Posted by Mil6878 2017-03-09T11:28:56Z
I hope some one can help me here.
I have installed skype for business client and have joined the MAC to the domain but I get the error » The Certificate from the server could not be verified, check the clock settings of your device or contact the support team» when I try signing into SFB.
We are using a hybrid setup. Any help will be appreciated.
6 Replies
First, you need to identify your SSL certificate via the Get-CSCertificate cmdlet and then sort the results with the Where-Object cmdlet.
Схема портов
Понятно, что для правильной работы необходимо корректно настроить правила Firewall.На Edge мы имеем три внешних сервиса, каждый из которых использует отдельный белый IP:
Также имеем сервисе Reverce Proxy:
Задачи, выполняемые reverse proxy
Reverse Proxy — обязательный компонент, поскольку без него очень многое не будет работать.Трафик сигнализации мобильных клиентов идёт через Reverse Proxy (Media идет через Edge)Также через Reverse Proxy клиенты подключаются через Internet Browser (ссылка на конференцию)
Удалить информацию для входа
- В окне входа в Skype для бизнеса нажмите Удалить информацию о моем входе.
- Это удалит ваш сохраненный пароль, сертификаты и настройки подключения
Реализация удалённого доступа
Как уже было сказано, функции для удаленного доступа реализуются с помощью Edge Server.Edge Server является ролью SfB и его нельзя совместить с Front-End Server или со Standard SfB Server. Т.е. без Edge Server обойтись нельзя.
Edge Server не является членом домена и находится в DMZ.Для реализации удаленного доступа нам также понадобится Reverse Proxy. Reverse Proxy — это не роль SfB, и может быть реализован различными продуктами.
С точки зрения архитектуры нам понадобятся белые IP адреса.Рекомендуется 4 IP:- 1 Для Reverse Proxy- 3 для Edge server
Минимально 2 IP:- 1 Для Reverse Proxy- 1 для Edge server
Edge требует два интерфейса: внешний и внутреннийEdge также требует установки двух сертификатов: один на внешнем интерфейсе, другой на внутреннем.
Все клиенты, кто подключаются из интернета, подключаются к Edge. И Edge проксирует Media traffic, SIP traffic от клиента на внутренний Front-End.Для шифрования коммуникаций, необходимо иметь коммерческий, публичный, доверенный сертификат на внешнем интерфейсе Edge.На внутреннем интерфейсе Edge можно использовать внутренний сертификат.
Шаг 1. установка sql express
1) Устанавливаются экземпляры SQL (RTCLOCAL и LYNCLOCAL)У нас уже был установлен первый экземпляр, и будет создано ещё 2шт.Первый экземпляр был установлен при подготовке Standard Edition Server. Экземпляр называется RTC. И в этом экземпляре хранится БД с Топологией.
Архитектура SfB устроена таким образом, что у нас есть оригинальная, или Master DB c топологией (XDS master). И каждый сервер, который мы устанавливаем, создаёт себе реплику этой БД. Создаётся экземпляр RTCLOCAL, и в нём БД XDS REPLICA и работает впоследствии с этой репликой.
Даже когда мы ставим лишь один SfB Standard Edition Server, всё равно на нём хранится:- экземпляр RTС, с БД XDS master, c топологией- На нем же создаётся экземпляр RTCLOCAL, где хранится БД: XDS REPLICA. И работает впоследствии с этой репликой.
2) Создаётся копия базы с топологией XDSИтак, на этом шаге SfB Server выгружает всю БД XDS master, и заполняет реплику XDS REPLICA в экземпляре RTCLOCAL.
3) После этого настраивается синхронизация между этими БД: XDS master и XDS REPLICA.
4) Кроме этого устанавливаются две службы:- Skype Server Replica Replicator Agent- Skype Server Cetralized Logging Server
Кроме реплики топологии, в экземпляре RTCLOCAL хранятся также дополнительные БД.Например информация по контакт-листам пользователей, Presence Status
Также Создаётся третий экземпляр — LYNCLOCAL.В Экземпляре LYNCLOCAL будет создана единственная БД с именем LYSSЭта БД используется в Enterprise pool, но всё равно создаётся для Standard Edition Server, поскольку некоторый функционал завязан на эту БД.
