Microsoft Lync Server

Author Archives: Santiago Buitrago

Lync Online is becoming Skype for Business

marzo 12th, 2015 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Lync Online is becoming Skype for Business

Office 365

21 out of 26 rated this helpful – Rate this topic

Topic Last Modified: 2015-02-25

Changes are coming to Lync Online in Office 365. Lync is joining the Skype family, so in the coming months, Lync will be changing to Skype for Business. Please check back because this page will be updated frequently to provide you with important information about the Skype for Business client and the Skype for Business Online service. We hope that by giving you this information, it will help you through this transition.

Release date – The release date of Skype for Business will be announced at a later time.

Benefits – After your organization is transitioned to Skype for Business, you and your users will benefit from:

Skype-inspired design With the same look and feel of the Skype client, your users will benefit from the same familiar user interface and ease of use with the new Skype for Business clients.
Global reach Voice and video connectivity to the entire Skype network.
Full Lync feature set Because Skype for Business builds on existing Lync features, no features or functionality will be lost.

What to expect – Everything Lync is becoming Skype for Business. . . . . . . .

Lync 2013 clients is changing to Skype for Business clients.
Lync Web app is changing to Skype for Business web app.
Lync admin center is changing to Skype for Business admin center.
Lync Online is changing to Skype for Business Online.

How is the Lync client experience changing?

Contact window and features are inspired by Skype
Meetings experience and controls with the look and feel of Skype
Skype for Business taskbar icon
Skype for Business title bars

The Lync mode Skype for Business client

The Skype for Business client
Windows Search will return both Lync and Skype for Business

The Skype design vs. the Lync mode design – In a future update posted to this page, you will be able to change from the new Skype client design to the familiar Lync client design for your users. These settings will allow you to toggle between the two designs that your users will use for Skype for Business. Part of the update to this page, we will provide detailed instructions on how you can change from the new Skype design to the Lync mode Skype design.

Note:
The taskbar icons and title bar names will display “Skype for Business” regardless of the design you will use.

Note:

The taskbar icons and title bar names will display “Skype for Business” regardless of the design you will use.

What else is coming? We will be releasing a series of adoption resources including documents that will guide you through the process of making a successful transition to Skype for Business. These resources will be released by the end of March 2015. These resources will be available here.

¿Porqué un usuario deshabilitado en el Directorio Activo puede iniciar sesión en Lync?

marzo 12th, 2015 | Posted by Santiago Buitrago in Directivas de Grupo | Lync Server - (0 Comments)

Es muy probable que cuando deshabilitéis un usuario en vuestro Directorio Activo no lo hayáis hecho en Lync, puesto que son dos procesos diferentes (Deshabilitar un usuario en el Directorio Activo y en Lync). Esto puede suponer un problema de seguridad, porque es "posible" que el usuario pueda iniciar sesión en Lync y tener contacto con usuarios internos de forma legítima. Por lo que un usuario deshabilitado en Directorio Activo pero no en Lync podrá iniciar sesión en Lync durante cierto tiempo … (pulsar en la imagen para verla a tamaño real)

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-5.png

Cuando digo cierto tiempo es porque como todos sabreis, cuando un usuario inicia sesión en Lync por primer vez en un equipo, el servidor de Lync emitará un certificado de usuario. Esto es así porque así el proceso de inicio de sesión es más rápido que utilizando las credenciales, y este certificado por defecto tiene una validez de 6 meses. Por lo que un usuario que ha iniciado sesión y el servidor le ha emitido su certificado, podrá iniciar sesión con este certificado durante seis meses (Lync Server: Modificar el tiempo de validez de un certificado de usuario) aunque su cuenta esté deshabilitada en el Directorio Activo.

Este comportamiento se puede modificar, pero no se recomienda, porque el utilizar el certificado para iniciar sesión en Lync acelerará el proceso. Aquí lo que debemos hacer es ser muy cuidadosos cuando damos de baja un usuario en nuestro Directorio Activo, y aquí os describo dos procesos en base a dos premisas:

Usuario sin retorno a la empresa: usuario que deja de pertenecer a la empresa y que sabemos que no volverá a ella y se elminarán todos los datos de su perfil en Lync

Quitar cuenta de Lync: Disable-CsUser -Identity <Nombre_Usuario>
Deshabiltar su cuenta en el Directorio Activo

Usuario con retorno a la empresa: usuario que deja de pertenecer a la empresa durante un tiempo, pero que durante el tiempo que esté fuera no queremos que se pueda conectar

