en addressenboek | |
| reverse proxy | Front End Server(s) | 8080 | TCP | Gebruikt voor SIP/TLS communicatie met de Web Services op het interne netwerk | |
| reverse proxy | Front End Server(s) | 4443 | TCP | Gebruikt door de reverse proxy om te luisteren voor inkomende connecties op de interne interface | |
| internet | Edge Server(s) all external interfaces | 443 | TCP | Gebruikt door externe gebruiker om connectie te maken naar Lync t.b.v. Web Conferences en voorinkomende en uitgaande STUN/TCP connecties t.b.v. A/V sessies | |
| internet | Edge Server(s) | 5061 | TCP | bi-directional | Gebruikt voor SIP/MTLS verkeer tussen interne en externe, gefedereerde en PIC gebruikers |
| Edge Server(s) | Front End Server(s) | 5061 | TCP | bi-directional | Gebruikt voor SIP/MTLS verkeer tussen interne en externe, gefedereerde en PIC gebruikers |
| Edge Server(s) Web Conference Edge | Front End Server(s) Web Conference Servers | 8057 | TCP | Gebruikt voor PSOM/TLS communicatie | |
| Front End Server(s) | Edge Server(s) internal interface | 5062 | TCP | Gebruikt voor SIP/MTLS authenticatie van A/V gebruikers | |
| Edge Server(s) | Front End Server(s) | 3478 | UDP | bi-directional | Gebruikt voor inkomend/uitgaand STUN media Exchange verkeer |
| internet | Edge Server(s) | 50000 - 59999 | TCP/UDP | bi-directional | Gebruikt voor inkomende/uitgaande media transfer |
| Central Management Server | Edge Server(s) internal interface | 4443 | TCP | Gebruikt om cinfiguratie informatie te pushen |
Certificaten zijn niet correct geconfigureerd
Al het verkeer tussen de servers en de clients wordt beveiligd middels een certificaat. De internet certificaten worden in veel gevallen uitgegeven door interne Certificate Authority (CA). De certificaten voor de Access Edge, Web Conference Edge en voor het publiceren van de Front End middels een reverse proxy dienen van een 3rd party CA te zijn.
Er zijn een aantal dingen die je goed in de gaten moet houden met certificaten. Zeker in het geval je meerdere SIP domeinen gaat hosten.
In dit laatste geval zul je er namelijk voor moeten zorgen dat alle SIP domeinen worden geplaatst in het Subject Alternate Name (SAN) veld. Doe je dit niet dan zullen deze gebruikers met een SIP adres van dit domein niet in kunnen loggen vanaf het internet. In OCS 2007 R2 was het van belang dat de naam welke in het Subject veld gebruikt werd ook als eerste waarde opgegeven diende te worden in het SAN veld. Vanaf Lync is dit geen vereiste meer, zodra er een SAN veld aanwezig is op het certificaat zal het Subject veld genegeerd worden.
In deze blog hebben we een aantal oorzaken besproken welke kunnen resulteren in het niet kunnen verbinden met de Lync Edge Server. Naast deze oorzaken zijn er nog veel meer scenario’s te bedenken waarom dit niet zou werken. Misschien dat deze in een toekomstig blog nog worden besproken. Mocht je nog vragen/tips hebben laat het ons weten.
