Modifica definizione server CUCM da indirizzo IP o nome host al formato FQDN
Sommario
Introduzione
In questo documento viene descritta una procedura per modificare la definizione di un cluster Cisco Unified Communications Manager (CUCM) dal formato indirizzo IP o nome host al formato nome di dominio completo (FQDN).
Sfondo
CUCM dispone di un'opzione per scegliere se utilizzare indirizzi IP o DNS (Domain Name Service) per comunicare tra nodi ed endpoint.
Per i sistemi precedenti alla versione 10.x, si consigliava di non utilizzare la dipendenza DNS a meno che non fosse richiesta da specifiche progettazioni o requisiti.
A partire dalla versione 10.x di CUCM a causa della stretta integrazione tra CUCM e il servizio IM & Presence (IM&P) di Cisco Unified Communications Manager, questa raccomandazione è cambiata. Sebbene non sia ancora possibile utilizzare il DNS nelle distribuzioni di base della telefonia IP, l'utilizzo di nomi di dominio completi al posto degli indirizzi IP è diventato un requisito per il funzionamento di alcune funzionalità chiave:
- Single Sign-On (SSO)
- Distribuzioni Jabber che richiedono il rilevamento automatico della registrazione dell'utente
- Sicurezza basata su certificati per la segnalazione e i supporti sicuri
Per impostare una connessione protetta, un client deve verificare l'identità del server che presenta il certificato.
Il client esegue la convalida in due passaggi:
- Nel primo passaggio il client verifica se il certificato del server è attendibile esaminando il relativo archivio di attendibilità. Se il certificato di identità o il certificato dell'autorità di certificazione utilizzato per firmare il certificato di identità è presente nell'archivio di attendibilità del client, il certificato viene considerato attendibile.
- Nel secondo passaggio il client controlla l'identità del server nel certificato rispetto all'identità del server nella configurazione del client locale. In altre parole, il client verifica che il nome del server nel certificato e la richiesta di connessione sono uguali.
L'identità del server nel certificato deriva dall'attributo CN (Common Name) o SAN (Subject Alternative Name) del certificato ricevuto.
L'identità del server nella configurazione locale deriva dal file di configurazione del dispositivo scaricato tramite il protocollo TFTP (Trivial File Transfer Protocol) e/o dalle interazioni UDS (User Data Services). I servizi TFTP e UDS derivano questa configurazione dalla tabella processnode del database. Può essere configurato nella pagina Web Amministrazione CM > Sistema > Server.
Non confondere Amministrazione CM > Sistema > Pagina Server, in cui vengono definiti i server, con Amministrazione SO > Impostazioni > Ethernet IP, in cui vengono configurati i parametri di rete per i server. I parametri nella pagina Amministrazione SO influiscono sulla configurazione di rete effettiva del server; la modifica del nome host o del dominio determina la rigenerazione di tutti i certificati per il nodo. Le impostazioni nella pagina Amministrazione di CM definiscono il modo in cui CUCM si annuncia agli endpoint tramite i file di configurazione o UDS. La modifica di questa impostazione non richiede la rigenerazione dei certificati. Questa impostazione deve corrispondere a uno dei seguenti parametri di rete del nodo: Indirizzo IP, nome host o FQDN.
Ad esempio, l'endpoint si connette in modo sicuro a server.mydomain.com. Controlla il certificato ricevuto e verifica se "server.mydomail.com" è presente nel certificato come CN o SAN. Se il controllo non riesce, la connessione non riesce o un utente finale riceve un messaggio popup in cui viene richiesto di accettare un certificato non attendibile, a seconda delle funzionalità client. Poiché i CN e le SAN nei certificati in genere hanno il formato FQDN, è necessario modificare la definizione del server da indirizzo IP a formato FQDN, se si desidera evitare questi popup o errori di connessione.
Prerequisiti
Requisiti
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- CUCM 10.X o superiore
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Procedura
Task precedenti alla modifica
Prima di procedere alla configurazione, si consiglia di verificare che i prerequisiti siano soddisfatti.
Passaggio 1. Controllare la configurazione DNS.
Eseguire questi comandi dalla CLI di CUCM per verificare che il servizio DNS sia configurato e che le voci FQDN per i nomi di nodo possano essere risolte sia localmente che esternamente.
admin:show network eth0
<omitted for brevity>
DNS
Primary : 10.48.53.194 Secondary : Not Configured
Options : timeout:5 attempts:2
Domain : mydomain.com
Gateway : 10.48.52.1 on Ethernet 0
admin:utils network host cucm105pub.mydomain.com
Local Resolution:
cucm105pub.mydomain.com resolves locally to 10.48.53.190
External Resolution:
cucm105pub.mydomain.com has address 10.48.53.190
admin:
Passaggio 2. Test di diagnostica di rete.
Verificare che il test di diagnostica di rete venga superato eseguendo questo comando CLI.
admin:utils diagnose module validate_network
Log file: platform/log/diag3.log
Starting diagnostic test(s)
===========================
test - validate_network : Passed
Diagnostics Completed
Passaggio 3. Configurazione DHCP per gli endpoint.
Verificare che la configurazione DHCP (Dynamic Host Configuration Protocol) necessaria sia stata aggiunta per consentire ai telefoni registrati di eseguire la risoluzione DNS.
Passaggio 4. Replica del database.
Verificare che la replica del database CUCM funzioni. Lo stato di replica del cluster deve essere 2 per tutti i nodi.
admin:utils dbreplication runtimestate
<output omitted for brevity>
Cluster Detailed View from cucm105pub (2 Servers):
PING DB/RPC/ REPL. Replication REPLICATION SETUP
SERVER-NAME IP ADDRESS (msec) DbMon? QUEUE Group ID (RTMT) & Details
----------- ---------- ------ ------- ----- ----------- ------------------
cucm105pub 10.48.53.190 0.027 Y/Y/Y 0 (g_2) (2) Setup Completed
cucm105sub1 10.48.53.191 0.292 Y/Y/Y 0 (g_3) (2) Setup Completed
Passaggio 5. Backup.
Eseguire il backup Cisco Disaster Recovery System (DRS) dell'installazione corrente.
Configurazione
Modificare l'indirizzo IP (o il nome host) dal formato indirizzo IP al formato FQDN nella pagina Web di amministrazione Cisco Unified CM.
Passaggio 1. Passare a Sistema > Server e modificare il campo Nome host/Indirizzo IP da Indirizzo IP a FQDN.
È possibile ottenere il nome host dallo stato show e il dominio dall'output del comando show network eth0.
Passaggio 2. Ripetere il passaggio 1 per tutti i server CUCM elencati.
Passaggio 3. Per aggiornare i file di configurazione, riavviare il servizio Cisco TFTP su tutti i nodi CUCM.
Passaggio 4. Per eseguire il push dei file di configurazione aggiornati negli switch registrati, riavviare il servizio Cisco Callmanager su tutti i nodi CUCM.
Verifica
Verificare che tutti gli endpoint siano stati registrati correttamente con i nodi CUCM.
A tale scopo, è possibile utilizzare l'utilità di monitoraggio in tempo reale (RTMT).
In caso di integrazione con altri server tramite protocolli SIP, SCCP e MGCP, potrebbe essere necessaria una certa configurazione sui server di terze parti.
Verificare che la modifica venga propagata correttamente a tutti i nodi nel cluster CUCM e che l'output sia lo stesso in tutti i nodi.
Eseguire questo comando su tutti i nodi.
admin:run sql select name,nodeid from processnode
name nodeid
======================== ======
EnterpriseWideData 1
cucm105pub.mydomain.com 2
cucm105sub1.mydomain.com 3
imp105.mydomain.com 7
Informazioni correlate
Feedback