Lync не может проверить, является ли сервер доверенным для вашего адреса входа" сообщение во время входа клиента

  • Статья
  • Применяется к:
    Lync 2013, Lync Server 2013

Симптомы

В этой статье описываются два сценария, которые происходят, когда клиент Microsoft Lync не может установить отношения доверия с ресурсами, для которых требуется безопасное подключение TLS.

Сценарий 1

Когда пользователи впервые пытаются войти в Microsoft Lync в среде Lync Server 2013, они получают следующее сообщение в диалоговом окне:

Lync is attempting to connect to:
<Fully qualified domain name (FQDN) of a server>
Lync cannot verify that the server is trusted for your sign-in address. Connect anyway?

Например, отображается следующее диалоговое окно модели доверия:

Снимок экрана: диалоговое окно

Сценарий 2

В диалоговом окне Lync — вход , показанном на снимке экрана в сценарии 1, отображается полное доменное имя (FQDN) интерфейса сервера клиентского доступа (CAS) организации. Этот интерфейс используется клиентом Lync для доступа к сведениям о почтовом ящике пользователя через веб-службы Exchange (EWS). Это происходит, если URI SIP пользователя Lync содержит суффикс домена, который не соответствует суффиксу домена интерфейса Exchange CAS. Если пользователь не будет доверять подключению к интерфейсу Exchange CAS, клиент Lync не будет иметь доступа к службам почтовых ящиков Exchange, подготовленным EWS.

Чтобы проверить это поведение, выполните следующие действия.

  1. Убедитесь, что клиент Lync вошел в систему на рабочем столе клиента Windows.
  2. Удерживая нажатой клавишу CTRL, щелкните правой кнопкой мыши значок Lync в области уведомлений клиента Windows.
  3. В контекстном меню выберите пункт Сведения о конфигурации.
  4. Найдите строку "Сведения о EWS".
  5. Если эта строка содержит "EWS не полностью инициализирована", возникает поведение сценария 2.

Причина

Эта проблема возникает из-за того, что доменное имя SIP пользователя не соответствует доменным именам в следующих свойствах сертификата веб-служб Lync и веб-служб Exchange:

  • Имя субъекта
  • Общее имя

Разрешение

Чтобы запретить отображение диалогового окна Модель доверия, используйте список доверенных доменов (TrustModelData) групповая политика. После установки этой политики Lync будет доверять исключительно доменам, указанным в политике. Поддерживаемые значения:

  • Не настроено (по умолчанию)/Отключено

    Благодаря этому параметру следующие домены являются доверенными по умолчанию:

    • lync.com
    • outlook.com
    • lync.glbdns.microsoft.com
    • microsoftonline.com

  • Включено

    Этот параметр задает список доменов, которые должны быть доверенными, например contoso.com, contoso.co.in.

Дополнительные сведения о параметре групповая политика списка доверенных доменов Lync 2013 (TrustModelData) см. в разделе Настройка политик начальной загрузки клиента.

Дополнительные сведения об административных шаблонах Lync 2013.admx (ADMX) и ADML (ADML) см. в статье Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office.

Дополнительные сведения

Сценарий 1

Классический клиент Lync 2013 использует новый механизм автоматического обнаружения для поиска внутренней или внешней веб-службы Lync в зависимости от сетевого расположения пользователя.

Следующий процесс происходит, когда классический клиент Lync 2013 пытается найти веб-службу Lync:

  1. Классический клиент Lync 2013 отправляет пару HTTP- и HTTPS-запросов для поиска службы автообнаружения Lync. HTTP- и HTTPS-запросы состоят из набора значений внутреннего или внешнего имени узла по умолчанию и имени домена SIP пользователя.

    Например, классический клиент Lync 2013 отправляет следующие запросы:

    http://LyncdiscoverInternal.contoso.com и https://LyncdiscoverInternal.contoso.com

    Примечание.

    LyncdiscoverInternal.contoso.com разрешается в полное доменное имя или IP-адрес внутренней веб-службы Lync.

    http://Lyncdiscover.contoso.com и https://Lyncdiscover.contoso.com

    Примечание.

    Lyncdiscover.contoso.com разрешается в полное доменное имя или IP-адрес внешнего интерфейса обратного прокси-сервера.

  2. Классический клиент Lync 2013 получает ответ, содержащий безопасные внутренние и внешние URL-адреса службы автообнаружения из веб-служб.

  3. Классический клиент Lync 2013 пытается связаться со службой автообнаружения по протоколу HTTPS. Если доменное имя SIP пользователя не совпадает с доменным именем в свойстве Имя субъекта или Общее имя сертификата, назначенного веб-службе Lync, откроется диалоговое окно Модель доверия.

Сценарий 2

Клиент Lync выполняет https-запросы к интерфейсу Exchange CAS в рамках процесса после входа. Эти запросы включают доступ к службе автообнаружения Exchange через URL-адреса, включающие полное доменное имя интерфейса exchange CAS. Например:

  • https://<smtpdomain>/autodiscover/autodiscover.xml
  • https://autodiscover.<smtpdomain>/autodiscover/autodiscover.xml

Если полное доменное имя домена SMTP не совпадает с полным доменом SIP, в который выполнен вход клиента Lync, возникает проблема с сценарием 2.

Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.