将CUCM服务器定义从IP地址或主机名更改为FQDN格式
简介
本文档介绍如何将Cisco Unified Communications Manager(CUCM)集群的定义从IP地址或主机名格式更改为完全限定域名(FQDN)格式的过程。
背景
CUCM可以选择是使用IP地址还是域名服务(DNS),以便在节点之间以及与终端通信。
对于10.x之前的系统,建议不要使用DNS依赖,除非特定设计或要求需要它。
从CUCM 10.x开始,由于CUCM与Cisco Unified Communications Manager IM & Presence Service(IM&P)之间紧密集成,建议已更改。虽然在基本IP电话部署中不使用DNS,但是使用完全限定的域名而不是IP地址已成为一些关键功能的必备条件:
- 单点登录(SSO)
- 需要用户注册自动发现的Jabber部署
- 用于安全信令和媒体的基于证书的安全
要设置安全连接,客户端需要验证提供证书的服务器的身份。
客户端分两步执行验证:
- 第一步,客户端通过查看其信任库来检查服务器证书是否受信任。如果此身份证书或用于签署身份证书的证书颁发机构证书存在于客户端的信任库中,则证书被视为受信任。
- 在第二步中,客户端根据本地客户端配置中服务器的身份检查证书中服务器的身份。换句话说,客户端会验证 证书中的服务器名称和连接请求相同。
证书中服务器的标识源自收到的证书的公用名称属性(CN)或使用者备用名称(SAN)属性。
本地配置中服务器的标识源自通过简单文件传输协议(TFTP)和/或用户数据服务(UDS)交互下载的设备配置文件。TFTP和UDS服务从数据库处理节点表派生此配置。可在CM Administration > System > Server Web页中配置。
请勿将CM管理>系统>服务器页与操作系统管理>设置> IP以太网混淆,其中配置了服务器的网络参数。操作系统管理页的参数会影响服务器的实际网络配置;主机名或域更改会导致节点的所有证书重新生成。CM Administration页面的设置定义,CUCM如何通过配置文件或UDS向终端通告自身。更改此设置不需要重新生成证书。此设置必须与节点的以下网络参数之一匹配:IP地址、主机名或FQDN。
例如,您的终端安全地连接到server.mydomain.com。它会查看收到的证书,并验证此证书中是否存在“server.mydomail.com”作为CN或SAN。如果检查失败,连接将失败,或最终用户收到弹出消息,要求接受不受信任的证书,具体取决于客户端功能。由于证书中的CN和SAN通常具有FQDN格式,因此,如果要避免这些弹出窗口或连接失败,您需要将服务器定义从IP地址更改为FQDN格式。
先决条件
要求
使用的组件
本文档中的信息基于以下软件和硬件版本:
- CUCM 10.X或更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
步骤
更改前任务
在配置之前,强烈建议确保满足必备条件。
步骤1.检查DNS配置。
从CUCM CLI运行这些命令,确保已配置DNS服务,并且可以在本地和外部解析节点名称的FQDN条目。
admin:show network eth0
<omitted for brevity>
DNS
Primary : 10.48.53.194 Secondary : Not Configured
Options : timeout:5 attempts:2
Domain : mydomain.com
Gateway : 10.48.52.1 on Ethernet 0
admin:utils network host cucm105pub.mydomain.com
Local Resolution:
cucm105pub.mydomain.com resolves locally to 10.48.53.190
External Resolution:
cucm105pub.mydomain.com has address 10.48.53.190
admin:
步骤2.网络诊断测试。
确保网络诊断测试通过运行此CLI命令。
admin:utils diagnose module validate_network
Log file: platform/log/diag3.log
Starting diagnostic test(s)
===========================
test - validate_network : Passed
Diagnostics Completed
步骤3.终端的DHCP配置。
确保已注册电话能够执行DNS解析,所需的动态主机配置协议(DHCP)配置已添加。
步骤4.数据库复制。
确保CUCM数据库复制正常工作。所有节点的群集复制状态必须为2。
admin:utils dbreplication runtimestate
<output omitted for brevity>
Cluster Detailed View from cucm105pub (2 Servers):
PING DB/RPC/ REPL. Replication REPLICATION SETUP
SERVER-NAME IP ADDRESS (msec) DbMon? QUEUE Group ID (RTMT) & Details
----------- ---------- ------ ------- ----- ----------- ------------------
cucm105pub 10.48.53.190 0.027 Y/Y/Y 0 (g_2) (2) Setup Completed
cucm105sub1 10.48.53.191 0.292 Y/Y/Y 0 (g_3) (2) Setup Completed
步骤5.备份。
运行当前设置的思科灾难恢复系统(DRS)备份。
配置
在Cisco Unified CM管理网页中,将IP地址(或主机名)从IP地址更改为FQDN格式。
步骤1.导航至System > Server,并将Host Name/IP Address字段从IP地址更改为FQDN。
主机名可以从show status获取,域可以从show network eth0命令输出获取。
步骤2.对所列的所有CUCM服务器重复步骤1。
步骤3.要更新配置文件,请在所有CUCM节点上重新启动Cisco TFTP服务。
步骤4.要将更新的配置文件推送到已注册的设备,请在所有CUCM节点上重新启动Cisco Callmanager服务。
验证
确保所有终端成功向CUCM节点重新注册。
这可以通过实时监控工具(RTMT)帮助实现。
如果通过SIP、SCCP、MGCP协议与其他服务器集成,则可能需要在第三方服务器上进行一些配置。
确保更改成功传播到CUCM集群中的所有节点,并且所有节点的输出相同。
在所有节点上执行此命令。
admin:run sql select name,nodeid from processnode
name nodeid
======================== ======
EnterpriseWideData 1
cucm105pub.mydomain.com 2
cucm105sub1.mydomain.com 3
imp105.mydomain.com 7
反馈