Microsoft Lync Server
Header

Algo vital cuando implementamos cualquier servicios que tengamos un certificado de por medio, es que debemos tener claro cuando tenemos que renovarlo. Esto evitará estas cosas …. este era un servidor de Office Web App que ha estado funcionando hasta que hemos tenido una reunión en línea y nos encontramos con esto:

LS Data MCU 41033 Certificado WAC -5.png
Lo primero que podemos hacer para saber que problema tiene el servicio de Office Web App y el certificado, es acceder a la siguiente URL: https://fqdn/hosting/discovery y nos encontramos con los siguiente:
LS Data MCU 41033 Certificado WAC -2.png
Si pulsamos en Vaya a este sitio web (no recomenado) nos abrirá igualmente el sitio web al que queremos acceder y pulsamos en Error de certificado para ver problema tiene
LS Data MCU 41033 Certificado WAC -3.png
Como vemos el certificado ha caducado, el servidor de Office Web App está bien configurado pero el certificado ha caducado y así no podremos utilizarlo
LS Data MCU 41033 Certificado WAC -4.png
Si nos conectamos a nuestro Front-END, podemos observar que no se puede conectar al Office Web App porque se ha comprobado que el certificado no es válido 
LS Data MCU 41033 Certificado WAC -1.png
Como ya tenemos claro que el problema es el certificado, debemos ver la forma de "renovarlo". No sé si os habéis fijado que siempre he puesto "renovar" entre comillas, porque quiero mostraros que ocurre cuando queremos renovar un certificado que ya ha caducado. Por lo que os mostraré el proceso normal para renovar un certificado, esto podemos hacerlo de varias formas, pero lo haremos directamente desde el IIS. Para ello abrimos la consola de administración del IIS y accedemos a la opción de certificados:
LS Data MCU 41033 Certificado WAC -6.png
Ahora vemos todos los certificados que tiene el servidor y podemos observar que el certificado asignado al Office Web App ha caducado (la marco en rojo porque esta captura es posterior claramente el día 3 de Noviembre de 2014, vamo que el certificado está caducado), pulsamos con el botón secundario del ratón encima del mismo y pulsamos en Renovar
LS Data MCU 41033 Certificado WAC -7.png
Elegimos Renovar un certificado existente y pulsamos en Siguiente
LS Data MCU 41033 Certificado WAC -8.png
Si tenemos varias entidades certificados, pulsamos en Seleccionar para elegir la CA a la que enviaremos la solicitud de renovación (elegir la que haya emitido el certificado) y pulsamos en Finalizar
LS Data MCU 41033 Certificado WAC -9.png
Y cómo vemos se nos deniega la solicitud, mostrándonos una ventana de alerta
LS Data MCU 41033 Certificado WAC -11.png
 
Ahora queremos saber el porqué se nos ha denegado la solicitud, para ellos vamos al Visor de Eventos del servidor que tiene la CA instalada y veremos el siguiente evento:
LS Data MCU 41033 Certificado WAC -12.png
El problema viene dado porque queremos renovar un certificado que ya está caducado y eso no es posible: (http://technet.microsoft.com/en-us/library/dd378790(WS.10).aspx)
LS Data MCU 41033 Certificado WAC -42.PNG
De ahí que nos muestre el error de solicitud denegada, solo podemos "renovar" si el periorido está dentro del período de validez del mismo, sino no podremos hacerlo. Pues bien, si esto nos ocurre lo que debemos hacerr es solicitar un nuevo certificado. Esto también os lo voy a comentar porque para el servicio de Office Web App tiene una particularidad para que nos funcione correctamente, debe tener el nombre de sujeto con el que queramos acceder al servicio y además el nombre FQDN del propio servidor como alternativo además del FQDN igualmente, ahora os lo muestro. Cómo es un certificado SAN lo podemos solicitar de varias formas, vía PowerShell, vía Consola de Administración de Certificados del servidor o bien utilizando una herramienta como Digicert Tool que nos hará la solicitud más sencilla. Esta utilidad, no solo vale para solicitar el certificado a DigiCert, sino para crear nuestra solicitud (CSR: Creación de CSR para Lync de forma sencilla) y enviarla a nuestra CA interna.
 
Lo que tenemos que hacer es ejecutar la herramienta de DigiCert (Digicert Tool ) y lo primero que haremos será pulsa en Create CSR que nos permitirá cubrir los datos necesarios para enviar la solicitud a nuestra CA:
LS Data MCU 41033 Certificado WAC -13.png
Si previamente hemos seleccionado algún certificado que ya tenìamos instalado en el equipo, nos preguntará si queremos importar los atributos del certificado para el nuevo CSR, vamos a pulsar en (en mi caso porque es el mismo certificado el que quiero solicitar):
LS Data MCU 41033 Certificado WAC -14.png
Como podéis observar, el Common Name es el nombre FQDN del propio servidor y luego como alternativos tenemos ese mismo nombre y además por el que quiero conectarme al servicio web (office.asirsl.com). Así es como debéis solicitar este certificado, como Nombre Común el FQDN del propio servidor y como alternativo el mismo FQDN y además el que queréis utilizar para que el Lync, SharePoint y Exchange utilicen para conectarse a él. Ahora cubrimos el restro de datos, teniendo especial importancia el tamaño de clave, que debemos establecerlo a 2048 y pulsamos en Generate
LS Data MCU 41033 Certificado WAC -15.png
Ahora nos mostraré el CSR que utilizaremos para enviarlo a nuestra CA y así completar la solicitud, pero bien podemos copiar el texto o guardar el fichero, yo copiaré directamente el texto porque completaré la solicitud en este mismo instante, por lo que pulsaré en Copy CSR
LS Data MCU 41033 Certificado WAC -16.png
LS Data MCU 41033 Certificado WAC -17.png

Una vez copiado, abrirmos un navegador y accedemos al servicio Web de inscripción de certificados de nuestra CA http(s)://FQDN_CA/certsrv y pulsamos en Solicitar un certificado

LS Data MCU 41033 Certificado WAC -18.png
 Pulsamos en Solicitud avanzada de certificado
LS Data MCU 41033 Certificado WAC -19.png
Ahora en Enviar una solicitud de certificado con un archivo codificado en Base64 CMC o PKCS#10 o una solicitud de renovación con un archivo codficado en base64 PKCS #7
LS Data MCU 41033 Certificado WAC -20.png

En el primero hueco pegamos el texto copiado previamente (el CSR), elegimos como plantilla de certificado Servidor Web y escribimos una descripción de la solicitud (no obligatorio), pulsamos en Enviar
LS Data MCU 41033 Certificado WAC -21.png
En la siguientes dos alertas pulsamos en  

 LS Data MCU 41033 Certificado WAC -22.png
LS Data MCU 41033 Certificado WAC -23.png
Ahora seleccionamos Codificado en Base64 y pulsamos en Descargar Certificado
LS Data MCU 41033 Certificado WAC -24.png

Nos mostrará un aviso para que abramos o guardemos el fichero, lo vamos a guardar para completar la solicitud desde la herramienta de DigiCert

LS Data MCU 41033 Certificado WAC -25.png
Abrimos la DigiCert Tool y pulsamos en Import
LS Data MCU 41033 Certificado WAC -26.png
Pulsamos en Browse para elegir el fichero que vamos a importar, que es el que nos hemos descargado previamente desde la web de nuestra CA
LS Data MCU 41033 Certificado WAC -27.png
Pulsamos en Siguiente
LS Data MCU 41033 Certificado WAC -28.png
Escribimos una descrpción para poder identificarlo de forma sencilla  (sí ya sé que he puesto Ceritificado en vez de Certificado) y pulsamos en Finalizar
LS Data MCU 41033 Certificado WAC -29.png
Ahora nos muestra una ventana informándonos de que se ha importado correctamente el certificado y que ya lo tenemos disponible para asignar al IIS o Exchange, ahora pulsamos en Aceptar
LS Data MCU 41033 Certificado WAC -30.png
Como vemos, ya tenemos el nuevo certificado  disponble para asignárselo al servicio de Office Web App
LS Data MCU 41033 Certificado WAC -31.png
Como es un nuevo certificado, tenemos que asignárselo nuevamente al OFfice Web App, para ello lo primero  es desconfigurar el servicio de Office Web App para lo haremos en varios pasos:
 
Paso 1: Ver la configuración actual: Get-OfficeWebAppsFarm
LS Data MCU 41033 Certificado WAC -33.png
Paso 2: Eliminar la configuración del Office Web App: Remove-OfficeWebAppsMachine
LS Data MCU 41033 Certificado WAC -34.png
Paso 3: Configurar nuevamente las Office Web App con el nuevo certificado (me he equivocado en la descripción (no en los nombres que tiene el certificado) del certificado y le he puesto "Ceritificado Office Web App de ahí que así lo veáis en el cmdlet:  New-OfficeWebAppsFarm -InternalUrl "https://office.asirsl.com" -ExternalUrl "https://office.asirsl.com" –EditingEnabled:$true –CertificateName Ceritificado Office Web App
LS Data MCU 41033 Certificado WAC -36.png

Ahora ya tenemos nuestro certificado "renovado" (recordad lo comentado anteriormente sobre lo de renovado) y asignado nuevamente a nuestro Office Web App. Ahoar si nos vamos Lync por ejemplo, ya tenemos disponible el poder compartir las presentaciones de PowerPoint en nuestras reuniones:

 
LS Data MCU 41033 Certificado WAC -37.png
LS Data MCU 41033 Certificado WAC -41.png
Si ahora nos vamos a un Front-END y abrimos el Evento de Sucesos ya podemos ver que no tiene problemas con este servicio (claramente, ya lo estamos utilizando):
LS Data MCU 41033 Certificado WAC -38.png
Si ahora volvemos a acceder a la URL: https://FQDN/Hosting/Discovery ya podemos ver que no nos muestra el error del certificado
LS Data MCU 41033 Certificado WAC -40.png
 
Por lo que damos por cerrado el proceso de "renovación", algo más tedioso por no poder renovarlo y si tener que volver a solicitarlo nuevamente. Si solo tuviéramos que renovarlo era simplemente finalizar la renovación y ya quedarí operativo el servicio. Aquí la recomendación es tener un procedimiento para gestionar la caducidad de los certificados de nuestra infraestructura, bien con alguna herramienta que nos alerta de la caducidad del certificado (SCOM 2012 )por ejemplo), configurar una alerta de para que nos avise cuando el servidor tenga una alerta en el visor de eventos (Lync Server: Renovación de Certificados y Alertas) o anotarnos en el calendario del Outlook una fecha anterior a la caducidad del certificado para renovarlo antes de encontrarnos con el problema.
 
La idea de este artículo era mostraros que si caduca un certificado ya no podemos renovarlo y cual sería el proceso de configuración del servicio de Office Web App con el nuevo certificado.
 
Espero que os sea de utilidad!!!

Cuando queremos actualizar nuestro pool de servidores de Lync, debemos realizar unos pasos previos a la actuaización, entre los cuales se encuentra el evitar que los usuarios incien sesión en el servidor que vamos a actualizar pero que se mantengan activas la sesiones actuales. Esto evitará desconectar a los usuarios que hayan iniciado sesión en alguno de los servidores del pool, para ello podemos/debemos detener los distintos servicios en los servidores que queramos. Este es un proceso muy sencillo que podemos hacerlo mediante el Panel de Control de Lync y PowerShell, para ello nos vamos a la sección Topología, seleccionamos uno de los servidores sobre el cual queremos parar uno o todos los servicios y desde el menú de acción elegimos lo que queremos hacer. Lo primero queharemos será parar todos los servicios, nos ponemos encima del servidor y desde el menú Acción pulsamos en Impedir nuevas sesiones para todos los servicios:

Denegar nuevas sesiones para uno o varios servicios - 1.jpg

Esto mismo podemos hacerlo mediante PowerShell, para ello tenemos este es el cmdlet: Stop-CsWindowsServier [-ComputerName <String>] [-Graceful <SwitchParameter>] Ahora para saber que servicios ha parado, hacemos doble clic sobre el servidor el cual hemos detenido los servicios para que nadie pueda iniciar sesión en ellos, vemos que todos están detenidos:

Denegar nuevas sesiones para uno o varios servicios - 15.jpg

Si solo queremos detener uno de los serivcios, una vez hayamos hecho doble clic sobre el nombre del servidor, seleccionamos el servicio a parar (en mi caso el Registrar) y vamos al menú Acción y pusamos en Impedir nuevas sesiones para el servicio

Denegar nuevas sesiones para uno o varios servicios - 2.jpg

Al final todas las acciones ejecutadas desde la consola son siempre comandos de PowerShell, en este caso sería Stop-CsWindowsService [-Name <String>] [-ComputerName <String>] [-Graceful <SwitchParameter>]. Si utilizamos el modificar -Graceful el servicio no se parará, simplemente dejará de crear nuevas sesiones manteniendo las activas, y según se vayan cerrando de forma normal ya no podrán iniicar sesión nuevamente en en este servidor. Aquí os muestro un ejemplo, tengo la sesión iniciada y no me la cierra:

Denegar nuevas sesiones para uno o varios servicios - 11.jpg

Pero si otro usuario quiere iniciar sesión ya no se lo permitirá, esto ocurre para todos los servicios que hemos parado, en mi caso el Registrar (RTCSrv)

Denegar nuevas sesiones para uno o varios servicios - 12.jpg

Sí ahora verificamos que servicios se han parado, lo hacemos mediante PowerShell: Get-CsWindowsService  [-ComputerName <String>]

Denegar nuevas sesiones para uno o varios servicios - 5.jpg
Vemos que el servicio que ha parado es el RTCSRV (Front-end de Lync Server en los servicios locales del servidor), desde la consola de servicios del equipo también lo podemos ver detenido:

Denegar nuevas sesiones para uno o varios servicios - 16.jpg

Si ahora desde el Panel de Control de Lync vamos a la sección de Topología vemos que el servidor sobre el cual hemos parado el servicio tiene una advertencia, la cual se corresponde claramente con la parada del servicio:

Denegar nuevas sesiones para uno o varios servicios - 8.jpg

Para volver a iniciar el servicio, accedemos a los servicios del servidor, lo seleccionamos y desde Acción pulsamos en Iniciar servicio

Denegar nuevas sesiones para uno o varios servicios - 7.jpg

Si nuevamente vemos el estado de los servicios mediante PowerShell, comprobaremos que ya están todos inciados Get-CsWindowsService  [-ComputerName <String>]Denegar nuevas sesiones para uno o varios servicios - 3.jpg

Este procedimiento es el que debemos seguir si queremos actualizar nuestro servidor de Lync, bien una actualización ee hardware o software. Básicamente todo lo que implique una parada de los servicios, pero debemos tener en cuenta que si reiniciamos el servidor los servicios se iniciarán de forma automática, por lo lo que debemos cambiar el modo de inicio de los servicios afectados para que los usuarios no puedan iniciar sesión en el servidor después del reinicio el mismo.


Espero que os sea de utilidad y lo tengáis claro cuando queráis actualizar vuestros servidores!!!

Microsoft ha publicado un documento muy interesante: Configuring the Windows Server 2012 Web Application Proxy as a Reverse Proxy for Lync Server

Configuring_the_Windows_Server_2012_Web_Application_Proxy_as_a_Reverse_Proxy_for_Lync_Server.png

Enlaces de descarga:

MSFT: Configuring the Windows Server 2012 Web Application Proxy as a Reverse Proxy for Lync Server

Este blog:Configuring_the_Windows_Server_2012_Web_Application_Proxy_as_a_Reverse_Proxy_for_Lync_Server.docConfiguring_the_Windows_Server_2012_Web_Application_Proxy_as_a_Reverse_Proxy_for_Lync_Server.doc

Como sabéis MSFT hace tiempo que ha dejado de "lado al TMG" y como sabéis necesitamos un reverse-proxy para publicar nuestros servicios de Lync, pero con la llegada de Windows Server 2012 ha introducido un nuevo rol que es Web Application Proxy que harás la veces de reverse-proxy. Si alguien no tiene claro porque se necesita un reverse-proxy para publicar los servicios de Lync (Reuniones en Línea, Conexión del cliente Móvil, Conferencias Telefónicas, etc..), aquí os dejo algunos artículos que os pueden ser de ayuda:

Espero que os sea de utilidad!!!