Microsoft Lync Server
Header

Microsoft ha publicado una actualización para el cliente Lync 2013, únicamente para recogir algunos problemas y ganar en estabilidad:

Cliente_Lynclyncloc2013-kb2863908-fullfile-x64-glb.png

Update
Update

 

Microsoft has released an update for Microsoft Lync 2013 64-Bit Edition. This update provides the latest fixes to Microsoft Lync 2013 64-Bit Edition. Additionally, this update contains stability and performance improvements.
FREE
Release Date:
3/7/2014
Update
Update
Microsoft has released an update for Microsoft Lync 2013 32-Bit Edition. This update provides the latest fixes to Microsoft Lync 2013 32-Bit Edition. Additionally, this update contains stability and performance improvements.
FREE
Release Date:
3/7/2014

 

La información relacionada con estas actualizaciones la podéis encontra aquí: http://support.microsoft.com/kb/2863908

 

After you install this update, you may experience the issues that are described in the following Microsoft Knowledge Base (KB) articles:

 

  • 2898357

    Screen readers cannot read aloud keystrokes during a Lync 2013 application or desktop sharing session in Windows

  • 2932389

    Persistent Chat file transfer fails between an external user and an internal user in Lync 2013

Una de las preguntas que los administradores se suelen hacer cuando ​implementan DirectAccess es como pueden evitar que se puedan conectar a la red, bien porque nos han robado la máquina o simplemente porque la hemos perido. Pues bien la respuesta es bien sencilla, tenemos varias formas de hacerlo:

  1. Deshabilitar la cuenta de equipo en el dominio: Efecto inmediato
  2. Elimina la cuenta de equipo: Efecto inmediato

Direct_Access_Deny_Red_11.png

3. Revocar el certificado de equipo: Tiempo de actualización de la CRL y distribución en los puntos de CRL

Este método es igual de efectivo, pero debemos tener en cuenta que en función del tamaño de nuestra organización podrá actuarlizarse la CRL en más o menos tiempo, lo cual permitirá a los equipos configurados con DirectAccess seguir conectándose mientras no se haya actualizado los puntos de distribución de la CRL. Teniendo en cuenta esto, vamos a ver cuales serían los pasos a seguir para revocar un certificado. Lo primero que debemos hacer es abrir la consola de administración de certificado, ir a la sección de Certificados Emitidos y en el listado de certificados buscar el que queremos revocar, pulsamos con el botón secundario del ratón encima de mismo y pulsamos en Todas las TareasRevocar certificado

Direct_Access_Deny_Red_3.png
Elegimos un Código de motivo por el cual queremos revocar el certificado (esto es a nivel informativo) y la fecha hora que se reovará (claramente lo haremos con fecha y hora del momento actual)

Direct_Access_Deny_Red_4.png

Ahora nos vamos a la opción de Certificados Revocados y verificamos que el certificado ha sido revocado
Direct_Access_Deny_Red_6.png
Y para acelerar el proceso de publicación de la CRL, sobre la opción de Certificados Revocados pulsamos con el botón secundario del ratón y pulsamos en Todas la tareas y Publicar, con esto forzaremos la actualización de la CRL

Direct_Access_Deny_Red_7.png
Ahora bien, si hemos configurado la distribución de la CRL en una ubicación diferente a la por defecto y como estamos utilizando una CA interna (en mi caso para los certificados del equipo del dominio uso una CA de Windows 2012) debemos copiar los ficheros actualizados de la CRL y copiarlos en la ubicación que corresponda. La idea es que el servidor pueda verificar la CRL antes de establecer el tunel IPSec con el cliente, de tal forma que si el certificado presentado por el cliente está presente en la CRL se denegará el acceso. Si bien es cierto, que para que esto funcione debemos tener configurado "Habilitar la comprobación fuerte de CRL para la autenticación de IPsec" (http://technet.microsoft.com/es-es/library/ee649260(v=ws.10).aspx). Por defecto se configura una comprobación débil, por lo que solo se deniegará el acceso si se comprueba que en la CRL aparece el certificado del equipo.

