En este artículo vamos a ver como podemos configurar un entorno híbrido entre Lync On-Premises y Lync OnLine… (pulsar en la imagen para verla a tamaño completo):
Yo voy a centrarme únicamente en la parte que tiene que ver con Lync, por lo que la configuración de la sincronización de directorios y ADFS, os voy a poner los enlaces de MSFT para que podáis seguir el paso a paso:
- Integración de Office 365 con entornos locales (Fuente: Web de Microsoft)
- Información general sobre el inicio de sesión único en Office 365 (Fuente: Web de Microsoft)
- Cómo publicar ADFS 3.0 mediante TMG 2010 para la federación con Office 365 (Fuente: este blog)
Aquí os dejo algunos artículos que deberíais tener muy presentes para tener una configuración del entorno antes de empezar a desplegar un entorno híbrido de Lync, para ello podéis aceder al siguiente artículo de este blog en donde tenéis un resumen de varios enlaces: Ya no tienes excusas para no implementar una solución de Comunicaciones Unificadas con Microsoft Lync Server 2013. Entendiendo de que ya tenéis vuestra topología de Lync en producción (Front-END y EDGE), prestaría especial atención a los artículos sobre certificados que es donde se suele tener más "problemas". Dicho esto, vamos a ver los requisitos mínimos que debemos cumplir para configurar nuestro entorno híbrido, siempre partiendo de la base que utilizaremos el mismo dominio (asirsl.com en mi caso) en Lync On-Premises y OnLine. Esto para mi es vital, pero simplemente por coherencia y simplicidad de la hora de conectarse los usuarios. Estos requisitos pueden cambiar o variar en base a la instalación que tengamos, por ejemplo a nivel de proxy, puesto que yo lo utilizo minimizando el impacto en servidores (ADFS y ADFS – PROXY (no confudir con un proxy inverso)). De esta forma si ya tenemos un proxy inverso, el cual utilizamos para publicar las distintas URL de Lync podemos utilizarlo para publicar el servicio de ADFS para el SSO con office 365. Ahora sí, vamos por fases, yo las divido en 5 "grandes" bloques:
-
Contratación de un plan de Office 365 que cumpla con los requisitos para nuestra organización
-
Sincronización de Directorio, lo que permitirá que los usuarios puedan iniciar sesión en Office 365 con el mismo usuario que lo hacen en local (dentro de la red)
-
Configuración SSO, para ello configuraremos los servicios de federación y los publicaremos vía Proxy Inverso. Para esto debemos tener un registro DNS público que tenga como IP la IP pública en donde tengamos el Proxy-Inverso para configurar la publicación del servicio (Cómo publicar ADFS 3.0 mediante TMG 2010 para la federación con Office 365). Además, recordad que el certificado que tengamos puesto en el Proxy-Inverso debe tener el nuevo nombre para ADFS (ejemplo: adfs.asirsl.com). Si disponéis de un certificado wildcard (cuantos beneficios tiene eh?!!!) (¿Qué certificados necesitamos para Lync?) ya no debéis hacer nada más, de lo contrario debéis añadir ese nombre (adfs.asirsl.com en mi caso en el vuestro será el que configuréis) al certificado. En la configuración del servicio de ADFS en interno debéis configurar el registro DNS de Tipo A (importantísimo que sino no os funcionará) con el mismo nombre que habéis configurado en el DNS público pero con la IP del servidor interno. En cuanto al certificado que sea de vuestra CA, ya que el certificado público ya lo tiene el proxy-inverso.
-
La federación con Lync On-Line es muy sencilla, simplemente en Lync On-Line habilitáis que se pueda federar con cualquier dominio a excepción de los dominios bloqueados y debemos tener los registros DNS de tipo SRV bien configurados para nuestro Lync On-Premises (Federar Lync OnLine con tu Lync On Premise)
-
Vía PowerShell moveremos los usuarios de Lync On-Premises a Lync OnLine
Con este resumen yo voy comentar como debemos configurar lo necesario en Lync para tener ese entorno híbrido con Lync OnLine (Límites de Lync Online), por lo que empezaremos por crear un provedor hospedado con el siguiente cmdlet: New-CSHostingProvider. Es posible que os encontréis con algún problema como este porque ya tenéis ese proveedor creado con anterioridad:
Si queremos crearlo nuevamente, lo primero será eliminarlo con el cmdlet Remove-CSHostingProvider, pero antes verifiquemos (no hace falta pero bueno) que realmente existe con el mismo nombre que nosotros lo queremos crear. Para ello utilizaremos el cmdlet Get-CSHostingProvider
Ahora sí, como el cmdlet Remove-CSHostingProvider lo eliminaremos y con Get-CSHostingProvider verificaremos que ya no existe
Ahora podevemos volver a crearlo con el cmdlet New-CsHostingProvider -Identity LyncOnline -ProxyFqdn "sipfed.online.lync.com" -VerificationLevel UseSourceVerification -Enabled $True -EnabledSharedAddressSpace $True -HostsOCSUsers $True -IsLocal $False
Ahora debemos configurar vía PowerShell en Lync Online que tendremos el mismo espacio de direcciones (asirsl.com) que en Lync On-Premises, para ello nos conectamos a Lync Online mediante el siguiente script:
Import-Module LyncOnlineConnector
$cred = Get-Credential
$CSSession = New-CsOnlineSession -Credential $cred
Import-PSSession $CSSession -AllowClobber
Para poder conectarnos previamente debemos tener instalados el módulo de conectar de Lync Online: https://technet.microsoft.com/es-es/library/dn362839.aspx y luego si podéis ejecutar el siguiente cmdlet: Set-CsTenantFederationConfiguration -SharedSipAddressSpace $true
Con esto ya daríamos por finalizado la integración de Lync On-Premises y Lync Online, solo quedaría empezar a mover usuarios de un pool a otro. Pero antes de mover usuarios, debemos aclarar (por si hiciese falta aclararlo) es que el usuario que queremos mover a Lync Online debe tener licencia en Lync Online. Para ello buscamos al usuario en cuestión desde el panel de administración de OFfice 365 y le asigaremos la licencia correspondiente, el proceso es muy sencillo, simplemente buscamos al usuario desde la opción de usuarios Activos y en el panel de acciones de la derecha pulsamos en Editar
Ahora le asignamos el plan que tengamos contratado
Si queremos asignar únicamente licencia de Lync, Exchange o SharePoint, volvemos a buscar el usuario y en el panel de la derecha pulsamos en Editar en donde antes le hemos dado para asignar el plan de Office 365:
Ahora podemos elegir que servicios tendrá disponibles el usuario, en mi caso (es un LAB) solo Lync y Exchange:
Con este último paso si que podemos empezar a mover los usuarios de nuestro Lync On-Premises a Lync Online, pero antes veamos desde la consola de administración de Lync la situación del usuario Lync1 que será el que voy a mover a Lync Online. Como podéis apreciar está en Lync On-Premises (pool.asirsl.com)
Ahora bien, vamos a mover al usuario a Lync Online, para ello iniciamos una consola de PowerShell y ejecutamos el siguiente cmdlet Move-CsUser, pero como siempre debemos cumplir unos requisitos previos sino no podremos hacerlo. En este caso debemos instalar el Asistente para el inicio de sesión de Microsoft Online Services (https://www.microsoft.com/es-es/download/confirmation.aspx?id=28177), en mi caso lo he hecho en uno de los Front-END. El proces es más que simple …
Con esto ya tenemos lo que necesitamos, así que ahora podemos ejecutar el cmdlet Move-CsUser sin problemas, este sería el cmdlet completo:
Únicamente tenéis que añadir HostedMigration/hostedmigrationservice.svc, por lo que el cmdlet quería así:
Desde el panel de administración de Lync Online ya podemos configurar las opciones disponilbes, las opciones generales
y la opoción de federación para el usuario
Por último si queremos verificar desde PowerShell en que pool está situado el usuario que hemos movido, lo haremos con Get-CsUser -Identity <nombre_usuario> y podemos observar que el hosting provider es sipfed.online.lync.com (el que hemos creado con anterioridad)
Y claro, por último nos queda probar a iniciar sesión con la cuenta que hemos movido y ver que funciona correctamente … y sin problema claramente
Y por último si ejecutamos netstat -an | find ":443" vemos que el cliente Lync se ha conectado a sippooldb31e03.infra.lync.com nos indicaba en la captura anterior.
Las opciones que tenemos disponibles son las básicas, puesto que en Lync Online en España no tenemos VoIP disponible para los usuarios:
Como podéis apreciar la configuración es sencilla, simplemente se deben cumplir una serie de requitios nada exigentes si ya tenemos medianamente actualizada nuestra infraestructura (Directorio Activo, Certificados, Proxy Inverso, etc…). Las configuraciones son muy sencilla y esto además si ya tenéis el ADFS y la Sincronización de Directorio configurado os llevará no más de 10 minutos completar la configuración y luego mover los usuarios que queráis para Lync Online.
- Requisitos que necesita cumplir un Certificiado Digital para reconocerse como válido
- ¿Qué certificados necesitamos para Lync?
- Certificados SAN o Wildcard para nuestra implementación de Lync Server
- Emitir Certificados con más de 2 años de validez en una CA en Windows
- Lync Server: Modificar el tiempo de validez de un certificado de usuario
- Creación de CSR para Lync de forma sencilla
- Asignar Certificados a un Front-END de Lync Server 2013
- Renovar, Instalar y Asignar Certificados a nuestro Edge de Lync Server 2010/2013
- Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
Leave a Reply