Итак, вернемся к Deployment Wizard, и выполняем первый шаг:Второй пункт сделан для ситуаций, когда разворачиваются пограничные сервера, которые не могу забрать топологию напрямую, а только из бэкапа.
Если копия топологии создалась без проблем — можем переходить ко второму этапу.
Шаг 3. сертификаты
- SfB Server не работает без сертификатов, и его сервисы не запустятся до того как мы получим и привяжем сертификаты.
- SfB Server критически завязан на сертификаты и использует их для:
- Сертификаты должны быть выданы доверенным Центром Сертификации
- Сертификаты должны поддерживать серверную авторизацию
- Список отозванных сертификатов должен быть доступен (CRL через CDP)
- Длина ключа 1024, 2048, 4096
- Алгоритмы цифровой подписи RSA, ECDH_P256, ECDH_P384, ECDH_P521
Выполните некоторые шаги по устранению неполадок для Lync 2021 и Lync 2021
Если вы все еще используете Lync, вот как вы можете решить эту проблему:
Мои данные в опасности?
Насколько мне известно, в Скайпе, чаще всего такие предупреждения появляются при показе рекламных баннеров от сервисов, которые допустили ошибки при настройке сертификата безопасности. То есть, вы не должны переживать, поскольку эти предупреждения не означают, что ваш компьютер заражён вирусом или что кто-то пытается перехватить ваши данные.
Тем не менее, нельзя исключить угрозу безопасности. Поэтому, в окошке предупреждения стоит продолжить (то есть, нажать кнопку «Да»), только в случае если уверены, что это лишь безобидная ошибка. В остальных случаях, нажмите кнопку «Нет».
Получение сертификата от let’s encrypt для skype for business 2021
Цель нашей лабораторной получить сертификат от доверенного центра сертификации для Skype For Business 2021: 1. Выбор доверенного центра сертификации . Let’s Encrypt 2. Выбрать способ проверки для получения сертификата . Windows DNS Server / Yandex PDD 3. Определить список доменов в сертификате . sfb.contoso.ru,lyncdiscoverinternal.contoso.ru,web.contoso.ru,contoso.ru 4. Получить сертификат . ACMESharp . DNSServer module . Yandex API 5. Установить сертификат на сервер Skype For Business 2021 . Import-CsCertificate . Set-CsCertificate . Get-CsCertificate
* В сертификате от Let’s Encrypt отсутствует CRL , поэтому может возникнуть проблема с запуском сервиса Fabric и требуется исправление ключа — <Parameter Name=”CrlCheckingFlag” Value=”0”
Центры сертификации WoSign и StartCom, которые ранее выдавали сертификаты с большим сроком действия от 1 до 3 лет, перестали быть доверенными компанией Microsoft ( и многими другими, хотя возможность получения и покупка сертификатов возможна. К счастью, есть доверенный центр сертификации . Его функционала будет достаточно, для создания федерации с другими партнерами и взаимодействия с сервисом Skype. Для взаимодействия с облачными сервисами, требуется дополнительное тестирование.
Let’s Encrypt: Стоимость — бесплатно Сертификат действителен — 90 дней SAN — 100 доменов CRL — не поддерживается OCSP — поддерживается IDN(Internationalized Domain Names) — поддерживается OV,EV — не поддерживается Способ проверки — ftp,http,dns RSA размер ключа — по умолчанию 2048 (2048, 3072, 4096) WildCard — Список ограничений —
Сроки реализации новых функций:
# IDN (Internationalized Domain Names)
В данной лабораторной работе, для простоты был выбран способ проверки через записи DNS.
Рассмотрим вариант создания записей в бесплатном сервисе Яндекс.Почта(предоставляет функционал DNS сервера) и Windows DNS Server(должен быть опубликован в интернет).
Кому лень использовать скрипты, может с легкостью получить сертификаты через онлайн сервис —
Windows DnsServer Module —
Yandex API Управление DNS —
Как подключить себе сервис Яндекса:
Все DNS записи будут типа TXT, формата:
name class rr text
_acme-challenge.domain IN TXT «123drNmQL5vX0bu4YZlgy5wKNBlCny4yrjF1lSaUndc»
Требования к сертифакату для Skype For Business 2021 —
Воспользуемся мастером и скопируем список из вкладки Subject Alternative Name —
К этому пункту у нас должна быть собрана информация:
$DomainName = «contoso.ru»
$SAN = «sfb.contoso.ru»,»lyncdiscoverinternal.contoso.ru»,»web.contoso.ru»,»contoso.ru»
* Yandex API — учетные данные, зарегистрированный и настроенный домен
— Обязательные параметры
* — Необязательные параметры
! — Все действия выполняем под учетной записью с правами Администратора
Для работы с Let’s Encrypt с помощью PowerShell , есть замечательный модуль ACMESharp.
Документация по модулю —
Quick Start: ACMESharp PowerShell Client —
ACMESharp создает , которое содержит очень чувствительные данные.
VAULT /**/ = «00-VAULT»; // Vault Info
MTADT /**/ = «01-MTADT»; // Asset Meta Data
PRVDR /**/ = «10-PRVDR»; // Challenge Handler Provider Profile
INSTP /**/ = «18-INSTP»; // Installer Provider Profile
CSRDT /**/ = «30-CSRDT»; // CSR Generation Details
KEYGN /**/ = «40-KEYGN»; // Private Key Generation Details
KEYPM /**/ = «45-KEYPM»; // Private Key PEM Export
CSRGN /**/ = «50-CSRGN»; // CSR Export
CSRPM /**/ = «55-CSRPM»; // CSR PEM Export
CSRDR /**/ = «56-CSRDR»; // CSR DER Export
CRTPM /**/ = «65-CRTPM»; // Certificate PEM Export
CRTDR /**/ = «66-CRTDR»; // Certificate DER Export
ISUPM /**/ = «75-ISUPM»; // Issuer Certificate PEM Export
ISUDR /**/ = «76-ISUDR»; // Issuer Certificate DER Export
ASSET /**/ = «99-ASSET»; // Generic Asset
Т.к. по умолчанию используется EFS для защиты Vault ,а у тех где данный функционал отключен , надо будет явно отключить в файле конфигурации EFS — .
public string RootPath
public bool CreatePath
public bool BypassEFS
«$type»: «ACMESharp.Vault.Profile.VaultProfile, ACMESharp.Vault»,
Шаг 1: Установка модуля ACMESharp
Данный модуль располагается в двух репозитариях PSGallery и Nuget. Версия в PSGallery новее и на момент написания 0.9.0.321:
Шаг 2: Инициализация хранилища
Шаг 3: Регистрация аккаунта
Шаг 4: Подтверждение владением записей домена
В ACMESharp реализовано два типа ChallengeType: dns-01 , http-01 .
https-01 — описан
## Give it a minute, just in case — or go get more coffee
# Содержит ресурсные записи, которые потребуется создать на DNS сервере# Требуются для подтверждения владением доменом
# Создаем ресурсные записи # Windows DNS Server
# Yandex API# В форме заполняем login&passwd# Отправляем Post запрос# Если успешно, то переходим к странице получения токена# Удаляем из post запроса token_del # Вводим капчу# Отправляем Post запрос с методом token_get# Возвращаем полученный токен# Получим все записи для дальнейшего сравнения# Обновляем данные# Создаем записи
# Отправить запрос на проверку
Шаг 5. Генерация сертификата
Шаг 6. Экспорт в PFX
Пример можно посмотреть —
Thumbprint Use
———- —
439637470DF2D0E9DF933EADEA1F0610B3BA841C Default
439637470DF2D0E9DF933EADEA1F0610B3BA841C WebServicesInternal
439637470DF2D0E9DF933EADEA1F0610B3BA841C WebServicesExternal
439637470DF2D0E9DF933EADEA1F0610B3BA841C OAuthTokenIssuer
PS. Скрипты к статье:
— Пример для Windows DNS Server
— Пример использования Yandex API PDD
Sfb sever и сертификаты
SfB Sever требует два сертификата.
Введите пароль еще раз.
Если вы недавно меняли пароль, возможно, потребуется ввести новый пароль еще раз в Skype для бизнеса. Как это сделать?
На экране входа в приложение Skype для бизнеса нажмите кнопку Удалить мои данные для входа.
Примечание: Если вы не можете продвинуться дальше сообщения «Идет связь с сервером и вход. «, щелкните Отменить вход.
В открывшемся окне нажмите кнопку Да.
Нажмите кнопку Sign In (Вход).
Нужно ли указывать параметры прокси-сервера?
Если необходимо указать параметры прокси-сервера, щелкните Дополнительные параметры на странице входа и введите данные прокси-сервера.
Насколько я знаю — никак. Ну то есть линк не умеет без ssl подключатся. Самое простое решение — отправить клиенту вместе с реквизитами доступа (их вы в любом случае передаёте как-то) открытый ключ от серверацентра сертийикации.
Ну или покупать нормальный ssl серт (возможно есть дешёвые варианты бесплатные) внесённый в доверенные по-умолчанию.
Where to buy the best ssl certificate for skype for business?
SSL dragon is your one-stop place for all your SSL needs. We offer the lowest prices on the market for the entire range of our SSL products. We’ve partnered with the best SSL brands in the industry to offer you high-end SSL security and dedicated support.
To help you select the perfect SSL certificate, we created a couple of handy SSL tools. Our SSL Wizard can recommend the best SSL deal for your online project, while the Certificate Filter, can help you sort and compare different certificates.
Решения под reverse proxy
— Kemp Loadmaster 2600- TMG 2021- IIS ARR- Web Application Proxy- Sophos UTM- Другие решения
Внести изменения через редактор реестра
Дождитесь завершения процесса и закройте CMD.
Установите правильную дату и время на устройстве для входа в skype
Хоть и Скайп предлагает установить правильную дату и время, на самом деле ошибка может возникать по двум разным причинам:
Если инструкция вам помогла решить ошибку, напишите в комментариях, желательно указать версию Skype и операционную систему, дабы точно узнать для каких компьютеров подходит данное руководство. Конечно, приветствуются любые советы по улучшению статьи.
Обновление сертификата skype4business | блог сисадмина
Пришло время обновлять SSL сертификат на сервере Скайп для бизнеса. Внешний сертификат устанавливается на Edge-сервер.
Это делается так:
- Если у нас сертификат в формате crt, и запрашивался он через какой-то другой IIS сервер (например exchange), то его необходимо сначала установить на этот сервер, а потом экспортировать вместе с закрытым ключом. Получим файл формата pfx, копируем его на edge-сервер.
- Идем на Edge-сервер скайп, запускаем командную консоль скайп.
- Выбираем наш pfx, указываем пароль
- После импорта выбираем сертификат, который нужно заменить, нажимаем кнопку Назначить, выбираем новый сертификат из списка.
- Готово
Если настроен Reverse Proxy, то идём на него и продолжаем.
Сброс пароля
Set-CsCertificate -Type WebServicesExternal -Thumbprint “B142918E463981A76503828BB1278391B716280987B”
You can scan your newly installed SSL certificate for potential errors with the help of these handy SSL tools.
Запуск сервисов sfb server
После выпуска сертификатов и их привязки их к службам, можно будет запустить службы
Поскольку службы завязаны между собой, существует правильный метод их запуска через команду:
Reverse proxy и порты
Reverse Proxy — принимает подключения по порту 443, и перенаправляет это подключение на Frontend на порт 4443. Также он принимает входящий порт 80 и перенаправляет это подключение на Frontend на порт 8080.
На Reverse Proxy стоит отдельный публичный сертификат, в котором имеются все необходимые имена, по которым подключаются клиенты к Reverse Proxy.Здесь нужен коммерческий сертификат.
По-прежнему получаете сообщение об ошибке?
Сообщение об ошибке
Сервер временно недоступен.
При получении личного сертификата, необходимого для входа, возникла ошибка.
Возникли ошибки при проверке подлинности. Подождите несколько минут и повторите попытку входа. Если не получится, обратитесь в службу технической поддержки своей организации и дайте ей ссылку на следующую страницу: Устранение проблем со входом в Skype для бизнеса Online для администраторов.
Dns records
Если запустить клиента SfB, то мы увидим, что клиент начинает запрашивать свой DNS сервер на определенные записи.
Generate the csr on skype for business
Before generating the CSR, it’s necessary to indicate the service or services you wish to encrypt. You have to do this with the Type argument from the CSR generation command.
Generally, you can use the Default type.
The Default, AccessEdgeExternal, and DataEdgeExternal types are for Edge servers, while the WebServicesExternal and WebServicesInternal types are for web streams.
Here is a list of the most common arguments:
- PICWebService (Skype for Business Online only)
- ProvisionService (Skype for Business Online only)
To generate the CSR you can use the Request-CSCertificate command. Run it in the powershell:
Request-CsCertificate -New -Type YOUR_TYPES -Organization “Your Organization” -OU “IT” -Country US -State “Arizona” -City “Phoenix” -FriendlyName “Skype SSL” -KeySize 2048 -DomainName “yourdomain.tld” -PrivateKeyExportable $True -Output C:yourdomain.tld.csr
You’ll need to replace YOUR_TYPES with the services you want to encrypt, and the rest of the examples with your contact information. –PrivateKeyExportable $True makes your private key exportable. If you prefer a graphical interface, another way to generate the CSR code is via an external tool such as our CSR Generator. You’ll receive the certificate and private key files in your email.
Шаг 2. установка компонентов skype for business server
1) Мастер установки смотрит в топологии, какие компоненты должны быть установлены на данном сервере (службы, настройки)2) Мастер установки производит установку Skype For Business Server 2021 в соответствии с топологией.3) Мастер установки устанавливает необходимые службы.
При изменении в Topologu Builder, зачастую требуется повторный запуск Шага2.Т.е. Мастер зайдёт в топологию, увидит изменения, и удалит или добавит какие-то сервисы.Информация об необходимости проходить шаг N2 отображается в ToDO List, после того, как мы опубликуем топологию.
Если сейчас (до выполнения шага 2) открыть оснастку с сервисами, мы там не найдём сервисов с именем Skype for Business.
Вернемся к Deployment Wizard:Запускать эти сервисы смысла нет никакого, т.к. часть из них не заработает, поскольку отсутствуют сертификаты.
Install the ssl certificate on skype for business
After your CA sends the necessary files to your inbox, download the ZIP folder and extract its contents on your device. Skype for Business requires SSL files to be in PKCS#7 (.p7b) or PKCS#12 (.p12 or .pfx) formats.
Import-CsCertificate -Path “c:your_certificate.pfx” -PrivateKeyExportable $True
Обновление даты и времени на компьютере
Если вы получаете ошибку, связанную со временем, попробуйте установить правильные дату и время на компьютере. Выполните инструкции для установленной версии Windows.
Перейдите на веб-сайт, где показано время по Гринвичу (UTC).
Откройте панель управления, выберите Дата и время, запишите сдвиг местного времени от времени по Гринвичу.
При необходимости выберите Изменить дату и время и обновите часы компьютера.
Windows 8 и Windows 10
Учитывая разницу со временем по Гринвичу, сравните время на устройстве с временем, показанным на веб-сайте.
Если требуется обновить время на устройстве, выполните следующие действия.
Отключите режим Установить время автоматически и нажмите Изменить.
Обновите время и нажмите Изменить.
Skype for business history
Как видно, во внешнюю зону понадобится добавить группу DNS записей.