 

Por lo que hecho esto y actualizado los puntos de distribución de las CRL, el equipo seguirá conectado  pero en cuanto se intente volver a conectar ya no podrá hacerlo:

Direct_Access_Deny_Red_9.png

Si tenemos la posibilidad de acceder el equipo veremos que se quedará constantemente en "Conectando"

Direct_Access_Deny_Red_10.png

Desde luego la forma más rápida y efectiva está clara, borramos o desactivamos la máquina en el dominio. Pero también tenemos la posibilidad de revocar el certificado y que vía CRL se pueda verificar que el certificado se ha revocado y por lo tanto no es válido para tener acceso a la negociación vía IPSec de DirectAccess y no permitirá el acceso a al red.

Espero que os sea de utilidad!!!

Todos los que tenéis implementaciones de Lync es posible que se os plantee la duda de que reverse-proxy debéis utilizar​, si es o no necesario (Lync Server: Reverse-Proxy requisito indispensable) y como deberíamos configurarlo. Para estas preguntas hay múltiples respuestas, pero en este artículo vamos a centranos en IIS ARR ya que TMG 2010 se ha descontinuado por parte de Microsoft:

IIS_ARR_Proxy_Lync.png
Ahora debemos descarganos el IIS ARR 2.5 (cuando he realizado esta instalación la versioón 3.0 era una versión Beta y he visto por algunos  foros que la gente tenia bastante problemas con ella así que …), para ello podemos hacerlo desde la siguiente URL: http://www.microsoft.com/web/gallery/install.aspx?appid=ARRv2_5, una vez descargada el proceso de instalación es muy sencillo:
Pulsamos en Get the Web Plataform Installer
 
IIS_ARR_Proxy_Lync_7.png
Pulsamos en Ejecutar (si preferís descargarla pues pulsar en Guardar)
IIS_ARR_Proxy_Lync_8.png
IIS_ARR_Proxy_Lync_10.png
Pulsamos en Instalar

IIS_ARR_Proxy_Lync_9.png
Antes de iniciar el proceso de instalación el instalador verificará si cumplimos con los requisitos previos y nos avisará que necesitaremos más complementos que debemos tener previamente instalados pero con pulsar en Acepto ya se encargará el asistente de realizar las descargas e instalaciones necesarias:
IIS_ARR_Proxy_Lync_41.png
IIS_ARR_Proxy_Lync_42.png
IIS_ARR_Proxy_Lync_43.png
Una vez que hemos pulsado en Finalizar podemos ir al IIS ya podemos ver que tenemos el IIS ARR instalado porque ya tenemos disponible la opción de Server Farms. Además, si queremos "asegurarnos" de que está instalado, pulsamos en Instalador de plataforma web (que también podéis hacer la instalación del IIS ARR desde aquí)
IIS_ARR_Proxy_Lync_44.png
Y como vemos lo tenemos disponible pero ya instalado
IIS_ARR_Proxy_Lync_45.png
Una vez que tenemos todo instalado, debemos crear distintas granjas de servidores pero en este articulo solo nos centraremos en tener un servidor de Lync únicamente. Para ello pulsamos con el botón secundario del ratón encioma de Server Farms y pulsamos en Create Server Farm…
IIS_ARR_Proxy_Lync_46.png
Escribimos un nombre descriptivo y pulsamos en Siguiente
IIS_ARR_Proxy_Lync_47.png
Escribimos el nombre del servidor o  su dirección IP, además pulsamos en Show Avanced settings para modificar los puertos de destino de las peticiones enviadas a dicho servidor (8080 y 444) a los servicios Web del Front-END y pulsamos en Add
IIS_ARR_Proxy_Lync_48.png
y pulsamos en Finalizar
IIS_ARR_Proxy_Lync_49.png
Se nos abre una ventana informativa que nos comunica que se crearán las rutas entrantes para esta regla, debemos pulsar en
IIS_ARR_Proxy_Lync_50.png

Lo siguiente que debemos hacer es configurar algunas de las siguientes opciones que tenemos disponibles (las marco en verde):

IIS_ARR_Proxy_Lync_52.png
Estas opciones las podéis encontrar documentadas por Microsoft aquí: http://technet.microsoft.com/es-es/library/gg429712.aspx
 
