將CUCM伺服器定義從IP地址或主機名更改為FQDN格式
簡介
本文檔介紹如何將Cisco Unified Communications Manager(CUCM)集群的定義從IP地址或主機名格式更改為完全限定域名(FQDN)格式。
背景
CUCM可以選擇使用IP地址還是域名服務(DNS),以便在節點之間以及與端點進行通訊。
對於10.x之前的系統,建議不要使用DNS依賴,除非特定設計或要求需要它。
從CUCM 10.x開始,由於CUCM與Cisco Unified Communications Manager IM & Presence Service(IM&P)之間的緊密整合,因此建議已更改。雖然基本IP電話部署中仍可以接受不使用DNS,但某些關鍵功能需要使用完全限定的域名而不是IP地址:
- 單一登入(SSO)
- 需要使用者註冊自動發現的Jabber部署
- 用於安全信令和媒體的基於證書的安全性
為了設定安全連線,客戶端需要驗證提供證書的伺服器的身份。
客戶端分兩個步驟執行驗證:
- 第一步,客戶端通過檢視其信任儲存來檢查伺服器證書是否受信任。如果此身份證書或證書頒發機構證書(用於對身份證書進行簽名)存在於客戶端的信任儲存中,則該證書被視為受信任。
- 在第二步中,客戶端根據本地客戶端配置中的伺服器標識檢查證書中伺服器的標識。換句話說,客戶端會驗證 證書和連線請求中的伺服器名稱相同。
證書中的伺服器標識源自所接收證書的公用名屬性(CN)或使用者替代名稱(SAN)屬性。
本地配置中的伺服器標識來自通過簡單檔案傳輸協定(TFTP)下載的裝置配置檔案和/或使用者資料服務(UDS)互動。TFTP和UDS服務從資料庫processnode表派生此配置。可以在CM Administration > System > Server網頁中配置。
請勿將「CM管理」>「系統」>「伺服器」頁(其中定義了伺服器)與「作業系統管理」>「設定」>「IP乙太網」(其中配置了伺服器的網路引數)相混淆。「作業系統管理」頁的引數會影響伺服器的實際網路配置;主機名或域更改會導致節點的所有證書重新生成。在CM管理頁面上的設定定義CUCM如何通過配置檔案或UDS向終端通告自身。更改此設定不需要重新生成證書。此設定必須與節點的以下網路引數之一匹配:IP地址、主機名或FQDN。
例如,您的終端安全連線到server.mydomain.com。它檢視收到的證書,並驗證此證書中是否存在「server.mydomail.com」作為CN或SAN。如果檢查未成功,則連線失敗或終端使用者收到彈出消息,要求接受不受信任的證書,具體取決於客戶端功能。由於證書中的CN和SAN通常具有FQDN格式,如果要避免這些彈出視窗或連線失敗,則需要將伺服器定義從IP地址更改為FQDN格式。
必要條件
需求
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- CUCM 10.X或更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
程式
變更前任務
進行配置之前,強烈建議確保滿足前提條件。
步驟1.檢查DNS配置。
從CUCM CLI運行這些命令,以確保配置了DNS服務,並且可在本地和外部解析節點名稱的FQDN條目。
admin:show network eth0
<omitted for brevity>
DNS
Primary : 10.48.53.194 Secondary : Not Configured
Options : timeout:5 attempts:2
Domain : mydomain.com
Gateway : 10.48.52.1 on Ethernet 0
admin:utils network host cucm105pub.mydomain.com
Local Resolution:
cucm105pub.mydomain.com resolves locally to 10.48.53.190
External Resolution:
cucm105pub.mydomain.com has address 10.48.53.190
admin:
步驟2.網路診斷測試。
通過運行此CLI命令確保網路診斷測試通過。
admin:utils diagnose module validate_network
Log file: platform/log/diag3.log
Starting diagnostic test(s)
===========================
test - validate_network : Passed
Diagnostics Completed
步驟3.終端的DHCP配置。
確保為已註冊電話新增了必要的動態主機配置協定(DHCP)配置,以便可以執行DNS解析。
步驟4.資料庫複製。
確保CUCM資料庫複製正常工作。所有節點的群集複製狀態必須為2。
admin:utils dbreplication runtimestate
<output omitted for brevity>
Cluster Detailed View from cucm105pub (2 Servers):
PING DB/RPC/ REPL. Replication REPLICATION SETUP
SERVER-NAME IP ADDRESS (msec) DbMon? QUEUE Group ID (RTMT) & Details
----------- ---------- ------ ------- ----- ----------- ------------------
cucm105pub 10.48.53.190 0.027 Y/Y/Y 0 (g_2) (2) Setup Completed
cucm105sub1 10.48.53.191 0.292 Y/Y/Y 0 (g_3) (2) Setup Completed
步驟5.備份。
運行當前設定的思科災難恢復系統(DRS)備份。
組態
在Cisco Unified CM管理網頁中將IP地址(或主機名)從IP地址更改為FQDN格式。
步驟1.導航到System > Server,並將Host Name/IP Address欄位從IP地址更改為FQDN。
主機名可以從show status獲取,域可以從show network eth0命令輸出獲取。
步驟2.對列出的所有CUCM伺服器重複步驟1。
步驟3.若要更新配置檔案,請在所有CUCM節點上重新啟動Cisco TFTP服務。
步驟4.要將更新的配置檔案推送到已註冊的裝置,請在所有CUCM節點上重新啟動Cisco Callmanager服務。
驗證
確保所有終端成功註冊回CUCM節點。
這可以通過即時監控工具(RTMT)幫助實現。
如果通過SIP、SCCP和MGCP協定與其他伺服器整合,則可能需要在第三方伺服器上進行某些配置。
請確保更改已成功傳播到CUCM群集中的所有節點,並且所有節點的輸出相同。
在所有節點上執行此命令。
admin:run sql select name,nodeid from processnode
name nodeid
======================== ======
EnterpriseWideData 1
cucm105pub.mydomain.com 2
cucm105sub1.mydomain.com 3
imp105.mydomain.com 7
意見