Lync: IP-Phones können sich nicht mehr mit dem FE verbinden

Beschreibung

Die IP-Telefone können sich nicht mehr mit dem Lync Front End Server verbinden, bzw. melden sich nach einigen Minuten wieder ab. Hiervon betroffen waren alle IP-Telefone, zumindest die in der hier eingesetzten Umgebung (Snom UC-Edition, Lync Phone Edition von allen Herstellern). Alle Geräte waren mit dem neusten Patchstand (CU 6).

Fehleranalyse

Die einzigen Fehler die auf den Front End Server auftauchen sind die mit der Event 36888

The following fatal alert was generated: 10. The internal error state is 1203.

Log Name: System
Source: Schannel
Event ID: 36888
Level: Error
User: System
OpCode: Info

Das Event weist auf Probleme mit dem Zertifikat hin. Nach einer eingehenden Prüfung konnte dies aber ausgeschlossen werden. Die Standardprotokolle der Clients brachten auch kein Erfolg. Nach Erhöhung des Loglevels eines Snom Phones wurden folgendes protokolliert:

20/12/2012 12:51:08 [5] send lldp advertisment
20/12/2012 12:51:23 [3] Warning: Certificate verification omitted. TLS Server authentication is switched off!
20/12/2012 12:51:23 [1] No TLS session key in Client Key Exchange
20/12/2012 12:51:58 [5] SIP: Add dirty host: tls/10.0.0.11/5061 (0 sec)

Auch hier wies letztendlich alles auf ein Zertifikatsfehler hin.

Lösung / Hintergrund

Die Lösung ist tatsächlich bei den Zertifikaten zu suchen. Diese sind zwar nicht fehlerhaft, allerdings können die IP-Telefone die Sperrliste, die bei einem Handshake übermittelt werden, nicht vollständig lesen, da es sich um eine zu große Liste handelt. Eine aktualisierte Sperrliste wurde mit dem Root CA Update für Dezember aktualisiert. Mit dem Verbindungsaufbau zwischen FE und Clients wird diese übertragen.

Um dies zum umgehen gibt es unterschiedliche Methoden, die in diesem Technet-Artikel (KB 2464556) beschrieben wird. In meinem Fall habe ich die 3 Methode umgesetzt und auf jedem Front End Server einen Registry-Key gesetzt, der dafür sorgt, dass die Sperrliste nicht mehr an die Clients übertragen wird. Hierbei handelt es sich um nachfolgenden Key, der im Normalfall auf den Wert “1” gesetzt ist. Dieser ist in der Registry standardmäßig nicht vorhanden.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Value name: SendTrustedIssuerList
Value type: REG_DWORD
Value data: 0 (False)

Diesen kann man übrigends auch auf den Edgeserver verwenden, wo dieses Problem auch auftreten kann. Nähere Infos lieferte ein Artikel auf Frank Carius Website (Replikation zum Edge Server).

Weiterführende Links/Quellen:

Kommentar verfassen