Caching
IIS_ARR_Proxy_Lync_53.png
Proxy
IIS_ARR_Proxy_Lync_54.png
 
Routing Rules
IIS_ARR_Proxy_Lync_55.png
Una vez que hemos configurado las distintas opciones para la granja de servidores, debemos ver las reglas que se han creado de forma automática cuando se hemos creado la granja de servidores para Lync
IIS_ARR_Proxy_Lync_56.png
Como podemos observar tenemos reglas para HTTP y HTTPS, yo solo quiero permitir el tráfico HTTPS por lo que debemos borrar la configuración de HTTP
IIS_ARR_Proxy_Lync_57.png
IIS_ARR_Proxy_Lync_58.png
De esta forma ya solo tenemos HTTPS en la configuración de ruteo de las peticiones entrantes
IIS_ARR_Proxy_Lync_59.png
Lo primero que haremos será configurar los nombres públicos (similitud con TMG) para los que esta regla estará disponible, por lo que en la sección de condiciones  pulsamos en agregar y añadimos como Entrada de condición {JHTTP_HOST} y como Patrón *.asirsl.com. De esta forma responderá a todas las solicitudes que en el encabezado de la petrición tenga cualquier URL con el dominio especificado. Esto nos serviría si solo vamos a publicar los servicios de un servidor, pero si tenemos más servicios para publicar en distintos servidores debemos introducir las URL o patrones que identifique a las URL de Lync (en este caso)
 
IIS_ARR_Proxy_Lync_60.png
Si lo dejásemos así configurado y pulsásemos en Probar Patrón podemos observar que responderá a cualquier petición:
IIS_ARR_Proxy_Lync_69.png
Y como las peticiones se  enviarán a la granja de servidores de Lync, tendríamos un problema porque la petición mail.asirsl.com debería ir a otra granja de servidores que se corresponda con el servidor de Exchange.
IIS_ARR_Proxy_Lync_70.png
Por lo que para evitar este problema debemos añadir los siguientes patrones que se corresponderán con las URL que publicaremos en Lync:
  • lyncdiscover.asirsl.com: Servicios Web Mobile
  • meet.asirsl.com: Reuniones en línea
  • dialin.asirsl.com: Conferencia Telefónica
  • pool.asirsl.com: Servicios Web Externos
IIS_ARR_Proxy_Lync_66.png
Sí ahora probásemos nuevamente a realizar una comprobación de alguno de los patrones, veremos que no coindirá nunca con la URL del correo (mail.asirsl.com)
IIS_ARR_Proxy_Lync_71.png
Para finalizar la configuración debemos especificar a que granja de servidores enviarmos las peticiones que tengan como encabezado de host las anteriormente configuradas, en nuestro caso elegiremos LyncServer (la granja que hemos creado anteriormente)
IIS_ARR_Proxy_Lync_72.png
 
Y ahora nos queda la última parte (o primera) y que no hemos visto que ese la de configurar el certificado, que sin el no haremos nada. En el TMG se configura sobre el Listener y en el IIS ARR  se debe configurar sobre un sitio web, debemos configurar el listerner para el puerto 443 (recordad que antes hemos elegido el 4443 pero ese es el puerto por el que escucha las peticiones de los servicios Web Externos el Lync) y el certificado correspondiente:
IIS_ARR_Proxy_Lync_67.png
Me repito, en mi caso solo tengo Lync pero si tuviésemos más servicios a publicar por le mismo puerto (443) utilizaría también esta configuración. A todos los efectos es el listerner del TMG (con las limitaciones del IIS claro). Por lo que podríamos tener un certificado wildcard igualmente, porque podremos utilizarlo para publicar Exchange, Lync, SharePoint, WAC, etc.. para cada servicio que esté en un servidor difeernte debéis crear una granja de servidores y configurar las URL de estos servicios en las opciones de Reescritura de dirección URL. En mi caso (me vuelvo a repetir) solo tengo Lync, pero perfectamente puedo publicar WAC, SharePoint, Exchange, etc.. solo tendría que ajusta los
IIS_ARR_Proxy_Lync_73.png

La configuración se puede extender y parametrizar algo más, pero esto es lo esencial para publicar los distintos servicios de Lync. Si habéis manejado en alguna ocasión TMG 2010 tiene muchísimas similitudes pero con diferentes nombres y opciones, pero también es cierto que es un producto muy muy simple y  con muchas limitaciones con respecto a TMG u otras soluciones pero bueno, cumple el objetivo:

IIS_ARR_Proxy_Lync_74.png

Algo que no he comentado, es que los servidores publicados no tienen que tener como puerta de enlace el servidor en donde tengamos el IIS ARR ni tampoco el IIS ARR debe tener de forma obligatoria más de una tarjeta de red. Yo he publicado Lync, Exchange y SharePoint con un servidor con una única tarjeta de red y funciona todo sin problmeas. Lo recomendable, claramente dos tarjetas de red, etc… pero  funciona sin problema con los mínimos recursos de los que dispongáis.

 
Si aún sois de los que tenéis TMG 2010, igualmente aquí tenéis las configuraciones en algunos artículos que había subido hace algún tiempo:

 Espero que os sea de utilidad!!!

Cuando queremos desplegar DirectAccess (Windows Server 2012: DirectAccess (Actualizado 15-02-2013)) y tenemos usuarios itinerantes en nuestra organización, que no tienen contacto con el Directorio Activo durante meses nos encontramos con "pequeño problema" ….. pero con fácil solución:

  1. Configurar una VPN de Acceso Remoto
    1. Windows Server 2012, Configuración VPN con PPTP
    2. Windows Server 2012, Configuración VPN con SSTP
    3. Otras tecnologías: Cisco, SonicWall, 3Com, HP, Juniper, F5, etc…
  2. Unir los equipos al dominio con DJOIN

La primera opción requiere cierta configuración sencilla, pero si queremos hacerlo en tiempo record lo haremos con la opción de unir los equipos a un dominio si conexión. Además, nos permitirá que se le aplique de forma automatica la configuración de DirectAccess, por lo que acto seguido a unirse al dominio ya tendremos las máquinas preparadas para conectarse vía DirectAccess.

Como esquema rápido y pasos a seguir para la configuración, os dejo aquí esta imagen:

DirectAccess_Dominio_Offline.png
Voy a dividir la configuración en tres grandes pasos (por decir algo), pero que son muy fáciles. Lo primero que debemos hacer es provisionar los equipos que queremos añadir al dominio, para ello lo primero será crear las cuentas de equipo en nuestro dominio:

Desde la consola de Usuarios y Equipos de Active Directory, nos vamos a la OU en donde queremos crear las nuevas cuentas de equipos y pulsamos con el botón secundario del ratón y vamos a Nuevo – Equipo

DirectAccess_Dominio_Offline_13.png

Completamos los datos que nos solicita, básicamente el nombre del equipo

DirectAccess_Dominio_Offline_1.png

Si hemos configurado un grupo de seguridad para filtrar en DirectAcces a que equipos se les aplica la directiva de cliente, debemos modificar la membresía del equipo para que sea miembro del grupo al cual se le aplica la directiva de grupo

DirectAccess_Dominio_Offline_2.png

Esta es la GPO que se aplicará a los equipos que sean miembro del grupo ACL DA Equipos Remotos

DirectAccess_Dominio_Offline_4.png

En cuanto a la provisión del equipo ya estaría todo listo, ahora tendremos que hacer esto para todos los equipos que queramos añadir al dominio y aplicar la configuración de DirectAccess:

DirectAccess_Dominio_Offline_3.png

Ahora debemos ejecutar Djoin.exe en el controlador de dominio con derechos administrativos desde una línea de comandos, con esto crearemos un archivo .txt con los metadatos de la cuenta del equipo:

djoin /provision /domain <domain name> /machine <machine name of client> /policynames <Group Policy name for client settings> /rootcacerts /savefile <path for text file> /reuse

DirectAccess_Dominio_Offline_5.png

Con esto ya tenemos la mitad del proceso, ya tenemos nuestro fichero de texto con los metadatos necesarios para enviárselo a los usuarios itinerantes:

DirectAccess_Dominio_Offline_6.png

DirectAccess_Dominio_Offline_7.png

Ahora debemos enviar el fichero a los usuarios por algúna vía, pero busquemos algún método seguro para ello. Antes de que el usuario final pueda aplicar esta configuración, debe cumplir los siguientes requisitos:

  • El nombre del equipo se debe corresponder con el que hemos puesto en la provisión con Djoin.exe
  • Debe tener un usuario con derechos administrativos para poder aplicar la configuración con Djoin

Si vemos las opciones del Sistema, vemos que tenemos unido a ningún dominio pero el nombre del equipo ya establecido para ejecutar el Djoin.exe:

DirectAccess_Dominio_Offline_9.png

Y si vemos nuestra conexión de red, podemos obsevar que no tenemos conexión de DirectAccess (obvio)

DirectAccess_Dominio_Offline_8.png
Sí cumplimos con los requisitos, únicamente debemos ejecutar Djoin.exe desde una línea de comandos con privilegios:

djoin /requestodj /loadfile <path for text file> /windowspath c:\windows /localos

DirectAccess_Dominio_Offline_10.png

Una vez que hemos hecho esto, debemos reiniciar el equipo y ya tenemos nuestro equipo en el dominio y con la configuración de DirectAccess prepara para conectarse a la red de la empresa. Una vez que te se haya conectado mediante DirectAccess ya tenemos acceso a todos los servicios de la compañia. Si ahora volvemos a ver las opciones del Sistema podemos observar que ya estamos en el dominio:

DirectAccess_Dominio_Offline_12.png
Y que en nuestras conexiones de red ya vemos que tenemos DirectAccess y conectado!!!

DirectAccess_Dominio_Offline_11.png

De esta forma podemos unir al dominio todas las máquinas las cuales no tienen acceso al dominio de alguna forma (VPN, Red Local), un proceso sencillo y rápido.

Os dejo también otro enlace de como configurar DirectAccess en balanceo de carga con NLB:

Espero que os sea de utilidad!!!

Una de las cosas que debemos tener en cuenta es que los certificados tienen  una caducidad, y esto debemos tenerlo muy presente porque una vez que caduquen los  usuarios no podrán conectarse a los servicios que estamos ofreciendo. Lync es uno de los sistemas que más certificados necesita, por lo que debemos tener especial cuidado con sus renovaciones. En el Visor de Eventos nos avisará de que tenemos un certificado que está a punto de expirar:

Renovacion_Certificados_Lync_2013_2.png
 
Si queremos saber que certificado es el que está a punto de expirar, abriremos la consola de administración de certificados de equipo (Inicio – Ejecutar – certlm.msc) y buscaremos la huella digital del certificado que coindice con el que nos muestra en la alerta del Visor de Eventos
Renovacion_Certificados_Lync_2013_4.png
 
Estas alertas nos empezarán a llegar 30días antes de que expire el certificado, por lo que debemos ponernos manos a la obra con la renovación de los certificados.
Renovacion_Certificados_Lync_2013_5.png
Yo personalmente utilizo DigiCert para solicitar mis certificados públicos, y DigiCert 90 días antes ya nos va enviando e-mails de que debemos renovar los certificados que están a punto de caducar:
 

Renovacion_Certificados_Lync_2013_3.PNG

Está claro que por avisarnos no será y además nos ofrecen todas las guías posibles de como debemos renovarlo con ellos para tenerlo disponible con suficiente antelación para no tener los apuros de última hora. Una vez que lo hemos renovado (estos pasos los omito porque son muy sencillos y se tramitan desde la web de Digicert (http://www.digicert.coom)), lo que nos queda primero es instalarlo en nuestro servidor y posteriormente asignarlos a los servicios correspondientes.  Con DigiCert lo tenemos muy fácil sino queremos realizar el proceso de forma "manual", simplemente nos descargamos la herramient DigiCertTool la cual nos permite gestionar nuestros certificados de forma centralizada y desde cualquier sitio podemos conectarnos a DigiCert desde las DigiCertTool y podemos subir un CSR  para completar una solicitud y subirlo directamente a DigiCert o simplemente enviarlo a  nuestra CA Interna. Lo único que debemos hacer es descargarnos las DigiCertTool, ejecutarlo y irnos a la opción Account para introducir nuestro usuario y contraseña (el mismo que introducimos en la Web) para que  nos muestra las solicitudes pendientes o los certificados que tenemos contratados preparados para ser instalados:

Renovacion_Certificados_Lync_2013_1.png

Renovacion_Certificados_Lync_2013_6.png
Si tuviéramos una petición pendiente de completarla nos la mostaría de forma inmediata, en caso contrario debemos habilitar la casilla Show completed orders

Renovacion_Certificados_Lync_2013_7.png
Ahora nos mostrará  todos los certificados que hemos adquirido  y vemos que podemos instalarlo directamente desde la opción install, pues pulsamos en install

Renovacion_Certificados_Lync_2013_8.png

Volvemos a pulsar en install

Renovacion_Certificados_Lync_2013_9.png

En cuestión de segundos ya tenemos el certificado instalado en el almacén de certificados de equipo local

Renovacion_Certificados_Lync_2013_10.png
Si volvemos a la consola de certificados del equipo local (certlm.msc) veremos el nuevo certificado instalado:

Renovacion_Certificados_Lync_2013_11.png

Ahora que ya tenemos el certificado instalado, únicamente debemos asignarlo a los servicios que sea necesario (IIS, Exchange, etc..)  y en mi caso al EDGE de Lync. Para ello abrimos el Asistente de Implementación de Lync Server – Instalar o actrualizar el sistema Lync Server
Renovacion_Certificados_Lync_2013_12.png

Pulsamos en Ejecutar de  nuevo en el Paso 3: Solicitar, instalar o asignar certificados

Renovacion_Certificados_Lync_2013_13.png

Elegimos el certificado que queremos renovar, en nuestro caso el externo  y pulsamos en Asignar porque ya lo tenemos instalado en el servidor

Renovacion_Certificados_Lync_2013_14.png

Nos avisa de que si tenemos más de un servidor de EDGE ( un pool de EDGE) debemos exportar el certificado con su clave privada e instalarlo en todos los servidores, únicamente debemos pulsar en SÍ

Renovacion_Certificados_Lync_2013_15.png

Pulsamos en Siguiente

Renovacion_Certificados_Lync_2013_16.png

Elegimos el certificado que queremos asignar, sino tenemos claro cual era podemos pulsa en Ver detalles del certificado para asegurarnos de que elegimos el correcto

Renovacion_Certificados_Lync_2013_17.png

Renovacion_Certificados_Lync_2013_18.png

Pulsamos en Siguiente

Renovacion_Certificados_Lync_2013_19.png

En mi caso me muestra una advertencia porque tengo nombres de dominios configurados en la federación pero que no están asignados en el certificado que voy a instalar, esto es porque he configurado la federación solo con un certificado: Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013). Por lo que esta  advertencia no me afecta en absoluto, otra cosa sería que no lo tuviese configurado como comento en el artículo nombrado, entonces si deberíais asignar más nombres a este certificado (los que fuesen necesarios por dominio)

Renovacion_Certificados_Lync_2013_20.png

Como hemos hecho caso omiso a la alerta, igualmente nos lo muestra aunque se ha importado correctamente

Renovacion_Certificados_Lync_2013_21.png

Aquí nos muestra los nombres de dominio que no tiene el certificados asignados, pero vamos, me repito en mi caso no sería problema

Renovacion_Certificados_Lync_2013_22.png

Ahora ya tenemos el certificado asignado, damos el proceso por finalizado. Esto debemos hacerlo en todos los EDGE de nuestra organización (si tenemos varios claramente), el  proceso es el mismo  a excepción de que debemos exportar el certificado del primer servidor con su clave privada exportable para poder importarlo en el resto de servidores.

Renovacion_Certificados_Lync_2013_23.png

 Si nos vamos al Visor de Eventos podemos ver que ya tenemos varios alertas informativas de que los distintos servicios ya tienen el  nuevo certificado asignado, por lo que ya hemos finalizado el proceso de renovación de certificado

Renovacion_Certificados_Lync_2013_24.png

Como podemos apreciar es un proceso sencillo siempre y cuando se tenga claro, aquí os dejo algunos artículos que había puesto con anterioridad sobre certificados digitales:

 Espero que os sea de utilidad!!!