Problèmes de connectivité SBC

  • Article
  • S’applique à:
    Microsoft Teams

Lorsque vous configurez le routage direct, vous pouvez rencontrer les problèmes de connectivité SBC (Session Border Controller) suivants :

  • Les options SIP (Session Initiation Protocol) ne sont pas reçues.
  • Des problèmes de connexion TLS (Transport Layer Security) se produisent.
  • Le SBC ne répond pas.
  • Le SBC est marqué comme inactif dans le Centre d’administration Microsoft Teams.

Ces problèmes sont probablement dus à l’une ou l’autre des conditions suivantes :

  • Un certificat TLS rencontre des problèmes.
  • Un SBC n’est pas configuré correctement pour le routage direct.

Cet article répertorie certains problèmes courants liés aux options SIP et aux certificats TLS, et fournit des solutions que vous pouvez essayer.

Vue d’ensemble du processus d’options SIP

  • Le SBC envoie une demande de connexion TLS qui inclut un certificat TLS au nom de domaine complet (FQDN) du serveur proxy SIP (par exemple, sip.pstnhub.microsoft.com).

  • Le proxy SIP vérifie la demande de connexion.

    • Si la requête n’est pas valide, la connexion TLS est fermée et le proxy SIP ne reçoit pas les options SIP du SBC.
    • Si la requête est valide, la connexion TLS est établie et le SBC l’utilise pour envoyer des options SIP au proxy SIP.

  • Une fois qu’il a reçu les options SIP, le proxy SIP vérifie les Record-Route pour déterminer si le nom de domaine complet SBC appartient à un locataire connu. Si les informations de nom de domaine complet n’y sont pas détectées, le proxy SIP vérifie l’en-tête Contact.

  • Si le nom de domaine complet SBC est détecté et reconnu, le proxy SIP envoie un message 200 OK à l’aide de la même connexion TLS.

  • Le proxy SIP envoie les options SIP au nom de domaine complet SBC répertorié dans l’en-tête Contact des options SIP reçues du SBC.

  • Après avoir reçu les options SIP du proxy SIP, le SBC répond en envoyant un message 200 OK . Cette étape confirme que le SBC est sain.

  • À la dernière étape, le SBC est marqué comme actif dans le Centre d’administration Microsoft Teams.

Remarque

Dans un modèle hébergé, les options SIP doivent être envoyées uniquement à partir du SBC hébergé. Les status de SBC qui se trouvent dans un modèle de jonction dérivé sont basées sur la main SBC.

Problèmes liés aux options SIP

Une fois la connexion TLS établie et le SBC en mesure d’envoyer et de recevoir des messages vers et depuis le proxy SIP Teams, des problèmes peuvent toujours affecter le format ou le contenu des options SIP.

SBC ne reçoit pas de réponse « 200 OK » du proxy SIP

Cette situation peut se produire si vous utilisez une version antérieure de TLS. Pour appliquer une sécurité plus stricte, activez TLS 1.2.

Assurez-vous que votre certificat SBC n’est pas auto-signé et que vous l’avez obtenu auprès d’une autorité de certification approuvée.

Si vous utilisez la version minimale requise de TLS ou une version ultérieure et que votre certificat SBC est valide, le problème peut se produire car le nom de domaine complet est mal configuré dans votre profil SIP et n’est pas reconnu comme appartenant à un locataire. Vérifiez les conditions suivantes et corrigez les erreurs que vous trouvez :

  • Le nom de domaine complet fourni par le SBC dans l’en-tête Record-Route ou Contact est différent de ce qui est configuré dans Teams.
  • L’en-tête Contact contient une adresse IP au lieu du nom de domaine complet.
  • Le domaine n’est pas entièrement validé. Si vous ajoutez un nom de domaine complet qui n’a pas été validé précédemment, vous devez le valider maintenant.
  • Après avoir inscrit un nom de domaine SBC, vous devez l’activer en ajoutant au moins un utilisateur sous licence E3 ou E5.
SBC reçoit la réponse « 200 OK », mais pas les options SIP

Le SBC reçoit la réponse 200 OK du proxy SIP, mais pas les options SIP qui ont été envoyées à partir du proxy SIP. Si cette erreur se produit, assurez-vous que le nom de domaine complet répertorié dans l’en-tête Record-Route ou Contact est correct et qu’il correspond à l’adresse IP correcte.

Une autre cause possible de ce problème peut être les règles de pare-feu qui empêchent le trafic entrant. Assurez-vous que les règles de pare-feu sont configurées pour autoriser les connexions entrantes à partir de toutes les adresses IP de signalisation de proxy SIP.

Le status SBC est inactif par intermittence

Ce problème peut se produire dans les situations suivantes :

  • Le SBC est configuré pour envoyer des options SIP non pas aux noms de domaine complets, mais aux adresses IP spécifiques qu’ils résolvent. Pendant la maintenance ou les pannes, ces adresses IP peuvent changer pour un autre centre de données. Par conséquent, le SBC envoie des options SIP à un centre de données inactif ou qui ne répond pas. Procédez comme suit :

    • Assurez-vous que le SBC est détectable et configuré pour envoyer des options SIP uniquement aux noms de domaine complets.

    • Assurez-vous que tous les appareils de la route, tels que les SBC et les pare-feu, sont configurés pour autoriser la communication vers et depuis tous les noms de domaine complets de signalisation Microsoft.

    • Pour fournir une option de basculement lorsque la connexion à partir d’un SBC est établie vers un centre de données qui rencontre un problème, le SBC doit être configuré pour utiliser les trois noms de domaine complets du proxy SIP :

      • sip.pstnhub.microsoft.com
      • sip2.pstnhub.microsoft.com
      • sip3.pstnhub.microsoft.com

      Remarque

      Les appareils qui prennent en charge les noms DNS peuvent utiliser sip-all.pstnhub.microsoft.com pour résoudre toutes les adresses IP possibles.

    Pour plus d’informations, consultez Signalisation SIP : FQDNS.

  • Le certificat racine ou intermédiaire installé ne fait pas partie de l’émetteur de la chaîne de certificats SBC. Lorsque le SBC démarre l’établissement d’une liaison triple pendant le processus d’authentification, le service Teams ne peut pas valider la chaîne de certificats sur le SBC et réinitialise la connexion. Le SBC peut être en mesure de s’authentifier à nouveau dès que le certificat racine public est à nouveau chargé sur le cache de service ou que la chaîne de certificats est fixe sur le SBC. Assurez-vous que le certificat intermédiaire et le certificat racine installés sur le SBC sont corrects.

    Pour plus d’informations sur les certificats, consultez Certificat approuvé public pour le SBC.

Le nom de domaine complet ne correspond pas au contenu du cn ou du san dans le certificat fourni

Ce problème se produit si un caractère générique ne correspond pas à un sous-domaine de niveau inférieur. Par exemple, le caractère générique \*\.contoso.com correspond à sbc1.contoso.com, mais pas customer10.sbc1.contoso.com. Vous ne pouvez pas avoir plusieurs niveaux de sous-domaines sous un caractère générique. Si le nom de domaine complet ne correspond pas au nom commun (CN) ou à l’autre nom de l’objet (SAN) dans le certificat fourni, demandez un nouveau certificat qui correspond à vos noms de domaine.

Pour plus d’informations sur les certificats, consultez la section Certificat approuvé public pour le SBC de Planifier le routage direct.

L’activation de domaine n’est pas inscrite dans l’environnement Microsoft 365

Pour activer entièrement un domaine pour un locataire et le distribuer sur l’environnement Microsoft 365, vous devez affecter au moins un utilisateur sous licence au sous-domaine utilisé par le SBC. Lorsque toutes les exigences sont remplies, l’activation du domaine peut prendre jusqu’à 24 heures.

Pour obtenir la liste des licences requises pour le routage direct, consultez la section « Licences et autres conditions requises » de Planifier le routage direct.

Pour plus d’informations sur ce processus, consultez la section Connecter le SBC au locataire de Connecter votre contrôleur de bordure de session (SBC) au routage direct.

Problèmes de connexion TLS

Si la connexion TLS est fermée immédiatement et que les options SIP ne sont pas reçues du SBC, ou si 200 OK n’est pas reçu du SBC, le problème peut être lié à la version TLS. La version TLS configurée sur le SBC doit être 1.2 ou ultérieure.

Le certificat SBC est auto-signé ou ne provient pas d’une autorité de certification approuvée

Si le certificat SBC est auto-signé, il n’est pas valide. Assurez-vous que le certificat SBC est obtenu auprès d’une autorité de certification approuvée. Le certificat doit contenir au moins un nom de domaine complet appartenant à un locataire Microsoft 365.

Pour obtenir la liste des autorités de certification prises en charge, consultez la section Certificat approuvé public pour la section SBC de Planifier le routage direct.

SBC n’approuve pas le certificat proxy SIP

Si le SBC n’approuve pas le certificat proxy SIP, téléchargez et installez le certificat racine Baltimore CyberTrust sur le SBC. Pour télécharger le certificat, consultez Chaînes de chiffrement Microsoft 365.

Pour obtenir la liste des autorités de certification prises en charge, consultez la section Certificat approuvé public pour la section SBC de Planifier le routage direct.

Le certificat SBC n’est pas valide

Si le tableau de bord d’intégrité pour le routage direct dans le Centre d’administration Microsoft Teams indique que le certificat SBC a expiré ou a été révoqué, demandez ou renouvelez le certificat auprès d’une autorité de certification approuvée. Ensuite, installez-le sur le SBC. Pour obtenir la liste des autorités de certification prises en charge, consultez la section Certificat approuvé public pour la section SBC de Planifier le routage direct.

Lorsque vous renouvelez le certificat SBC, vous devez supprimer les connexions TLS établies du SBC à Microsoft avec l’ancien certificat et les rétablir avec le nouveau certificat. Cela garantit que les avertissements d’expiration de certificat ne sont pas déclenchés dans le Centre d’administration Microsoft Teams. Pour supprimer les anciennes connexions TLS, redémarrez le SBC pendant une période où le trafic est faible, comme une fenêtre de maintenance. Si vous ne pouvez pas redémarrer le SBC, contactez le fournisseur pour obtenir des instructions pour forcer la fermeture de toutes les anciennes connexions TLS.

Le certificat SBC ou les certificats intermédiaires sont manquants dans le message « Hello » SBC TLS

Vérifiez qu’un certificat SBC valide et tous les certificats intermédiaires requis sont installés correctement et que les paramètres de connexion TLS sur le SBC sont corrects.

Parfois, même si tout semble correct, un examen plus approfondi de la capture de paquets peut révéler que le certificat TLS n’est pas fourni à l’infrastructure Teams.

La connexion SBC est interrompue

La connexion TLS est interrompue ou non configurée même si les certificats et les paramètres SBC ne rencontrent aucun problème.

La connexion TLS a peut-être été fermée par l’un des appareils intermédiaires (par exemple, un pare-feu ou un routeur) sur le chemin entre le SBC et le réseau Microsoft. Recherchez les éventuels problèmes de connexion au sein de votre réseau managé et corrigez-les.

Informations supplémentaires

Encore besoin d’aide ? Accédez à Microsoft Community.