Доступ к Lync извне домена

Question

После работы с моим внутренним ИТ-отделом они определили, что простая причина, по которой я не могу получить доступ к серверу Lync с домашнего компьютера, заключается в том, что он не является членом домена. Они предложили два решения: присоединиться к домену или VPN в. Первый вариант на самом деле не вариант, а последний - решение, которое я могу заставить работать (подключаться только тогда, когда мне действительно нужно с кем-то поговорить; пропуск всего моего трафика через VPN просто ужасен).

Ошибка, которую я получаю при подключении:

"There was a problem verifying the certificate from the server. Sign-in may be 
delayed while we retry the connection..."

более подробная ошибка:

02/15/2013|18:05:57.470 1C58:C28 TRACE :: SECURE_SOCKET: security negotiation has completed, verifying server cert
02/15/2013|18:05:57.472 1C58:C28 ERROR :: SECURE_SOCKET: negotiation failed
02/15/2013|18:05:57.472 1C58:13D0 ERROR :: CSIPTransportLayerSecurity::OnTlsNegotiationComplete (65ea2f0) failed with 0x80ee0065. Raising OnConnect with the same error
02/15/2013|18:05:57.472 1C58:13D0 ERROR :: CSIPClientConnection::OnConnect (80ee0065) this: 01D7B0A0
02/15/2013|18:05:57.472 1C58:13D0 INFO  :: SIP_MSG_PROCESSOR::OnRequestConnectionConnectComplete - Enter this: 065E2848, callid=(null), ErrorCode: 0x80ee0065
02/15/2013|18:05:57.472 1C58:13D0 ERROR :: Releasing connection and notifying transactions
02/15/2013|18:05:57.472 1C58:13D0 ERROR :: SIP_MSG_PROCESSOR::NotifyRequestConnectionConnectComplete - Error: 80ee0065
02/15/2013|18:05:57.472 1C58:13D0 TRACE :: CSIPTransportLayerSecurity::Shutdown - [0x065EA2F0]

Как разработчик, это похоже на другую версию ошибок SSL, которую я получаю, когда посещаю веб-сайт, использующий сертификат с неправильным названием. С этими мыслями я пошел дальше и подключился к VPN, взял сертификат, который мне подарили, и принял его. Затем я добавил его в свои доверенные центры сертификации, чтобы быть уверенным. Я действительно надеялся, что это сработает, но приводит к той же ошибке.

Кто-нибудь играл в эту игру раньше? Есть ли обходной путь?

Answer 1

К сожалению, в итоге я получил ответ от ИТ-специалистов: «Мы не можем понять, почему это не работает, и у нас нет планов по дальнейшему изучению проблемы, поэтому воспользуйтесь одним из двух предложенных подходов или не используйте». Lync». Мы перешли к варианту №2, полностью прекратили использование Lync и переключили наш отдел на Slack.

Спасибо за все попытки помочь.

Answer 2

Правильным способом было бы заблокировать доступ lync/Skype к внутренней сети во время VPN, чтобы принудительно установить соединение с Edge. Это решает проблему с сертификатом и улучшает проблему производительности, поскольку прохождение через зашифрованное соединение vpn с зашифрованным соединением lync/skype не является оптимальным. Если Edge отсутствует, то загрузка корневого и / или промежуточного сертификата из вашей компании позволит вашему компьютеру, не являющемуся доменом, доверять внутреннему сертификату.

https://blogs.technet.microsoft.com/nexthop/2011/11/14/enabling-lync-media-to-bypass-a-vpn-tunnel/

http://www.stevenjordan.net/2014/08/configure-lync-clients-on-split-tunnel.html

Answer 3

Возможно, вы захотите уточнить в своем ИТ-отделе необходимость установки сертификата для связи с вашим сервером обмена. Кроме того, попробуйте ввести сервер Lync вашей компании в параметрах "Дополнительно" при доступе к настройкам Lync. Надеюсь это поможет.

Answer 4

Я думаю, что это вызвано отсутствием прав на получение сертификата от пограничного сервера lync, поэтому подозреваем, что для политики Внешнего доступа задано значение NULL, а не для параметра «Разрешить внешний» или «Разрешить внешний + федерация».

Answer 5

Вы на самом деле не объясняете, какую топологию Lync настроили ваши ИТ-парни.

Как вы получаете доступ к серверам с вашего домашнего компьютера? Вы входите из Интернета через домашнее подключение к Интернету, или вы взяли свой компьютер с собой в офис и подключили его там к сети?

Если первое, то правильно ли они настроили пограничный сервер для установки Lync? Или они пытаются просто использовать интерфейсный сервер и сделать его интерфейсы общедоступными через Интернет?

Если в последнем случае вы не можете просто установить сертификат, который отправляет вам сервер Lync, вам также необходимо установить всю цепочку сертификатов, которая идет с ним, в ваш локальный репозиторий сертификатов. Это может означать промежуточный и корневой ЦС или только один корневой ЦС.