Revocar certificados de usuario en Lync Server: Revoke-CsClientCertificate -Identity <Nombre_Usuario>
Deshabilitar su cuenta en el Directorio Activo

Esto es a nivel de servidor, que es donde realizaremos los cambios, pero si queremos comprobar que esto es así podemos hacerlo de forma muy sencilla. Habilitamos un usuario en Lync e iniciamos sesión una primera vez, en ese momento Lync emitirá un certificado que se instalará en el contenedor de certificados de usuario en el momento de iniciar sesión en Lync:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-6.png

Ahora deshabilitamos el usuario en el Directorio Activo si tener iniciado Lync, y una vez deshabilitado tratamos de iniciar sesión en Lync y sin problema:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-5.png

Por último ya con el usuario deshabilitado en Lync vamos a borrar el certificado que nos había emitido e instalado en el equipo en donde el usuario ha iniciado sesión. Esto podemos hacerlo de varias formas, eliminar directamente el certificado desde una consola MMC o cuando pulsando en Eliminar mi información de inicio de sesión desde el propio Lync:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-8.png

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-7.png

Una vez hecho esto podemos observar que ya no tenemos el certificado de usuario en nuestro equipo:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-3.png

Si ahora tratamos de iniciar sesión, veremos que ya no podemos, puesto que en este caso lo primero que hará será tratar de validar nuestras credenciales en el Directorio Activo y ya teníamos la cuenta deshabilitada:

Usuario_Deshabilitado_Inicia_Sesión_En_Lync-4.png

Claramente si revocamos el certfiicado desde el servidor (que es lo suyo) de Lync (Revoke-CsClientCertificate -Identity <Nombre_Usuario>) ya no tenemos que hacer nada de esto, pero bueno, la idea era ver de forma clara cual es el comportamiento del cliente Lync antes esta situación. También comentaros que este artículo ya lo había publicado en su momento: Deshabilitar un usuario en el Directorio Activo y en Lync pero he querido volver a recordarlo porque era un artículo bastante antiguo.

Espero que os sea de utilidad!!!

Cómo actualizar nuestra topología de Lync Server 2010/2013 (Parte II)

marzo 12th, 2015 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

MSFT ha liberado una nueva actualización para Lync 2013 (Lync Server 2013 Cumulative Update KB 2809243), por lo que aprovecharé para mostraros como actualizar una versión Enterprise de Lync Server 2013. Para ello seguiremos este diagrama de flujo para actualizar cada servidor

Proceso_actualizar_Lync_Front-END -1.jpg

Vamos a ver como podemos actualizar un topología de Lync con un pool de dos Front-END Lync Server 2013 Enterprise, se recomienda tener 3 servidores en cada pool pero .. sino se puede dos es mejor que uno :-). Voy a empezar por los servidores Front-END que son los que tienen mayor complicación, el resto son muy sencillos de actualizar dependiendo claro de la cantidad de servidores, topología, etc… Dicho esto, lo primero que haremos será ejecutar el cmdlet Get-CsPoolUpgradeReadinessState para verificar que los servidores están preparados para actualizarse:

Siguiendo el diagrama de flujo nos dará los pasos a seguir para ir actualizando cada dominio de actualización, como vemos cada servidor tiene su dominio de actualización (UpgradeDomain1 y UpgradeDomain2). Basándonos en el digrama debemos fijarnos en el valor State si es igual a Ready estamos listos para actualizar nuestros servidores.

Si todo está preparado para actualizarse, lo primero que haremos será detener los servicios del Front-END que vayamos a actualizar primero, para ello ejecutaremos el siguiente cmdlet: Stop-CsWindowsServer -Graceful -Verbose (el parámetro Graceful evitará nuevas sesiones pero no cerrará las actuales, según se vayan cerrando las actuales no las volverá a aceptar)

Podemos abrir el fichero de log que nos ha dejado en la carpeta TEMP del usuario con el que hemos ejecutado el cmdlet

Una vez que tenemos parados los servicios del Front-END y ya no tenemos sesiones de usuarios, debemos iniciar el proceso de actualización. Para ello como en la versión Standard de Lync (Cómo actualizar nuestra topología de Lync Server 2010/2013 (Parte I)) nos descargamos la actualización correspondiente (Lync Server 2013 Cumulative Update KB 2809243 CU12 Febrero 2015)) y simplemente la ejecutamos y esperamos a que se complete. Una vez que lanzamos el instalador nos informará de los componentes que actualizará y los mostrará en color rojo:

Este proceso suele durar unos 10 minutos, pero bueno, en cada plataforma según recursos de hardware que tengamos en nuestro servidor pues terminará o no antes. Una vez que se haya completado la actualización, veremos la misma pantalla con las actualizaciones pero todas en verde (si todo ha salido bien claro):

Ahora lo único que nos queda es reiniciar el servidor y esperar a que inicien nuevamente todos los servicios y que converja la topología de Lync en la que reside. Una vez iniciado el servidor, podemos ejecutar el cmdlet Get-CsWindosService para verificar que ya tiene todos los servicios iniciados. Si lo hacemos tan pronto inicie el servidor es posible que no le haya dado tiempo de hacerlo aún:

Como el servicio de Front-END tiene un inicio Automático (Inicio retrasado): esta opción para configurar el servicio de manera que se inicie automáticamente durante el proceso de arranque e inicio de sesión. El inicio del servicio tendrá lugar con un breve retraso durante el proceso de inicio de sesión para aumentar el rendimiento de dicho proceso.

Por lo que si le damos unos minutos y ejecutamos nuevamente el cmdlet Get-CsWindowsService veremos que todos los servicios se han iniciado correctamente:

Por último debemos actualizar las BBDD, para ello debemos ejecutar el siguiente cmdlet en uno de los Front-END del Pool: Install-CsDataBase -CentralManagementDatabase -SqlServerFqdn <servidor_SQL> -Verbose

Os pongo dos pantallas porque es mucho más grande pero luego no tienen scroll suficiente para capturarlas

Nos queda únicamente publicar la topología para habilitar los servicios de móvil y listo, para ello ejecutamos el siguiente cmdlet: Enable-CsTopology -Verbose y con esto si damos por finalizado el proceso de actualización de uno de los Front-END de nuestro pool. Ahora nos toca ir al siguiente Front-END de nuestro pool, para ello debemos fijarnos nuevamente en el diagrama de flujo y volver a empezar el proceso. Ejecutaremos el cmdlet Get-CsPoolUpgradeReadinessState y veremos si estamos en disposición de actualizar o no el segundo Front-END. En el ejemplo este cmdlet lo he ejecutado antes de iniciarse al 100% el primero Front-END que he actualizado, por lo que vemos que el Pool está Ready porque el Front-END que voy a actualizar está activo pero sin embargo vemos que no está preparado para actualizarse (IsReadyForUpgrade: False). Esto es así porque el srv-lync03 (primer servidor que hemos actualizado) aún no había terminado de iniciarse y mostrarse activo en la topología:

Por lo que siguiendo el diagrama de flujo le daremos 10 minutos más para ver si se recupera y está listo para actualizarse:

Por lo que ahora ya podemos iniciar el proceso de actualización en este servidor, por lo que ya no voy a repetir los mismos pasos que en el primer Front-END actualizado porque son los mismos con la salvedad de que ya no debemos ejecutar el proceso de actualización de las BBDD:

Parar los servicios: Stop-CsWindowsServer -Graceful -Verbose
Ejecutar instalador: LyncServerUpdateInstaller.exe
Reiniciar el servidor
Publicar Topología: Enable-CsTopology -Verbose

Ahora nos tocaría actualizar el resto de servidores de la topología, en mi caso serán un EDGE, Mediation Server y un Chat Persistente. El proceso es muy sencillo en todos, el único que difiere un poco el proceso es el Chat Persistente porque debemos ejecutar un cmdlet para actualizar las BBDD. Por lo que vamos a ver el proceso por Rol:

Edge: ejecutamos el instalador y esperamos que finalice (en el KB os dirá si es necesario reiniciar o no el servidor)

Antes de instalar la actualización

Después de instalar la actualización

Mediation Server: ejecutamos el instalador y esperamos que finalice (en el KB os dirá si es necesario reiniciar o no el servidor)

Antes de instalar la actualización

Después de instalar la actualización

Chat Persistente: ejecutamos el instalador y actualizamos las BBDD con el siguiente cmdlet:

Antes de instalar la actualización

Después de instalar la actualización

Una vez que se han instalado los parches necesarios actualizaremos sus BBDD con el siguiente cmdlet: Install-CsDatabase -DatabaseType PersistentChat -SqlServerFqdn <servidor_sql> -Verbose

Y con esto damos por finalizado el proceso de actualización de nuestro EDGE, Mediation Server y Chat Persistente. El proceso claramente difiere del proceso de la versión Standard, pero es muy sencillo de completar. El problema viene dado por que los usuarios estén conectados o no a nuestros servidores, si podemos hacerlo fuera de horas perfecto y sino con algo de paciencia (Stop-CsWindowsServer -Graceful -Verbose) lo haremos si que el usuario se quede sin conexión. Si tenemos más de un EDGE, Mediation Server y Chat Persistente tendremos que hacerlo uno por uno hasta que se vayan actualizando todos.

