협업엣지의가장일반적인문제 목차 소개사전요구사항요구사항사용되는구성요소로그인문제 MRA 를통해로그인할수없는 Jabber 1. Collaboration Edge 서비스레코드 (SRV) 가생성되지않았거나포트 8443 에연결할수없음 2. VCS Expressway 에서사용할수없거나사용할수없는인증서 3. 에지구성에 UDS 서버가없습니다. 4. Expressway-C 로그에다음오류가표시됩니다.XCP_JABBERD Detail=" 호스트 '%IP%' 에연결할수없습니다. 포트 7400:(111) 연결이거부되었습니다." 5. Expressway-E 서버호스트이름 / 도메인이름이 _collab-edge SRV 에구성된이름과일치하지않습니다. 6. 기존 WebEx Connect 서브스크립션때문에로그인할수없습니다. 7. Expressway-C 서버에오류메시지가표시됩니다." 구성되었지만오류가있습니다. 프로비저닝서버 : 통과서버정보를기다리는중입니다." 8. Microsoft DirectAccess 설치 9. Expressway 역방향 DNS 조회실패등록문제소프트폰을등록할수없습니다. SIP/2.0 405 방법이허용되지않습니다. 소프트폰을등록할수없습니다. 이유 =" 알수없는도메인 " 소프트폰을등록할수없습니다. 이유 " 유휴카운트다운만료 " 펌웨어에구성된전화프록시로인해 MRA 가실패함통화문제 MRA 를통해전화를걸때미디어없음 MRA 를통해 PSTN 으로통화할때링백없음 CUCM 및 IM&P 문제 CUCM 을추가하지못하게하는 ASCII 오류보안구축에서 Expressway-C 에서 CUCM 으로 5061 의아웃바운드 TLS 실패 IM&P 서버가추가되지않았으며오류가발생했습니다. 기타문제 Jabber 클라이언트의음성메일상태가 " 연결되지않음 " 으로표시됨컨택사진은 Expressway 를통해 Jabber 클라이언트에나타나지않음 Jabber 클라이언트는로그인시 Expressway-E 인증서를승인하라는메시지가표시됩니다. 관련정보 소개 MRA(Mobile & Remote Access) 는 VPN(Virtual Private Network-less) Jabber 기능을위한구축솔루션입니다. 이솔루션을통해최종사용자는전세계어디서나내부엔터프라이즈리소스에연결할수있습니다. 이가이드는 Collaboration Edge 솔루션의문제를해결하는엔지니어에게구축문구중
에고객이직면한가장일반적인문제를신속하게파악하고해결할수있는기능을제공하기위해작성되었습니다. 사전요구사항 요구사항 다음주제에대한지식을보유하고있으면유용합니다. Cisco CUCM(Unified Communications Manager) Cisco Expressway 코어 Cisco Expressway 에지 Cisco IM and Presence(IM&P) Windows용 Cisco Jabber MAC용 Cisco Jabber Android용 Cisco Jabber ios용 Cisco Jabber 보안인증서 DNS(Domain Name System) 사용되는구성요소 이문서의정보는다음소프트웨어및하드웨어버전을기반으로합니다. Expressway 버전 X8.1.1 이상 CUCM 릴리스 9.1(2)SU1 이상및 IM&P 버전 9.1(1) 이상 Cisco Jabber 버전 9.7 이상 로그인문제 MRA 를통해로그인할수없는 Jabber 이증상의원인은다양한문제때문에발생할수있으며, 그중몇가지는여기에설명되어있습니다. 1. Collaboration Edge 서비스레코드 (SRV) 가생성되지않았거나포트 8443 에연결할수없음 Jabber 클라이언트가 MRA 로성공적으로로그인하려면특정협업에지 SRV 레코드를생성하고외부에서액세스할수있어야합니다.Jabber 클라이언트가처음시작될때 DNS SRV 쿼리를만듭니다. 1. _cisco-uds: 이 SRV 레코드는 CUCM 서버를사용할수있는지확인하기위해사용됩니다. 2. _cuplogin: 이 SRV 레코드는 IM&P 서버를사용할수있는지확인하기위해사용됩니다. 3. _collab-edge: 이 SRV 레코드는 MRA를사용할수있는지확인하기위해사용됩니다.
