将所有 Lync 主机名列入白名单很麻烦。全局停用 SSL 检查是不可取的。
在我工作的地方,他们的代理启用了 SSL 检查。所有到 Internet 的流量都必须通过此代理服务器。
大多数时候,这不是问题,除非涉及到 Lync。这家公司选择了与所有人联合。
现在,当我们尝试与外部公司建立会议、白板、桌面共享时,通常会失败。
当我们跟踪流量时,我们已经能够查明用于 Lync 流量的主机名,并使它们免于 SSL 检查。
现在,问题是这只是针对一家公司。我们可能需要再做一次。还有一个,另一个……因为每个不同的公司都有自己的 Lync 基础结构和用于 Lync 服务的主机名。
这给我的印象是,Lync 正在迫使一些公司在全球范围内关闭 SSL 检查,因为用户需要 Lync,而免除网站检查所需的人工量太大。
肯定有更好的方法吗?
虽然这是一个关于如何处理这种情况的悬而未决的问题,但有些解决方案比其他解决方案更好。Lync 和代理供应商的官方 KB 也这么说:您必须将 Lync 主机列入白名单。但他们忽略了那里有很多这样的人。
因此,如果您有更好的解决方案,请将其作为答案发布在下面。
背景
我想补充一下 SSL 检查不起作用的原因:
- Lync 不使用标准 SSL
- Lync 仅允许来自 Lync 服务器的证书。(证书/公钥固定。)它忽略客户端计算机上安装的受信任 CA - 因此代理颁发的证书对 Lync 无效。