Lync client kan geen verbinding maken vanaf het internet

One of the features Lync offeres is the ability to use IM, Web Conference and A/V services via an Edge Server when connecting from the internet. This may cause several issues:

  • client can’t connect;
  • client cannot attend a Web Conference;
  • client cannot place audio/video calls or attend them;

But where should you start with troubleshooting? A good starting point will be to investigate if the issue occurs only with specific clients or all clients. When the issue only occurs at one client the most logical step is to have a look at that specific client. For example a firewall may be the cause of all issues because it will block all traffic.

If the issues occurs with all clients you should concentrate on the Lync Servers. In this case you also should have a look what the problem is, this is important to know because you will need to decide on which server you start with troubleshooting.

When all clients can connect from the local network but not from the internet you can focus on the following things:

  • not all services are running;
  • the policy does not allow the user to connect from the internet;
  • not all firewall ports are open;
  • certificates are configured incorrectly;

Not all services are running

To deliver the functionalities all services need to be running on the Edge Server. In OCS 2007 R2 there where 4 services, in Lync there are 5:

  • Lync Server Access Edge
  • Lync Server Audio/Video Authentication
  • Lync Server Audio/Video Edge
  • Lync Server Replica Replicator Agent
  • Lync Server Web Conferencing Edge

When for example the Access Edge isn’t running users will not be able to logon from the outside. Are both  the Audio/Video Auhentication & Edge services are not running users will not be able to make audio/video calls from the outside.

When replication is allowed between the LAN and the Edge Server used for configuration changes a stopped Replica Replicator Agent will result in configuration changes which are not applied and thus will not update the Central Managent Store. 

Policy does not allow users to connect from the internet

When logging in to the Lync Control Panel you will have the option external user access which contains the tabAccess Edge Configuration. Here you will find the global policy which is applied to all Lync enabled users by default. When the policy option called remote user access is disabled users won’t be able to connect from outside the LAN. In some cases it may not be possible to allow this for everyone but just for a small group of users. In this case you will need to create a seperate, for example user policy, and apply this policy to the users.

Not all firewall ports are open

Because the Edge is placed in the DMZ and it needs connection from/to the internet several firewall changes may be needed. Besides this specific traffic will need to be allowed from/to the LAN. In the table below you will find an overview of the specific ports:

[table id=5 /]

Certificates are configured incorrectly

All traffic between the servers and clients is secured by using a certificate. The internal certificates will be provided by the internal Certificate Authority (CA), in most cases. De certificates used for the Access Edge, Web Conference Edge and for the reverse proxy which will publish the Front End will de provided by a 3rd party CA.

There are a few things which you should keep in mind when requesting certificates. Specificly when you are Lync environment will host multiple sip domains.

In this specific scenario you will need to ensure that all domains are placed in the Subject Alternate Name (SAN) field. When forgetting one of SIP domains a user with a SIP address in the specific domain will not be able to connect from outside the LAN. In OCS 2007 R2 it was very important that the value of the Subject field was also the first entry in the SAN field. Starting from Lync this is not a requirement anymore, if a SAN field is detected the Subject field will be ignored.

In this blog we talked about several causes which results in connection issues to the Lync Edge Server from the internet. Besides this causes there are plenty of other scenarios which can prevent remote access from working correctly. In the future we may have a look at other scenarios. If you are having questions/tips please let us know.

Eén van de mogelijkheden van Lync is het aanbieden van de IM, Web Conference en A/V services via de Edge Server aan het internet. Dit kan natuurlijk ook voor de nodige problemen zorgen:

  • clients kunnen geen verbinding maken;
  • clients kunnen niet deelnemen aan een Web Conference;
  • clients kunnen geen audio/video gesprekken met elkaar voeren;

Maar waar moet je in dit geval beginnen met troubleshooten? Als eerst dien je natuurlijk te kijken of alle clients hier last van hebben of slechts één client. In dit laatste geval is het natuurlijk het meest logisch als je specifiek op deze client gaat kijken of er geen firewall o.i.d. geïnstalleerd staat. Als er namelijk poorten worden geblokkeerd door deze client zou dit goed het probleem kunnen veroorzaken.

Als het probleem zich bij alle clients voordoet zul je je moeten concentreren op de Lync Servers. Hier zul je ook weer moeten kijken wat het probleem is, dit bepaald namelijk op welke server je begint met troubleshooten.

