SBC 連接問題

當您設定直接路由時,可能會遇到下列會話邊界控制器 (SBC) 連線性問題:

  • 不會收到 (SIP) 選項的會話初始通訊協定。
  • 傳輸層安全性 (TLS) 連接問題發生。
  • SBC 沒有回應。
  • SBC 在 Teams 管理入口網站中標示為非使用中。

這類問題最可能是由下列任一情況或兩者所造成:

  • TLS 憑證遇到問題。
  • 未正確設定 SBC 進行直接路由。

本文列出 SIP 選項與 TLS 憑證相關的一些常見問題,並提供您可以嘗試的解決方法。

SIP 選項處理常式

  • SBC 會將包括 TLS 憑證的 TLS 連線要求傳送至 SIP proxy 伺服器的完整功能變數名稱 (FQDN) (例如, sip.pstnhub.microsoft.com) 。

  • SIP proxy 會檢查連接要求。

    • 如果要求無效,TLS 連線就會關閉,而 SIP proxy 不會收到來自 SBC 的 SIP 選項。
    • 如果要求是有效的,則會建立 TLS 連線,而且 SBC 會使用它來傳送 SIP 選項至 SIP proxy。
  • 在收到 SIP 選項之後,SIP proxy 會檢查 Record-Route,判斷 SBC FQDN 是否屬於已知的租使用者。 如果沒有偵測到 FQDN 資訊,SIP proxy 便會檢查連絡人標頭。

  • 如果偵測到並識別 SBC FQDN,則 SIP proxy 會使用相同的 TLS 連線傳送 200 OK 訊息。

  • SIP proxy 會傳送 SIP 選項至 SBC FQDN,該 FQDN 會列于從 SBC 收到的 SIP 選項的連絡人標頭中。

  • 從 SIP proxy 接收 SIP 選項之後,SBC 會傳送 200 OK 訊息以回應。 此步驟會確認 SBC 是否健康。

  • 最後一個步驟是,在 Teams 管理入口網站中,SBC 標示為 作用中。

注意

主控模型中,SIP 選項應該只從主控的 SBC 傳送。 衍生主幹模型中 SBCs 的狀態是以主要 SBC 為基礎。

SIP 選項問題

在成功建立 TLS 連線後,而且 SBC 可以從 Teams sip proxy 傳送和接收郵件,可能仍然會影響 SIP 選項的格式或內容的問題。

SBC 不會收到 SIP proxy 為 "200 OK" 的回應

如果您使用的是舊版 TLS,就可能會發生這種情況。 若要強制執行更嚴格的安全性,請啟用 TLS 1.2。

確定您的 SBC 憑證不是自我簽署的,而且您從 信任的憑證授權單位 單位取得此憑證 (CA) 。

如果您使用最小必要版本的 TLS 或更高版本,而且 SBC 憑證是有效的,則可能發生此問題,因為您的 SIP 設定檔中的 FQDN 未正確設定,且無法辨識為屬於任何租使用者。 請檢查下列條件,並修正您發現的任何錯誤:

  • Record-Route 或連絡人標頭中 SBC 所提供的 FQDN,與 Teams 中所設定的不同。
  • 連絡人標頭包含 IP 位址,而不是 FQDN。
  • 完全驗證網域。 如果您新增先前未驗證的 FQDN,則必須立即驗證。
  • 在您註冊 SBC 功能變數名稱後,您必須 新增至少一個 E3 或 E5 授權的使用者來啟用該功能變數名稱。
SBC 收到 "200 OK" 回應,但不是 SIP 選項

SBC 收到來自 SIP proxy 的 200 OK 回應,但不是從 sip proxy 傳送的 sip 選項。 如果發生此錯誤,請確定在 Record-Route 或連絡人標頭中列出的 FQDN 正確,並解析為正確的 IP 位址。

此問題的另一個可能原因是導致傳入流量無法執行的防火牆規則。 請確定防火牆規則已設定為允許來自所有 SIP proxy 信令 IP 位址的傳入連線。

SBC 狀態為間歇性停用

如果 SBC 設定為傳送不是 Fqdn 的 SIP 選項,而是傳送給其解析的特定 IP 位址,可能會發生此問題。 在維護或中斷期間,這些 IP 位址可能會變更為不同的資料中心。 因此,SBC 會傳送 SIP 選項至非使用中或無回應的資料中心。 請執行下列動作:

  • 請確定 SBC 是可探索的,且已設定為僅將 SIP 選項傳送至 Fqdn。

  • 確定路由中的所有裝置(例如 SBCs 及防火牆)都已設定為允許和所有的 Microsoft 信號 Fqdn 進行通訊。

  • 若要在從 SBC 取得問題的資料中心進行連線時提供容錯移轉選項,SBC 必須設定為使用所有三種 SIP proxy Fqdn:

    • sip.pstnhub.microsoft.com
    • sip2.pstnhub.microsoft.com
    • sip3.pstnhub.microsoft.com

    注意

    支援 DNS 名稱的裝置可使用 sip-all.pstnhub.microsoft.com 來解析所有可能的 IP 位址。

如需詳細資訊,請參閱 SIP 信號: fqdn

FQDN 與所提供憑證中的 CN 或 SAN 內容不符

如果萬用字元不符合較低層級的子域,便會發生此問題。 例如,萬用字元 \*\.contoso.com 會比對 sbc1.contoso.com,但不會符合 customer10.sbc1.contoso.com。 在萬用字元下,您不能有多層子域。 如果 FQDN 與所提供憑證中 (SAN) 的一般名稱 (CN) 或主體替代名稱不相符,則要求符合您功能變數名稱的新憑證。

如需憑證的詳細資訊,請參閱 規劃直接路由的 SBC 區段中的 公開信任憑證

未在 Microsoft 365 環境中註冊網域啟用

若要完全啟動租使用者的網域,並透過 Microsoft 365 環境將其散佈,您必須將至少一個授權的使用者指派給 SBC 所使用的子域。 當滿足所有需求時,可能需要長達24小時才能啟用網域。

如需直接路由所需的授權清單,請參閱 規劃直接路由的「授權與其他需求」一節。

如需此程式的詳細資訊,請參閱 連線您會話邊界控制器 (sbc)承租人連線租 使用者區段中的 [承租人] 區段,以進行直接路由。

TLS 連接問題

如果立即關閉 TLS 連線,而且不會收到來自 SBC 的 SIP 選項,或是如果不是從 SBC 接收到 200 OK ,則問題可能與 TLS 版本有關。 SBC 上所設定的 TLS 版本應該是1.2 或更高版本。

SBC 憑證是自我簽署的,或是不是來自于受信任的 CA

如果 SBC 憑證是自我簽署的,則無效。 請確定 SBC 憑證是從信任的憑證授權單位單位取得 (CA) 。 憑證必須包含至少一個屬於 Microsoft 365 租使用者的 FQDN。

如需支援的 Ca 清單,請參閱 Plan Direct 路由之 SBC 區段中的 公開信任憑證

SBC 不信任 SIP proxy 憑證

如果 SBC 不信任 SIP proxy 憑證,請下載並在 SBC 上安裝巴爾的摩 CyberTrust 的根憑證。 若要下載憑證,請參閱Microsoft 365 加密鏈

如需支援的 Ca 清單,請參閱 Plan Direct 路由之 SBC 區段中的 公開信任憑證

SBC 憑證無效

如果 Teams 系統管理中心內直接路由的「健康情況」儀表板指出 SBC 憑證已到期或撤銷,請從信任的憑證授權單位單位 (CA) 中要求或更新憑證。 然後,在 SBC 上安裝它。

如需支援的 Ca 清單,請參閱 Plan Direct 路由之 SBC 區段中的 公開信任憑證

SBC TLS "Hello" 訊息中遺失 SBC 憑證或仲介憑證

請檢查是否已正確安裝有效的 SBC 憑證和所有必要的中級憑證,以及 SBC 上的 TLS 連線設定是否正確。

在某些情況下,即使所有的內容都正確無誤,對資料包捕獲的進一步檢查,也可能會顯示 TLS 憑證未提供給 Teams 基礎結構。

SBC 連接中斷

即使憑證和 SBC 設定沒有任何問題,TLS 連接也會中斷或未設定。

TLS 連線可能已由其中一個中間裝置所關閉 (例如防火牆或路由器) 在 SBC 和 Microsoft 網路之間的路徑上。 檢查受管理網路內的任何連線問題,並加以修正。

其他相關資訊

是否仍需要協助? 前往 Microsoft Community