También comentaros que ya ha salido por ahí como será el diagrama de flujo de actualización de la nueva versión de Lync, Skype For Business y si ahora no era complicado actualizar pues en S4B (Skype For Business) menos todavía (pulsar en la imagen para verlo a tamaño real):

Estoy deseando ver la versión de S4B que cositas nuevas nos trae, pero de momento toca esperar. Sobre todo porque con el mismo hardware que tenemos ahora mismo vamos a poder migrar a Skype For Business y de forma muy sencilla como parece ver aquí: http://thamaraw.com/2015/02/10/upgrading-to-skype-for-business-server-2015-form-lync-server-platform/ Pero de momento toca ir "tirando" con nuestro queridisimo Lync Server!!

Espero que os sea de utiidad!!!

Publicar los servicios web de Lync con Web Application Proxy en Windows Server Technical Preview

marzo 11th, 2015 | Posted by Santiago Buitrago in Lync Server | Seguridad | Windows Server - (0 Comments)

Cómo ya he comentado en otras ocasiones, para publicar los distintos servicios Web de Lync debemos utilizar un Proxy Inverso o Reverse-Proxy, para ello he publicado distintos artículos sobre IIS ARR y TMG:

Pues ahora tocaba hacerlo con Web Application Proxy, un nuevo servicio disponible desde Windows Server 2012 que viene disponible con el Rol de Acceso Remoto. En este caso voy a mostraros como configurarlo pero ya con la versión de Windows Server Technical Preview. Para ello debemos configurar el servicio de federación (AD FS) en uno de los servidores internos de la red, y además configurar el servidor que hará de Proxy Inverso como un AD-FS Proxy. Necesitamos AD-FS para almacenar la configuración del Web Application Proxy y para la configuración de la autorización. Aquí os dejo como casi siempre un esquema de red en donde tenemos los elementos necesarios para configurar este servicio, además os he puesto a la derecha varias opciones de donde podemos situar el Proxy Inverso en nuestra red:

Para configurar Web Applicatio Proxy debemos hacerlo en varias fases que veremos a continuación y son las siguientes:

Configuración AD FS en un servidor unido al dominio
Configuración de AD FS Proxy en el servidor que será nuestro proxy inverso con Web Application Proxy

Los requisitos para esta configuración son los siguientes:

Servidor unido a un dominio (o un controlador de dominio, pero no sería lo más idóneo)
Una entidad certificadora, puesto que no necesitamos certificados públicos para la configuración de AD FS puesto que será interno
Un servidor que no esté en el dominio en donde agregaremos el rol de Acceso remoto en donde se configurará el Web Application Proxy y el servicio de Federación.

Como la configuración del Web Application Proxy se almacenará vía AD FS, será lo primero que tenemos que hacer. Para ello utilizaremos un servidor con Windows Server 2012 R2 y agregaremos el rol de AD FS, por lo que desde el Administrador del servidor pulsamos en Administrar – Agregar Roles y pulsamos en Siguiente

Seleccionamos Instalacikón basada en características o en roles y pulsamos en Siguiente

Selecionamos el servidor sobre el cual queremos realizar la configuración de un nuevo rol y pulsamos en Siguiente

Ahora debemos seleccionar Serviciosde federación de Active Directory y pulsamos en Siguiente
Si seleccionar nada, pulsamos en Siguiente

Pulsamos en Siguiente

Para iniciar el proceso de instalación, pulsamos en Instalar

Una vez que finalice la instalación del rol de Federación, debemos iniciar el asistente de configuración, para ello pulsamos en Configure el servicio de federación en este servidor

Como es nuestro primer servidor de federación, seleccionaremos Crear el primer servidor de federación de una granja de servidores de federación y pulsamos en Siguiente

Seleccionamos una cuenta con permisos de administrador de dominio y pulsamos en Siguiente

Previo a este paso, debemos tener instalado en el servidor un certificado para poder utilizarlo en el servicio de federación, este certificado puede ser privado puesto que únicamente (en este artículo) será utilizado para conectarse el Web Application Proxy. Aquí os dejo un artículo como configurar una CA en Windows Server 2012: Windows Server 2012, Instalación de una CA

Una vez que ya tenemos nuestro certificado, únicamente debemos seleccionarlo (o importarlo en este momento), escribir un nombre para el servicio de federación (debéis crear el registro DNS correspondiente) y escribir un nombre para este servicio.

Ahora debemos especificar una cuenta de dominio (sin privilegios) como cuenta de servicio, si queréis ampliar información sobre la cuenta de servicio aquís tenéis un KB de MSFT https://technet.microsoft.com/en-us/library/hh831782.aspx. Una vez que hemos creado la cuenta y la hemos configurado, pulsamos en Siguiente

Debemos crear una base de datos para la configuración, bien podemos crearla usando Windows Internal Database o utilizando un servidor de SQL. En este caso utilizaremos la opción de Crear una base de datos en este servidor que usa Windows Internal Database

Por último, nos muestra un resumen de la configuración que vamos a realizar a través del asistente, si todo está correcto, pulsamos en Siguiente

Se comprueban los requisitos del sistema para verificar que nuestro servidor cumple con todos ellos, si es así pulsamos en Configurar para iniciar el proceso

Una vez que se ha completado el proceso de instalación, nos los mostrará con la siguiente pantalla, para cerrar esta ventana pulsamos en Cerrar

Ahora lo único que nos queda es probar que el servicio funciona correctamente, para ello accedemos a la siguiente URL: https://adfs.asirlab.com/adfs/ls/IdpInitiatedSignon.aspx y pulsamos en Iniciar sesión

Nos solicitará credenciales y se las especificamos para comprobar que funciona correctamente
Si todo ha salido bien, veremos una pantalla similar a esta. Ahora sí que damos por finalizada la configuración de AD FS que necesitamos para almacenar la configuración del AD FS Proxy que será el servidor que tiene el rol de Proxy Inverso (Web Application Proxy)

Hasta ahora hemos completado la primera parte de la configuración que necesita nuestro Proxy Inverso, por lo que ahora debemos realizar las distintas configuraciones en el propio servidor que hará de proxy. Antes comentaros que el debería tener la siguiente configuración:

Dos tarjetas de Red con una subred IP diferente en cada interface
Sólo configurar la puerta de enlace y servidores DNS públicos (8.8.8.8 u otro público) en la interface que tengamos como externa
Si tenemos una DMZ o distintas VLAN internas, debemos configurar las rutas estáticas necesarias para que desde la interface interna podamos tener conexión con las redes privadas en donde tenemos los servidores que vamos a publicar y el acceso al servicio de AD FS
Un certificado para configurarlo en las reglas de publicación del Proxy Inverso
Un certificado (o el mismo que el de la publicación de servicios si procede) para el servicio de Federación
Modificar el fichero HOSTS del equipo para que pueda resolver los distintos nombres de los servidores que vamos a publicar o que necesitemos tener acceso (AD FS)
El FQDN del servidor debería ser con el sufijo del dominio interno que tenemos

Una vez dicho esto, vayamos paso a paso configurando todo lo necesario para configurar el rol de Acceso Remoto y preparar la configuración del Web Application Proxy. Para ello, una vez configuradas la tarjetas de red del servidor, establezcamos el FQDN del servidor y modifiquemos el fichero HOSTS del servidor:

Editamos el fichero HOSTS, aquí solo he puesto el los del servidor de Lync, pero habría que poner el nombre del servicio de AD FS que hemos configurado previamente y también nos haría falta la URL de los servicios de nuestro WAC y Exchange si lo tenemos en On-Premises. Aquí no los he puesto porque me he centrado únicamente en Lync

Ahora que ya tenemos los requisitos previos realizados, iniciaremos el proceso de configuración del ROL de Acceso Remoto. Comentaros, que yo estoy utilizando un Windows Server Technical Preview, pero en la versión de Windows 2012 es muy similar su configuración. Dicho esto, nos vamos a la consola de administración del servidor y agregamos el rol de Acceso Remoto:

Seleccionamos Role-Based or feature-based installation y pulsamos en Next

Seleccionamos el servidor sobre el cual vamos a querer agrear el rol de acceso remoto, en este caso es el servidor sobre el cual estamos conectados y pulsamos en Next

Seleccionamos el Rol de Remote Access y pulsamos en Next

No seleccionaremos nada y pulsamos en Next para continuar con la instalación

Pulsamos en Next

Ahora debemos seleccionar el servicio que queremos instalar dentro del ROL de Remote Access que previamente hemos seleccionado, por lo que marcamos la casilla de Web Application Proxy

Nos muestra los componentes que tiene que agregar adicionalmente al servicio de Web Application Proxy y pulsamos en Add Features

ahora ya tenemos todo lo necesario para continuar, para ello pulsamos en Next

Nos muestra un resumen de lo que se va a instalar, si estamos de acuerdo pulsamos en Install para iniciar el proceso

Una vez que termine la instalación, nos mostrará la siguiente pantalla en donde nos mostrará una opción de configuración del Web Application Proxy para ellos pulsamos en Open the Web Application Proxy Wizard

Una vez abierto el asistente de configuración, nos mostrará una pantalla en donde nos indica que debemo configurar inicialmente el servicio de federación, para iniciar el proceso pulsamos en Next

Escribiemos el FQDN del servicio de federación que habíamos configurado previamente y las credenciales correspondientes con los permisos de administrador y pulsamos en Next

Seleccionaremos el certificado que vamos a utilizar en el AD FS Proxy, recordad que como el servidor no está en el dominio y si utilizáis certificados privados debéis instalar el certificado raíz en el servidor para que no tengáis problemas con el certificado que utilicéis. Como el certificado que he utilzado lo ha emitido mi CA interna, una vez que he importado el certificado también he instalado el certificado raiz en el contenedor de certificados raiz de confianza del propio servidor, de tal forma que vea el certificado como válido. Dicho esto, ya podemos seleccionar el certificado en la pantalla de AD FS Proxy Certificate y pulsamos en Next

Ahora nos muestra un resumen de los comandos de powershell que se ejecutarán en base a la configuración que hemos ido realizando a través del asistente y pulsamos en Configure para continuar

Si tanto la URL, como las credenciales y el certificado presentado están correctos, nos mostrará la siguiente pantalla indicándonos que se ha completado de forma correcta.

Ahora lo único que nos queda es crear las reglas de publicación necesarias para nuestro Lync, para ello pulsamos en Publish

Pulsamos en Next

Cómo para los servicios de Lync no utilizamos preautenticación, seleccionamos Pass-through y pulsamos en Next

Debemos cubrir los siguientes campos disponibles en la publicación del servicio:

Nombre: Será el nombre descriptivo que tendrá la regla de publicación
External URL: Dirección web del servicio que vamos publicar, en este caso voy a publicarlos servicios web externos de Lync y este es el FQDN que había establecido en la topología de Lync (lync.asirlab.com)
External Certificate: Es el certificado que vamos a presentar a los usuarios externos cuando se conecten a los distintos servicios de Lync
Backend serve URL: Dirección web del servidor que vamos a publicar, al igual que hacemos con otros proxy debemos especificar la URL y el puerto 4443 que se corresponde con el sitio web externo que tenemos en nuestros front-END

Ahora que ya tenemos todos los campos cubiertos, pulsamos en Next

Nos muestra un resumen de la configuración que se va a aplicar vía powershell (Add-WebApplicationProxyApplication) y para que se cree la regla de publicación pulsamos en Publish

Y por último en Close y ya tenemos nuestra primera regla de publicación de los servicios web de Lync

Y aqui tenemos nuestra primera de Lync en el Web Application Proxy, ahora tendremos que hacer todas las necearias como por ejemplo:

meet.asirlab.com (Reuniones en línea)
dialin.asirlab.com (Conferencias Telefónicas)
lyncdiscover.asirlab.com (Cliente Lync Móvil)
office.asirlab.com (Office Web App)
mail.asirlab.com (EWS de Exchange)

Por mostraros una diferente a Lync, aquí tenéis la regla de publicación del Office Web, en mi caso he puesto la dirección externa y el servidor interno siempre con la misma URL pero puede ser diferente sin problema alguno.

Claramente lo que nos quedaba por haacer es probar que podíamos conectarnos, por lo que tratamos de conectarmos por ejemplo a la URL de las reuniones en línea y vemos que funciona perfectamente.

Algo que debemos hacer es configurar el tiempo de desconexión de las conexiones que pasan por el Proxy, como por ejemplo el cliente Lync Móvil. Si recordáis había pulicado este articulo sobre las desconexiones del cliente Lync móvil através del IIS ARR (Cliente Lync Móvil 2013: La información del servidor ha cambiado. Reinicia Lync). Por defecto MSFT recomendaba poner un valor de 200 segundos
y con este valor los clientes Lync de móvil cuando no tenían la aplicación en primer plano a los 200 segundos se desconectaban y claro eso genera problemas a los usuarios finales que deben reconectar cada poco tiempo. Para esto se configuraban las desconexiones a los 960 segundos, algo más razonable y que permite tener la aplicación en segundo plano iniciada durante un tiempo prudencial:

Dicho esto, ahora debemos ver como hacerlo en el Web Application Proxy, para ello debemos hacerlo mediante PowerShell. Lo primero es ver el valor por defecto y luego cambiar si fuese necesario, para ello ejecutamos el siguiente cmdlet: Get-WebApplicationProxyApplication y vemos todas las reglas de publicación. Si ahora ejecutamos Get-WebApplicationProxyApplication -Name Lync | fl nos muestra la configuración de cada publicación y vemos que el valor InactiveTransactionsTimeoutSec está establecido a 300

Por lo que debemos cambiarlo a 950 y así ajustarlo de forma adecuada, para ello ejecutamos el siguiente cmdlet: Set-WebApplicationProxyAppliation -ID xxxxxx.xxxxxx.xxxxxx.xxxxxxx -InactiveTransactionsTimeouts 950. El ID de la aplicación lo veis con ejecutando el cmdlet Get-WebApplicationProxyApplication -Name Lync | fl

De esta forma el valor por defecto de desconexión establecido a 300 segundos (más que la recomendación de 200 segundos en el IIS ARR), lo hemos pasado a 950.

Por último comentaros, que si publicáis algún servicio vía HTTP tendréis que permitir la conexión en el Firewall Local de Windows, porque por defecto se ha creado solo una regla para el tráfico HTTPS. Si abrimos la consola avanzada del firewall la regla AD FS HTTPS Services (TCP-in), por lo que permitirá todas las conexiones al puerto 443 de entrada a cualquiera de las interfaces del Proxy.

Si creamos una regla para publicar una web vía HTTP, la conexión no funcionará …

Si vemos las conexiones activas en el servidoa al puerto 80 y el firewall activado vemos que no tenemos ninguna conexión activa

Lo que debemos hacer es crear una reglapara el tráfico HTTP de entrada y listo, ya tendremos acceso a los servicios web publicados en el PROXY através del puerto 80 en TCP

Si ahora volvemos a conectarmos al servicio web publicado, ya tendremos acceso al mismo

Si nuevamente volvemos a revisar las conexiones activas, vemos que ya las vemos establecidas y con el Firewall activo

Por último hacer un breve comentario sobre las tres posibles (hay más, pero como norma general) ubicación del Proxy Inverso en nuestra red, he esquematizado los más habituales:

Opción 1: Situaremos el Proxy (fuera del dominio) en una DMZ protegido por dos Firewall corporativos, realizando filtrados a nivel 3 desde todas las zonas de red (Internet, LAN). Esta es la mejor opción posible de las que os expongo, puesto que tenemos distintas barreras de seguridad antes de tener acceso a la red interna, además de que podemos realizar distintos filtrados en distintas zonas de la red. Si fuese posible, que los dos Firewalls fuesen de compañias diferentes, evitando así que si uno de ellos tuviese alguna vulnerabilidad, no estuviese afectada toda la red. Ni que decir tiene que debemos mantener nuestra infraesctructura de red adecudamente actualizada

Opción 2: La más común de todas, tenemos un firewall / Router a nivel de perímetro co un interface LAN con una subred IP diferente a la de la LAN. De esta forma el Proxy se conectará directamente al router (o switch intermedio) con una interface y subred IP y con la otra internface y subred IP a la LAN. Para esto podremos utilizar VLAN o simplemente configurar dos subredes diferentes pero todos compartiendo el mismo medio físico (Switch). Si es así no es lo más recomendable aun para este escenario lo suyo sería una VLAN para poner las interfaces LAN del Router y WAN del Proxy, y otra VLAN en el switch para configurarlo para la red local e interface LAN del Proxy.

Opción 3: Menos común y la peor opción, es tener el proxy con dos interfaces en la misma subred, no tiene ni sentido tenerlo así. El proxy también puede funcionar con una sola IP, por lo que es lo mismo que tener dos interfaces con la misma subred. Es común en las empresas pequeñas tener este esquema, porque tienen un router y una interface LAN que está en la misma subred IP que la red interna para que los equipos se puedan conectar a internet. Pero si bien es cierto que con este escenario no tenemos una capa de seguridad a nivel de filtrado IP, puesto que si un atacante compromenten el Proxy, por lo menos a nivel IP ya se encuentra en la misma subred. Esto facilitará al atacanque descrubrir distintos servicios de la red local, los equipos, etc… si estuviese en otra subred IP se podrían aplicar de forma "más efectiva" distintos filtrados, porque realmente el Proxy Inverso solo necesita comunicarse con los equipos de la red coporativa que van publicar sus servicios a internet (para más cosas, pero vamos por se escueto)

Y ya dicho esto, ahora que cada uno tome las decisiones que crea oportunas para situar su Proxy Inverso en su red, el riesgos que quiera asumir cada uno ya …

Como veis un Proxy Inverso no es un servicio muy complicado de configurar, únicamente debemos cumplir todos los requisitos y tener claros los conceptos de publicación, DNS, certificados, etc… pero hay que tenerlo claro :-).

Os dejo algunos artículos que os podrían ser de interés con respecto al Proxy Inverso para una topología de Lync:

Espero que os sea de utilidad!!!

Actualización para el cliente Lync 2013 (KB2920744)

marzo 11th, 2015 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

MSFT ha liberado nuevas actualizaciones del cliente Lync 2013, aquí tenéis los problemas que se corrigen:

Additionally, this update resolves the Lync 2013 issues that are described in the following Microsoft Knowledge Base articles:

KB 2910927 December 9, 2014 update for Lync 2013
(http://support2.microsoft.com/kb/2910927)
KB 2899507 November 11, 2014 update for Lync 2013
(http://support2.microsoft.com/kb/2899507)
KB 2889929 October 2014 update for Lync 2013
(http://support2.microsoft.com/kb/2889929)
KB 2889860 September 2014 update for Lync 2013
(http://support2.microsoft.com/kb/2889860)
KB 2881070 August 2014 update for Lync 2013
(http://support2.microsoft.com/kb/2881070)
KB 2881013 MS14-036: Description of the security update for Microsoft Lync 2013: June 10, 2014
(http://support2.microsoft.com/kb/2881013 )
KB 2880980 Update 2880980 for Lync 2013: May 2014
(http://support2.microsoft.com/kb/2880980)
KB 2880474 Description of the Lync 2013 update: April 2014
(http://support2.microsoft.com/kb/2880474)
KB 2863908 Description of the Lync 2013 update 2863908: March, 2014
(http://support2.microsoft.com/kb/2863908)
KB 2817430 Description of Microsoft Office 2013 Service Pack 1 (SP1)
(http://support2.microsoft.com/kb/2817430)
KB 2825630 Description of the Lync 2013 update 15.0.4551.1005: November 7, 2013
(http://support2.microsoft.com/kb/2825630)
KB 2817465 MS13-054: Description of the security update for Lync 2013: July 9, 2013
(http://support2.microsoft.com/kb/2817465)
KB 2768004 Description of the Lync 2013 update 15.0.4481.1004: May 2013
(http://support2.microsoft.com/kb/2768004)
2760556 Description of the Lync 2013 update 15.0.4481.1000: March 2013
(http://support2.microsoft.com/kb/2760556)
KB 2760512 Description of the Lync 2013 update: February 2013

Y aquí tenéis los enlaces de descarga correspondientes

Update for Microsoft Lync 2013 (KB2920744) 64-Bit Edition

Update for Microsoft Lync 2013 (KB2920744) 32-Bit Edition

Author Archives: Santiago Buitrago

Lync Online is becoming Skype for Business

¿Porqué un usuario deshabilitado en el Directorio Activo puede iniciar sesión en Lync?

Cómo actualizar nuestra topología de Lync Server 2010/2013 (Parte II)

Publicar los servicios web de Lync con Web Application Proxy en Windows Server Technical Preview

Actualización para el cliente Lync 2013 (KB2920744)

Santiago Buitrago

Entradas recientes

Comentarios recientes

Archivos

Categorías

Únete y comparte tu conocimiento

Sígueme en Twitter