Swyx Telefonbuch funktioniert nicht mehr bei älteren Yealink Telefonen (T4, CP9x0)

Die Information in diesem Artikel betrifft die folgenden Produkte:

• Yealink Desktop Telefon T41S
• Yealink Desktop Telefon T42S
• Yealink Desktop Telefon T46S
• Yealink Desktop Telefon T48S
• Yealink Konferenztelefon CP920
• Yealink Konferenztelefon CP960
• Swyx/SwyxON
• Microsoft Windows Server 

Zusammenfassung

Nach einem Update des Microsoft Windows Server Betriebssystem einer Swyx Installation funktioniert bei bestimmten Yealink Telefonen der Zugriff auf das Swyx Telefonbuch nicht mehr.

Im folgenden wird beschrieben, welche Yealink Telefone davon betroffen sind und wie die gewohnte Funktionalität wieder hergestellt werden kann.

Information

Warum geht nach einem Betriebssystem-Update das Swyx Telefonbuch bei einigen Yealink T4-Desktop - / CP 9X0 Konferenztelefonen nicht mehr?

Für die Bereitstellung des Swyx Telefonbuches u.a. auch für die Yealink Telefone nutzt die Swyx Plattform den Windows eigenen LDAP Service ADLDS. Mit einem der letzten Betriebssystem Updates setzt Microsoft nun für seine Services zwingend TLS1.2 voraus, was u.a. auch die Benutzung von veralteten MD5 -basierenden Signature Algorithmen ausschließt.

Die Kommunikation zwischen Telefon und LDAP Server wird mittels einseitigem TLS gesichert. Im Gegensatz zu einer mTLS Verbindung spielt hier das Client-Zertifikat eigentlich keine Rolle. Dennoch schickt das Yealink Telefon im Zuge der Aushandlung auch sein Client Zertifikat an den LDAP-Server. Wird hier ein auf MD5 basierender Algorithmus verwendet, bricht der LDAP-Server, obwohl nicht notwendig, den Verbindungsaufbau aufgrund des veralteten Zertifikates ab.

Als Folge hat ein entsprechendes Telefon keinen Zugriff mehr auf das serverseitige Telefonbuch der Swyx Plattform.

Welche Yealink Telefone sind davon betroffen?

Betroffen sind alle Yealink Telefone der T4-Serie und die Konferenztelefone CP 920/960, die vor dem 1.Januar 2019 produziert wurden.

Leider lassen sich diese Telefone äußerlich nicht von Geräten neueren Produktionsdatums unterscheiden. Ein nicht funktionierendes Swyx Telefonbuch ist schon mal ein guter Hinweis, Gewissheit gibt aber nur eine Überprüfung des verwendeten Algorithmus.

Dies wird in einem verwandten Artikel im Detail beschrieben: Ist ein Yealink T4xS oder CP9x0 Telefon geeignet für die SwyxON Funktion RemoteConnector für Yealink?

Wie kann man das Swyx Telefonbuch auf diesen Telefonen trotzdem weiter nutzen?

Dieses eigentlich unnötige Verhalten des Telefones bei einer einseitigen TLS-Aushandlung, kann durch einen entsprechenden geräteseitigen Provisionierungsparameter unterbunden werden.

Mit der Einführung der flexiblen Provisionierungsparameter für Yealink ab Swyx 13.29 können diese Parameter zielgenau nur auf die Telefone, die tatsächlich betroffen sind, provisoniert werden. 

Hinweise zur Formatierung der Provisionierungsdatei und wie sie anschließend im Swyx Control Center hochgeladen werden kann, finden sich in der Swyx Online Hilfe: Benutzerspezifische Konfiguration mehrerer Telefone

Formatierung der mac.cfg Konfigurationsdatei

Im Anschluss dieses Artikels finden sie eine Beispiel-Provisionierungsdatei, die die entsprechenden Parameter enthält. Sie können diese Datei nutzen oder, falls bereits eine spezifische Provisionierungsdatei auf dem Server genutzt wird, die beiden Parameter und den eingrenzenden ##--boundary--- Kommentar hinzufügen.

Hinweise zum ##--boundary--- Kommentar: Es wird empfohlen, die Parameter auf Gerätelevel, also durch Angabe der MAC-Adressen der betroffenen Telefone, zu verteilen. Je nach Menge der installierten Telefone kann es allerdings auch effizienter sein alle T4-Modelle anzusprechen. Dies betrifft dann aber auch alle neueren T4-Modelle, die mit dem Server verbunden sind und wird daher für den Betrieb in gemischten Umgebungen nicht empfohlen.

• ##--boundary---mode:default---models:SIP-T48S,SIP-T46S,SIP-T42S,SIP-T41S,SIP-CP920,SIP-CP960

oder

• ##--boundary---mode:default---devices:MAC805ec07ffff1,MAC805ec07ffff2

Bitte löschen Sie die nicht gewünschte ##--boundary--- Zeile aus der mac.cfg Datei oder kopieren sie die gewünschten Zeilen in eine bereits bestehende Datei und laden sie die Datei anschließend hoch.

Nach dem Upload der cfg-Datei werden die betroffenen Telefone sofort provisioniert und starten anschließend einmal neu. Warten sie daher mit dem Einspielen der Datei gegebenfalls auf eine ruhigere Geschäftszeit und/oder informieren Sie ihre Anwender vorher.