Microsoft Lync Server
Header

Servidores RODC y Lync Server 2013 (Parte I)

marzo 11th, 2015 | Posted by Santiago Buitrago in Lync Server

Muchas empresas tienen múltiples sedes en su ámbito  nacional/ internacional, en donde además se va extendiendo los distintos servicios a dichas ubicaciones. Un escenario comun suele ser tener un CPD principial (más ancho banda, capacidad de proceso, seguridad, etc…) en donde se configuran distintos servidores y servicios (Active Directory, RDS, DirectAccess, Exchange, SharePoint, CRM, ERP, …). Y según la empresa se va expandiendo por el mundo, lo que queremos es extender estos servicios al resto de sedes, un claro ejemplo es nuestro Directorio Activo. Por lo que en las ubicaciones remotas conectadas vía VPN (Cisco VPN IPSec Site-to-Site con Certificados Digitales), MPLS, etc.. con el CPD central, podríamos instalar uno o varios servidores con una réplica del nuestro Directorio Activo (Controlador de Dominio Adicional) en donde tendremos además más servicios de infraestructura para la red local (DHCP, DNS, NPS, etc..). Pero no siempre en las sedes remotas se consigue unos niveles de seguridad física aceptable, por lo que debemos ser capaces de proteger sobre todo a estos servidores que pueden estar expuestos a ataques o malas prácticas de uso sin "nadie se entere". De ahí que MSFT había recuperado el antigudo "BDC" de NT4 que ahora es un RODC (Read Only Domain Controller https://technet.microsoft.com/es-es/library/cc753223(v=ws.10).aspx), que no es más que un controlador de dominio pero de solo lectura. Vamos, que los administradores con derechos administrativos sobre el mismo no puede hacer cambio alguno en el dominio, simplemente recibe una copia del AD del resto de servidores pero no puede realizar modificación alguna. Es algo más que todo esto, pero creo como resumen rápido espero que se haya entendido. Muchas aplicaciones ya están preparadas para trabajar con este tipo de servidores, entre ellas Lync Server 2013 (Lync Server 2013 supports Active Directory Domain Services deployments that include read-only domain controllers or read-only global catalog servers, as long as there are writable domain controllers available. aunque desde luego con este comentario de MSFT no me queda nada claro que puedo hacer con un servidor de Lync Server en una sede con un RDOC. Aunque si bien es cierto que no encuentro muchas excusas para tener juntos una Front-END de Lync Server 2013 y un RODC, algunas existen, comor por ejemplo  una sede en otro continente y en donde la conexión entre dicha sede y el CPD no es de los más fiable, además de que queremos dotar a autosuficiencia a esta sede en caso de algún corte de conexión ocasional:

Lync con RODC.jpg
Dividiré el artículo en dos partes:
  • Parte I: Instalación de un RDOC
  • Parte II: Comportamiento de Lync con un RODC
La idea es ver que comportamiento tiene Lync Server y los clientes Lync, cuando el RODC de nuestra sede no tiene contacto con los controladores de dominio de la sede central. Dicho esto, vamos centrarnos en la instalación de un RODC, partiendo de la base de que ya tenenos nuestro dominio creado y únicamente queremos instalar un RDOC para unirlo a nuestro dominio con controlador de dominio de solo lectura en la Sede B. En la Sede A tenemos todos los controladores de dominio, servidores de SQL Server, SharePoint, Servidores de Ficheros, etc… y en la Sede B tenemos un RODC, Lync Server 2013, Exchange Server 2013, Office Web App 2013 (para Lync y Exchange), Servidor de Ficheros (replicación vía DFS-R). Este escenario para mi es irreal, pero creo que es una buena forma de mostrar el comportamiento de Lync en este escenario. Lo suyo sería que todo estuviese en el CPD y en la sede B un RODC, Lync Server (Front-END, Mediation Server, EDGE), Servidor de Ficheros y poco más, vamos, lo justo para dar servicio a una oficina remota que pueda sobrevivir unas horas en modo supervivencia (sin conexión con el CPD). Una vez aclarado la topología "fantasma", veamos como podemos instalar un RODC, yo he elegido provisionar previamente la cuenta en el Directorio Activo para que la gente que no lo haya visto aún pueda ver como se configura.
 
Lo primero que haremos será en alguno de los controladores de dominio abrir la consola de Usuarios  y Equipos de Active Directory, pulsamos con el botón secundario del ratón encima de la OU de Controladores de Dominio y pulsamos en Crear previamente una cuenta de controlador de dominio de solo lectura
Lync Server RODC-1.png
Pulsamos en Usar la instalación en modo avanzado y pulsamos en Siguiente
Lync Server RODC-2.png
Cómo se supone que el usuario con el que hemos iniciado sesión en el controlador de dominio tiene derechos administrativos en el Directorio Activo, seleccionamos Mis credenciales de inicio de sesión actuales y pulsamos en Siguiente
Lync Server RODC-3.png
Escribimos el nombre que le asignaremos posteriormente al RODC y pulsamos en Siguiente
Lync Server RODC-4.pngAhora elegimos el SITE en donde estará este controlador de dominio (ES: 10.10.10.0/24 y UK 10.10.20.0/24), en este caso el RODC estará en UK, lo elegimos y pulsamos en Siguiente
Lync Server RODC-5.png
Nota: Aquí os muestro las subredes asignadas a los sitios, como se supone que si instaláis un RODC es una una ubicación remota, esta configuración ya la deberíais tener hecha antes de empezar la configuración del RODC
Lync Server RODC-6.png
Continuamos con la configuración, este servidor será Catálogo Global, Servidor DNS y por supuesto RODC (eso no lo podéis tocar claramente), para continuar pulsamos en Siguiente
Lync Server RODC-7.png
Ahora nos muestra la configuración de replicación de contraseña para este RODC, por defecto los administradores, Opers. de servidores, etc.. no tienen sus contraseñas cacheadas en este RDOC. Además, tenemos dos grupos predeterminados (Grupo de replicación de contraseña RODC denegada y Grupo de replicación de contraseña RODC permitida) en donde podemos ir agregando usuarios y equipos para que se le permita el almacenar la contraseña en la caché del RODC. Esto nos interesa para las estaciones de trabajo, servidores y usuarios que deben iniciar sesión en la sede remota cuando el enlace de VPN con el CPD esté caido. De momento lo vamos a dejar sin tocar, ya lo configuramos más adelante, por lo que pulsamos en Siguiente
Lync Server RODC-8.png
Especificaremos un usuario que podrá completar la instalación del RODC, esto es  interesante si tenemos algún grupo o usuario que tendrá tareas delegadas en la sede remota para la instalación de este RDOC sin que para ello deba tener más privilegios de los necesarios a nivel de Directorio Activo. En mi caso como es un LAB he elegido la cuenta de administrador, pero es recomendable hacerlo con otra cuenta.

Lync Server RODC-10.png
En esta pantalla se nos muestra un resumen de la configuración que hemos ido realizando en los pasos anteriores, si todo está correcto pulsamos en Siguiente
Lync Server RODC-11.png
Con esto ya hemos finalizado la primera parte de la configuración de un RODC, simplemente pulsamos en Finalizar y veremos que ya tenemos la cuenta de equipo del RODC
Lync Server RODC-12.png
Desde la OU de Domain Controllers podemos observa la cuenta de equipo del RODC pero deshabilitada, por lo que ahora debemos acceder al servidor que hará de RODC y continuar con la configuación.
Lync Server RODC-13.png

Ahora en el servidor SRV-D0C1 que será nuestro RODC debemos primero agregar los roles necesarios, pero lo primero será asegurarse de que está correctamente configurado, para ello abrimos la consola de Administrador del Servidor y vemos que ya tiene el nombre correcto (SRV-DC01) y que está en un grupo de trabajo.

Lync Server RODC-14.png
Iniciamos el asistente que nos permite agregar roles y características y pulsamos en Siguiente
Lync Server RODC-15.png
Seleccionamos Instalación basada en características o en roles y pulsamos en Siguiente
Lync Server RODC-16.png
Elegimos la opción por defecto Seleccionar un servidor del grupo de servidores y pulsamos en Siguiente
Lync Server RODC-17.png
En la sección de roles de servidor elegimos Servicios de dominio de Active Directory y pulsamos en Siguiente
Lync Server RODC-18.png
Aquí no tocamos en nada  y pulsamos en Siguiente
Lync Server RODC-19.png
Pulsamos en Siguiente
Lync Server RODC-20.png
Nos muestra un resumen de los roles que se agregarán y si estamos de acuerdo, pulsamos en Instalar
Lync Server RODC-21.png
Una vez completada la instalación de los distintos roles, nos mostrará una opción de Promover este servidor a controlador de dominio que será lo que haremos, por lo que pulsaremos en ese texto y se iniciará al proceso de promover este servidor a controlador de dominio
Lync Server RODC-22.png
Seleccionamos Agregar un controlador de dominio a un dominio existente, escribimos el nombre del domnio (en mi caso ASIRLAB.COM) y escribimos las credenciales del usuario que habíamos definido en la preparación del RODC
Lync Server RODC-23.png
Pulsamos en Aceptar
Lync Server RODC-26.png
Seleccionamos Usar cuenta RODC existente y ya se establecen el resto de opciones según las configuraciones realizadas anteriormente, además vemos que nos muestra que ya existe la cuenta RODC porque ha comprobado el nombre del servidor que se corresponde con la cuenta creada anteriormente. Establecermos la contraseña de recuperación de los servicios de directorio (DSRM) y pulsamos en Siguiente
Lync Server RODC-25.png
Le indicamos el servidor desde el cual va a replicar por primera vez el Directorio Activo y pulsamos en Siguiente
Lync Server RODC-27.png
Esto es como siempre, nos muestra los directorios en donde se ubicará la BBDD, Registros y carpeta SYSVOL, por lo que únicamente lo dejamos como está si así nos vale y pulsamos en Siguiente
Lync Server RODC-28.png
Nos muestra un resumen de las distintas configuraciones que hemos ido realizando y pulsamos en Siguiente
 Lync Server RODC-29.png
Se realizarán una serie de verificaciones y si todo está correcto, ya podemos iniciar el proceso final de promover este servidor a controlador de dominio, en nuestro caso un RODC para ello pulsamos en Instalar
Lync Server RODC-30.png
Depende de la conexión que tengamos entre ambos servidores le llevará más o menos tiempo la replicación, y bueno la cantidad de objetos, etc.. en este caso como es un LAB no será más de 5 min. Ahora únicamente debemos esperar a que finalice el proceso y el servidor se reiniciará para completar el proceso
Lync Server RODC-31.png
Mientra que reinicia el servidor, ya podemos ver que se ha activado la cuenta del RODC, por lo que el proceso ha finalizado correctamente. Ya tenemos un RODC operativo y en situado en la sede remota de la subred 10.10.20.0/24 (Site UK).
Lync Server RODC-32.png

