Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Lync 2010 Client : Lync Cannot verify that Server is trusted / Lync ne peut pas vérifier que le serveur est approuvé…

Posted by Teruin laurent sur janvier 23, 2012


Bonjour

Peut-être avez-vous rencontré ce problème, en tous les cas lors d’un récent déploiement nous sommes tombés dessus.

« Lync ne peut pas vérifier que le serveur est approuvé pour votre adresse ». Ou « Lync cannot verify that the server is trusted for your sign-in address. » »


 

Le problème survient lorsque votre client Lync est positionné en mode de découverte automatique et uniquement au premier lancement. Car si vous acceptez de continuer en cochant la case Always trust this server alors le problème ne se reproduira plus.

Lors de l’utilisation du mode Autodiscover via les enregistrements SRV, Lync possède un mécanisme de sécurité lorsqu’il se connecte aux serveurs Lync ou Microsoft Exchange. Ce mécanisme de protection a été implanté pour éviter des attaques de type DNS Spoofing, notamment lorsqu’il s’agit de connexion depuis l’extérieur.

La découverte automatique étant rendue possible soit par l’utilisation des enregistrements SRV ou des enregistrements A basés sur le SIP URI ou sur le domaine de l’adresse SMTP, ou sur l’option 120 des serveurs DHCP.

Lorsque Lync à découvert le serveur sur lequel il doit se connecter, alors il le compare à la liste des serveurs auquel il fait confiance. Si ce serveur est dans la liste alors la connexion vers le serveur est établie dans le cas contraire le Pop UP situé ci-dessus est affiché. Mais pour mieux comprendre prenons un exemple

Le scénario est le suivant

  • Le SIP URI de l’utilisateur est Laurentt@unifiedit.com
  • Le nom du serveur Lync est Fe01.paris.unifiedIt.local
  • Nous avons placé un enregistrement A pour le serveur FE01.paris.unifiedit.local qui correspond à l’adresse IP 192.168.1.10
  • Nous avons placé un enregistrement SRV pour du type _SipinternalTls._Tcp.unifiedit.com qui renvoi sur le Fqdn fe01.paris.unifiedIt.local pour permettre la découverte automatique puis la connexion
  • La connexion automatique du client Lync est donc opérationnelle

Lorsque l’utilisateur va se connecter la première fois, le client Lync va automatiquement faire confiance au domaine UnifiedIt.com mais comme il va récupérer dans l’enregistrement SRV le domaine paris.unified.local qui ne sera considéré comme un domaine de confiance alors le message de dessus va apparaitre.

De façon plus simple, si vous ne voulez pas que cela arrive, il faut que le domaine du pool ou du serveur frontal soit accédé via les enregistrements DNS à travers le même domaine que le domaine SIP URI utilisé par l’utilisateur. Dans le cas contraire le prompt sera présent lors de la première connexion. Ceci n’est pas forcement compliqué, mais il faudra penser également que le FQDN par lequel vous acheminez vos clients vers le pool soit bien dans vos Certificat SAN et ceci en raison de l’utilisation de TLS

Ce problème peut également se produire si l’adresse SIP et de type UnifiedIt.com et l’adresse Email Exchange est d’un autre domaine comme par exemple unifiedt.net. Car lorsque Lync va utiliser les services d’autodiscover sur Exchange alors ces services vont le rediriger vers un domaine auquel il ne fait pas confiance.

« Extrait Case MS »

Si l’adresse du serveur de domaine de boîtes aux lettres de l’utilisateur Exchange diffère de l’adresse de serveur d’ouverture de session de domaine Lync, la boîte de dialogue peut apparaître une fois que l’utilisateur se connecte. Les administrateurs peuvent utiliser cette procédure pour ajouter l’adresse de serveur de domaine de boîtes aux lettres Exchange pour empêcher l’affichage après signe dans la boîte de dialogue.

L’article suivant de Microsoft http://support.microsoft.com/kb/2531068 datant du 28 Octobre 2011 référence ce problème et propose de mettre dans une clef de registre (
HKEY_CURRENT_USER\Software\Microsoft\Communicator\TrustModelData) les noms de domaines auquel Lync peut faire confiance.

Pour avoir essayé il apparait que la clef de registre est créée ou est modifiée au premier démarrage de Lync, il est donc difficile de faire ces modifications pour éviter un PopUp lors du premier lancement de Lync. ;-)

Cordialement
Laurent Teruin

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :