問題描述:
安裝完成Lync 2010或者Lync 2013、SFB 2015之後,更新到最新的補丁之後,會一直遇到如下兩個日誌報錯:
不斷的生成事件41025和報錯41026
Event ID 41026
可能出現的問題還有,外部用戶不能使用白板、投票、PowerPoint與以下錯誤信息:
我們現在無法連接到服務器進行共享。
網絡問題使您無法共享筆記並顯示白板,請檢查和上傳PowerPoint文件。
原因分析:
目前的解決方法是:安裝2017年5月.NET Framework後,將不斷生成LS數據MCU事件41025和41026
https://support.microsoft.com/kb/4023993
該問題與操作系統無關,會影響Lync Server 2010,Lync Server 2013和Skype for Business Server 2015。
此.NET Framework更新在增強型密鑰用法(EKU)上添加了對證書的附加檢查,因爲默認情況下所有Lync / SfB服務器都使用Web服務器模板,因此它們只在EKU中具有服務器身份驗證。
解決方法1:(添加註冊表項以臨時禁用EKU檢查)
- 按以下類別分別添加相應的註冊表項
Lync Server 2010reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Microsoft Lync Server 2010\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f
Lync Server 2013
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Microsoft Lync Server 2013\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f
Skype for Business Server 2015
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.RequireCertificateEKUs /v “C:\Program Files\Skype for Business Server 2015\Web Conferencing\DataMCUSvc.exe” /t REG_DWORD /d 0 /f
- 重啓Skype for Business Server Web 會議
如下屬性可查找DataMCUSvc.exe路徑位置
也可以使用PowerShellStop-CsWindowsService -InputObject RTCDATAMCU Start-CsWindowsService -InputObject RTCDATAMCU
解決方法2:(使用客戶端和服務器身份驗證請求新的Edge內部和前端池證書)
此解決方法要求我們在邊緣服務器內部接口和所有前端服務器上請求新證書。
打開“ 證書頒發機構”管理單元,右鍵單擊“ 證書模板”,然後選擇“ 管理”:
現在,在Certificate Templates Console窗口中,找到Web Server模板,右鍵單擊它,然後選擇Duplicate Template:
在“ 新建模板”窗口中,選擇“ 常規”並添加名稱:
注意: 請注意模板名稱 - WebServerClientandServer。我們需要使用它來申請新證書。
在“ 擴展”選項卡中 ,選擇“ 應用程序策略”並對其進行編輯:
添加客戶端身份驗證:
兩種身份驗證都應該存在:
返回“ 證書頒發機構”管理單元,右鍵單擊“ 證書模板” >“ 新建” >“要頒發的證書模板”:
選擇新模板:
現在我們有了帶有客戶端和服務器身份驗證的模板,我們需要使用最近創建的模板請求新的 邊緣服務器內部證書。
Request-CsCertificate -New -Type Internal -Template WebServerClientandServer -FriendlyName“Edge Internal with Client and Server Auth”-Output C:\ UCLobby \ EdgeIntCliSrv.req
注意:我們還可以使用-PrivateKeyExportable $ true開關來允許導出私鑰。
在Active Directory證書服務中,選擇申請證書:
示例:http://ca.gears.lab/certsrv/
高級證書申請:
使用base-64編碼的CMC或PKCS#10文件提交證書請求,或使用base-64編碼的PKCS#7文件提交續訂請求。
我們需要選擇新的證書模板並提交:
我們下載新證書並將其複製到邊緣服務器並導入它:
在邊緣服務器上導入並分配新證書:
Import-CsCertificate -Path C:\ UCLobby \ EdgeIntCliSrv.cer
https://technet.microsoft.com/en-us/library/gg398688.aspx
注意:如果我們指定 -PrivateKeyExportable $在真正的Request-CsCertificate我們還需要將其添加到進口csCertificate。
Set-CsCertificate -Type Internal -Thumbprint 335d17df1520a5e30beee96406ffa53e20805342
https://technet.microsoft.com/en-us/library/gg398518.aspx
還請爲具有客戶端和服務器身份驗證的Lync/SFB前端服務器請求新證書。
重新啓動Lync / SfB Edge和前端服務後,問題應該得到解決!