Cisco Cisco TelePresence Video Communication Server Expressway 릴리즈 노트

Introduction 

Cisco TelePresence Video Communication Server X7.2.2 Software Release Notes 

Page 8 of 50 

 

 

When TMS and VCS are running in Provisioning Extension mode, or you are running a Cisco VCS 
Starter Pack Express, the VCS's Provisioning Server requires that any provisioning or phone book 
requests it receives have already been authenticated (the Provisioning Server does not do its own 
authentication challenge): 

 

You must ensure that the Default Zone and any traversal client zone's Authentication policy is 
set to either Check credentials or Treat as authenticated, otherwise provisioning requests will fail. 

 

The authentication of phone book requests is controlled by the Authentication policy setting on 
the Default Subzone (or relevant alternative subzone) if the endpoint is registered (which is the 
usual case), or by the Authentication policy setting on the Default Zone if the endpoint is not 
registered. The relevant Authentication policy must be set to either Check credentials or Treat 
as authenticated, otherwise phone book requests will fail. 

The VCS's Presence Server only accepts presence PUBLISH messages if they have already been 
authenticated (the Presence Server does not do its own authentication challenge): 

 

The authentication of presence messages by the VCS is controlled by the Authentication policy 
setting on the Default Subzone (or relevant alternative subzone) if the endpoint is registered 
(which is the usual case), or by the Authentication policy setting on the Default Zone if the 
endpoint is not registered. The relevant Authentication policy must be set to either Check 
credentials or Treat as authenticated, otherwise PUBLISH messages will fail. 

In CPL, the ‘origin’ field is a short-hand for ‘authenticated-origin’. You are recommended to update 
your CPL to make it explicit whether the CPL is looking at the authenticated or unauthenticated origin. 
If CPL is required to look at the unauthenticated origin (e.g. when checking non-authenticated callers) 
the CPL must use “unauthenticated-origin”. To check the authenticated origin (only available for 
authenticated or “treat as authenticated” devices) the CPL should use “authenticated-origin”. Note 
that: 

 

authenticated-origin is available for endpoints where ‘Check credentials’ succeeded, and for 
endpoints where they are registered to a ‘Treat as authenticated’ subzone 

 

unauthenticated-origin is available for all endpoints, whether authenticated or unauthenticated 

When introducing authentication into video networks which have a hierarchical dial plan with a 
directory VCS, authentication problems can occur if: 

 

any VCS in the network uses a different authentication database from any other VCS in the 
network, and 

 

credential checking is enabled on the Default Zone of any VCS (as is needed, for example, when 
using TMS Provisioning Extension mode), and 

 

the directory VCS or any other VCS in a signaling path can optimize itself out of the call routing 
path 

In such deployments, each VCS must be configured with a neighbor zone between itself and every 
other VCS in the network. Each zone must be configured with an Authentication policy of Do not 
check credentials. (No search rules are required for these neighbor zones; the zones purely provide a 
mechanism for trusting messages between VCSs.) 

This is required because, otherwise, some messages such as SIP RE-INVITES, which are sent 
directly between VCSs (due to optimal call routing), will be categorized as coming from the Default 
Zone. The VCS will then attempt to authenticate the message and this may fail as it may not have the 
necessary credentials in its authentication database. This means that the message will be rejected 
and the call may be dropped. However, if the node VCSs have a neighbor zone relationship then the