Processo de conexão de dispositivos

 

Tópico modificado em: 2012-06-21

Este tópico descreve o processo de conexão do dispositivo. É importante entender este processo ao solucionar problemas de dispositivos porque as etapas dele mapeiam os pontos das falhas potenciais que você pode solucionar.

Processo de conexão para telefones IP internos

O processo de conectividade para os telefones IP internos se aplicam a todos os telefones IP. A diferença está apenas nos tipos de autenticação usados para cada telefone IP. Somente os novos telefones IP (ou seja, o telefone de área comum Aastra 6721ip, o telefone de mesa Aastra 6725ip, o telefone IP HP 4110 [telefone de área comum], telefone IP HP 4120 [telefone de mesa], telefone IP de área comum Polycom CX500, telefone IP de mesa Polycom CX600 e telefone de IP de conferência Polycom CX3000) podem usar a autenticação PIN (número de identificação pessoal). O telefone IP de mesa Polycom CX700 pode usar a autenticação NTLM.

98345d35-bee9-40a3-9196-8c9b140e6eac

O processo começa com a tentativa do dispositivo em obter um ID da VLAN (rede virtual local) tentando primeiro o protocolo LLDP e caso não esteja disponível, retornando ao protocolo DHCP.

noteObservação:
Se o dispositivo falhar ao obter o ID VLAN, o processo de bootstrap continua.

Em seguida, o dispositivo usa o DHCP para adquirir um endereço IP, consulta um registro SRV para o DNS (Sistema de Nome de Domínios) ao SIP do Lync Server e analisa aquele registro para obter o nome do domínio. O nome do servidor web, ucupdates-r2, fica pré-marcado no domínio para consultar um FQDN (nome de domínio totalmente qualificado) para o serviço Web de atualização de dispositivo. O dispositivo consulta então um DNS para o registro A do FQDN para o serviço Web de atualização de dispositivo e consulta o serviço web de atualização de dispositivo para uma atualização. Se houver uma atualização, o dispositivo a abrirá no repositório de serviço Web de atualização de dispositivo e a aplicará antes da reinicialização. Após a reinicialização, o dispositivo consulta o DHCP para descobrir a URL de serviços Web e o FQDN do Diretor. O dispositivo pode também determinar o FQDN do Diretor consultando um DNS para o registro SRV.

O processo de autenticação começa quando o usuário inicia a entrada. O dispositivo baixa a cadeia emissora de certificados raiz de serviços Web (caso não tenha sido obtida anteriormente), se conecta ao servidor web sobre TLS e verifica o certificado do servidor usando aquela cadeia. O certificado e a cadeia são armazenados no dispositivo para uso futuro.

O dispositivo autentica, fornecendo credenciais seguintes e usando o TLS para comunicação:

  • Os novos telefones IP (Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 e Polycom CX3000) fornecem um PIN e um número de telefone ou ramal.

  • O telefone IP mais antigo (telefone IP de mesa Polycom CX700) fornece um nome de usuário, nome de domínio e senha.

    noteObservação:
    O Aastra 6725ip, HP 4120, Polycom CX600, Polycom CX700 e Polycom CX3000 também permitem que os usuários entrem conectando o dispositivo aos seus computadores através de um cabo USB.

Os serviços Web verificam as credenciais contatando o Registrador para procurar o usuário e o pool base dele. Se as credenciais estiverem corretas, o dispositivo solicita um certificado para o usuário, que é retornado ao dispositivo e também publicado no repositório do usuário. O dispositivo usa o certificado do usuário para autenticar a solicitação de login e todas as comunicações SIP subsequentes com o Registrador.

A lógica a seguir é usada para determinar qual FQDN do Registrador foi utilizado (ou seja, o que foi retornado pelo DHCP ou pelo DNS). Nesta lógica, cada registro é tentado até que um funcione com êxito. No Lync Server, Standard Edition o registro é publicado automaticamente. Em um pool de Front-Ends, o registro deve ser publicado manualmente. Esse registro A deve apontar para o IP virtual (VIP) do pool de Front-Ends.

  1. DNS SRV interno (TLS)

  2. Endereço DHCP (TLS)

  3. DNS SRV interno (TCP)

  4. Endereço DHCP (TCP)

  5. DNS externo (TLS)

  6. DNS externo (TCP)

Por fim, o dispositivo se conecta ao Registrador, com uma solicitação de Registro SIP e autentica as comunicações com o certificado do usuário. Este logon é o início de quaisquer comunicação SIP.

Processo de conexão para telefones IP externos

Antes de uma conseguir uma conexão de telefone IP externo, é necessário obter uma conexão interna bem sucedida. O a diferença do processo de conexão para dispositivos situados fora da rede corporativa está basicamente no método de autenticação utilizado para a conexão interna.

a916ffc0-2dc1-4921-8793-e4c09dae6a09

O usuário de um Aastra 6721ip, Aastra 6725ip, HP 4110, HP 4120, Polycom CX500, Polycom CX600 e Polycom CX3000 deve conseguir autenticar com êxito e fazer logon internamente no Registrador para obter o FQDN do serviço Web de atualização de dispositivo (fornecido pelo provisionamento em banda quando um usuário faz logon no Lync Server), para obter uma conexão externa bem sucedida, são necessários todos os certificados da cadeia emissora de certificados de serviços Web e do servidor e, o certificado do usuário.

O usuário de um Polycom CX700, deve fazer um logon interno bem sucedido para que o dispositivo obtenha um FQDN externo do serviço Web de atualização de dispositivo do provisionamento em banda. O dispositivo não precisa utilizar a autenticação de certificado para que isso aconteça. A autenticação NTLM é suficiente.

Como alternativa, se não for possível obter o endereço do serviço Web de atualização de dispositivo, ele continuará o processamento, tentativa de autenticação e de logon. Após o fazer o logon com êxito, o dispositivo saberá o FQDN do servidor que está executando o serviço Web de atualização de dispositivo e o resolverá para consultar uma atualização.

Polycom CX700 externo usando autenticação NTLM para fazer logon internamente

Um Polycom CX700 externo que já tenha feito conexão internamente utilizando autenticação NTLM tenta primeiro obter um endereço IP usando o servidor DHCP local (externo). Em seguida, o dispositivo consulta o DNS, fornecendo um valor FQDN para localizar o servidor executando o serviço Web de atualização do dispositivo e consulta sobre uma atualização. Se houver alguma disponível, o dispositivo baixará a atualização, instalará e reinicializará.

Depois da reinicialização, o dispositivo obtém novamente um endereço IP e consulta novamente o serviço Web de atualização de dispositivo em busca de atualizações. Desta vez, será necessária outra atualização e por isso, o dispositivo consultará o DNS para o SRV para o FQDN do Registrador da empresa. Após obtê-lo, o dispositivo consulta o correspondente ao registro A.

Em seguida, o dispositivo se conecta e autentica usando o NTLM como credenciais. O Registrador confirma a autenticação e retorna o pool base e o URI SIP. O dispositivo envia então uma solicitação SIP REGISTER para fazer logon e o Registrador retorna o FQDN dos Serviços Web na resposta ACK.

Neste ponto, o dispositivo conecta aos Serviços Web e obtém a cadeia de certificados do servidor web. Depois de obtê-lo, o dispositivo tenta autenticar primeiro sobre o TCP, onde será negado porque os Serviços Web na extranet exigem comunicações seguras e depois, sobre TLS. Os Serviços Web respondem à consulta TLS fornecendo o certificado do servidor Web como suas credenciais. Usando a cadeia de certificados baixada anteriormente, o dispositivo consegue autenticar os Serviços Web. Ele envia uma solicitação getAndPublish. Os Serviços Web geram um certificado para o usuário no dispositivo, o publica no repositório do usuário e o retorna para o dispositivo.

A partir deste ponto, o dispositivo pode usar a autenticação de certificado (o método preferencial), já que possui as credenciais necessárias e utiliza a autenticação de certificado para as solicitações subsequentes de conexões.

Aastra 6725ip, HP 4120, Polycom CX600 e Polycom CX700 externo usando a autenticação de certificado para fazer logon internamente

Neste caso, uma inicialização, o dispositivo externo primeiro tenta obter um endereço IP utilizando o servidor DHCP local (externo). Em seguida, o dispositivo consulta o DNS, fornecendo um valor FQDN obtido anteriormente usando o provisionamento em banda, para obter o endereço do serviço Web de atualização de dispositivoe o consulta em busca de uma atualização. Se houver uma atualização disponível, o dispositivo baixa a atualização, a instala e reinicia.

Após a reinicialização, o dispositivo passa novamente pelo processo de aquisição do endereço IP e envia uma solicitação de autenticação TLS para os Serviços Web, fornecendo o certificado do usuário como credenciais. Se os Serviços Web puderem validar o usuário, a resposta será bem sucedida e o dispositivo enviará uma solicitação SIP REGISTER para o Registrador externo, fornecendo um PIN (número de identificação pessoal) e um número de telefone/ramal como credenciais.

Para obter detalhes sobre o acesso externo de usuário, consulte Planejando o acesso de usuários externos na documentação Planejamento.

Processo de bootstrap

Depois que o telefone IP estiver ligado e conectado à rede corporativa, o processo de bootstrap acontece da seguinte maneira:

tipDica:
Podem ocorrer problemas em cada um desses estágios e os problemas podem ser diferentes, dependendo se o dispositivo estiver dentro ou fora do firewall da sua organização e se é um telefone IP novo ou mais antigo. Para consultar os problemas que podem surgir durante este processo, consulte os seguintes tópicos.
  1. Localizando a ID da VLAN

  2. Obter um endereço IP

  3. Localizar o Web Service de atualização de dispositivos

  4. Verificar atualizações

  5. Obter o FQDN do Registrador e a URL do Web Service

  6. Conectar-se ao Web Service e baixar a cadeia de certificados da autoridade de certificação raiz

  7. Processo de autenticação

  8. Receber e publicar certificado

  9. Fazer login no Lync Server