Wanneer clients vanaf het lokale netwerk wel kunnen connecteren dan zijn er een paar mogelijkheden die onderzicht dienen te worden:

  • niet alle services zijn gestart;
  • de policy verbiedt het de gebruiker om connectie te maken vanaf remote;
  • de benodigde firewall poorten staan niet open;
  • de certificaten zijn niet correct geconfigureerd;

Niet alle services zijn gestart

Om gebruik te maken van alle functionaliteiten vanaf extern dienen uiteraard alle services op de Edge Server gestart te zijn. In OCS 2007 R2 waren dit er 4, in Lync zijn het er 5:

  • Lync Server Access Edge
  • Lync Server Audio/Video Authentication
  • Lync Server Audio/Video Edge
  • Lync Server Replica Replicator Agent
  • Lync Server Web Conferencing Edge

Wanneer bijvoorbeeld de Access Edge niet draait zal het niet mogelijk zijn voor gebruikers om in te loggen. Draaien de Audio/Video Authentication & Edge service niet dan zullen er geen audio/video gesprekken mogelijk zijn tussen gebruikers vanaf extern met gebruikers intern.

Wanneer er replicatie wordt toegestaan vanaf het LAN naar de Edge Server t.b.v. configuratie wijzigingen kan het niet draaien van de Replica Replicator Agent voor vreemde problemen zorgen. Deze service is er namelijk voor verantwoordelijk om configuratie wijzigingen door te voeren op de Edge Server en dit vervolgens terug te rapporten aan de Central Managent Store. 

Policy staat geen remote connectie toe

Wanneer je via het Lync Control Panel naar de optie external user access gaat en dan de tab Access Edge Confifugration selecteerd zul je standaard alleen de global policy vinden. Deze policy zal op alle gebruikers worden toegepast welke Lync enabled zijn. Met de policy optie genaamd remote user access kunnen we toestaan of gebruikers connectie mogen maken vanaf buiten het LAN. Indien je dit in de global policy zou aanpassen dan is dit dus van toepassing op alle Lync enabled gebruikers. Dit kan natuurlijk niet altijd gewenst zijn, indien je dit slechts voor een select gezelschap wilt inschakelen maak dan een aparte policy hiervoor aan, bijvoorbeeld een user policy.

Benodigde firewall poorten staan niet open

Omdat de Edge in de DMZ staat en deze verbindingen vanaf/naar het internet toe zal moeten staan vereist dit diverse aanpassingen in de firewall. Daarnaast zal er verkeer vanaf/naar het LAN toegestaan moeten worden. In onderstaande tabel is een overzicht te zien van deze poorten:

[table id=6 /]

Certificaten zijn niet correct geconfigureerd

Al het verkeer tussen de servers en de clients wordt beveiligd middels een certificaat. De internet certificaten worden in veel gevallen uitgegeven door interne Certificate Authority (CA). De certificaten voor de Access Edge, Web Conference Edge en voor het publiceren van de Front End middels een reverse proxy dienen van een 3rd party CA te zijn.

Er zijn een aantal dingen die je goed in de gaten moet houden met certificaten. Zeker in het geval je meerdere SIP domeinen gaat hosten.

In dit laatste geval zul je er namelijk voor moeten zorgen dat alle SIP domeinen worden geplaatst in het Subject Alternate Name (SAN) veld. Doe je dit niet dan zullen deze gebruikers met een SIP adres van dit domein niet in kunnen loggen vanaf het internet. In OCS 2007 R2 was het van belang dat de naam welke in het Subject veld gebruikt werd ook als eerste waarde opgegeven diende te worden in het SAN veld. Vanaf Lync is dit geen vereiste meer, zodra er een SAN veld aanwezig is op het certificaat zal het Subject veld genegeerd worden.

In deze blog hebben we een aantal oorzaken besproken welke kunnen resulteren in het niet kunnen verbinden met de Lync Edge Server. Naast deze oorzaken zijn er nog veel meer scenario’s te bedenken waarom dit niet zou werken. Misschien dat deze in een toekomstig blog nog worden besproken. Mocht je nog vragen/tips hebben laat het ons weten.

Free subscription



You may also like...

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *