Microsoft Lync Server
Header

Recientemente Jabra nos ha enviado el Jabra SPEAK 510, un hardware de conferencia personal que me ha sorprendido gratamente …WP_20130514_001.jpg

No soy (o era) muy aficionado a tener excesivo hardware para poder utilizar Lync, creo que con mi portátil y unos buenos cascos es más que suficiente. A finales de esta semana Jabra nos ha enviado varios dispositivos para test, y el que más me ha gustado entre los que había enviado es el Jabra SPEAK 510. Un dispositivo de conferencias portátil USB e inalámbrico (Bluetooth), algo sencillo y cómodo. Me  gustaría comentaros mi experiencia con este dispositivo, lo haré de forma resumida:

  • Instalación: Conectar vía USB y Listo (Plug and Play)
  • Configuración: una vez instalado el sistema ya lo podemos utilizar en Lync, solo debemos seleccionarlo en la opciones de Lync

dipositivos_jabra_6.png

dipositivos_jabra_2.png

  • Instalación Bluetooth: Pulsamos de forma continuada durante unos segundos el botón de Bluetooth y desde la opción de Dispositivos pulsamos en Agregar un dispositivo, en cuestión de segundos se emparejará con nuestro equipo (nada que comentar que nuestro equipo debe tener soporte para Bluetooth) y se completará la instalación

dipositivos_jabra_3.pngdipositivos_jabra_1.png

Si ahora abrimos las opciones de Lync en la sección de Audio podremos elegir el nuevo dipositivo
dipositivos_jabra_4.png

  • Integración: Podemos contestar, colgar y poner en mute una llamada directamente desde el dispositivo. Para ello tenemos una serie de botones táctiles en la superficie del dispositivo

Mute: todos los indicadores luminosos se encenderán de color rojo, para que sepamos que el dispositivo está en MUTEWP_20130514_008.jpg

Volumen: podemos subir el volumen del altavoz del dispositivo en Windows, además se irán iluminando los distintos indicadores luminososWP_20130514_006.jpg

Además también se nos mostrará el indicador de Windows de volumen

dipositivos_jabra_5.png
Bluetooth: botón que debemos pulsar para iniciar el enlace con otro dispositivo vía BluetoothWP_20130514_007.jpg

Batería: podemos comprobar el estado de carga de la batería interna que dispone para poder utilizarlo de forma inalámbrica. Los indicadores se iluminarán de color verde completando un círculo, en función de la carga se iluminarán más o menos luces

WP_20130514_023.jpg

Colgar y Contestar Llamadas: podemos contestar y colgar llamadas directamente desde los botones des correspondientes en el dispositivoWP_20130514_005 - llamar.jpg

Apagado: tenemos un botón para apagar el dispositivo, de esta forma evitamos la descarga del mismo. Además, es posible que lo tengamos siempre conectado pero solo queremos utilizarlo cuando sea necesario. Windows por defecto lo utilizará como altavoz y todos los sonidos se reproducirán a través de el, por lo que puede ser interesante o bien cambiarlo o bien apagarlo. Para apagarlo debemos mantenerlo pulsado durante unos segundos hasta que veamos que se apagan todos los led

WP_20130514_003 - colgar - llamar.jpg

USB: EL cable USB tiene una longitud de 90cm lo que es más que suficiente para estar en una sala de reuniones conectado a un portátil y estar disponibles para los asistentes.WP_20130514_010.jpg

Tiene un micrófono inteligente  y un altavoz con cobertura de 360o, lo que permite que los participantes en la reunión puedan utilizarlo sin que tengan que enfocárselo o acercarse a él. En salas de 20m2 (en donde lo he podido probar) con un portátil y el Jabra 510 se logran conferencias de alta calidad y excelente experiencia por parte de los usuarios.

WP_20130514_016.jpg

Posee un mini jack de 3mm para poder conectar unos cascos, muy útil cuando queremos algo de privacidadWP_20130514_021.jpg

Como es un dispositivo portátil, no puede faltar una estupenda funda en la que podamos llevarlo de forma cómodaWP_20130514_022.jpg
 
Desde mi punto de vista es un excelente hardware de conferencias "improvisadas", en la que de forma rápida puedes tener una sala de conferencias portátil. Para el día a día, yo personalmente prefiero tener mis casos y poco más. Como es un hardware con un tamaño reducido, es muy manejable y su facilidad de configuración y uso lo hace ideal para llevar de viaje. La gente de Jabra ha pensado en ello y no solo por su funda, sino por como se enrosca el cable USB alrededor del dispositivo, el conector USB tiene unos dibujos específicos para que se quede enganchado al dispositivo y poder guardarlo correctamente en su funda:

WP_20130518_018.jpgWP_20130518_019.jpg
WP_20130518_020.jpgWP_20130518_021.jpg

Otra cosa muy interesante es la duración de la batería, 15 estupendas horas!!!! y además se carga mediante el puerto USB, lo que facilitará todavía más su uso por parte del usuario. No es un dispositivo solo para conectar el PC, sino que podamos conectar nuestro SmartPhone, Tablet, etc…

dipositivos_jabra_8.png

Para mi es un dispositivo muy recomendable, creo que puede aportar un valor añadido para tus reuniones.

Aquí os dejo el Datasheet del producto por si es de vuestro interés: Jabra 510

Espero que os sea de utilidad!!!

​Seguro que muchos de vosotros conocéis DigiCertTool, una utilidad de DigiCert para gestionar nuestros certificados. En estos días la han actualizado y liberado para su descarga: DigiCert® Certificate Utility for Windows.

Para mi se ha convertido en una estupenda herramienta de gestión de certificados, y con esta actualización han habilitado alguna que otra función nueva que nos facilitará la gestión de los certificados. Lo más notable a simple vista es que le han cambiado el aspecto:

Antes

digicert_tool_new_1.png

Ahora

digicert_tool_new_2.png

Las opociones aunque las hayan movido de sitio siguen siendo muy parecidas, así que me voy a centrar en lo que me ha parecido más interesante. Ahora tenemos la posibilidad de iniciar sesión en DigiCert directamente desde DigiCertTool:

digicert_tool_new.png
 
Una vez que hemos iniciado sesión podemos ver nuestras solicitudes pendientes o completadas, además de poner subir el CSR (Creación de CSR para Lync de forma sencilla) o instalar el certificado directamente en el servidor desde el cual hemos solicitado el CSR:
digicert_tool_new_3.png
Aun no lo he podido probar, más bien porque no he tenido la necesidad de hacerlo, pero se supone que esto nos facilitará la tarea de solicitud e instalación de nuestros certificados. También han añadido la posibilidad de chequear el Code Signing de las aplicaciones, dlls, ocx, etc..(siempre es muy curiosos ver los resultados…)
digicert_tool_new_4.png
Ejemplo: TeamViewer
digicert_tool_new_5.png
Por último me ha gustado la nueva forma de comprobar los distintos certificados que ya tenemos instalados, para ello vamos a la opción SSL, seleccionamos el certificado que queremos verificar y pulsamos en Test Key
digicert_tool_new_6.png
digicert_tool_new_7.png
Otras de las opciones interesantes que no nueva, es la de Tools, que a buen seguro será la que más uso le deis puesto que tiene opciones muy interesantes como la comprobación de certificados (Certificate Installation Checker), etc..
digicert_tool_new_8.png
 
Para chequear la instalación de nuestro u otro certificado, pulsamos en Check Install y cubrimos las distintas opciones que tenemos disponibles en la siguiente pantalla y pulsamos en Query Server
digicert_tool_new_9.png
Y en cuestión de segundos nos mostrará el resultado
digicert_tool_new_10.png
Si no la habíais utilizado hasta ahora, creo que os ayudará con la gestión de vuestros certificados, y si ya estáis familiarizados con la versión anterior esta os gustará seguro
 
Espero que os sea de utilidad!!!

Voy a empezar este artículo con una pregunta: ¿Se pueden federar múltiples dominios SIP con un único certificado SAN (dominio único) en nuestro EDGE? Pues la respuesta es ……. SIII!!!

Este suele ser un esquema muy común de una implementación de Lync On Premise con federaciones con IM Públicos, Office 365 y On Premise.

Federaciones_Lync_OP-OL.jpg
Para poder federarnos tanto con otras implementaciones de Lync (On Premise u Office 365) como cono sistemas de IM Públicos es necesario configurar los registros DNS  correspondientes para que encuentren nuestro EDGE en el cual tenemos el certificado público para nuestro dominio. Vamos a verlo más en detalle e imaginemos que tenemos el siguiente dominio: asirsl.com y un edge con un certificado SAN con los siguientes nombres alternativos pero con un dominio único:
  • SIP.ASIRSL.COM
  • AV.ASIRSL.COM
  • WEBCONF.ASIRSL.COM
  • EDGE.ASIRSL.COM (no es necesario, lo utilizo para identificarlo en la federación de MSFT pero podemos hacerlo con el fqdn SIP.ASIRSL.COM)
Ahora si quisieramos federarnos con MSFT (Skype) debemos solicitarlo desde la siguiente URL: Microsoft Lync Server Public IM Connectivity Provisioning. Para ello tenemos que agregar el dominio que queremos federar y especificar el FQDN del EDGE en donde tenemos los dominios a federar por nuestra parte
Multiples_Federaciones_Edge_1.png
por último necesitamos crear el siguiente registro DNS de tipo SRV obligatorio:
 
_sipfederationtls._tcp.asirsl.com       SRV service location:
          priority       = 0
          weight         = 0
          port           = 5061
          svr hostname   = sip.asirsl.com
 
Por supuesto necesitamos contar con un certificado público para completar la federación, sino nunca os funcionará la federación.  Si ahora queremos federarnos con sistemas XMPP como por ejemplo Google, debemos disponer de un certificado público igualmente (el mismo) y crear un registro DNS de tipo SRV obligatorio:
 
_xmpp-server._tcp.asirsl.com    SRV service location:
          priority       = 1
          weight         = 100
          port           = 5269
          svr hostname   = sip.asirsl.com
 
Aquí os dejo algunos artículos que había escrito en su momento por si queréis utilizarlos de apoyo:

Con estas configuraciones tendríamos  completadas ambas federaciones con nuestro dominio SIP, ahora bien, que ocurre si queremos que nuestro Lync server administre más de un dominio SIP y no queremos invertir en más certificados, aquí os muestro los pasos a seguir para poder configurarlo:

1. Configurar dominios adicionales en el generador de topologías de Lync Server

Multiples_Federaciones_Edge_2.png
Una vez añadidos los dominios SIP adicionales, automáticamente se crearán las direcciones simples para las reuniones online: https://meet.dominiosip.xxx de cada dominio.

2. Creación en el dominio de los sufijos UPN de los nuevos dominios SIP para asignar posteriormente a los usuarios creados en el Active Directory, de tal forma que su dirección SIP en Lync coincida con su nombre de usuario en el Active Directory

Multiples_Federaciones_Edge_3.png
3. Creamos los usuarios en el Directorio Activo y le asignamos el sufijo UPN creado para su dominio

Multiples_Federaciones_Edge_4.png

4. Habilitamos el usuario en Lync y como dirección SIP elegimos la opción de Use the user principal name (UPN)

Multiples_Federaciones_Edge_6.png
Multiples_Federaciones_Edge_5.png
5. Configurar los nombres de dominio que hemos añadido en los certificados de los Front-END. Esto es opcional si queremos utilizar únicamente Lync desde fuera de la organización.

6. Federaciones: ahora viene lo  más interesante, la posibilidad de federar los nuevos dominios SIP utilizando únicamente el certificado que tenemos para nuestro dominio principal, en mi caso ASIRSL.COM. Voy a mostraros los pasos a seguir en función del tipo de federación:

Federación con MSFT: Necesitamos crear un registro DNS de tipo SRV para el nuevo dominio de la siguiente forma, utilizaremos el dominio traimer.es como ejemplo:

_sipfederationtls._tcp.traimer.es       SRV service location:
          priority       = 0
          weight         = 0
          port           = 5061
          svr hostname   = sip.asirsl.com

Como podéis ve, lo que hacemos es especificar que el srv hostname sea el EDGE que tenemos para el dominio ASIRSL.COM, de tal forma que le presentará el certificado que ya tiene asignado. El  certificado es un de una CA Pública por lo que no le generará error alguno para poder validarlo, y se puede utilizar sin problema. Cuando los servidores de MSFT traten de resolver el registro _sipfederationtls._tcp.traimer.es se conectarán a nuestro EDGE y en función de nuestra configuración se permitirá o no la federación con MSFT. Por supuesto debemos previamente solicitar la federación a MSFT del nuevo dominio (traimer.es), para ello debemos acceder a Microsoft Lync Server Public IM Connectivity Provisioning y añadir el nuevo dominio traimer.es utilizando el mismo Access Edge Server que ya tenemos para el dominio ASIRSL.COM

Multiples_Federaciones_Edge_7.png

Una vez que hayamos actualizado la configuración de la federación con MSFT, en unos días nos llegará un correo similar a este confirmado la federación, por lo que tendremos que probarlaMultiples_Federaciones_Edge_8.png

Ahora iniciamos el cliente de Lync con una cuenta del dominio traimer.es y tratamos de contactar con un usuario de Skype (migrado de MSN)

un_certificado_multiples_federaciones_3.png

un_certificado_multiples_federaciones_6.png

un_certificado_multiples_federaciones_7.png

Como vemos funciona perfectamente, podemos ver la presencia desde ambos clientes de mensajería, mantener conversaciones de IM y Audio.

Federación con Google: Para federarnos con sistemas XMPP y en este caso con Google para utilizar GTalk  es más sencillo todavía, debemos crear el siguiente registro DNS de tipo SRV:

_xmpp-server._tcp.traimer.es   SRV service location:
          priority       = 1
          weight         = 100
          port           = 5269
          svr hostname   = sip.asirsl.com

Como podéis apreciar el srv hostname sigue siendo el mismo!!! Ahora solo toca agregarnos mutuamente como contactos en GMAIL y Lync para completar la "federación". Una vez completados estos pasos, ya podemos ver la disponibilidad de los usuarios de GMAIL

Multiples_Federaciones_Edge_9.png

Federación con otro Lync Server On Premise: Esta es la federación más sencilla y habitual, podemos hacerlo de dos formas o bien de forma explícita añadiendo el dominio desde la opción de dominio federado y poniendo como  Servicio perimetral de Acceso el FQDN del EDGE de ASIRSL.COM que es quien tiene el certificados público.

un_certificado_multiples_federaciones_10.png

Y como previamente ya teniamos creado el registro SRV para la federación con MSFT, solo debemos asegurarnos de que nuestro servidor lo tenemos habilitado para el descubrimiento del partner federado si queremos configurar la federación de esta forma

_sipfederationtls._tcp.traimer.es       SRV service location:
          priority       = 0
          weight         = 0
          port           = 5061
          svr hostname   = sip.asirsl.com

Multiples_Federaciones_Edge_10.png

Ahora agregamos desde nuestra cuenta de Lync un nuevo usuario de Lync buscándolo por su dirección SIP y ya podremos ver su presencia y utilizar todas las funcionalidades habilitadas mediante este tipo de federación
un_certificado_multiples_federaciones_9.png

Federación con Office 365: solo debemos agregar como dominio permitido para la federación al dominio traimer.es y mediante la resolución de nombres de dominio (otra vez el registro SRV (_sipfederationtls._tcp.traimer.es) podremos completar la federación.

Como vemos podemos utilizar un único certificado (para un solo dominio: asirsl.com) público para federarnos con otros sistemas de IM Público, Lync o XMPP. Y si queremos utilizar la autoconfiguración del cliente para que los usuarios del nuevo dominio SIP no tengan que configurar el cliente, debemos crear el siguiente registro DNS de tipo SRV:

_sip._tls.traimer.es   SRV service location:
          priority       = 1
          weight         = 100
          port           = 443
          svr hostname   = sip.asirsl.com

Como siempre el srv hostname será el FQDN de EDGE que tiene el certificado público, y con esto más que suficiente para iniciar sesión sin configurar el cliente. Ahora bien, si queremos utilizar los distintos servicios Web de Lync o Exchange (Mobile en Autodiscover, ABS, EWS) sí que vamos a necesitar un certificado SAN con todos los nombres de dominio, de tal forma que el navegador o app no os muestre el típico error de certificado inválido porque el nombre del certificado no coincide con el nombre del sitio. Pero ahí, lo suyo siempre es tener un certificado SAN con los nombres alternativos de los otros dominios, pero del tipo wildcard (ejemplo: *.traimer.es, *.asirsl.com).

Aquí os dejo un artículo que había escrito en su momento sobre los certificados que se necesitaban para una implementación básica de Lync: ¿Qué certificados necesitamos para Lync? También comentaros que en las conferencias no tendréis problemas con el certificado del dominio ASIRSL.COM para compartir las presentaciones de PowerPoint , puesto que si el certificado es público no tendréis problemas por conectaros a la URL del WAC (ejemplo: office.asirsl.com). Puesto que como no se visualiza "nunca" la URL a la que se conecta desde el cliente Lync o el Lync Web App "nadie" sabrá que certificado se está utilizando. Pero aquí lo importantes es que se conecten de forma transparente sin que os alerta de alguna forma, y esto es viable con el certificado que utilicemos del dominio ASIRSL.COM en nuestro proxy inverso.

Os recuerdo que siempre he comentado que esta configuración es para las conexiones que se realicen desde fuera de la zona de seguridad de la empresa, siempre que lo hagamos desde dentro de la organización y utilicemos certificados emitidos por nuestra CA debemos realizar ciertas modificaciones (esto lo dejamos para otro artículo)

Espero que os sea de utilidad!!!

El 3 de mayo​ MSFT había publicado una Excel en donde nos mostraba una comparativa entre las distintas versiones de Lync (Lync: Tabla Comparativa de Características entre Versiones Lync Server 2013 con Lync Hoster Pack y Lync Online (Office 365​)). Hoy me he podido revisar con más detalle las distintas opciones que soportan cada una de las distintas versiones y he visto esto me ha sorprendido: Scheduling an online meeting in OWA = NO en su versión On-Premise or V-Dedicated Parnert Cloud

owa_meeting_meeting_1.png
En la versión de Lync On-Premise con Exchange 2013 CU1 esto si está soportado,  y así os lo había contado en este artículo Exchange 2013 CU1: Programación de Reuniones en Línea desde OWA para Lync.  No he visto si en la versión V-Dedicated Partner Cloud no lo tienen disponible, pero como os comento en la versión On-Premise con Exchange 2013 podemos programar una reunión online desde OWA
Integrar_Exchange_con_WAC_11.png
 
Seguiré revisando el documento para comprender bien las diferencias entre todas las versiones, pero esto me resultó interesante comentároslo porque en principio esta opción está disponible desde la salida del CU1 de Exchange 2013
 
Espero que os sea de utilidad!!! 

Muchos de vuestros clientes cuentan con distintas oficinas en ubicaciones geográficamente distantes, y seguro que con la necesidad de comunicarlas para poder ofrecer los mismos servicios que en las oficinas centrales. Ahora llega la pregunta del millón, cómo conectar las distintas oficinas? Todos los ISP nos ofrecen múltiples tecnologías para ello:

Estas tecnologías son las que suelen manejar los ISP cuando queremos disponer de conectividad entre distintas ubicaciones, además nos permite contratar distintos servicios de alto valor añadido:

  • Redundancia
  • QoS
  • Ancho de Banda
  • Monitorización
  • Seguridad

Pero por supuesto esto tiene un coste que no todas las empresas pueden asumir, a pesar de que ahora mismo tiene un coste más que razonable. De ahí que tengamos la necesidad de buscar alternativas, que a pesar de no tener estos servicios de valor añadido. También es cierto que no en todas las ocasiones necesitamos todas las funcionalidades de este tipo de enlaces, y únicamente buscamos conectar las distintas sedes del cliente. Pero claro, aquí no se nos puede pasar por alto lo más importante cuando utilizamos la WAN (insegura por defecto) para conectar distintas oficinas, que es ofrecer una capa de seguridad importante para que nadie libremente pueda interceptarlas, analizarlas y/o ser capaz de modificarlas. También es cierto que siempre debemos alinear las necesidades de seguridad con el coste que ello supone, pero hoy en día cualquier hardware que se precie soporta ciertos protocolos de seguridad. Existen múltiples tipos de VPN, esto es algo que debemos tener en cuenta en función del diseño que hagamos de la solución. Lo más común y sencillo de implementar es una VPN con IPSec Site-to-Site, para ello debemos tener dispositivos que soporten IPSec (es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos) y sobre él realizar las configuraciones necesarias. Yo os voy a mostrar como configurar un VPN con IPSec Site-to-Site con hardware Cisco, en este caso entre dos routers Cisco de la serie 1800. Este sería el esquema sobre el que se fundamentará la configuración de IPSec:

Esquema: Empresa con dos delegaciones que tiene los servidores principales en la sede central y una replicación de ficheros vía DFSLync_VPN_IPSec_Empresa.jpg

Como esta configuración "tipo" ya os la había comentado en su momento en otro artículo (La Nube Privada: Migración de Oficina, Beneficios del CPD y la VoIP) , me voy a centrar en configurar la autenticación de la Fase 1 utilizando certificados digitales emitidos por nuestra CA. Para refrescarnos la memoria, aquí os dejo la configuración que había utilizado en este artículo de la Nube Privada …. pero cambiando la autenticación de Preshared Key a RSA-SIG, aportando un plus de seguridad y escalabilidad:

La configuración de IPSec mediante dispositivos Cisco y solo con una IP fija en uno de los extremos es la siguiente:
​Data Center ​Nueva Oficina
 crypto isakmp policy 10
 encr aes 192
 authentication rsa-sig
 group 2
 
crypto ipsec transform-set ipsec esp-aes 192 esp-sha-hmac
crypto dynamic-map vpneq2b 10
 set transform-set ipsec
 match address 180
crypto map vpnipsec 10 ipsec-isakmp dynamic vpneq2b
access-list 180 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 180 deny   ip 192.168.200.0 0.0.0.255 host 0.0.0.0
No NAT
access-list 110 deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 permit ip any any​
crypto isakmp policy 10
 encr aes 192
 authentication rsa-sig
 group 2
crypto ipsec transform-set ipsec esp-aes 192 esp-sha-hmac
crypto map vpneq2b 10 ipsec-isakmp
 set peer 213.60.255.111
 set transform-set ipsec
 match address 180
access-list 180 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 180 deny ip 192.168.100.0 0.0.0.255 0.0.0.0 0.0.0.0
No NAT
access-list 110 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 permit ip any any​
​Por último se deben aplicar los crypto-map a las interfaces WAN ​

 

Ahora debemos configurar nuestra CA para que los dispositivos de red puedes solicitar su certificado, para ello vamos a utilizar el Servicio de Inscripción de Dispositivos de Red de nuestra CA en Windows Server. Yo utilizaré Windows Server 2012, y lo primero que debemos hacer es configurar primero nuestra CA: Windows Server 2012, Instalación de una CA. Y durante la instalación o a posteriori configuraremos el Servicio de Inscripción de Dispositivos de Red, yo ya tengo la CA instalada y vamos a ver como podemos configurar el servicio de Servicio de Inscripción de Dispositivos de Red. Para ello vamos a la consola de Administración de nuestro servidor, vamos a Administrar – Agregar Roles y Características y seguimos el asistente hasta que se complete la instalación:

vpn_con_certificados_ndes_45.png

vpn_con_certificados_ndes_46.png

vpn_con_certificados_ndes_47.png

vpn_con_certificados_ndes_48.png

Ahora debemos seleccionar Servicio de inscripción de dispositivos de red y pulsamo en Siguiente

vpn_con_certificados_ndes_1.png

Pulsamos en Siguiente
vpn_con_certificados_ndes_2.png

Una vez que se ha completado la instalación debemos pulsar en Configurar Servicios de certificados de Active Directory en el servidor de destinovpn_con_certificados_ndes_4.png
Por defecto el usuario que instalará que configurará los servicios del ROL será el usuario con el que hayáis iniciado sesión, ya doy por hecho que sois miembros del grupo Admins. del Dominio. Pero en todo caso si queréis elegir otro usuario para realizar la  configuración de este servicio

vpn_con_certificados_ndes_5.png

Debemos seleccionar un usuario que se usará para el servicio de inscripción de certificados, como véis nos avisa de que debe ser miembro del grupo IIS_IUSRS local, pulsamos en seleccionar

vpn_con_certificados_ndes_7.png

Introducimos el nombre del usuario del dominio (debe ser miembro únicamente del grupo de Usuarios del Dominio) e introducimos sus credenciales

vpn_con_certificados_ndes_8.png

pulsamos en Siguiente
vpn_con_certificados_ndes_9.png

Cubrimos los datos de nuestra organización y pulsamos en Siguiente
vpn_con_certificados_ndes_10.png
Podemos dejarlo por defecto y pulsamos en Siguiente

vpn_con_certificados_ndes_11.png

Por último nos muestra un resumen de la configuración y pulsamos en Configurar
vpn_con_certificados_ndes_12.png
vpn_con_certificados_ndes_13.png
vpn_con_certificados_ndes_14.png

Ahora que hemos finalizado veremos que los certificados que tenemos disponibles para la inscripción desde los dispositivos de red serán de la plantila de IPSecCIntermediateOffline. Si quisieramos utilizar una plantilla de certificado personalizada, tendríamos que crear nueva plantilla y editar el registro para cambiar el nombre del certificado a emitir: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP: EncryptionTemplate, GeneralPurposeTemplate, SignatureTemplate y luego reiniciar el IIS para que los cambios se hayan aplicado correctamente.

vpn_con_certificados_ndes_49.png

Ahora vamos a revisar que el usuario asignado para el servicio de inscripción de certificados para dispositivos de red tiene acceso de inscripción de esta plantilla, para ello vamos a la consola de la entidad certificadora, vamos a Plantillas de Certificado y pulsamos con el botón secundario del ratón y pulsamos en Administrar

vpn_con_certificados_ndes_50.png
Debemos ir a las propiedades de la plantilla de  IPSECIntermediateOffline y vamos a la pestaña de seguridad para poder verificar que el usuarios NDES (es el usuario comentario anteriormente) tiene acceso de inscripción sobre esta plantilla

vpn_con_certificados_ndes_51.png
Una vez revisado los permisos básicos y que en nuestro caso la plantilla de certificado que necesitamos es esta, ahora debemos acceder a la URL de administración de emisión de certificados para dispositivos de red. Para ello debemos escribir la siguiente URL: http(s)://fqdn_servidor/certsrv/mscep_admin, ahora os solicitará las credenciales de acceso y debéis iniciar sesión con  un usuario que tenga acceso de inscripción de certificados para las plantillas de IPSECIntermediateOffline, en caso contrario os dará acceso denegado. 

Si cuando accedemos a la URL comentada nos encontramos con este errorvpn_con_certificados_ndes_15.png
debemos revisar el méto de inicio de sesión, que por defecto es negotiate pero si no tenemos los registros SPN actualizados no nos permitirá autenticar. En mi caso como no utlizo el FQDN del sevidor sino un registro CNAME para darle otra URL al acceso web de inscripción de certificados y no tener el SPN creado, no me permitirá autenticarme por Kerberos por lo que tengo que modificarlo de Negotiate a NTLM. Si bien es cierto que puedo crear el SPN adecuado y demás, pero por agilizar la guía no lo he hecho cambiando solo lo he modificado el orden de los proveedores habilitados y  he puesto NTLM el primero en la lista

vpn_con_certificados_ndes_16.png
Ahora he vuelto a acceder a la URL comentada anteriormente y me muestra el siguiente errorvpn_con_certificados_ndes_17.png
Para solucionar este problema he utilizado est KB de MSFT: http://support.microsoft.com/kb/2800975 y debéis seguir estos pasos para solucionarlo

1) Install and configure NDES (and CEP/CES).
2) Open IIS.
3) Select “Default Web Site”. 
4) Click “View Applications” in the action panel on the right.
5) Double click the mscep application.
6) Double click “Handler Mappings”.
7) Click “View Ordered List…” in the action panel.
8) Select ExtensionlessUrlHandler-ISAPI-4.0_64bit and move it down so it is below StaticFile.
9) Repeat steps 6-8 for the mscep_admin application.
10) Restart IIS.

Aquí so muestro los pasos en imágenes

vpn_con_certificados_ndes_18.png
vpn_con_certificados_ndes_19.png

Nota: Esto me ha pasado en casi todas las implementaciones de NDES con Windows Server 2012

Ahora volvemos a tratar de acceder a la URL de NDES y ya podemos acceder correctamente, como vemos nos ofrece la huella digital del certificado a emitir y su clave de solicitud, que como podéis obsevar tendrá una validez de 60 min y solo se puede usar una vez. Este comportamiento se puede modificar editando el registro, pero yo prefiero que dejarlo así. Se puede quitar la solicitud de contraseña, etc.. pero mejor dejémoslo así.

Nota a tener en cuenta de MSFT

De forma predeterminada, el Servicio de inscripción de dispositivos de red solamente puede almacenar en caché cinco contraseñas cada vez. Si la memoria caché de contraseñas está llena al enviar una solicitud de contraseña, debe realizar una de las siguientes acciones antes de enviar la solicitud
  • Espere hasta que una de las contraseñas haya expirado antes de enviar una solicitud nueva.
  • Detenga y reinicie Internet Information Services (IIS) para eliminar todas las contraseñas almacenadas en la memoria caché.
  • Configure el servicio para que almacene en la memoria caché más de cinco contraseñas.

vpn_con_certificados_ndes_21.png

Ya tenemos todo preparado para que nuestros dos routers Cisco puedan solicitar su certificado, para ello debemos seguir los siguientes pasos:

Crear los RSA necesarios: crypto key generate rsa general-keys label <Etiqueta> modulus 2048

vpn_con_certificados_ndes_22.png

(Opcional) Configurar un servidor DNS para que el router pueda resolver nombres de dominio: ip name-server <dirección_IP>. Esto nos ayudará a resolver el nombre de la URL del NDES, y no tenemos que estar utilizando la dirección IP.

vpn_con_certificados_ndes_23.png

Configuramos las opciones de inscripción del certificado por parte del router

crypto pki trustpoint EQ2B
 enrollment mode ra
 enrollment url http://ca.eq2b.com:80/certsrv/mscep/mscep.dll
 usage ike
 serial-number
 revocation-check none
 rsakeypair EQ2BRSA
 auto-enroll

vpn_con_certificados_ndes_24.png

Enviaremos la solictud de autenticación a la CA: crypto pki authenticate <nombre_trustpoint>

vpn_con_certificados_ndes_26.png

Como vemos en la URL del NDES MD5 la huella digital que nos está mostrando en la misma que nos devuelve en el router

vpn_con_certificados_ndes_27.png

Enviaremos la solicitud de inscripción del certificado a la CA: crypto pki enroll <nombre_trustpoint>. Como vemos nos solicita una clave para poder solicitar el certificado, la clave es la que nos muestra en la página en la URL de NDES

vpn_con_certificados_ndes_28.png

Ahora si queremos ver el certificado  recibido escribiremos: sh crypto ca certificates EQ2B

vpn_con_certificados_ndes_29.png

Ahora ya tenemos nuestro certifcado en el router, y si nos vamos a la consola de la CA a Certificados Emitidos y vemos que se ha emitido el certificado en base a la plantilla IPSEC (solicitud sin conexión) y el nombre del solicitante es el usuario NDES. Este usuario es el que previamente habíamos configurado con el asistente inicial

vpn_con_certificados_ndes_30.png

Ahora debemos cambiar el modo de autenticación de nuestra configuración de IPSec en la Fase 1: authentication rsa-sig
 crypto isakmp policy 10 

  authentication rsa-sig

Si ahora escribimos el siguiente comando nos mostrará un resumen de como ha quedado configurado nuestra Policy: sh crypto isakmp policy
vpn_con_certificados_ndes_33.png
 
Esto es todo lo que debemos hacer en cada uno de los routers que, así que debemos repetir los seis pasos en el otro router del otro extremo de la VPN. Una vez completados si vamos a la consola de administración de la CA vemos que ya aparecen los dos certificados emitidos.
vpn_con_certificados_ndes_34.png

Una vez que ambos routers están configurados con sus correspondientes certificados, y que se ha cambiado la configuración de Preshared key a RSA-SIG  los routers volverán a negociar IPSec y tratar de conectarse. Aquí os muestro parte de un log de la negociación de IPSec entre ambos routers:

 
May  4 15:33:57.044: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
May  4 15:33:57.044: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
May  4 15:33:57.044: ISAKMP:(0):Old State = IKE_R_MM3  New State = IKE_R_MM4
May  4 15:33:57.336: ISAKMP (0:0): received packet from XXX.XXX.XXX.XXX dport 4500 sport 4500 Global (R) MM_KEY_EXCH
May  4 15:33:57.336: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
May  4 15:33:57.336: ISAKMP:(0):Old State = IKE_R_MM4  New State = IKE_R_MM5
May  4 15:33:57.336: ISAKMP:(0): processing ID payload. message ID = 0
May  4 15:33:57.336: ISAKMP (0:0): ID payload
        next-payload : 6
        type         : 2
        FQDN name    : XXXXXXXXXXXXXX
        protocol     : 17
        port         : 0
        length       : 21
May  4 15:33:57.380: ISAKMP:(0): processing SIG payload. message ID = 0
May  4 15:33:57.412: ISAKMP:received payload type 17
May  4 15:33:57.412: ISAKMP:(0):SA authentication status:
        authenticated
May  4 15:33:57.412: ISAKMP:(0):SA has been authenticated with XXX.XXX.XXX.XXX
May  4 15:33:57.412: ISAKMP:(0):Detected port floating to port = 4500
May  4 15:33:57.412: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
May  4 15:33:57.412: ISAKMP:(0):Old State = IKE_R_MM5  New State = IKE_R_MM5
May  4 15:33:57.420: ISAKMP:(0):SA is doing RSA signature authentication using id type ID_IPV4_ADDR
May  4 15:33:57.420: ISAKMP (0:0): ID payload
        next-payload : 6
        type         : 1
        address      : XXXXXXXXXXXXXXXXXXXXX
        protocol     : 17
        port         : 0
        length       : 12
May  4 15:33:57.420: ISAKMP:(0):Total payload length: 12
May  4 15:33:57.432: ISAKMP (0:0): constructing CERT payload for hostname=EQ2B.asirsl.com,ipaddress=YYY.YYY.YYY.YYY,serialNumber=FCZ102990AA
May  4 15:33:57.432: ISKAMP: growing send buffer from 1024 to 3072
May  4 15:33:57.432: ISAKMP:(0): using the EQ2B trustpoint's keypair to sign
May  4 15:33:58.452: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
May  4 15:33:58.456: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
May  4 15:33:58.456: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
May  4 15:34:08.955: ISAKMP (0:0): received packet from XXX.XXX.XXX.XXX dport 4500 sport 4500 Global (R) QM_IDLE
May  4 15:34:08.959: ISAKMP: set new node 452620383 to QM_IDLE
May  4 15:34:08.959: ISAKMP:(0): processing HASH payload. message ID = 452620383
May  4 15:34:08.959: ISAKMP:(0): processing NOTIFY DPD/R_U_THERE protocol 1
        spi 0, message ID = 452620383, sa = 63F8B86C
May  4 15:34:08.959: ISAKMP:(0):deleting node 452620383 error FALSE reason "Informational (in) state 1"
May  4 15:34:08.959: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
May  4 15:34:08.959: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
May  4 15:34:08.959: ISAKMP:(0):DPD/R_U_THERE received from peer XXX.XXX.XXX.XXX, sequence 0x36323CCE
May  4 15:34:08.959: ISAKMP: set new node 1455114095 to QM_IDLE
May  4 15:34:08.959: ISAKMP:(0):Sending NOTIFY DPD/R_U_THERE_ACK protocol 1
        spi 1683670752, message ID = 1455114095
May  4 15:34:08.959: ISAKMP:(0): seq. no 0x36323CCE
May  4 15:34:08.959: ISAKMP:(0): sending packet to XXX.XXX.XXX.XXX my_port 4500 peer_port 4500 (R) QM_IDLE
May  4 15:34:08.959: ISAKMP:(0):purging node 1455114095
May  4 15:34:08.959: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MESG_KEEP_ALIVE
May  4 15:34:08.963: ISAKMP:(0):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Si queremos verificar que se ha establecido la VPN correctamente, escribimos el siguiente comando en el router: sh crypto isakmp sa y como vemos está en estado QM_IDLE por lo que estamos conectados
vpn_con_certificados_ndes_52.png
 
Esto mismo lo podemos repetir en tantos routers como queramos conectar entre si. Esto permite aumentar el nivel de seguridad y  escalabilidad de nuestra infraestructura de comunicaciones. Si os habéis fijado he puesto este comando en la configuración de  solicitud de los certificados:  revocation-check none

crypto pki trustpoint EQ2B
 revocation-check none

Esto evita que compruebe las CRL para saber si hemos o no revocado algún certificado, pero siempre es más que recomendable que se comprueben  las CRLs. Su configuración es muy sencilla, únicamente los routers debens poder conectarse a las URLS en donde tengamos publicada la CRL y en el router cambiar  revocation-check none por revocation-check crl ocsp
vpn_con_certificados_ndes_53.png

 
Con esta configuración hemos logrado conectar las sedes de nuestros cliente, y además ofrecer un plus de seguridad adicional. También comentaros que si tenemos múltiples sedes, yo siempre configuro DMVPN (esto lo veremos en otro artículo) puesto que me reporta múltiples beneficios en su configuración y gestión, pero esto lo veremos en otro artículo.
 
Y por último, recordaros que en uno de los últimos artículos que había subido en los últimos días (Lync Server: Recomendaciones para Securizar un Trunk SIP o Direct SIP) os comentaba que siempre que configuréis un SIP TRUNK sin TLS es más que recomendable establecer un túnel IPSEC entre ambos extremos. Pues con este artículo también daríamos cabida a este escenario, nuestra infraestructura de Lync conectada a un ITSP mediante una VPN IPSec con autenticación RSA-SIG.
 
Lync_VPN_IPSec_Imagen.jpg
 
Existen múltiples combinaciones y formas de establecer túneles VPN, esta simplemente es una más y muy sencilla. Además, con la CA de Windows Server 2012 es muy sencillo desplegar  el Servicio de inscripción de dispositivos de red (NDES) y ofrecer estos servicios de seguridad algo más avanzados.
 
Espero que os sea de utilidad!!!