Jabber 클라이언트가시작되어 _cisco-uds 및 _cuplogin 에대한 SRV 응답을받지못하고 _collabedge 에대한응답을수신하지않으면이답을사용하여 SRV 응답에나열된 Expressway-E 에연결하려고시도합니다. _collab-edge SRV 레코드는포트 8443 의 Expressway-E 의 FQDN(Fully Qualified Domain Name) 을가리켜야합니다._collab-edge SRV 가생성되지않았거나외부에서사용할수없거나사용가능한경우포트 8443 에연결할수없는경우 Jabber 클라이언트가로그인하지못합니다. CSA(Collaboration Solutions Analyzer) 에서 SRV 검사기를사용하여 _collab-edge SRV 레코드를확인할수있으며 TCP 포트 8443 에연결할수있는지확인할수있습니다. 포트 8443 에연결할수없는경우포트를차단하는보안디바이스 ( 방화벽 ) 나 Exp-E 에서 GW(Default Gateway) 또는 Static 경로를잘못구성했기때문일수있습니다. 2. VCS Expressway 에서사용할수없거나사용할수없는인증서 Jabber 클라이언트가 _collab-edge 에대한응답을받은후포트 8443 을통해 Expressway 에연결하여 Jabber 클라이언트와 Expressway 간의통신을위해 TLS 를설정하기위해 Expressway 에서인증서를검색하려고시도합니다. Expressway 에 Expressway 의 FQDN 또는도메인을포함하는유효한서명인증서가없는경우이오류가발생하고 Jabber 클라이언트가로그인하지못합니다. 이문제가발생하면 Expressway 의 FQDN 을 SAN(Subject Alternative Name) 으로자동으로포함하는 Expressway 에서 CSR(Certificate Signing Request) 툴을사용해야합니다. 참고 :MRA 는 Expressway-C 와 Expressway-E 간, 그리고 Expressway-E 와외부엔드포인트간의안전한통신을필요로합니다. 기능별 Expressway 인증서요구사항이있는다음표는 MRA 구축설명서에서확인할수있습니다. 3. 에지구성에 UDS 서버가없습니다. Jabber 클라이언트가 Expressway-E 와의보안연결을성공적으로설정한후에지구성 (get_edge_config) 을요청합니다. 이에지컨피그레이션에는 _cuplogin 및 _cisco-uds 에대한 SRV 레코드가포함됩니다. 에지컨피그레이션에서 _cisco-uds SRV 레코드가반환되지않으면 Jabber 클라이언트는로그인을계속할수없습니다.
이문제를해결하려면 _cisco-uds SRV 레코드가내부적으로생성되어 Expressway-C 에서확인할수있는지확인합니다. DNS SRV 레코드에대한자세한내용은 X8.11 용 MRA 구축설명서를참조하십시오. 이중도메인에있을경우이는일반적인증상이다. 이중도메인에서실행중이고 Jabber 클라이언트가 UDS(User Data Service) 가반환되지않는것을발견한경우 _cisco-uds SRV 레코드가외부도메인이있는내부 DNS 에생성되었는지확인해야합니다. 참고 :Expressway 버전 X12.5 이후에는더이상 _cisco-uds SRV 레코드를내부 DNS 에추가할필요가없습니다. 이개선사항에대한자세한내용은 Cisco Expressway 구축설명서 (X12.5) 를통한모바일및원격액세스를참조하십시오. 4. Expressway-C 로그에다음오류가표시됩니다.XCP_JABBERD Detail=" 호스트 '%IP%' 에연결할수없습니다. 포트 7400:(111) 연결이거부되었습니다." Expressway-E NIC(Network Interface Controller) 가잘못구성된경우 XCP(Extensible Communications Platform) 서버가업데이트되지않을수있습니다.Expressway-E 가이러한조건을충족하면다음과같은문제가발생할수있습니다. 1. 단일 NIC를사용합니다. 2. 고급네트워킹옵션키가설치되어있습니다. 3. Use Dual Network Interfaces( 듀얼네트워크인터페이스사용 ) 옵션이 Yes( 예 ) 로설정됩니다. 이문제를해결하려면 Use Dual Network Interfaces( 듀얼네트워크인터페이스사용 ) 옵션을 No( 아니요 ) 로변경합니다. 이러한문제가발생하는이유는 Expressway-E 가잘못된네트워크인터페이스에서 XCP 세션을수신대기하기때문에연결이실패 / 시간초과되기때문입니다.Expressway-E 는 XCP 세션을위해 TCP 포트 7400 에서수신대기합니다. 다음명령을사용할경우 netstat 명령을 VCS 에서 root 로실행합니다. 5. Expressway-E 서버호스트이름 / 도메인이름이 _collab-edge SRV 에구성된이름과일치하지않습니다. DNS 페이지컨피그레이션의 Expressway-E 서버호스트이름 / 도메인이 _collab-edge SRV 응답에서받은것과일치하지않으면 Jabber 클라이언트가 Expressway-E 와통신할수없습니다.Jabber 클라이언트는 get_edge_config 응답의 xmppedgeserver/address 요소를사용하여 Expressway- E 에대한 XMPP 연결을설정합니다. 다음은 Expressway-E 에서 Jabber 클라이언트에대한 get_edge_config 응답에서 xmppedgeserver/address 가어떻게표시되는지보여주는예입니다. <xmppedgeserver> <server> <address>examplelab-vcse1.example.com</address> <tlsport>5222</tlsport> </server> </xmppedgeserver> 이를방지하려면 _collab-edge SRV 레코드가 Expressway-E 호스트이름 / 도메인이름과일치하는지확인합니다.Cisco 버그 ID CSCuo83458 이신청되었으며 Cisco 버그 ID CSCuo82526 에부분지
원이추가되었습니다. 6. 기존 WebEx Connect 서브스크립션때문에로그인할수없습니다. Windows 용 Jabber 로그에는다음이표시됩니다. 2014-11-22 19:55:39,122 INFO [0x00002808] [very\webexcaslookupdirectorimpl.cpp(134)] [service-discovery] [WebexCasLookupDirectorImpl::makeCasLookupWhenNetworkIs Available] - makecaslookupfordomain result is 'Code: IS_WEBEX_CUSTOMER; Server: http://loginp.webexconnect.com; Url: http://loginp.webexconnect.com/cas/federatedsso?org=example.com';;;.2014-11-22 19:55:39,122 INFO [0x00002808] [overy\webexcaslookupdirectorimpl.cpp(67)] [service-discovery] [WebexCasLookupDirectorImpl::determineIsWebexCustomer] - Discovered Webex Result from server. Returning server result.2014-11-22 19:55:39,122 DEBUG [0x00002808] [ery\webexcaslookupurlconfigimpl.cpp(102)] [service-discovery] [WebexCasLookupUrlConfigImpl::setLastCasUrl] - setting last_cas_ lookup_url : http://loginp.webexconnect.com/cas/federatedsso?org=example.com2014-11-22 19:55:39,123 DEBUG [0x00002808] [pters\config\configstoremanager.cpp(286)] [ConfigStoreManager] [ConfigStoreManager::storeValue] - key : [last_cas_lookup_url] value : [http://loginp.webexconnect.com/cas/federatedsso?org=example.com]2014-11-22 19:55:39,123 DEBUG [0x00002808] [common\processing\taskdispatcher.cpp(29)] [TaskDispatcher] [Processing::TaskDispatcher::enqueue] - Enqueue ConfigStore::persist Values - Queue Size: 02014-11-22 19:55:39,123 DEBUG [0x00002808] [pters\config\configstore Manager.cpp(140)] [ConfigStoreManager] [ConfigStoreManager::getValue] - key : [last_cas_lookup_url] skiplocal : [0] value: [http://loginp.webexconnect.com/cas/federatedsso?org=example.com] success: [true] configstorename: [LocalFileConfigStore] 로그인시도는 WebEx Connect 로전송됩니다. 영구적인해결을위해사이트를서비스해제하려면 WebEx 에문의해야합니다. 해결방법 단기적으로는이러한옵션중하나를사용하여조회에서제외할수있습니다. jabber-config.xml에이매개변수를추가합니다. 그런다음 jabber-config.xml 파일을 CUCM의 TFTP 서버에업로드합니다. 클라이언트가먼저내부적으로로그인해야합니다. <?xml version="1.0" encoding="utf-8"?> <config version="1.0"> <Policies> <ServiceDiscoveryExcludedServices>WEBEX< /ServiceDiscoveryExcludedServices> </Policies> </config> 애플리케이션관점에서다음을실행합니다. msiexec.exe /i CiscoJabberSetup.msi /quiet CLEAR=1 AUTHENTICATOR=CUP EXCLUDED_SERVICES=WEBEX 참고 : 두번째옵션은모바일장치에대해작동하지않습니다. WEBEX 서비스를제외할클릭가능한 URL 을생성합니다. ciscojabber://provision?servicediscoveryexcludedservices=webex UC 서비스검색에대한자세한내용및 Cisco Jabber 12.8 용온프레미스구축에서일부서비스를제외하는방법에대한자세한내용을확인할수있습니다.
7. Expressway-C 서버에오류메시지가표시됩니다." 구성되었지만오류가있습니다. 프로비저닝서버 : 통과서버정보를기다리는중입니다." Status( 상태 ) > Unified Communications 로이동하고오류메시지가표시되면 "Configured but with errors. Provisioning server: Waiting for traversal server info." Unified CM 등록및 IM&P 서비스의경우 Expressway- C 에구성된내부 DNS 서버에는 Expressway-E 에대해 2 개의 DNS A 레코드가있습니다.Expressway-E 에대한여러 DNS A 레코드뒤에있는이유는영향을받는사용자가 Expressway- E 에서고정 NAT 가활성화된단일 NIC 에서고정 NAT 가활성화된듀얼 NIC 로또는그반대로이동하고내부 DNS 서버에서해당 DNS A 레코드를삭제하는것을잊어버렸을수있습니다. 따라서 Expressway-C 에서 DNS 조회유틸리티를사용하여 Expressway-E FQDN 을확인하면두개의 DNS A 레코드를확인할수있습니다. 솔루션 고정 NAT 가있는단일 NIC 에대해 Expressway-E NIC 가구성된경우 : 1. Expressway-C에구성된 DNS 서버에서 Expressway-E 내부 IP 주소에대한 DNS A 레코드를삭제합니다. 2. CMD(ipconfig /flushdns) 를참조하십시오. 3. Expressway-C 서버를재부팅합니다. 고정 NAT가활성화된이중 NIC에대해 Expressway-E NIC가구성된경우 : 1. Expressway-C에구성된 DNS 서버에서 Expressway-E 외부 IP 주소에대한 DNS A 레코드를삭제합니다. 2. CMD(ipconfig /flushdns) 를참조하십시오. 3. Expressway-C 서버를재부팅합니다. 8. Microsoft DirectAccess 설치 고객은 Jabber 클라이언트와동일한 PC 에서 Microsoft DirectAccess 를사용할수있습니다. 원격으로로그인하려고하면 MRA 가손상될수있습니다.DirectAccess 는 PC 에서 VPN 을사용하는것처럼 DNS 쿼리를내부네트워크로터널링합니다. 참고 :Microsoft DirectAccess 는 MRA 를통한 Jabber 에서지원되지않습니다. 모든트러블슈팅은최선의노력입니다.DirectAccess 구성은네트워크관리자의책임입니다. 일부고객은 Microsoft DirectAccess 이름확인정책테이블의모든 DNS 레코드를차단하여성공했습니다. 이러한레코드는 DirectAccess 에서처리해서는안됩니다 (Jabber 는 MRA 를사용할때공용 DNS 를통해이를해결할수있어야함 ). _cisco-uds용 SRV 레코드 _cuplogin용 SRV 레코드 _collab-edge의 SRV 레코드 모든 Expressway E에대한기록 9. Expressway 역방향 DNS 조회실패 버전 X8.8 부터 Expressway/VCS 는 ExpE, ExpC 및모든 CUCM 노드에대해정방향및역방향 DNS 항목을생성해야합니다.
전체요구사항은 x8.8 릴리스노트의전제조건및소프트웨어종속성과모바일및원격액세스를위한 DNS 레코드를참조하십시오. 내부 DNS 레코드가없는경우 Expressway 로그에 reversednslookup 을참조하는오류가표시될수있습니다. 2016-07-30T13:58:11.102-06:00 hostname XCP_JABBERD[20026]: UTCTime="2016-07-30 19:58:11,102" ThreadID="139882696623872" Module="Jabber" Level="WARN " CodeLocation="cvsservice.cpp:409" Detail="caught exception: exception in reversednslookup: reverse DNS lookup failed for address=x.x.x.x" Expressway-C 는 Expressway-E IP 에대한 PTR 레코드를쿼리할때 FQDN 을하나만받아야합니다.DNS 에서잘못된 FQDN 을수신하면로그에이행이표시되고실패합니다. 2020-04-03T17:48:43.685-04:00 hostname XCP_JABBERD[10043]: UTCTime="2020-04-03 21:48:43,685" ThreadID="140028119959296" Module="Jabber" Level="WARN " CodeLocation="cvsservice.cpp:601" Detail="Certificate verification failed for host=xx.xx.xx.xx, additional info: Invalid Hostname host.example.com" 등록문제 소프트폰을등록할수없습니다. SIP/2.0 405 방법이허용되지않습니다. Expressway-C 의진단로그에 SIP/2.0 405 Method Not Allowed Jabber 클라이언트에서보낸등록요청에대한응답으로표시되는메시지입니다. 포트 5060/5061 을사용하는 Expressway-C 와 CUCM 간의기존 SIP(Session Initiation Protocol) 트렁크때문일수있습니다. SIP/2.0 405 Method Not Allowed Via: SIP/2.0/TCP 10.10.40.108:5060;egress-zone=CollabZone;branch=z9hG4bK81e7f5f1c1 ab5450c0b406c91fcbdf181249.81ba6621f0f43eb4f9c0dc0db83fb291;proxy-call-id=da9e25aa- 80de-4523-b9bc-be31ee1328ce;rport,SIP/2.0/TLS 10.10.200.68:7001;egress-zone=Traversal Zone;branch=z9hG4bK55fc42260aa6a2e3741919177aa84141920.a504aa862a5e99ae796914e85d35 27fe;proxy-call-id=6e43b657-d409-489c-9064-3787fc4919b8;received=10.10.200.68;rport= 7001;ingress-zone=TraversalZone,SIP/2.0/TLS 192.168.1.162:50784;branch=z9hG4bK3a04bdf3;received=172.18.105.10;rport=50784; ingress-zone=collaborationedgezone From: <sip:5151@collabzone>;tag=cb5c78b12b4401ec236e1642-1077593a To: <sip:5151@collabzone>;tag=981335114 Date: Mon, 19 Jan 2015 21:47:08 GMT Call-ID: cb5c78b1-2b4401d7-26010f99-0fa7194d@192.168.1.162 Server: Cisco-CUCM10.5 CSeq: 1105 REGISTER Warning: 399 collabzone "SIP trunk disallows REGISTER" Allow: INVITE, OPTIONS, INFO, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY Content-Length: 0 이문제를해결하려면 CUCM 에구성된기존 SIP 트렁크에적용되는 SIP 트렁크보안프로파일의 SIP 포트를변경하고 CUCM 에대한 Expressway-C 네이버영역에서 5065 와같은다른포트로변경합니다. 이내용은이비디오에서자세히설명합니다. 다음은구성요약입니다. CUCM 1. 5060(5065) 이아닌수신대기포트를사용하여새 SIP 트렁크보안프로필을생성합니다. 2. SIP 트렁크보안프로파일과 Expressway-C IP 주소, 포트 5060에설정된대상집합과연결된 SIP 트렁크를생성합니다.
Expressway-C 1. CUCM 컨피그레이션과일치하도록대상포트 5060(5065) 이아닌 CUCM에대한네이버영역을생성합니다. 2. Expressway-C Settings(Expressway-C 설정 ) > Protocols( 프로토콜 ) > SIP에서 Expressway- C가 SIP용 5060에서계속수신대기하는지확인합니다. 소프트폰을등록할수없습니다. 이유 ="Unknown domain" Expressway-C 의진단로그에이벤트 ="Registration Rejected" Reason="Unknown domain" Service="SIP" Src-ip="XXX.XXX.XXX.XXX" Src-port="51601" Protocol="TCP" AOR="sip:XXX.XXX.XXX.XXX". 이문제를해결하려면다음사항을확인하십시오. Jabber 클라이언트가비보안디바이스보안프로파일을사용하지않으려는경우 CUCM에서보안디바이스보안프로파일을사용합니까? Jabber 클라이언트가보안장치보안프로필을사용해야하는경우보안프로필의이름은 FQDN 형식으로되어있으며 Expressway-C의인증서에 SAN으로구성된 FQDN 이름입니까? Jabber 클라이언트가보안장치보안프로필을사용해야하는경우 System > Enterprise Parameters > Security Parameters > Cluster Security Mode로이동하여클러스터보안모드가 1로설정되어있는지확인하여 CUCM 클러스터가보호되었는지확인합니다. 값이 0인경우관리자는클러스터를보호하기위해문서화된절차를거쳐야합니다. 소프트폰을등록할수없음, 이유 "Idle countdown expired" Jabber 클라이언트가 REGISTER 메시지에전송하는기간동안 Expressway-E 로그를검토할때 Idle countdown expired 여기에표시된코드조각에오류가있습니다. 2015-02-02T19:46:31+01:00 collabedge tvcs: UTCTime="2015-02-02 18:46:31,144" Module="network.tcp" Level="DEBUG": Src-ip="JabberPubIP" Src-port="4211" Dst-ip="VCS-E_IP" Dst-port="5061" Detail="TCP Connecting" 2015-02-02T19:46:31+01:00 collabedge tvcs: UTCTime="2015-02-02 18:46:31,144" Module="network.tcp" Level="DEBUG": Src-ip="JabberPubIP" Src-port="4211" Dst-ip= "VCS-E_IP" Dst-port="5061" Detail="TCP Connection Established"2015-02-02T19:46:49+01:00 collabedge tvcs: UTCTime="2015-02-02 18:46:49,606" Module="network.tcp" Level="DEBUG": Src-ip="92.90.21.82" Src-port="4211" Dst-ip= "VCS-E_IP" Dst-port="5061" Detail="TCP Connection Closed" Reason="Idle countdown expired" 이코드조각은방화벽에포트 5061 이열려있음을나타냅니다. 그러나충분한시간내에전달된애플리케이션레이어트래픽은없으므로 TCP 연결이닫힙니다. 이러한상황이발생할경우 Expressway-E 앞에있는방화벽에 SIP 검사 /ALG(Application Layer Gateway) 기능이설정되어있을가능성이높습니다. 이문제를해결하려면이기능을비활성화해야합니다. 이방법을잘모르는경우방화벽공급업체의제품설명서를참조해야합니다. SIP Inspection/ALG 에대한자세한내용은 Cisco Expressway-E 및 Expressway-C-Basic Configuration Deployment Guide 의부록 4 를참조하십시오. 펌웨어에구성된전화프록시로인해 MRA 가실패함
Expressway-E 의진단로그에포트 5061 에서 TLS 협상실패가표시되지만 SSL 핸드셰이크가포트 8443 에서성공했습니다. 2015-08-04T10:14:23-05:00 expe tvcs: UTCTime="2015-08-04 15:14:23,533" Module="network.tcp" Level="DEBUG": Src-ip="173.38.117.81" Src-port="24646" Dst-ip="10.2.0.2" Dst-port="5061" Detail="TCP Connecting" 2015-08-04T10:14:23-05:00 expe tvcs: UTCTime="2015-08-04 15:14:23,534" Module="network.tcp" Level="DEBUG": Src-ip="173.38.117.81" Src-port="24646" Dst-ip="10.2.0.2" Dst-port="5061" Detail="TCP Connection Established" 2015-08-04T10:14:23-05:00 expe tvcs: UTCTime="2015-08-04 15:14:23,535" Module="developer.ssl" Level="ERROR" CodeLocation="ppcmains/ssl/ttssl/ttssl_openssl.cpp(67)" Method="::TTSSLErrorOutput" Thread="0x7fae4ddb1700": TTSSL_continueHandshake: Failed to establish SSL connection 2015-08-04T10:14:23-05:00 expe tvcs: UTCTime="2015-08-04 15:14:23,535" Module="network.tcp" Level="DEBUG": Src-ip="173.38.117.81" Src-port="24646" Dst-ip="10.2.0.2" Dst-port="5061" Detail="TCP Connection Closed" Reason="Got EOF on socket" 2015-08-04T10:14:23-05:00 expe tvcs: Event="Inbound TLS Negotiation Error" Service="SIP" Srcip="173.38.117.81" Src-port="24646" Dst-ip="10.2.0.2" Dst-port="5061" Detail="No SSL error available, probably remote disconnect" Protocol="TLS" Level="1" UTCTime="2015-08-04 15:14:23,535" Jabber 의로그 : -- 2015-08-04 10:48:04.775 ERROR [ad95000] - [csf.cert.][checkidentifiers] Verification of identity: 'expe.korteco.com' failed. -- 2015-08-04 10:48:04.777 INFO [ad95000] - [csf.cert][handleplatformverificationresultsynchronously] Verification result : FAILURE reason : [CN_NO_MATCH UNKNOWN] -- 2015-08-04 10:48:05.284 WARNING [ad95000] - [csf.ecc.handyiron][ssl_state_callback] SSL alert read:fatal:handshake failure type=esip, isrelevant=true, server=expe.korteco.com:5061, connectionstate=efailed, isencrypted=true, failurereason=etlsfailure, SSLErrorCode=336151568 type=esip, isrelevant=true, server=192.168.102.253:5060, connectionstate=efailed, isencrypted=false, failurereason=efailedtoconnect, servertype=eprimary, role=enone -- 2015-08-04 10:48:05.287 ERROR [ad95000] - [csf.ecc.handyiron][secsslisconnected] SSL_do_handshake() returned : SSL_ERROR_SSL. Jabber 의패킷캡처는 Expressway E IP 와의 SSL 협상을보여줍니다. 그러나전송된인증서는이서버에서오지않습니다. FW 에전화프록시가구성되어있습니다. 해결책 : FW 에서 Phone Proxy 를실행하는지확인합니다. 확인하려면 show run policy-map 다음과비슷한것을표시합니다. class sec_sip inspect sip phone-proxy ASA-phone-proxy
전화서비스가성공적으로연결되도록전화프록시사용안함 통화문제 MRA 를통해전화를걸때미디어없음 다음은단일및이중 NIC 구축에서이문제를일으킬수있는누락되거나잘못된컨피그레이션중일부입니다. 고정 NAT는 System( 시스템 ) > Network Interfaces( 네트워크인터페이스 ) > IP의 Expressway- E에서구성되지않습니다. 네트워크레이어의 NAT는여전히방화벽에서수행해야하지만이설정은애플리케이션레이어의 IP를변환합니다. TCP/UDP 포트가방화벽에서열려있지않습니다. 포트목록은 Cisco Expressway IP 포트사용컨피그레이션가이드를참조하십시오. 고정 NAT 구축이포함된단일 NIC는권장되지않습니다. 미디어문제를방지하는몇가지고려사항은다음과같습니다. UC 접근영역에서 Expressway-C는 Expressway-E에구성된공용 IP 주소를가리켜야합니다. 미디어는외부방화벽에 " 헤어핀 " 또는반사해야합니다.Cisco ASA 방화벽을사용하는컨피그레이션예는 VCS Expressway TelePresence 디바이스에대한 ASA의 NAT 리플렉션구성에서확인할수있습니다. 이에대한자세한내용은 Cisco Expressway-E 및 Expressway-C 기본구성구축설명서의부록 4를참조하십시오. MRA 를통해 PSTN 으로통화할때링백없음 이문제는버전 X8.5 이전의 Expressway 에대한제한때문에발생합니다. Cisco 버그 ID CSCua72781 은 Expressway-C 가 183 Session Progress(183 세션진행 ) 또는 180 Ringing(180 벨울림 ) 에서초기미디어를전달하지않는방법을설명합니다. 버전 X8.1.x 또는 X8.2.x 를실행하는경우버전 X8.5 로업그레이드하거나여기에나열된해결방법을수행할수있습니다. 183 을 180 으로변환하여수신다이얼피어에적용하는 SIP 프로파일을만들면 Cisco CUBE(Unified Border Element) 에서해결방법을사용할수있습니다. 예 : voice class sip-profiles 11 response 183 sip-header SIP-StatusLine modify "SIP/2.0 183 Session Progress" "SIP/2.0 180 Ringing" 그런다음 CUCM > CUBE 의 SIP 프로필또는 SIP 구성모드내의 CUBE 자체에서 180 Early Media 를비활성화합니다. disable-early-media 180 CUCM 및 IM&P 문제 CUCM 을추가하지못하게하는 ASCII 오류 Expressway-C 에 CUCM 을추가하면 CUCM 을추가하지못하게하는 ASCII 오류가발생합니다.
Expressway-C 가데이터베이스에 CUCM 을추가하면 get 및 list 기능과관련된일련의 AXL 쿼리를통해실행됩니다. 이러한예에는 getcallmanager, listcallmanager, listprocessnode, listprocessnodeservice, getcmversion 이포함됩니다.getCallManager 프로세스를실행한후에는 ExecuteSQLQuery 집합이모든 CUCM Call Manager-trust 또는 tomcat-trust 를검색하도록성공합니다. CUCM 이쿼리를수신하여실행되면 CUCM 은모든인증서를다시보고합니다. 인증서중하나에비 ASCII 문자가포함되어있으면 Expressway 는웹인터페이스에서다음과유사한오류를생성합니다. ascii codec can't decode byte 0xc3 in position 42487: ordinal not in range(128). 이문제는 Cisco 버그 ID CSCuo54489 로추적되며버전 X8.2 에서해결됩니다. 보안구축에서 Expressway-C 에서 CUCM 으로 5061 의아웃바운드 TLS 실패 이문제는 CUCM 및 Tomcat.pem/CallManager.pem 에서자체서명인증서를사용하는경우발생합니다. 이문제는 Cisco 버그 ID CSCun30200 으로해결됩니다. 문제를해결하려면 tomcat.pem 을삭제하고 Expressway-C 의 CUCM 구성에서 TLS 확인을비활성화하는것입니다. IM&P 서버가추가되지않았으며오류가발생했습니다. IM&P 서버를추가하면 Expressway-C 는 " 이서버는 IM and Presence Server 가아닙니다." 또는 "Unable to communicate with.axl query HTTP error "HTTPError:500'"(IM&P 서버가추가되지않음 ) 을보고합니다. IM&P 서버를추가할때 Expressway-C 는 AXL 쿼리를사용하여명시적디렉토리에서 IM&P 인증서를찾습니다.Cisco 버그 ID CSCul05131 로인해인증서가해당저장소에없습니다. 따라서잘못된오류가발생합니다. 기타문제 Jabber 클라이언트의음성메일상태가 " 연결되지않음 " 으로표시됨 Jabber 클라이언트음성메일상태가성공적으로연결되도록하려면 Expressway-C 의 HTTP 허용목록내에서 Cisco Unity Connection IP 주소또는호스트이름을구성해야합니다. Expressway-C 에서이작업을완료하려면다음절차를수행합니다. 버전 X8.1 및 X8.2 에대한절차 1. Configuration( 구성 ) > Unified Communications > Configuration( 컨피그레이션 ) > Configure HTTP server allow list(http 서버허용목록구성 ) 를클릭합니다. 2. New( 새로만들기 ) > Enter IP/Hostname(IP/ 호스트이름입력 ) > Create entry( 항목생성 ) 를클릭합니다. 3. Jabber 클라이언트에서로그아웃한다음다시로그인합니다. 버전 X8.5 절차
1. Configuration( 구성 ) > Unified Communications > Unity Connection Servers(Unity 연결서버 ) 를클릭합니다. 2. New( 새로만들기 ) > Enter IP/Hostname, User account credentials(ip/ 호스트이름입력 ) > Add Address( 주소추가 ) 를클릭합니다. 3. Jabber 클라이언트에서로그아웃한다음다시로그인합니다. 컨택사진은 Expressway 를통해 Jabber 클라이언트에나타나지않음 모바일및원격액세스솔루션은연락처사진확인을위해 UDS 만사용합니다. 따라서사진을저장할수있는웹서버가있어야합니다. 구성자체는 2 배입니다. 1. 연락처사진확인을위해클라이언트를웹서버로전달하려면 jabber-config.xml 파일을수정해야합니다. 이컨피그레이션은이를달성해야합니다. <Directory> <DirectoryServerType>UDS</DirectoryServerType> <PhotoUriWithToken>http://%IP/Hostname%/photo%%uid%%.jpg< /PhotoUriWithToken> <UdsServer>%IP%</UdsServer> <MinimumCharacterQuery>3</MinimumCharacterQuery> </Directory> 2. Expressway-C 에는 HTTP Server Allow List(HTTP 서버허용목록 ) 내에웹서버가나열되어있어야합니다. Configuration( 구성 ) > Unified Communications > Configuration( 컨피그레이션 ) > Configure HTTP server allow list(http 서버허용목록구성 ) 를클릭합니다.New( 새로만들기 ) > Enter IP/Hostname(IP/ 호스트이름입력 ) > Create entry( 항목생성 ) 를클릭합니다.Jabber 클라이언트에서로그아웃한다음다시로그인합니다. 참고 :UDS 연락처사진확인에대한자세한내용은 Jabber 연락처사진문서를참조하십시오. Jabber 클라이언트는로그인시 Expressway-E 인증서를승인하라는메시지가표시됩니다.
이오류메시지는클라이언트의디바이스에서신뢰하는공용 CA 에서서명하지않은 Expressway Edge 인증서나서버인증서에 SAN 으로도메인이누락되어있는것과관련될수있습니다. Jabber 클라이언트가 Expressway 인증서를승인하라는메시지가표시되지않도록하려면아래나열된두기준을충족해야합니다. Jabber 클라이언트를실행하는디바이스 / 머신의인증서신뢰저장소내에 Expressway-E 인증서의서명자가나열되어있어야합니다. 참고 : 모바일디바이스에는대형인증서신뢰저장소가있으므로공용인증기관을사용하는경우이작업을쉽게수행할수있습니다. collab-edge 레코드에사용되는 Unified CM 등록도메인이 Expressway-E 인증서의 SAN 내에있어야합니다.Expressway 서버의 CSR 도구는 Unified CM 등록도메인을 SAN으로추가할수있는옵션을제공합니다. 도메인이 MRA에대해구성된경우사전로드됩니다.CA가인증서를서명하는경우도메인을 SAN으로승인하지않을경우 "CollabEdgeDNS" 옵션을사용할수있습니다. 이옵션은도메인에 "collab-edge" 를접두사로붙입니다. 관련정보 Expressway를통한모바일및원격액세스가이드 Cisco Expressway 인증서생성및사용구축설명서 방화벽통과를위한 Cisco TelePresence Video Communication Server(Cisco VCS) IP Port Usage
Cisco Jabber 구축및설치가이드 기술지원및문서 Cisco Systems