Microsoft Lync Server
Header

Lync no puede comprobar que el servidor es de confianza para su dirección de inicio de sesión

julio 3rd, 2014 | Posted by Santiago Buitrago in Lync Server

​En ocasiones podemos encontramos con este "problema" cuando iniciamos sesión con el cliente Lync 2013 y el dominio SIP no coindice con el nombre común y nombre de sujeto en el certificado del Servicio Web de Lync Server. Aquí el problema no es si tenemos el certificado raíz de la CA que ha emitido el certificado, siempre y cuando lo tengamos instalado claramente, pero de todas formas el error sería otro (esto lo comento por aclararlo)

Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_1.png
Como sabemos el cliente Lync 2013 utiliza un descubrimiento automático para encontrar el servidor del Lync (¿Qué registros DNS necesitamos para la configuración automática del cliente Lync 2010 y 2013?), de ahí que en la misma instalación con el cliente Lync 2010 no tengáis problemas de acceso y con el 2013 os muestre esta alerta.  Aquí os muestro dos capturas de Wireshark una de un cliente Lync 2010 y otra de Lync 2013 con un mismo servidor y cuenta de usuario:
 
Cliente Lync 2010: como podemos apreciar el nombre de dominio (oculto por razones obvias) es XXX.XXX y el nombre de dominio del servidor de Lync es srv-lync00.grupoXXX.XXX, vamos que no es el mismo nombre de dominio que el dominio SIP de los usuarios, pero igualmente como el certificado es de confianza y el nombre del servidor coincide con el nombre del certificado (Certificado SAN) no tiene problema y conecta al usuario sin mostrar advertencia alguna:
Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_Lync_2010.png
Cliente Lync 2013: como podeoms ver el cliente 2013 busca los registros lyncdiscoverinternal.xxxx.com, lyncdiscover.xxxx.com, etc…  y el nombre del servidor es el mismo (que con el cliente 2010)  srv-lync00.grupoxxxx.com y tiene un nombre de dominio diferente al dominio SIP y ahí está el "problema", puesto que con el modelo de seguridad del cliente Lync 2013 en la resolución de nombres nos mostrará una advertencia por si estamos seguros de que nos estamos conectando al servidor adecuado.
Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_6.png
Para corregir este problema, sino podemos cambiar los nombres asignados a los certificados, debemos crear un GPO y configurar los dominios SIP que queramos añadir de confianza para el usuario. Para poder configurar las directivas de Lync, primero debemos descargarnos las plantillas Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool (Plantillas ADMX Office 2013 y Configuración Lync 2013) y luego reailzar la siguiente configuración: Configuración de Usuario – Directivas – Plantillas administrativas : xxxx – Microsoft lync 2013 – Directivas de características de Microsoft Lync – Lista de confianza de dominio
Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_3.png
Y añadimos los nombres de dominio SIP en los que tengamos este problema, porque recordar si que iniciamos sesión con un usuario que su dominio SIP está como nombre común y sujeto en el certificado del servicio web de Lync no os mostrará alerta alguna: * Fijaros que pode defecto los dominios lyn.com, outlook.com, lync.glbdns.microsoft.com y microsoftonline.com ya son de confianza y no los podemos agregar
Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_4.png
Una vez que se aplique a todos los usuarios, ya nos mostraré el error de certificado y se conectará de forma transparente. Si este cambio queréis hacerlo sobre equipos que no están en el dominio, debéis modificar el registro del usuario y añadir los dominios SIP manualmente. Para ello debemos acceder a la siguiente ruta del registro HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync y crear un nuevo Valor de Cadena con el nombre TrustModelData y escribir los nombres de dominio SIP que queramos configurar:
Lync_No_Puede_Comprobar_Que_El_Servidor_Es_De_Confianza_2.png
Ahora la próxima vez que iniciéis sesión con vuestro cliente Lync 2013 y se den las mismas circunstancias en cuanto al nombre común y sujeto del certificado del servicio Web de Lync Server, ya no mostrará la alerta e iniciará sesión de forma normal.
 
Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

One Response

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *