Problèmes de connectivité SBC

Lorsque vous définissez le routage direct, vous pouvez être face aux problèmes de connectivité SBC (Session Border Controller) suivants :

  • Les options du protocole SIP (Session Initiation Protocol) ne sont pas reçues.
  • Des problèmes de connexion TLS (Transport Layer Security) se produisent.
  • Le SBC ne répond pas.
  • Le SBC est marqué comme inactif dans le portail Teams’administration.

Ces problèmes sont probablement dus à l’une ou l’autre des conditions suivantes :

  • Un certificat TLS connaît des problèmes.
  • Un SBC n’est pas configuré correctement pour le routage direct.

Cet article répertorie certains problèmes courants liés aux options SIP et aux certificats TLS, et fournit des solutions que vous pouvez essayer.

Vue d’ensemble du processus d’options SIP

  • Le SBC envoie une demande de connexion TLS qui inclut un certificat TLS au nom de domaine complet (FQDN) du serveur proxy SIP (par exemple, sip.pstnhub.microsoft.com).

  • Le proxy SIP vérifie la demande de connexion.

    • Si la demande n’est pas valide, la connexion TLS est fermée et le proxy SIP ne reçoit pas d’options SIP du SBC.
    • Si la demande est valide, la connexion TLS est établie et le SBC l’utilise pour envoyer des options SIP au proxy SIP.
  • Une fois qu’il a reçu les options SIP, le proxy SIP vérifie la Record-Route pour déterminer si le FQDN SBC appartient à un client connu. Si les informations de FQDN ne sont pas détectées, le proxy SIP vérifie l’en-tête contact.

  • Si le FQDN SBC est détecté et reconnu, le proxy SIP envoie un message 200 OK à l’aide de la même connexion TLS.

  • Le proxy SIP envoie les options SIP au FQDN SBC répertorié dans l’en-tête Contact des options SIP reçues du SBC.

  • Après avoir reçu les options SIP du proxy SIP, le SBC répond en envoyant un message 200 OK. Cette étape confirme que le SBC est sain.

  • Lors de la dernière étape, le SBC est marqué comme actif dans le portail Teams’administration.

Notes

Dans un modèle hébergé, lesoptions SIP doivent être envoyées uniquement à partir du SBC hébergé. L’état des SBC qui sont dans un modèle de trunk dérivé est basé sur le SBC principal.

Problèmes des options SIP

Une fois que la connexion TLS est établie et que le SBC est en mesure d’envoyer et de recevoir des messages vers et depuis le proxy SIP Teams, des problèmes peuvent encore affecter le format ou le contenu des options SIP.

Le SBC ne reçoit pas de réponse « 200 OK » du proxy SIP

Cette situation peut se produire si vous utilisez une version antérieure de TLS. Pour appliquer une sécurité plus stricte, activez TLS 1.2.

Assurez-vous que votre certificat SBC n’est pas auto-signé et que vous l’avez obtenu auprès d’une autorité de certification (CA)de confiance.

Si vous utilisez la version minimale requise de TLS ou une version supérieure et que votre certificat SBC est valide, le problème peut se produire car le nom de groupe est mal configuré dans votre profil SIP et n’est pas reconnu comme appartenant à un client. Recherchez les conditions suivantes et corrigez les erreurs que vous trouvez :

  • Le FQDN fourni par le SBC dans l’en-tête Record-Route ou contact est différent de ce qui est configuré dans Teams.
  • L’en-tête Contact contient une adresse IP au lieu du FQDN.
  • Le domaine n’est pas entièrement validé. Si vous ajoutez un FQDN qui n’a pas été validé précédemment, vous devez le valider maintenant.
  • Après avoir inscrit un nom de domaine SBC, vous devez l’activer en ajoutant au moins un utilisateur avec licence E3 ou E5.
Le SBC reçoit la réponse « 200 OK », mais pas les options SIP

Le SBC reçoit la réponse 200 OK du proxy SIP, mais pas les options SIP qui ont été envoyées à partir du proxy SIP. Si cette erreur se produit, assurez-vous que le FQDN répertorié dans l’en-tête Record-Route ou Contact est correct et qu’il est résolu en adresse IP correcte.

Une autre cause possible de ce problème peut être les règles de pare-feu qui empêchent le trafic entrant. Assurez-vous que les règles de pare-feu sont configurées pour autoriser les connexions entrantes à partir de toutes les adresses IP de proxy SIP.

L’état du SBC est inactif par intermittence

This issue might occur if the SBC is configured to send SIP options not to FQDNs but to the specific IP addresses that they resolve to. Pendant la maintenance ou les pannes, ces adresses IP peuvent changer de centre de données. Par conséquent, le SBC envoie des options SIP à un centre de données inactif ou qui ne répond pas. Procédez comme suit :

  • Assurez-vous que le SBC est découvrable et configuré pour envoyer des options SIP uniquement aux FQDN.

  • Assurez-vous que tous les appareils de l’itinéraire, tels que les SCS et les pare-feu, sont configurés pour autoriser la communication vers et depuis tous les FQDN de signalisation Microsoft.

  • Pour fournir une option deover lorsque la connexion à partir d’un SBC est réalisée vers un centre de données qui rencontre un problème, le SBC doit être configuré pour utiliser les trois FQDN de proxy SIP :

    • sip.pstnhub.microsoft.com
    • sip2.pstnhub.microsoft.com
    • sip3.pstnhub.microsoft.com

    Notes

    Les appareils qui prend en charge les noms DNS peuvent utiliser sip-all.pstnhub.microsoft.com pour résoudre toutes les adresses IP possibles.

Pour plus d’informations, voir Signalisation SIP : FQDNS.

Le FQDN ne correspond pas au contenu du CN ou du SAN dans le certificat fourni

Ce problème se produit si un caractère générique ne correspond pas à un sous-domaine de niveau inférieur. Par exemple, le caractère générique \*\.contoso.com correspond sbc1.contoso.com, mais pas customer10.sbc1.contoso.com. Vous ne pouvez pas avoir plusieurs niveaux de sous-domaine sous un caractère générique. Si le nom de domaine complet ne correspond pas au nom commun (CN) ou à l’autre nom du sujet (SAN) dans le certificat fourni, demandez un nouveau certificat qui correspond à vos noms de domaine.

Pour plus d’informations sur les certificats, voir le certificat public approuvé pour la section SBC de Plan Direct Routing.

L’activation de domaine n’est pas enregistrée dans l Microsoft 365 de domaine

Pour activer entièrement un domaine pour un client et le distribuer sur l’environnement Microsoft 365, vous devez affecter au moins un utilisateur sous licence au sous-domaine utilisé par le SBC. Lorsque toutes les conditions sont remplies, l’activation du domaine peut prendre jusqu’à 24 heures.

Pour obtenir la liste des licences requises pour le routage direct, consultez la section « Licences et autres exigences » du plan de routage direct.

Pour plus d’informations sur ce processus, voir la Connecter SBC vers la section client de Connecter votre contrôleur de frontière de session (SBC)vers le routage direct.

Problèmes de connexion TLS

Si la connexion TLS est fermée immédiatement et que les options SIP ne sont pas reçues du SBC, ou si 200 OK n’est pas reçu du SBC, le problème peut se résoudre avec la version TLS. La version TLS configurée sur le SBC doit être 1.2 ou supérieure.

Le certificat SBC est auto-signé ou non à partir d’une ca de confiance

Si le certificat SBC est auto-signé, il n’est pas valide. Assurez-vous que le certificat SBC est obtenu auprès d’une autorité de certification (CA) de confiance. Le certificat doit contenir au moins un FQDN qui appartient à un Microsoft 365 client.

Pour obtenir la liste des CAs pris en charge, consultez le certificat public approuvé pour la section SBC de Plan Direct Routing.

Le SBC n’fait pas confiance au certificat proxy SIP

Si le SBC n’a pas confiance dans le certificat proxy SIP, téléchargez et installez le certificat racine CyberTrust de CyberTrust sur le SBC. Pour télécharger le certificat, consultez la Microsoft 365 de chiffrement.

Pour obtenir la liste des CAs pris en charge, consultez le certificat public approuvé pour la section SBC de Plan Direct Routing.

Le certificat SBC n’est pas valide

Si le tableau de bord d’état pour le routage direct dans le Centre d’administration Teams indique que le certificat SBC a expiré ou a été révoqué, demandez ou renouvelez le certificat auprès d’une autorité de certification (CA) de confiance. Ensuite, installez-le sur le SBC.

Pour obtenir la liste des CAs pris en charge, consultez le certificat public approuvé pour la section SBC de Plan Direct Routing.

Le certificat SBC ou les certificats intermédiaires sont manquants dans le message « Hello » TLS SBC

Vérifiez qu’un certificat SBC valide et tous les certificats intermédiaires requis sont installés correctement et que les paramètres de connexion TLS sur le SBC sont corrects.

Parfois, même si tout semble correct, un examen plus approfondi de la capture de paquets peut révéler que le certificat TLS n’est pas fourni à l’infrastructure Teams.

La connexion SBC est interrompue

La connexion TLS est interrompue ou n’est pas définie, même si les certificats et les paramètres SBC n’ont aucun problème.

La connexion TLS a peut-être été fermée par l’un des périphériques intermédiaires (par exemple, un pare-feu ou un routeur) sur le chemin d’accès entre le SBC et le réseau Microsoft. Recherchez les problèmes de connexion au sein de votre réseau géré et corrigez-les.

Informations supplémentaires

Encore besoin d’aide ? Accédez à Microsoft Community.