Errori di replica di Lync Server Central Management Store

  • Articolo
  • Si applica a:
    Lync Server 2010 Enterprise Edition, Lync Server 2010 Standard Edition, Lync Server 2013

Sintomi

L'aggiunta, lo spostamento o l'aggiornamento dei ruoli del server Lync Server può causare l'esito negativo del processo di replica dei file dell'archivio di gestione centrale. Negli scenari seguenti vengono descritti alcuni tipi diversi di errori di replica file cms che possono verificarsi in circostanze diverse.

Scenario 1

Quando la replica dei file CMS tra il server front-end di Lync Server che ospita il servizio agente di trasferimento file di Lync Server e le interfacce interne del pool di Lync Server Edge ha esito negativo a causa di problemi di routing di rete, viene registrato l'evento di errore di Lync Server seguente:

Log Name:   Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss AM|PM
Event ID:      1017
Task Category: (1121)
Level:         Error
Keywords:  Classic
User:          N/A
Computer:      server01.contoso.net
Description:
File transfer failed for some replica machines. Microsoft Lync Server, File Transfer Agent will continuously attempt to replicate to these machines.
While this condition persists, configuration changes will not be delivered to these replica machines.

Replica file transfer failures: sever05.contoso.com: Https destination unavailable.

Cause: Possible issues with transferring files to the replicas listed above.

Resolution: Check the accessibility of file shares or https web services listed above.

Scenario 2

Quando la replica dei file cms tra il server front-end di Lync Server che ospita il servizio agente di trasferimento file di Lync Server e le interfacce interne del pool di Lync Server Edge ha esito negativo a causa di problemi di configurazione del certificato, viene registrato il seguente evento di errore di Lync Server:

Log Name:      Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss
Event ID:      1015
Task Category: (1121)
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      server01.contoso.com
Description:
File transfer failed. Microsoft Lync Server, File Transfer Agent will continuously attempt to transfer the files.

Reason: Unable to match host/cluster against certificate, host=server05.contoso.com, cluster=server05.contoso.com, CNn=server05.contoso.com, OU=Certificates, OU=Server, O=<Organization name>.

Cause: Microsoft Lync Server, Replica Replicator Agent presented an invalid certificate.

Resolution: Ensure that the certificate configured for Microsoft Lync Server, Replica Replicator Agent is valid.

Scenario 3

L'evento di errore di Lync Server seguente viene registrato quando il server fe di Lync Server 2010 che ospita il servizio Agente di trasferimento file di Lync Server non dispone delle autorizzazioni necessarie per accedere alla condivisione xds-replica che si trova in un server ruolo di Lync Server.

Log Name:      Lync Server
Source:        LS File Transfer Agent Service
Date:          dd/mm/yyyy hh:mm:ss AM|PM
Event ID:      1034
Task Category: (1121)
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      server01.contoso.com
Description:
Microsoft Lync Server, File Transfer Agent service encountered an error while accessing a file share and will continuously attempt to access this file share until this issue is resolved. While this condition persists, replication to replica machines might not occur.

Access denied. (\\server02.contoso.com\xds-replica\from-master\data.zip)

Cause: Possible issues with file share permissions. This can occur if the computer hosting the file share has outdated cached credentials for the computer that is trying to access the file share.

Resolution: For details about how to resolve file share permission issues, see the product documentation

Causa

Scenario 1

Il servizio Trasferimento file master di Lync Server situato nel server front-end di Lync Server esegue il push di una copia delle informazioni sulla replica di CMS nel servizio Agente replica replica di Lync Server usando la porta TCP 4443 nell'interfaccia interna di un server Lync Server Edge nel pool di server Lync Server Edge. Questo processo di trasferimento di file può non riuscire se:

  • Il firewall interno per la rete perimetrale che ospita il pool di server Perimetrali di Lync Server non è configurato per consentire i trasferimenti di file usando la porta TCP in uscita 4443.
  • Il routing di rete tra il server front-end di Lync Server e l'interfaccia interna di un server Lync Server Edge nel pool di server Perimetrali di Lync Server non è configurato correttamente.

Scenario 2

Il servizio Agente replica replica di Lync Server che si trova nel server front-end di Lync Server non può stabilire una relazione di trust con il servizio Agente replica replica di Lync Server che si trova nei server perimetrali di Lync Server a causa di una configurazione del certificato non valida.

