OCS Edge Konfiguration - Zertifikate falsch?

[Mantikor 10]

Hallo zusammen,

 

ich habe kein Communication-Server-Forum oder ein entsprechendes Präfix gefunden, daher habe ich es mir hier gemütlich gemacht ;)

 

Ich habe folgendes Problem: Wenn ich auf meinem OCS-Front End Server die Validierung durchführe, erhalte ich immer die Fehlermeldung 0xC3FC200D: "Received a SIP failure response. This usually indicates lack of routing trust between the remote server and the current machine. Check the local and remote server certificates for any misconfiguration. In addition, check whether the local server is recognized as a trusted server by the remote server."

 

Wenn ich mich vom Front-End-Server aus mit der internen IP-Adresse (Port 5061) auf dem Edgeserver via Telnet einlogge, dann erhalte ich keine Fehlermeldung sondern einen schwarzen Bildschirm, auf dem ich beliebigen Text eingeben kann (ich werte das als erfolgreiches Login wegen der fehlenden Fehlermeldung).

 

Meine Konfiguration sieht so aus:

 

Alle Zertifikate werden von unserer Unternehmens-SubCA ausgestellt (wobei ich mir natürlich bewusst bin, dass das nicht optimal ist, da externe Teilnehmer dann unserer CA vertrauen müssen).

 

 

 

Front End Server:

 

- heißt Myservername28.internaldomain.companyname.org

 

- hat die IP 10.x.x.114

 

- hat ein Zertifikat, ausgestellt auf Myservername28.internaldomain.companyname.org, alternative names sind "Myservername28", "Myservername28.internaldomain.companyname.org", "sip.officialdomainname.de"

 

DNS / AD

 

- Der Name unserer Domäne ist "internaldomain.companyname.org"

 

- Es ist die Forward-Lookupzone "officialdomainname.de" eingerichtet, die gleichzeitig die offizielle von unserem ISP vergebene Domäne ist (also heißt alles von intern und von extern gleich)

 

- Die DNS-Auflösung scheint soweit zu funktionieren, da Pings korrekt in beide Richtungen aufgelöst werden. Ich glaube, dass es eher an den Zertifikaten hängt - wenn ihr aber mehr Infos zu meinen DNS-Settings braucht, lasst es mich wissen.

 

 

Edge Server

 

- steht natürlich außerhalb der Domäne in der DMZ

 

- heißt Servername29

 

- hat die IP-Addresse 192.168.3.115 für das interne Interface

 

- das interne Interface heißt sipinternal.officialdomain.de

 

- Das Zertifikat ist ausgestellt auf "Servername29". Alternative names sind "sipinternal.officialdomain.de" and "Servername29"

 

- in der internen Konfiguration des edgeservers ist der "next hop" als "Servername28.internaldomain.companyname.org" (kann ich anpingen) angegeben, der Port ist 5061, die Domäne ist "externaldomain.de" und die vertrauenswürdigen Server sind "Servername28", "Servername28.internaldomain.companyname.org" und "Isaservername.internaldomain.companyname.org". Beim ISA war ich mir nicht sicher ob ich ihn angeben muss, also habe ich ihn mal dazu gepackt.

 

 

 

ISA-Server

 

- routet momentan alles ohne Ausnahme zwischen internem Netzwerk und der Edge DMZ

 

- ist natürlich zu beiden Netzwerken verbunden

 

 

Im Zertifikatspfad meiner Zertifikate steht "certificate is ok" und sowohl SubCA als auch RootCA sind richtig aufgeführt.

 

Habt ihr eine Idee, wo ich noch nach der Lösung suchen könnte?

 

Danke!