تكوين الوصول أثناء التنقل والوصول عن بعد من خلال Expressway/VCS في عملية نشر متعددة المجالات

المقدمة

يصف هذا المستند كيفية تكوين خادم إتصالات الفيديو (VCS) لنظام TelePresence من Cisco للوصول عن بعد للجوال (MRA) عند إستخدام مجالات متعددة.

تم إعداد MRA عندما يكون هناك مجال واحد فقط وهو بسيط نسبيا، ويمكنك اتباع الخطوات التي تم توثيقها في دليل النشر. عندما يتضمن النشر مجالات متعددة، يصبح أكثر تعقيدا. هذا وثيقة ليس تشكيل مرشد، غير أن هو يصف السمة مهم عندما يتعدد مجال يكون تضمنت. يتم توثيق التكوين الرئيسي في دليل نشر Cisco TelePresence Video Communication Server (VCS).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

استعملت المعلومة أن يكون وصفت في هذا قسم in order to شكلت ال VCS.

الرسم التخطيطي للشبكة

هنا نظرة عامة قصيرة من مختلف مجال:

• domain1 - هذا هو مجال Edge الذي يتم إستخدامه من قبل العميل لاكتشاف موقع خادم Edge ومن خلاله يكتشف خدمة بيانات المستخدم (UDS).
  
  
• domain2 و domain3 - يتم إستخدام هذا الأمر لاكتشاف الخادم.
  
  
• domain4 - هذا هو مجال المراسلة الفورية والتواجد (IM&P) الذي يتم إستخدامه من قبل نظام الاتصالات الأساسي المتوسع (XCP) وحركة مرور بروتوكول المراسلات الممتدة والتواجد (XMPP).

منطقة تجاور

تتكون منطقة التقاطع من خادم التقاطع (ExpresswayE)، الموجود في المنطقة المنزوعة السلاح (DMZ)، وعميل التقاطع (ExpresswayC)، الموجود داخل الشبكة:

خادم تبادلي

يقع خادم Traversal في تكوين المنطقة على Expressway E:

عميل متداول

يقع عميل Traversal في تكوين المنطقة على Expressway C:

مجال الخدمات الصوتية

يقوم المستخدم دائما بتسجيل الدخول باستخدام userid@domain4، حيث يجب ألا يكون هناك أي فرق في تجربة المستخدم عند الدخول أو الخروج. هذا يعني أنه إذا كان المجال 1 مختلفا عن المجال 4، فيجب تكوين مجال الخدمات الصوتية في عميل Jabber. وذلك نظرا لاستخدام جزء المجال من تسجيل الدخول لاكتشاف خدمات Collaboration Edge باستخدام عمليات بحث سجلات الخدمة (SRV).

يقوم العميل بإجراء استعلام سجل SRV لنظام اسم المجال (DNS) ل _collab-edge._tls.<domain>. وهذا يعني ضمنا أنه عندما يكون المجال من معرف مستخدم تسجيل الدخول مختلفا عن المجال من Expressway E، فيجب عليك إستخدام تكوين مجال الخدمة الصوتية. يستخدم Jabber هذا التكوين لاكتشاف حافة التعاون و UDS.

هناك خيارات متعددة يمكنك إستخدامها لإكمال هذه المهمة:

1. أضف هذا كمعلمة عند تثبيت Jabber عبر واجهة خدمات الوسائط (MSI):
   
   

   msiexec /i CiscoJabberSetup.msi VOICE_SERVICES_DOMAIN=domain1 CLEAR=1

2. انتقل إلى ٪APPDATA٪ > Cisco > Unified Communications > Jabber > CSF > Config، وأنشئ هذا الملف Jabber-config-user.xml في الدليل:
   
   

   <?xml version="1.0" encoding="utf-8"?>
   <config version ="1.0">
    <Policies>
     <VoiceServicesDomain>domain1</VoiceServicesDomain>
    </Policies>
   </config>

   ملاحظة: هذه الطريقة تجريبية فقط وغير مدعومة رسميا من قبل Cisco.

3. قم بتحرير ملف jabber-config.xml. وهذا يتطلب أن يقوم العميل بتسجيل الدخول داخليا أولا. يمكن إستخدام منشئ ملف تكوين Jabber لهذا:
   
   

   <Policies>
     <VoiceServicesDomain>domain1</VoiceServicesDomain>
   </Policies>

4. كما يمكن تكوين عملاء Jabber للأجهزة المحمولة باستخدام مجال الخدمات الصوتية في المقدمة بحيث لا يحتاجون إلى تسجيل الدخول داخليا أولا. وهذا موضح في دليل النشر والتثبيت في فصل اكتشاف الخدمات. يجب إنشاء عنوان URL للتكوين الذي يحتاج المستخدم إلى النقر عليه:

   ciscojabber://provision?ServicesDomain=domain4&VoiceServicesDomain=domain1
   

ملاحظة: يلزم إستخدام مجال الخدمات الصوتية لأنه يجب عليك التأكد من إجراء البحث عن سجلات SRV الخاصة ب Collaboration Edge للمجال الخارجي (domain1).

سجلات DNS

يصف هذا القسم إعدادات التكوين لسجلات DNS الخارجية والداخلية.

خارجي

النوع	مدخل	تعقد العزم على
سجل SRV	_collab-edge._tls.domain1	ExpresswayE.domain1
سجل	ExpresswayE.domain1	ExpresswayE لعنوان IP

ومن المهم ملاحظة ما يلي:

• ترجع سجلات SRV اسم مجال مؤهل بالكامل (FQDN) وليس عنوان IP.
  
  
• يجب أن تطابق FQDN التي يتم إرجاعها بواسطة سجلات SRV FQDN الفعلية ل Expressway-E، أو أن هدف سجل SRV هو CNAME ويشير الاسم المستعار إلى خادم داخل نفس المجال مثل Expressway-E (في انتظار معرف تصحيح الأخطاء من Cisco CSCuo82526).

وهذا مطلوب لأن Expressway-E يقوم بتعيين ملف تعريف إرتباط على العميل ذي المجال الخاص به (domain1)، وإذا لم يتوافق ذلك مع المجال الذي تم إرجاعه بواسطة FQDN، فإن العميل لا يقبل هذا. يتم فتح معرف تصحيح الأخطاء من Cisco CSCuo83458 كتحسين لهذا السيناريو.

داخلي

النوع	مدخل	تعقد العزم على
سجل SRV	_Cisco-uds._tcp.domain1	cucm.domain3
سجل	cucm.domain3	CUCM لعنوان IP

نظرا لأنه قد تم تعيين مجال الخدمات الصوتية إلى domain1، يقوم Jabber بدمج domain1 في عنوان URL المحول لاكتشاف تكوين Collaboration Edge (get edge_config). وبمجرد تلقيها، يقوم Expressway-C بإجراء استعلام سجل UDS ل SRV للمجال 1 ويعيد السجلات الموجودة في الرسالة 200 OK.

النوع	مدخل	تعقد العزم على
SRV	_Cisco-uds._tcp.domain4	cucm.domain3
سجل	cucm.domain3	CUCM لعنوان IP

عندما يكون العميل على الشبكة، يلزم اكتشاف سجل UDS الخاص ب SRV للمجال 4.

مجالات SIP على Expressway-C

أنت ينبغي أضفت هذا جلسة بدء بروتوكول (SIP) مجال على ال Expressway-C ومكنت هم ل MRA:

خوادم CUCM الخاصة باسم المضيف/عنوان IP

عند تكوين خوادم Cisco Unified Communications Manager (CUCM)، هناك سيناريوهان:

• إذا تم تكوين Expressway-C (domain2) باستخدام نفس مجال خادم CUCM (domain3)، فيمكنك تكوين خوادم CUCM (النظام > الخوادم) باستخدام:
  
  
  • عنوان IP
  • اسم المضيف
  • FQDN
• إذا تم تكوين Expressway-C (domain2) بمجال مختلف عن خادم CUCM (domain3)، فيجب عليك تكوين خوادم CUCM باستخدام:
  
  
  • عنوان IP
  • FQDN

وهذا مطلوب لأنه عندما يكتشف Expressway-C خوادم CUCM ويعود اسم المضيف، فإنه يقوم بإجراء بحث DNS عن hostname.domain2، والذي لا يعمل إذا كان domain2 وdomain3 مختلفين.

الشهادات

بالإضافة إلى متطلبات الترخيص العامة، يجب إضافة بعض الأشياء إلى موضوع الأسماء البديلة (SAN) للشهادات:

• Expressway-C
  
  
  • يجب إضافة الأسماء المستعارة لعقدة الدردشة التي تم تكوينها على خوادم IM&P. هذا مطلوب فقط لعمليات نشر إتحاد XMPP للاتصالات الموحدة التي ترغب في إستخدام كل من أمان طبقة النقل (TLS) والدردشة الجماعية. تتم إضافة هذا تلقائيا إلى طلب توقيع الشهادة (CSR)، شريطة أن يكون قد اكتشف خوادم IM&P بالفعل.
    
    
  • يجب إضافة الأسماء، بتنسيق FQDN، لجميع ملفات تعريف أمان الهاتف في CUCM التي تم تكوينها ل TLS المشفرة واستخدامها للأجهزة التي تتطلب الوصول عن بعد.
    

    ملاحظة: لا يكون تنسيق FQDN مطلوبا إلا في حالة عدم سماح "المرجع المصدق" (CA) ببناء اسم المضيف في شبكة منطقة التخزين (SAN).

• Expressway-E
  
  
  • يجب إضافة المجال المستخدم لاكتشاف الخدمة (domain1). 
  • مجالات إتحاد XMPP.
  • يجب إضافة الأسماء المستعارة لعقدة الدردشة التي تم تكوينها على خوادم IM&P. وهذا مطلوب فقط لعمليات نشر إتحاد XMPP للاتصالات الموحدة التي ترغب في إستخدام كل من TLS والدردشة الجماعية. يمكن نسخ هذه من CSR الذي تم إنشاؤه على Expressway-C.

بطاقة واجهة شبكة (NIC) مزدوجة

يصف هذا القسم إعدادات التكوين عند إستخدام بطاقات واجهة الشبكة (NICs) المزدوجة.

واجهات

عند تكوين Expressway-E لاستخدام واجهات الشبكة المزدوجة، من المهم التأكد من تكوين كلا الواجهات واستخدامها.

عندما يتم تكوين إستخدام واجهات الشبكة المزدوجة بقيمة نعم، فإن Expressway-E تستمع فقط إلى الواجهة الداخلية لاتصال XMPP مع Expressway-C. وبالتالي، يجب عليك التأكد من تكوين هذه الواجهة وتشغيلها بشكل صحيح.

واجهة واحدة - عنوان IP العام

عندما يتم إستخدام واجهة واحدة فقط، وتقوم بتكوين Expressway-E باستخدام عنوان IP عام، يجب عدم أخذ أي اعتبارات خاصة.

واجهة واحدة - عنوان IP الخاص

عندما يستعمل فقط واحد قارن، وأنت يشكل Expressway-E مع عنوان خاص، أنت ينبغي شكلت الإستاتيكي شبكة عنوان ترجمة (NAT) عنوان أيضا:

وفي هذه الحالة، من المهم كفالة ما يلي:

• يسمح جدار الحماية ل Expressway-C بإرسال حركة مرور البيانات إلى عنوان IP العام. وهذا يعرف ب انعكاس nat.
  
  
• يتم تكوين منطقة عميل Traversal على Expressway-C باستخدام عنوان نظير يطابق عنوان NAT الثابت على Expressway-E، وهو 20.20.20.20 في هذه الحالة.

تلميح: يتوفر المزيد من المعلومات حول عمليات نشر الشبكة المتقدمة في الملحق 4 من دليل النشر ل Cisco TelePresence Video Communication Server Basic Configuration (Control with Expressway).

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

تمت تغطية بعض السيناريوهات المحددة في هذا القسم، ولكن يمكنك أيضا إستخدام Collaboration Solutions Analyzer (محلل حلول التعاون) الذي يوفر طريقة عرض تفصيلية لجميع الاتصالات الخاصة بمحاولات تسجيل الدخول إلى MRA ومعلومات أستكشاف الأخطاء وإصلاحها استنادا إلى سجلات التشخيص لديك.

منطقة تجاور

عندما شكلت النظير عنوان كعنوان IP أو النظير لا يطابق عنوان الإسم الشائع (CN)، أنت ترى هذا في السجلات:

Event="Outbound TLS Negotiation Error" Service="SIP" Src-ip="10.48.80.161"
Src-port="25697" Dst-ip="10.48.36.171" Dst-port="7001" Detail="Peer's TLS
certificate identity was unacceptable" Protocol="TLS" Common-name="10.48.36.171"

عندما تكون كلمة المرور غير صحيحة، سترى ذلك في سجلات Expressway-E:

Module="network.ldap" Level="INFO": Detail="Authentication credential found in
directory for identity: traversal"

Module="developer.nomodule" Level="WARN" CodeLocation="ppcmains/sip/sipproxy/
SipProxyAuthentication.cpp(686)" Method="SipProxyAuthentication::
checkDigestSAResponse" Thread="0x7f2485cb0700": calculated response does not
match supplied response, calculatedResponse=769c8f488f71eebdf28b61ab1dc9f5e9,
response=319a0bb365decf98c1bb7b3ce350f6ec

Event="Authentication Failed" Service="SIP" Src-ip="10.48.80.161"
Src-port="25723" Detail="Incorrect authentication credential for user"
Protocol="TLS" Method="OPTIONS" Level="1"

بطاقة واجهة شبكة (NIC) مزدوجة

عند تمكين بطاقة واجهة شبكة (NIC) مزدوجة ولكن لا يتم إستخدام الواجهة الثانية أو توصيلها، فلا يمكن ل Expressway-C الاتصال ب Expressway-E لاتصال XMPP على المنفذ 7400، وتظهر سجلات Expressway-C هذا:

xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,843" ThreadID=
"139747212576512" Module="Jabber" Level="INFO " CodeLocation="mio.c:1109"
Detail="Connecting on fd 28 to host '10.48.36.171', port 7400"xwayc 

XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID="139747212576512"
Module="Jabber" Level="ERROR" CodeLocation="mio.c:1121" Detail="Unable to
connect to host '10.48.36.171', port 7400:(111) Connection refused"

xwayc XCP_JABBERD[23843]: UTCTime="2014-03-25 17:19:45,847" ThreadID=
"139747406935808" Module="Jabber" Level="ERROR" CodeLocation=
"base_connection.cpp:104" Detail="Failed to connect to component
jabberd-port-1.expresswayc-vngtp-lab"

DNS

عندما لا تتطابق FQDN التي يتم إرجاعها بواسطة البحث عن سجل SRV لحافة التعاون مع FQDN الذي تم تكوينه على Expressway-E، تظهر سجلات Jabber هذا الخطأ:

WARNING [9134000] - [csf.edge][executeEdgeConfigRequest] XAuth Cookie expiration
time is invalid or not available. Attempting to Failover.

DEBUG [9134000] - [csf.edge][executeEdgeConfigRequest]Failed to retrieve
EdgeConfig with error:INTERNAL_ERROR

في سجلات التشخيص الخاصة ب Expressway-E، يمكنك أن ترى المجال الذي تم تعيين ملف تعريف الارتباط له في رسالة HTTPS:

Set-Cookie: X-Auth=1e1111e1-dddb-49e9-ad0d-ab34526e2b00; Expires=Fri,
09 May 2014 20:21:31 GMT; Domain=.vngtp.lab; Path=/; Secure

مجالات SIP

عند عدم إضافة مجالات SIP المطلوبة على Expressway-C، لا يقبل Expressway-E الرسائل الخاصة بهذا المجال وفي سجلات التشخيص، ترى الرسالة 403 المحظورة التي يتم إرسالها إلى العميل:

ExpresswayE traffic_server[15550]:
Module="network.http.trafficserver" Level="DEBUG": Detail="Sending Response"
Txn-id="2" Dst-ip="10.48.79.80" Dst-port="50314"
HTTPMSG:
|HTTP/1.1 403 Forbidden
Date: Wed, 21 May 2014 14:31:18 GMT
Connection: close
Server: CE_E
Content-Length: 0

ExpresswayE traffic_server[15550]: Event="Sending HTTP error response"
Status="403" Reason="Forbidden" Dst-ip="10.48.79.80" Dst-port="50314"