Scenario 3

Il servizio Agente di trasferimento file di Lync Server che si trova nel server front-end di Lync Server non può completare il processo di autenticazione Kerberos necessario per trasferire in modo sicuro una copia delle informazioni sulla replica di CMS in uno o più server ruolo di Lync Server. Questo problema può verificarsi quando nella cartella xds-replica che si trova nel server lync server remoto manca la voce Controllo di accesso predefinita (ACE) dall'elenco di Controllo di accesso (ACL).

Risoluzione

Prima di usare uno dei passaggi elencati in Scenario 1, Scenario 2 e Scenario 3, seguire questa procedura:

  1. Aprire Lync Server Management Shell.

  2. Digitare il cmdlet di PowerShell di Lync Server seguente:

    Get-CsManagementStoreReplicationStatus -CentralManagementStoreStatus

  3. Esaminare i risultati del cmdlet Get-CsManagementStoreReplicationStatusPowerShell.

  4. Digitare il cmdlet di PowerShell di Lync Server seguente:

    Invoke-CsManagementStoreReplication

  5. Digitare di nuovo il cmdlet di PowerShell di Lync Server seguente:

    Get-CsManagementStoreReplicationStatus -CentralManagementStoreStatus

  6. Esaminare i risultati del Get-CsManagementStoreReplicationStatus cmdlet di PowerShell.

Questi passaggi identificano quali ruoli del server Lync Server non possono partecipare al processo di replica CSM.

Nota

L'elenco ActiveReplicas restituito dalla visualizzazione dei Get-CsManagementStoreReplicationStatus -CentralManagementStore comandi di PowerShell di Lync Server viene troncato a 128 byte e potrebbe non visualizzare l'elenco completo di ActiveReplicas.

Scenario 1

Per risolvere il problema di routing della porta TCP 4443 descritto nella sezione Sintomi, seguire questa procedura per individuare l'origine del problema.

  1. Assicurarsi che il servizio Agente replica replica di Lync Server nel server Lync Server Edge sia in esecuzione:

    1. Dalla console di Lync Server Edge Server fare clic su Avvia>esecuzione, digitare services.msc, quindi fare clic su OK.
    2. Individuare il servizio Agente replicatore di Lync Server nell'elenco dei servizi.
    3. Se il servizio Agente replicatore di Lync Server viene arrestato, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Avvia.

  2. Assicurarsi che il firewall interno della rete perimetrale sia configurato per consentire il traffico della porta TCP in uscita 4443 verso ognuna delle interfacce perimetrali interne per il pool di server Perimetrali di Lync Server. Per altre informazioni sulle configurazioni delle porte per la configurazione della rete perimetrale di Lync Server, vedere Riepilogo delle porte per Single Consolidated Edge.

  3. Usare il client Telnet di Windows per testare la route dal server front-end di Lync Server all'interfaccia interna di ognuno dei server Lync Server Edge nel pool di Lync Server Edge Server usando TCP 4443.

    1. In un computer basato su Windows Server che ospita i servizi front-end di Lync Server aprire prompt dei comandi.

    2. Immettere il comando seguente al prompt dei comandi per testare il routing tra il server front-end di Lync Server e ogni interfaccia interna dei server perimetrali di Lync Server nel pool di server Lync Server Edge:

      telnet <ip address of the Lync Server Edge server internal interface> 4443

    3. Un cursore lampeggiante nell'angolo superiore sinistro delle finestre del prompt dei comandi indica che la connessione al servizio agente replicatore di Lync Server remoto viene eseguita correttamente usando la porta TCP 4443.

    Nota

    Microsoft Windows Vista, Windows Server 2008 e versioni successive dei sistemi operativi Windows Server richiedono l'installazione del client Telnet. Per altre informazioni su come installare il client Telnet, vedere Installare il client Telnet.

  4. Eseguire i passaggi da 1 a 6 elencati all'inizio della sezione Risoluzione .

Nota

Alcuni fornitori di servizi di bilanciamento del carico hardware hanno configurazioni specifiche per la porta TCP 4443 per il servizio Agente replicatore di Lync Server nell'interfaccia interna del pool di Lync Edge. Per altre informazioni, vedere Infrastruttura qualificata per Microsoft Lync.

Scenario 2

Per risolvere il problema correlato al certificato descritto nella sezione Sintomi, è possibile usare lo snap-in del certificato di Windows Server per analizzare il problema. Per aggiungere lo snap-in Certificati a un MMC ed esaminare le informazioni del certificato, vedere la sezione Per aggiungere lo snap-in Certificati a un MMC per un account computer in Aggiungere lo snap-in Certificati a un MMC.

Il pool di server front-end di Lync Server e il pool di server perimetrali di Lync Server devono condividere la stessa soluzione PKI. Il server autorità di certificazione emittente che fornisce i certificati server e la soluzione di certificato radice autorità di certificazione corrispondente per il pool di server front-end di Lync Server deve fornire i certificati server e la soluzione certificato radice autorità di certificazione corrispondente per ognuna delle interfacce interne del server Perimetrale di Lync Server che appartengono al pool di server Perimetrali di Lync Server.

Seguire questa procedura per assicurarsi che ognuno dei server Perimetrali di Lync Server che fanno parte di un pool di server Perimetrali di Lync Server ospiti un certificato server che contiene la chiave privata per il certificato:

  1. Aggiungere lo snap-in Certificato.
  2. Per visualizzare le informazioni generali per il certificato server usato per autenticare le interfacce interne del server Lync Server Edge che appartengono al pool di server Lync Server Edge, selezionare la scheda Generale.
  3. La scheda Informazioni sul certificato nella scheda Generale della finestra di dialogo Certificato deve essere "È stata assegnata una chiave privata a questo certificato". Se questa riga non è presente nelle informazioni sul certificato, leggere la sezione Per esportare il certificato con la chiave privata per i server perimetrali in un pool della scheda Dettagli.
  4. Eseguire i passaggi da 1 a 6 elencati all'inizio della sezione Risoluzione .

Scenario 3

Per risolvere i problemi relativi al motivo per cui il servizio agente di trasferimento file di Lync Server non può accedere alle cartelle elencate nella cartella RTCReplicaRoot nel server dei ruoli remoto di Lync Server indicato nella sezione Sintomi:

  1. In un computer basato su Windows Server che ospita i servizi front-end di Lync Server selezionare Avvia>esecuzione, digitare explore.exee quindi fare clic su OK.
  2. Usare Esplora risorse per individuare l'unità <>locale:\RTCReplicaRoot\xds-replica share nel server ruolo Lync Server descritto come Accesso negato nell'ID evento del servizio LS File Transfer Agent 1034 visualizzato come Scenario 3 della sezione Sintomi.
  3. L'accesso iniziale alla cartella condivisa xds-replica richiede autorizzazioni NTFS di proprietà dell'amministratore locale.
  4. Fare clic con il pulsante destro del mouse sulla cartella xds-replica e quindi scegliere Proprietà.
  5. Nella scheda Sicurezza selezionare Continua.
  6. Selezionare la scheda Proprietario e selezionare Modifica.
  7. Selezionare il ruolo Amministratore locale e quindi selezionare l'opzione Sostituisci proprietario nei contenitori secondari e negli oggetti .
  8. Selezionare OK dopo la chiusura della finestra di dialogo Proprietà replica xds.
  9. Fare clic con il pulsante destro del mouse sulla cartella xds-replica e quindi scegliere Condividi.
  10. Selezionare l'opzione Modifica autorizzazioni di condivisione nella finestra di dialogo Condivisione file .
  11. Assicurarsi che l'account di sicurezza locale rtc Config Replicator venga aggiunto all'elenco di controllo di accesso della finestra di dialogo Condivisione file con autorizzazioni di co-proprietario o lettura/scrittura. Selezionare Condividi, quindi selezionare Fatto.
  12. Usare lo snap-in Utenti e computer di Active Directory per assicurarsi che l'account del computer Windows Active Directory per il server front-end lync che ospita il ruolo CMS sia membro del gruppo di sicurezza RTCUniversalConfigReplicator windows.
  13. Dalla console di un computer basato su Windows Server che ospita il ruolo Active Directory Domain Services aprire lo strumento Utenti e computer di Active Directory.
  14. Individuare il gruppo di sicurezza RTCUniversalConfigReplicator Windows, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Proprietà.
  15. Selezionare la scheda Membro .
  16. Assicurarsi che l'account computer Windows Active Directory per il server front-end di Lync Server che ospita il ruolo CMS venga aggiunto all'elenco dei membri. Fare clic su OK.
  17. Eseguire i passaggi da 1 a 6 elencati all'inizio della sezione Risoluzione .

