Microsoft Lync Server
Header

Si queremos ver las políticas que tenemos asignadas a un usuario(s)​ de forma sencilla, tenemos el siguiente cmdlet: Get-CsEffectivePolicy -Identity <Usuario>

Get-CsEffectivePolicy -Identity arial

Mostrar_las_directivas_asignadas_a_un_usuario_2.JPG

Si queremos mostrar más las políticas aplicadas a los usuarios que están en una OU, podemos hacerlo de la siguiente forma: Get-CsUser -OU "OU=Usuarios,DC=AsirLAB,DC=com" | Get-CsEffectivePolicy

Mostrar_las_directivas_asignadas_a_un_usuario_1.JPG

Este cmdlet es súper útil para saber que políticas tiene un usuario, de forma rápida sabremos que configuraciones tenemos aplicadas. Sino tiene ninguna directiva personalizada, veremos las directivas Globales o de Sitio.

Espero que os sea de utilidad!!!

Es posible que se os de la circunstancia de que queráis deshabilitar el acceso anónimo a una conferencia cuando se accede vía Lync Web App, evitando así que los usuarios se sin credenciales en Lync (nuestro o federado) pueda conectarse a una conferencia. Si accedemos a una conferencia a través del Lync Web App nos encontramos con esto:
 
Deshabilitar_Usuarios_Anónimos_Lync_Web_App_2.png

De tal forma que los usuarios escriben un nombre que los identificará y se conectarán a la conferencia, si queremos evitarlo tenemos el siguiente cmdlet:

Set-CsWebServiceConfiguration -AllowAnonymousAccessToLWAConference $False

Si queremos ver el cambio  aplicado podemos ver la configuración con este otro cmdlet:

Get-CsWebServiceConfiguration

Deshabilitar_Usuarios_Anónimos_Lync_Web_App_4.png

Si ahora volvemos a conectarnos a la conferencía vía Lync Web App solo tendremos la posibilidad de reunirnos a la misma autenticándonos previamente

Deshabilitar_Usuarios_Anónimos_Lync_Web_App_1.png

Espero que os sea de utilidad!!!

​En los escenarios anteriores (Esquemas de red para nuestras implementaciones de Lync Server (Parte I) y Esquemas de red para nuestras implementaciones de Lync Server (Parte II)) siempre hemos tenido que cambiar la configuración del EDGE, ajustando los puertos de los distintos servicios a publicar. Ahora nos encontramos con un escenario ideal para empresas pequeñas que quieren implementar Lync, no tener problemas de conectividad desde las redes externas y disponer de todas las funcionalidades del producto. De ahí que contemos con una conexión de datos que tiene 4 direcciones IP Públicas, las cuales configuraremos en nuestro router/firewall para realizar las distintas publicaciones (Pulsar en la imagen para verla a tamaño real).

Topologías Lync 2013_Esquema_3.jpg

Seguimos con el mismo escenario que los anteriores en cuanto a las subredes, una subred 192.168.0.0/24 para la LAN1 (red local) y una subred 172.26.0.0/28 (la hemos amplicado de 6 a 14 hosts) para las interfaces externas del Reverse-Proxy y EDGE. Como ahora con 4 IP Públicas tenemos la posibilidad de publicar cada servicio del EDGE en su puerto nativo, configuraremos el EDGE con nombres e IP diferentes para cada servicio. De ahí que tengamos que ampliar la subred que estábamos utilizando hasta la fecha, de un /28 a /29. Si bien es cierto que con la /28 no  tendríamos problemas, nos daremos algunas IPs más para otros servicios que queramos implementar en esa subred (publicar un RDS, Servidor SSTP, etc..). Sí no queremos publicar más que los serviciores del Reverse-Proxy y EDGE, entonces dejaremos la subred en /28, porque tendremos más que suficiente: 1 IP para el Router, 1 IP para el Reverse-Proxy 3 IPs para el EDGE y aún así nos sobraría una. Comentado esto, la configuración del EDGE en las interfaces externas ahora podría quedar de la siguiente forma:

En nuestro caso como hemos implementado NAT también para esta subred,  lo que haremos será configurar el EDGE con estas direcciones IP, tanto para la interface interna (192.168.0.16) como para las interfaces externas (172.26.0.3, 172.26.0.4, 172.26.0.5)  y como estamos detrás de NAT le indicaremos la IP Pública que configuraremos para los perimetrales de A/V (213.213.213.5)

Topologías Lync 2013_Esquema_3_1.jpg

Como ahora disponemos de 3 IP Públicas para los servicios del EDGE, configuraremos los puertos estándar para cada servicio (443, 5061 y 5269), de esta forma evitaremos en redes externas el bloqueo de la conexión, el puerto 443 se suele permitir en el 99% de las redes

Topologías Lync 2013_Esquema_3_2.jpg

A nivel de configuración de router, lo que nos queda es redireccionar los puertos hacia el EDGE en base a la configuración que hemos publicado en Lync:

Topologías Lync 2013_Esquema_3_3.jpg

El resto de configuraciones que había comentado en el primer artículo se mantienen, puesto que tenemos un solo router y tenemos que poder realizar todas las configuraciones con el. Básicamente crear dos subredes, una para los equipos de la LAN y otra para las interfaces externas del Reverse-Proxy y EDGE, crear un filtrado en el router para que no se puedan comunicar entre ellas y crear de alguna forma una "DMZ" para la subred 172.26.0.0/28 de los servicios que vamos a publicar.  Como en este caso además tenemos cuatro IP Públicas, tenemos lo necesario para poder configurar de forma estándar nuestra topología, como diferencia a mayores de la configuración de los puertos debemos configurar varios registros DNS:

Topologías Lync 2013_Esquema_3_4.jpg

Como el EDGE tiene la interface interna en la misma subred que los equipos y servidores (192.168.0.0./24), no tendremos que realizar más configuración en el EDGE. Este tercer esquema es el más común, porque al final los clientes suelen solicitar a su ISP varias direcciones IP Públicas para configurar Lync con todos los servicios vía puertos estándar. La red prácticamente no se tiene que modificar y únicamente como siempre crear una subred IP a mayores y configurar NAT sobre ella sino se dispone otro router o hardware específico para configurar VLAN o DMZ. Si tuvíeramos un segundo router, aunque no fuese un modelo profesional, podríamos conectar las interfaces públicas del Reverse-Proxy y EDGE al switch integrado que todos traen y ahí configurar la subred 172.26.0.0/28 (o la que queráis), de tal forma que así si la tendríamos separada de la red local ya a nivel físico. En estos esquemas trato de buscar alternativas con lo que puede tener el cliente, pero está claro que todo se puede mejorar o configurar de otra forma si se tiene una partida económica para el proyecto. Pero igualmente, podemos conseguir el mismo servicio adaptando la infraestructura IT a lo que tenemos.

Espero que os sea de utilidad!!!

El último esquema de red (Esquemas de red para nuestras implementaciones de Lync Server (Parte I)) era algo muy simple, pero que se da en muchos entornos de IT de muchos clientes. Un entorno sencillo, adecuado a la dimensión de la empresa y con escasos recursos de hardware, pero que realizando ciertos ajustes como podéis apreciar se puede implementar Lync otros muchos servicios de forma más o menos sencilla.

En este segundo artículo, tendremos una topología muy parecida a la anterior con la diferencia que ahora tendremos dos IP Públicas y que mostraré dos escenarios diferentes. Uno tendrá un único router con las dos IP Públicas y otro tendremos dos routers, cada uno con una dirección IP Pública y veremos que configuraciones podemos realizar. Empezaremos por el primer escenario, un router dos direcciones IP Públicas (pulsar en la imagen para ver a tamaño real):

Topologías Lync 2013_Esquema_2.jpg

En este escenario se nos presenta una mejora con respecto al anterior (Esquemas de red para nuestras implementaciones de Lync Server (Parte I)), que al tener dos IP Públicas podemos publicar alguno de los servicios del EDGE por su puerto nativo.  En el EDGE debemos publicar varios servicios:

  • Acceso
  • Conferencias Perimetrales
  • A/V

Como únicamente tenemos una IP Pública para todos los servicios, seguimos sin poder publicar todos los servicios por el puerto nativo (TCP 443), y habíamos publicado todos los servicios cambiando los puertos de cada uno de ellos. Yo en este caso cambiaría el puerto del servicio de Acceso, que se había puesto el 5061 que se comparte con las federaciones. De tal forma que quedaría de la siguiente forma:

Topologías Lync 2013_Esquema_2_2.jpg

Cambiando el puerto 5061 por el 443 por lo menos nos permitirá utilizar el puerto por defecto para la autenticación de los usuarios externos, no suele estar filtrado si nos conectamos desde redes externas y además nos permite filtrado a nivel de Router/Firewall la comunicación con otro extermo federador al utilizar entonces el puerto 5061 únicamente para las federaciones. Tendríamos que tener el registro DNS de Tipo SRV de la siguiente forma:

Servicio de Acceso

_sip._tls.dominio.com       SRV service location:
          priority       = 0
          weight         = 0
          port           = 443
          svr hostname   = sip.dominio.com
 
Servicio de Federaciones

 _sipfederationtls._tcp.dominio.com       SRV service location:
          priority       = 0
          weight         = 0
          port           = 5061
          svr hostname   = sip.dominio.com

Como tenemos dos IP Públicas, utilizaremos una IP para los servicios web de Lync, Exchange, Office Web App y la otra para los servicios del EDGE que hemos comentado. Además, ahora que tenemos dos IP Pública sobre la que utilizaremos para las conexiones del EDGE podremos aplicar restricciones de salida y entrada para permitir únicamente los puertos necesarios para que funcionen todos los servicios (tabla ajustada a la configuración que estamos comentando, cada uno luego tendrá sus propios puertos e IP Públicas):

Topologías Lync 2013_Esquema_2_3.jpg

En cuanto al resto del esquema de red, seguimos con el mismo modelo de doble IP interna en el router, etc.. puesto que la configuración es similar y solo disponemos de un hardware que no permite crear VLAN ni tiene Interfaces L3. Ahora bien, podemos encontrarnos con este esquema algo más avanzado, en el cual el cliente tienes dos routers y cada uno tiene una IP Pública (pulsar en la imagen para ver a tamaño real):

Topologías Lync 2013_Esquema_2_1.jpg

Aquí el modelo de configuración de configuración de doble IP Privada, cambio de puerto del servicio de Acceso en el EDGE es lo mismo que lo visto en el esquema anterior, pero ahora jugamos con la ventaja de que podemos tener dos routers en Alta Disponibilidad o Balanceo de Carga (pulsar en la imagen para verla a tamaño real)

Topologías Lync 2013_Esquema_2_4.jpg

Con esto podríamos configurar los dos routers para que los usuarios de la red local utilizasen ambos routers para salir a Internet o bien tener un modelo de ActivoPasivo. La configuración en Cisco sería algo similar a esto:

Activo – Pasivo

​Router 1 (ACTIVO) ​Router 2 (PASIVO)
Topologías Lync 2013_Esquema_2_5.jpg Topologías Lync 2013_Esquema_2_6.jpg
Router1(config)# interface fa0/0
Router1(config-if)# ip address 192.168.0.2 255.255.255.0
Router1(config-if)# standby ip 192.168.0.1
Router1(config-if)# standby preempt
​Router2(config)# interface fa0/0
Router2(config-if)# ip address 192.168.0.3 255.255.255.0
Router2(config-if)# standby ip 192.168.0.1
Router2(config-if)# standby priority 95

Activo – Activo

​Router 1 (ACTIVO) ​Router 2 (ACTIVO)
Topologías Lync 2013_Esquema_2_5.jpg Topologías Lync 2013_Esquema_2_6.jpg
Router1(config)# interface fa0/0
Router1(config-if)# ip address 192.168.0.2 255.255.255.0
Router1(config-if)# glbp 10 ip 192.168.0.1
Router1(config-if)# glbp 10 priority 120
Router1(config-if)# glbp 10 timers 5 18
Router1(config-if)# glbp 10 load-balancing host-dependent
Router2(config)# interface fa0/0
Router2(config-if)# ip address 192.168.0.3 255.255.255.0
Router2(config-if)# glpb 10 ip ip 192.168.0.1
Router2(config-if)# glbp 10 preempt
Router2(config-if)# glbp 10 priority 100
Router2(config-if)# glbp 10 timers 5 18
Router2(config-if)# glbp 10 load-balancing host-dependent
 
No voy a entrar en el detalle de estas configuaciones, porque se pueden configurar muchas más pero para un escenario básico  es suficiente. El que quiera ampliar más información, aquí os dejo los enlaces de Cisco en donde tendréis el material que queráis:  

Esta configuración tendrá una VIP (Virtual IP) que será la que se configurará como puerta de enlace (192.168.0.1) a los clientes de la LAN, y ya se encargará HSRP o GLBP de enviar la petición al router que corresponda. Si utilizamos GLBP tendremos los dos routers activos a la vez y podremos aprovechar ambas conexiones. En el caso de HSRP, podríamos implementarlo de tal forma pusiésemos como PASIVO el router que tenga la línea con menos caudal y en caso de caída que el servicios siguiese funcionando. En este caso sería recomendable que el ACTIVO sea el que hemos utilizado para publicar los servicios Web de Lync, Exchange, Office Web App, pero ojo, me refiero como ACTIVO para que los usuarios de la red local puedan salir a internet. En Cisco, al igual que en otras tecnologías, podemos configurar varios protocolos de alta disponibilidad en varias interfaces de un mismo dispositivo, porque lo la configuración se haría solo sobre la subred 192.168.0.0/24, la subred 172.26.0.0/28 la dejaríamos sin configuración de alta disponibilidad (de momento) para que siempre estuviesen operativos ambos routers para ofrecer los distintos servicios (Reverse-Proxy y EDGE). Aquí la idea es gestionar las comunicaciones de los equipos de la LAN para conectarse a internet, pero valorar que router tenemos como activo y cual como pasivo si así queremos la configuración.

El tener dos routers, también nos ofrece la posibilidad de enviar el tráfico de red por el router que queramos, de tal forma que optimicemos en la medida de lo posible las comunicaciones del cliente. Si configuramos HSRP dejando como PASIVO para la red LAN (192.168.0.0/24) el router por donde hemos publicado los servicios del EDGE (Router 2), también garantizamos una conectividad total para los clientes que utilizan el acceso externo. De esta forma, tendríamos una conexión a internet "dedicada" (mientras no se caiga el Router 1) para las conexiones externas. Si elegimos esta configuración, también podemos configurar un TRUNK SIP con un ITSP para cursar las llamadas a la PSTN vía Voip desde nuestro Mediation Serve, para ello configuraríamos una segunda tarjeta de red en el Mediation Server y le configuraríamos una IP del rango 172.26.0.0/28. El Mediation SErver tendría dos interfaces, una conectada a la red local sin default gatewa y una segunda tarjeta de red con un default gateway que apuntará al router R2 que será quien lo conecte con el ITSP. Os recuerdo que el router R2 estaría como PASIVO para la red 192.168.0.0/24 no para la red 172.26.0.0./28. La red 172.26.0.0/28 no tendría configuración alguna de HSRP o GLBP, y sobre esta red en el Router 2 publicaríamos el puerto 5067 (o que el que configuréis) para conectarnos con el ITSP. Aquí os dejo algunos artículos sobre un TRUNK SIP que pueden ser de vuestro interés:

Con esta configuración y sin mucha complación, tenemos Alta Disponibilidad (HRSP) o Balanceo de Carga (GLBP) nuestras líneas de datos para la red local, y además sin un costo superior en hardware hemos optimizado en la medida de lo posible las comunicaciones de A/V de nuestra topología de Lync. Si queremos implementar también HSRP o GLBP para la red de las interfaces WAN del Reverse-Proxy y EDGE podemos hacerlo sin problema, pero de esta forma dejaríamos el tráfico de los servicios Web vía Reverse-Proxy por el Router 1 (172.26.0.1 sería el Gateway de la interface Externa del Reverse-Proxy) y los servicios de Acceso, Conferencia, AV, Federaciones y TRUNK SIP vía Router 2 (172.26.0.2 sería el Gateway de la interface Externa del EDGE). La publicación de puertos se haría en cada uno de ellos, en el Router 1 el puerto 443 para todos los servicios Web y para el Router 2 todos los servicios del EDGE y el TRUNK SIP hacia el Mediation Server. Luego jugaremos con las configuraciones de Alta Disponibilidad o Balanceo y tendremos un sistema torlerante a fallas para la red lan (192.168.0.0./24) y optimizada dentro de las posibilidades del hardware para el EDGE. Pensad que si queremos implementar QoS como mucho podremos configurar a nivel de Router las colas necesarias, pero una vez que el router envíe los datos por su interface WAN ya es el operador quien tiene que darle continuidad (y la misma) al QoS  y esto se tiene que pagar a parte, porlo que para una empresa del estilo que comentamos, esto les vendría muy bien tener una configuración similar.

Ahora os cuento porque no hemos configurado de HSRP o GLBP en la red 172.26.0.0/28, básicamente porque para que funcionen los servicios Web y los del EDGE por ambos routers (tendríamos que dejar la configuración de puertos igual que en el artículo anterior: Esquemas de red para nuestras implementaciones de Lync Server (Parte I)). Esto  por un lado, por otro tendríamos que configurar los registros DNS apuntando a las dos IP Públicas, y ahí nos encontramos con varios problemas:

  • DNS no ofrece alta disponibilidad, solo consultas "balanceadas" con Round Robin. A algunos usuarios los conectará por una IP y a otros por otra porque así es como le ha resuelto el nombre su servidor DNS de su interface local
  • Si configuramos HSRP las peticiones que llegasen por el router PASIVO no funcionarían, porque el tráfico de retorno que tienen los servidores es el router ACTIVO. Pero igualmente, la petición no se enviaría al la interface Externa del Reverse-Proxy o EDGE, funcionamiento de HSRP
  • Si configuramos GLBP tendremos problemas con SIP y las sesiones, además de que tenemos que tener un proveedor que soporte un TRUNK SIP con dos IP (cualquier proveedor certificado lo soporta) pero tratará una de las IPs como la principal. Esto nos genera otro problema, si utilizamos GLBP las conexiones serían balanceadas a través de los dos routers y tendríamos sesiones en ambas IP Públias
  • Si utilizamos GLBP como el HOST de origen con las conexiones internas siempre es la interface WAN del Reverse-Proxy o EDGE y el destino siempre es el mismo, no tendremos forma de enviarlo por los dos enlaces o decirle a GLBP que utilice un mecanimo de balanceo eficiente.
  • En el TRUNK SIP el Mediation Server si utilizamos HSRP utilizará siempre el router activo y en caso de caída el PASIVO, pero el ITSP tiene que ofrecernos la posibilidad de un failover no solo para cursar la llamada sino sobre todo par las llamadas entrantes (se puede hacer sin problema, pero el proveedor debe tener esa característica). Si utilizamos GLBP no habremos ganado mucho, porque en el TRUNK SIP siempre jugamos con la misma IP del Mediation Server y la misma IP del ITSP, por que aunque configurásemos GLBP en balanceo siempre utilizaríamos el mismo router en cada sesión, etc…

Yo he hablando de HSRP y GLBP porque es lo que utiliza Cisco y es lo que manejo, pero vamos hay más protocolos en función de cada Router/Firewall, etc.. pero también es cierto que los protocolos tienen un funcionamiento claro y eso si que es único para todos.

Espero que os sea de utilidad!!

 

 

 

 

 

 

 

 

 

 

 

 

Roadmap de Office 365

julio 3rd, 2014 | Posted by Santiago Buitrago in Office - (0 Comments)

Aquí tenéis un enlace para ver el Roadmap de Office 365, no dejéis de echarle una visual, pulsar en la imagen para ir al enlace

Roadmap Office 365.png