In den meisten Umgebungen wird dieser Fehler nicht auftreten. Abhängig von ihrer Umgebung wird währen der Anmeldung eventuell die folgende Fehlermeldung angezeigt.
Sie fragen sich sicherlich warum?
Hintergrund
Microsoft Lync 2010 hat eine erweiterte Vertrauensüberprüfung für die automatische suche des Lync oder Exchange Servers hinzugefügt. Diese erweiterte Überprüfung wurde hinzugefügt um einen zusätzlichen Schutz gegen DNS Spoofing Angriffe zu gewährleisten. Server werden automatisch nach dem SRV oder Host A DNS Eintrag, basierend auf der SIP URI oder der primären SMTP Domain Adresse als auch über DHCP mit der Option 120. Servern welche manuell im Lync Client eingetragen werden, wir automatisch vertraut, da diese ja manuell eingetragen wurden. Dasselbe trifft auch für Lync Server zu, welche zu anderen Servern weitergeleitet werden, deren Domänen vertraut wird.
Vertrauen überprüfen
Wenn Lync einen Server über DNS gefunden hat, wird dieser gegen die Liste der vertrauten Domains geprüft. Wenn diese Überprüfung erfolgreich war, wird diesem Server vertraut und die Verbindung hergestellt. Ist diese Überprüfung nicht erfolgreich, kann der Benutzer Entscheiden diesem Zertifikat zu vertrauen oder auch nicht. Der Benutzer kann also entscheiden sich zu verbinden oder den Anmeldevorgang abzubrechen.
Die Liste der vertrauenswürdigen Server wird nach Folgenden Regeln erstellt:
- Jede vertrauenswürdige Domäne (als vertrauenswürdig manuell erstellt)
- Die Benutzer SIP URI Domäne via AD als Standard Sign-in oder manuell konfiguriert
- Die Domäne des Lync Servers, an welche sich Lync als letztes erfolgreich angemeldet hat
Lync überprüft den Server gegen die Liste der sicheren Server. Es wird geprüft, ob der Server ein Mitglied der Domäne oder einer entsprechenden Sub Domäne ist.
Beispiele
Es ist sicherlich einfacher, das Ganze anhand der folgenden Beispiele zu verstehen:
- Die SIP URI des Benutzers ist Holger@bunkradt.com
- Server.contoso.com ist ein Lync SE Server in der Umgebung
- Es gibt einen DNS A Eintrag für den Server contoso.com mit der IP Adresse 192.168.0.10
- Es gibt einen DNS SRV Eintrag _sipinternaltls._tcp.bunkradt.com mit dem Ziel server.contoso.com auf Pot 5061
- Der Benutzer hat sich noch nie mit dem Lync Server von diesem PC verbunden
- Automatische Konfiguration in Lync ist aktiviert.
In der oben beschriebenen Umgebung enthält die Liste der vertrauenswürdigen Domänen bunkradt.com. Wenn Holger sich mit Lync anmeldet wird der SRV Eintrag _sipinternaltls._tcp.bunkradt.com gefunden und Lync wird versuchen sich an server.contoso.com über Port 5061 anzumelden. Bevor dies aber passiert, überprüft Lync den Server anhand der Liste für vertrauenswürdige Domänen. Diese Überprüfung schlägt fehl und die oben gezeigte Warnmeldung dem Benutzer angezeigt.Nun ändern wir die Konfiguration wie folgt:
- Die SIP URI des Benutzers ist Holger@bunkradt.com
- server.contoso.com is der Lync Director in der Umgebung
- Es gibt einen DNS A Eintrag für den Server contoso.com mit der IP Adresse 192.168.0.10
- Es gibt einen DNS SRV Eintrag _sipinternaltls._tcp.bunkradt.com mit dem Ziel sip.bunkradt.com auf Port 5061
- Es gibt einen DNS A Eintrag für sip.bunkradt.com mit der IP Adresse 192.168.0.10
- Der Benutzer hat sich noch nie mit dem Lync Server von diesem PC verbunden
- Automatische Konfiguration in Lync ist aktiviert
Die Liste der vertrauenswürdigen Domänen ist weiterhin bunkradt.com. Wenn Holger sich an Lync anmeldet wird der DNS SRV Eintrag _sipinternaltls._tcp.bunkradt.com gefunden und Lync versucht sich an sip.bunkradt.com mit Port 5061 anzumelden. Bevor dies aber passiert, überprüft Lync den Server anhand der Liste für vertrauenswürdige Domänen. Diese Überprüfung ist erfolgreich und die oben gezeigte Warnmeldung wird nicht angezeigt. Es wird nun das Zertifikat des Directors überprüft, ob darin auch der FQDN sip.bunkradt.com enthalten istNun fügen wir auch noch die automatische Suche für den Exchange Server hinzu:
- Die SIP URI des Benutzers ist Holger@bunkradt.com
- Holger hat ein Exchange 2010 Postfach mit der primären SMTP Adresse Holger@bunkradt.de
- Der DNS A Eintrag für autodiscover.bunkradt.de mit der IP Adresse 192.168.0.20
- Der DNS A Eintrag für cas.bunkradt.de mit der IP Adresse 192.168.0.20
- Der Exchange 2010 Client Access Server läuft auf cas.bunkradt.com
- server.bunkrad.com ist der Lync Director in dieser Umgebung
- Der DNS A Eintrag für server.bunkradt.com mit der Adresse 192.168.0.10
- Der DNS SRV Eintrag _sipinternaltls._tcp.bunkradt.com zeigt auf sip.bunkradt.com Port 5061
- Der DNS A Eintrag für sip.bunkradt.com mit der IP Adresse 192.168.0.10
- Der Benutzer hat sich noch nie mit dem Lync Server von diesem PC verbunden
- Automatische Konfiguration in Lync ist aktiviert
Die Liste der vertrauenswürdigen Domänen ist weiterhin bunkradt.com. Wenn Holger sich an Lync anmeldet, will Lync auch den Exchange Autodiscover Dienst abfragen, um Informationen über Holgers Postfach abzufragen. Es wird dafür die Primäre SMTP Adresseichen. verwendet. Lync versucht diese beiden URLs https://bunkradt.de/autodiscover/autodiscover.xml und https://autodiscover.bunkradt.de/autodiscover/autodiscover.xml zu erreichen. In unserem Fall wird der DNS A Eintrag für autodiscover.bunkradt.de gefunden und Lync überprüft die Liste der vertrauenswürdigen Domänen. Diese Überprüfung schlägt fehl und es wird dem Benutzer eine Warnmeldung für autodiscover.bunkradt.de angezeigt.Nun ändern wir die Konfiguration wie folgt:
- Die SIP URI des Benutzers ist Holger@bunkradt.com
- Holger hat ein Exchange 2010 Postfach mit der primären SMTP Adresse Holger@bunkradt.de
- Der DNS SRV Eintrag für _autodiscover._tcp.bunkradt.de zeigt auf autodiscover.bunkradt.com on Port 443
- Der DNS A Eintrag für autodiscover.bunkradt.com mit IP Adresse 192.168.0.20
- Der DNS A Eintrag für cas.bunkradt.de mit der IP Adresse 192.168.0.20
- Der Exchange 2010 Client Access Server läuft auf cas.bunkradt.com
- server.bunkrad.com ist der Lync Director in dieser Umgebung
- Der DNS A Eintrag für server.bunkradt.com mit der Adresse 192.168.0.10
- is a DNS SRV record _sipinternaltls._tcp.fabrikam.com with target sip.fabrikam.com on port 5061
- Der DNS A Eintrag für sip.bunkradt.com mit der IP Adresse 192.168.0.10
- Der Benutzer hat sich noch nie mit dem Lync Server von diesem PC verbunden
- Automatische Konfiguration in Lync ist aktiviert
Die Liste der vertrauenswürdigen Domänen ist hier bunkradt.com. Wenn Holger sich an Lync anmeldet, wird Lync versuchen sich mit dem Exchange Autodiscover Dienst zu verbinden. Dies wird fehlschlagen, da es keinen Host A Eintrag für autodiscover.bunkradt.de gibt. Lync wird dann versuchen den SRV Eintrag ._autodiscover._tcp.bunkradt.de zu finden und bekommt als Ziel autodiscover.bunkradt.com zurück. Lync überprüft dann autodiscover.bunkradt.com gegen die Liste der vertrauenswürdigen Domänen erfolgreich. Es wird also keine Warnmeldung wie oben gezeigt zum User erfolgen.
Wenn sie also die automatische Suche für Lync und Exchange über DNS konfigurieren, berücksichtigen sie am besten folgende Ratschläge:
- Stellen Sie sicher, dass das Ziel eines SRV Eintrags, auf jeden Fall zu der Liste der Vertrauenswürdigen Domänen nach den obigen Regeln gehört
- Stellen Sie sicher, dass jeder SRV Eintrag auf einen Host A Eintrag verweist. Die Verwendung von CNAME Einträgen als Ziel wird nicht durch Lync unterstützt. (RFC2782)
- Stellen sie sicher, dass das Zertifikat für Lync und Exchange alle FQDN’s der im SRV eingetragenen Ziele enthält. Ansonsten kann Lync keine TLS Verbindung herstellen.