Ulteriori informazioni

Per altre informazioni sulla gestione dei servizi di replica da parte di Lync Server, vedere gli articoli seguenti:

Il processo di replica file CMS di Lync Server usa TCP 445 come porta di destinazione per le richieste client/server per l'accesso alla cartella di replica condivisa. Il protocollo SMB (Server Message Block) viene usato per assicurarsi che le comunicazioni sicure per ogni connessione client/server usata per la replica di replica file.

Panoramica del blocco dei messaggi del server

Ecco un riepilogo di come vengono applicate le autorizzazioni e quindi usate per proteggere l'accesso alla cartella xds-master e alle sottocartelle per Lync Server edizione Enterprise:

  • La pubblicazione iniziale di una topologia di Lync Server creerà le cartelle 1-CentralMgmt-1\CMSFileStore nella condivisione FileStore del pool front-end di Lync Server.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza RTCUniversalConfigReplicator all'ACL di condivisione con l'equivalente delle autorizzazioni di collaboratore.

  • La cartella xds-master e le sottocartelle usate nel processo di replica di CMS verranno aggiunte alla cartella CMSFileStore quando il primo server front-end di Lync Server viene aggiunto al pool.

  • Queste cartelle erediteranno le autorizzazioni per il gruppo di sicurezza DI Windows RTCUniversalConfigReplicator man mano che vengono create.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza RTCUniversalConfigReplicator all'ACL NTFS con autorizzazioni Modify, Read & execute, List folder contents, Read e Write.

  • L'account del computer Windows Active Directory per il server front-end lync che ospita il ruolo CMS verrà reso membro del gruppo di sicurezza RTCUniversalConfigReplicator Windows.

  • Inoltre, il primo server front-end di Lync Server viene aggiunto al pool gestirà il processo di replica cms usando l'agente di replica master di Lync Server, l'agente di trasferimento file di Lync Server e i servizi dell'agente replica replica di Lync Server.
    Ecco un breve riepilogo di come vengono applicate le autorizzazioni e quindi usate per proteggere l'accesso alla cartella xds-master e alle sottocartelle per Lync Server Standard Edition:

  • La pubblicazione iniziale di una topologia di Lync Server creerà le cartelle 1-CentralMgmt-1\CMSFileStore nella condivisione FileStore del pool front-end di Lync Server.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza RTCUniversalConfigReplicator all'ACL di condivisione con l'equivalente delle autorizzazioni di collaboratore.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza RTCUniversalConfigReplicator all'ACL NTFS con autorizzazioni Modify, Read & execute, List folder contents, Read e Write.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza locale RTC Local Config Replicator all'elenco di controllo di accesso condiviso con autorizzazioni di collaboratore.

  • Nella cartella CMSFileStore verrà aggiunto il gruppo di sicurezza locale RTC Local Config Replicator al relativo ACL NTFS con autorizzazioni Modify, Read & execute, List folder contents, Read, Write.

  • La cartella xds-master e le sottocartelle usate nel processo di replica di CMS verranno aggiunte alla cartella CMSFileStore quando il primo server front-end lync viene aggiunto al pool.

  • La cartella xds-master e le sottocartelle usate nel processo di replica di CMS erediteranno le autorizzazioni per il gruppo di sicurezza RTCUniversalConfigReplicator Windows e il gruppo di sicurezza locale RTC Local Config Replicator durante la creazione.

  • L'account del computer Windows Active Directory per il server front-end lync che ospita il ruolo CMS verrà reso membro del gruppo di sicurezza RTCUniversalConfigReplicator Windows.

  • I servizi locali RTCUniversalConfigReplicator Windows, NT SERVICE\FTA, NT SERVICE\MASTER e NT SERVICE\REPLICA verranno resi membri del gruppo di sicurezza locale RTC Local Config Replicator. Ciò garantisce l'accesso sicuro alla cartella CMSFileStore locale.

  • Inoltre, il primo server front-end di Lync viene aggiunto al pool gestirà il processo di replica di CMS usando i servizi Lync Server Master Replicator Agent, Lync Server File Transfer Agent e Lync Server Replicator Agent.

Ulteriore assistenza Visitare la community Microsoft.