Ahora lo que podemos probar es si cachea las contraseñas de los usuarios que queramos que así sea, para ello en el grupo de seguridad Grupo de replicación de contraseña RODC permitida añadiremos a los usuarios de la sede de UK que si queremos que cacheen sus contraseñas. Esto permitirá a los usuarios iniciar sesión en el dominio teniendo presente solo al RDOC, esto debemos hacerlo siempre para este tipo de instalaciones sino tendremos problemas  si nos quedamos desconectados de la sede principal y perder el contacto con el DC. bien, Bien una vez quemos añadido a los usuarios o grupos de usuarios al grupo Grupo de replicación de contraseña RODC permitida vamos a verificiar que es así, lo primero que haremos será ir a las propiedades de SRV-DC01 (el RODC) y vamos a la pestaña Directivas de replicación de contraseñas, en mi caso además he creado un grupo a parte para añadir de forma explícita a la gente de UK para permitir que se repliquen las contraseñas de esos usuarios en el RDOC. Ahora pulsamos en el botón Opciones avanzas

Lync Server RODC-38.png
En la pestaña Directiva Resultante podemos comprobar si realmente el usuario que pertenece al grupo que hemos habilitado para replicar las contraseñas se le permite o no la replicación de su contraseña. Para ello simplemente agregamos al usuario o usuarios que queremos testear  desde el botón Agregar y nos mostrará si se le permite o no la replicación de su contraseña:
 Usuarios al que no se le permite porque no pertenece a los grupos habilitados para ello, por lo que se le deniega
Lync Server RODC-39.png
Si añadimos al usuarios al grupo que permitimos la replicación de contraseñas y volvemos a comprobar que realmente ya tiene acceso.
Lync Server RODC-41.png
Si ahora queréis ver si realmente esto funciona, iniciaremos sesión con este usuario en algún equipo del dominio en el SITE de UK, yo lo haré en el RODC para que véais que ocurre. Como el usuario no es administrador ni tiene derechos para iniciar sesión en el RODC, es lo que nos indica puesto que la contraseña la hemos introducido de forma correcta (sino sería otro mensaje)
Lync Server RODC-42.png

Ahora si desde la consola de Usuarios y Equipos de Active Directory nos vamos a las propiedades de SRV-DC01 (RODC) y a la pestaña de Directiva de replicación de contraseña pulsamos en Opciones avanzadas, ahora tenemos dos pestañas pero ya nos quedamos en la primera Uso de directivas y elegimos Cuentas cuyas contraseñas están almacenadas en este controlador de dominio … observamos que ya aparecer la cuenta LyncUser4 con la que hemos querido iniciar sesión en el RODC que por otro motivos no hemos podido. Era simplemente a modo demostración, si se hubiese hecho desde cualquier equipo de la red también hubiese funcionado.

Lync Server RODC-43.png
Con esto ya tenemos el LAB preparado en cuanto a la topología de AD, Sites y RODC, el proceso de instalación de Lync me lo voy a saltar en esta serie de artículos. Lo que si os dejaré aquí el enlace a mi guía de Lync y un artículo del blog en donde hay un resumen de varias configuraciones para que las podáis seguir:

En el siguiente articulo veremos como se comporta un Front-END cuando tiene conexión con el DC y cuando solo tiene acceso al RDOC. Sobre todo orientado a lo que podemos o no hacer y como se ven afectados los usuarios.

Nos vemos en el siguiente artículo!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *