Microsoft Lync Server
Header

Network Planning, Monitoring, and Troubleshooting with Lync Server

junio 1st, 2013 | Posted by Santiago Buitrago in Lync Server | Troubleshooting - (1 Comments)

​MSFT ha publicado un documento que creo que no va a tener desperdicio (el título habla por si solo), aquí os dejo su enlace de descarga: http://www.microsoft.com/en-us/download/details.aspx?id=39084

Lync_Network_Planing_Monitoring.png

Solo con ver el índice del documento creo que nos aportará muchas cosas, aquí lo tenéis:
Contents
1.         Introduction. 1
1.1      Phase Overview. 1
2.         Planning. 2
2.1      Network Discovery. 3
2.1.1      Historical Metrics. 4
2.1.2      Network Impairments. 4
2.1.2.1        WAN Optimizers. 4
2.1.2.2        Virtual Private Network (VPN)5
2.1.2.3 Firewall Policies. 6
2.1.2.4        Symmetric versus Asymmetric Links. 6
2.1.2.5        Network Topology. 7
2.1.3      Lync Devices. 8
2.1.3.1        Power over Ethernet (PoE)8
2.1.3.2        Virtual LAN (VLAN)8
2.1.4      Qualified Network Devices. 9
2.2      Modeling/Personas. 9
2.3      Bandwidth Estimation. 11
2.3.1      Call Flows. 12
2.3.1.1        Peer-to-Peer Session. 12
2.3.1.2        Conference Session. 12
2.3.1.3        PSTN/Mediation Server Session. 12
2.3.1.4        Content Sharing. 12
2.3.2      Bandwidth Tables. 13
2.3.2.1        Video Codec Bandwidth. 14
2.3.2.2        Video Resolution Bandwidth. 15
2.3.2.3        Impact of Multiple Video Streams in Lync Server 2013. 16
2.3.2.3.1     Lync Server Bandwidth. 17
2.3.2.4        Audio Capacity Planning for PSTN. 17
2.3.3      Bandwidth Estimation for Redundant Links. 18
2.4      Traffic Simulation. 18
2.4.1      Simulating Estimated Amount of Bandwidth Required. 19
2.4.1.1        P2P Scenarios. 19
2.4.1.2        Conferencing Scenarios. 19
2.4.2      Identifying Sites for Lync Server Traffic Simulation. 20
2.4.3      Lync Server Real-Time Scenarios to Be Simulated. 21
2.4.4      Recommended Tools for Lync Server Traffic Simulation. 21
2.4.5      Traffic Simulation Best Practices. 22
2.5      Call Admission Control (CAC)22
2.5.1      Multiple Call Admission Control Systems. 23
2.6      Quality of Service (QoS)24
2.7      Network Port Usage. 24
2.7.1      Manual Port Configuration Scenarios. 25
2.7.2 Quality of Service (QoS) for Modality Types. 25
2.7.3      Bandwidth Management25
2.7.4      Internal Firewall Placement25
2.7.5      Minimum Number of Ports for Workloads at Scale. 26
2.7.6      Configuring Manual Ports for the Lync Client26
2.7.7      Configuring Port Ranges for Application, Conferencing, and Mediation Servers. 27
2.7.8      Configuring Dedicated Port Ranges for Edge Servers. 29
2.7.9      Verifying Manual Port Configuration – Client Side. 30
2.7.10         Verifying the UC Port Range Is Enabled for Lync Clients. 30
2.7.11         Configured UC Port Range Example (from a Sample Lync-UccApi-0.UccApilog)30
2.7.12         Verifying Manual Port Configuration – Server Side. 31
2.7.13         Traffic Prioritization for Real-Time Communications. 31
2.8      Wi-Fi Scenarios. 32
2.8.1      Background. 32
2.8.2      What Is Wi-Fi?. 32
2.8.2.1        Wireless Standards. 33
2.8.2.2        Wi-Fi Multimedia (WMM)33
2.8.2.3        WAP Planning. 33
2.8.3      Wi-Fi Certification for Lync Server33
2.8.4      Wi-Fi Challenges and Recommendations. 34
2.8.4.1        WAP Configuration. 34
2.8.5      Next Steps. 34
2.8.5.1        Simple Wi-Fi Scan. 34
2.8.5.2        Spectrum Scan. 35
2.8.5.3        Wi-Fi Assessment36
2.8.5.3.1     Preassessment Questionnaire. 36
2.8.5.3.2     Requirements. 37
2.8.5.3.3     Assessment37
2.8.5.3.4     Presenting Results. 37
2.9      Operations. 37
2.9.1      Network Change Control Process. 38
2.9.1.1        Network Requirements. 38
2.9.1.2        Change Management Roles. 38
2.9.1.3        Change Management Process. 38
2.9.2      Network Incident Management39
2.9.3      Real-Time Applications. 39
3.         Deployment and Monitoring. 39
3.1      Elements that Require Monitoring. 40
3.1.1      Server Health. 40
3.1.1.1        Common Server Health KHIs. 40
3.1.1.2        Role-Specific Server Health KHIs. 41
3.1.2      Network Health. 41
3.1.2.1        Network Device KHIs. 42
3.1.2.2        Lync Server Call Network Metrics. 42
3.1.2.2.1     Packet Loss. 43
3.1.2.2.2     Jitter43
3.1.2.2.3     Latency. 44
3.1.3      Client Health. 44
3.2      Configuration Audit44
3.2.1      IP-PSTN Gateway Configuration Drift45
3.2.2      Lync Server Configuration Drift45
3.2.3      Network Configuration Drift45
3.3      Usage Trend Reporting. 46
3.4      Product Features that Provide Monitoring Data. 46
3.5      Third-Party Solutions that Provide Monitoring. 47
4.         Troubleshooting. 47
4.1      Troubleshooting Scenarios. 47
4.1.1      Troubleshooting a Site-Wide Issue: Lync Voice Quality – A Site Suddenly Reports Poor Audio Quality  47
4.1.1.1        Problem Report Scenario. 47
4.1.1.2        Initial Assessment47
4.1.1.3        Data Collection. 48
4.1.1.4        Problem Isolation and Root Cause Analysis. 48
4.1.2      Troubleshooting an Individual Lync Voice Quality Issue. 49
4.1.2.1        Problem Report Scenario. 49
4.1.2.2        Initial Assessment49
4.1.2.3        Data Collection. 51
4.1.2.4        Problem Isolation and Root Cause Analysis. 52
4.2      Troubleshooting Methodologies. 52
4.2.1      Troubleshooting a Network Segment52
4.2.1.1        Network Router Configuration. 53
4.2.1.1.1     Quality of Service (QoS)53
4.2.1.1.2     Rate Limiting. 54
4.2.1.1.3     Speed Sensing Mismatch (Full/Auto)55
4.2.1.1.4     Nagle Algorithm (TCP only)55
4.2.1.1.5     Load Balancer Configuration. 55
4.2.1.1.6     HTTP Proxies. 55
4.2.1.1.7     Bandwidth. 56
4.2.1.1.8     WAN/ISP. 56
4.2.1.2        Network Hardware Issues. 56
4.2.1.2.1     Bad Patch Cable. 56
4.2.1.2.2     Cable Loop/BPDU Guard Protection. 56
4.2.1.2.3     Router CPU Spikes. 57
4.2.1.3        Wi-Fi Quality. 57
4.2.1.3.1     Interference. 57
4.2.1.3.2     Access Point Density. 57
4.2.1.3.3     Roaming. 57
4.2.1.3.4     Wi-Fi Network Adapter and Driver57
4.2.1.4        Other Client Network Quality Issues. 57
4.2.1.4.1     Mobile Broadband. 58
4.2.1.4.2     IPSec. 58
4.2.1.4.3     Virtual Private Network (VPN)58
4.2.1.4.4     Forced TCP Connection. 58
4.2.1.4.5     ISP/Internet58
4.2.1.5        Client Endpoint Performance. 58
4.2.1.5.1     Power-Saving Mode. 59
4.2.1.5.2     USB Hub/Cable. 59
4.2.1.5.3     Drivers/DPC Storm.. 59
4.2.1.6        Server Endpoint Performance. 59
4.2.1.6.1     Antivirus/Port Scanning Software. 59
4.2.1.6.2     Performance Counter Collection and Logging. 59
4.2.1.6.3     Network Adapter Configuration. 60
4.2.1.6.4     Concurrent Call Load. 60
4.2.1.6.5     Virtualization. 60
4.2.2      Troubleshooting Device Issues. 60
4.2.2.1        Built-in Sound Cards. 61
4.2.2.1.1     Microphone Boost61
4.2.2.1.2     Digital Signal Processing (DSP)62
4.2.2.2.3     Noise. 62
4.2.2.2        USB Devices. 62
4.2.2.2.1     USB Host Device Driver62
4.2.2.2.2     USB Hubs and Cabling. 63
4.2.2.2.3     PC BIOS. 63
4.2.2.3        Other Device Issues. 63
4.2.2.3.1     Harmonics. 63
4.2.2.3.2     Acoustic Isolation. 63
4.2.2.3.3     Electrical Isolation. 63
4.2.3      Troubleshooting Environmental Issues. 63
4.2.3.1        Noise. 63
4.2.3.1.1     Heating, Ventilating, and Air Conditioning (HVAC) Noise. 64
4.2.3.1.2     Laptop Fan/Hard Drive. 64
4.2.3.1.3     Typing. 64
4.2.3.2        Microphone Positioning and Audio Device Selection. 64
Appendix A.     Lync Audio Quality Model65
A.1      Lync Audio Pipeline. 65
A.1.1      Analog Audio Source. 66
A.1.2      Analog Audio Capture. 66
A.1.3      Analog-to-Digital Conversion (ADC)66
A.1.4      Digital Signal Packet Capture. 67
A.1.5      Digital Signal Preprocessing (DSP)67
A.1.6      Encoding. 67
A.1.7      Encryption. 68
A.1.8      Protocol Encapsulation. 68
A.1.9      Transmission. 68
A.1.9.1        Jitter68
A.1.9.2        Loss. 69
A.1.9.3        Delay. 69
A.1.10        Reception. 69
A.1.11        Decryption. 69
A.1.12        Decoding. 70
A.1.13        Reassembly, Buffering, and Healing. 70
A.1.15        Postprocessing. 70
A.1.16        Playback. 70
A.1.17        Digital-to-Analog Conversion (DAC)70
A.1.18        Analog Audio Render70
Appendix B.     Lync Server QoE Reporting. 71
B.1      Lync 2010 QoE Database Schema. 71
B.2      QoE Table Join View Example. 72
B.3      QoE Metrics Review. 73
B.3.1      End-to-End Metrics. 73
B.3.2      Endpoint Metrics. 74
B.3.3      Configuration Parameters. 74
B.3.3.1        UserAgent Field. 74
B.3.4      Event Ratios. 74
B.4      Managing Lync Server Quality. 74
B.4.1      Corporate Average Audio Quality. 74
B.4.2      ClassifiedPoorCall75
B.4.3      Media Quality Summary Report75
B.4.4      Managed versus Unmanaged Infrastructure Reporting. 78
B.5      Server-Server Reports. 79
B.5.1      AVMCU. 79
B.5.2      Mediation Server79
B.5.3      IP-PSTN Gateway. 80
B.5.4      AVMCU-Mediation Server Report Example. 80
B.5.4.1        Temporary Views. 82
B.5.4.2        Counting Poor Calls. 82
B.5.4.3        Caller/Callee Handling. 82
B.5.5      Mediation Server-IP PSTN Gateway Report Example. 83
B.6      Subnet Reports. 85
B.6.1      Wired Subnet Report Example. 85
B.6.2      Wireless Subnet Report Example. 88
B.7      Linking to External Data Sources. 88
B.8      Trending and Data Retention. 89
B.9      Using User Experience Metrics. 89
B.9.1      Mean Opinion Score (MOS)92
B.9.2      Network MOS (NMOS) versus NMOS Degradation. 92
B.10       Other Reporting Examples. 93
B.10.1        Device Queries. 93
Appendix C. Troubleshooting Duplex and Speed Sensing Mismatch (Full/Auto)96
Appendix D.    Tools. 97
D.1     Collect Logs. 97
D.2     Debugging Tools for Windows. 97
D.3     err.exe. 97
D.4     Error String Display (CSError.exe)97
D.5     Microsoft Exchange Troubleshooting Assistant98
D.6     Log Parser99
D.7     Lync Best Practices Analyzer99
D.8     Lync Client Logging. 99
D.9     Lync Server 2010 Logging Tool99
D.10       Microsoft Product Support (MPS) Reports. 100
D.11       Network Monitor101
D.12       Network Monitor Parsers. 101
D.13       OCStracer.exe. 101
D.14       PortQryUI102
D.15       ProcDump. 102
D.16       Process Explorer102
D.17       Process Monitor102
D.18       Remote Connectivity Analyzer102
D.19       Snooper102
D.20       TextAnalysisTool.NET. 103
D.21       Unified Messaging Diagnostics Logging. 103
D.22       XMLNotePad. 104
 
En cuanto pueda terminar de leerlo iré subiendo nuevos artículos, de momento toca darle a la lectura.  De todas formas aquí os dejo algunas capturas interesantes del documento:
Lync_Network_Planing_Monitoring_1.png
Lync_Network_Planing_Monitoring_2.png

Lync_Network_Planing_Monitoring_3.PNG

Lync_Network_Planing_Monitoring_4.PNG

También podéis descargar el documento desde este blog: Networking_Guide_Lync_Server.docx
Un saludo

, ,

Error de certificado cuando usamos Thawte

abril 3rd, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

​Todos los que tenemos utilizar certificados digitales para publicar Webs, Servicios, etc.. sabemos que exiten varios proveedores que nos pueden emitir certificados públicos. Lo que se supone con estos certificados es que el resto de hosts que se conecten a nuestros servicios,  no recibirán el típico error de certificado. Se supone que todos los equipos vienen con una serie de Entidades de certificación raíz de confianza, ejemplo:

Certificado-Raiz.png

Además de las Entidades de certificación intermedias, etc… Por lo que se supone que si aquirimos certificados públicos el resto de usuarios que se conecten a nuestros servicios no verán pantallas como esta (seguro que la habéis visto más de una vez)

Certificado-Error.png

Y esto puede ser debido a que el nombre del certificado no se corresponde con el nombre del certificado, o como le ocurre a los certificados de Thawte que aunque es un certificado público nosotros podemos ver este error en nuestro navegador aunque el nombre del sitio y certificado seal el mismo. Pero si le continuamos y vamos a ver el certificado el error es el siguiente, no dice que el error es del nombre sino que NO SE PUEDE COMPROBAR ESTE CERTIFICADO EN UNA ENTIDAD DE CERTIFICACIÓN EN QUE SE CONFIA!!!!

Certificado-Thawte.png

Esto es un problema reconocido por Thawte y esto es lo que comentan de manera oficial:

 

Fuente: Error Certificados Thawte

 

Problem

On June 27 2010, in the interest of better security, Thawte signed all certificates with an intermediate certificate that needs to be installed along with the SSL certificate.
Any certificate issued on or after this date requires the intermediate certificate to be installed.

Cause

Your error indicates the intermediate certificate has not been installed or incorrectly installed.
 
Solución
 
Para solucionar el problema, debemos instalar este certificado Thawte_SSL_CA_under_Premium_Server_CA en el contenedor de Entidades de certificación intermedias
 
1) Open the Microsoft Management Console (MMC)
2) Click on Certificates from the left pane
3) Double-click on Intermediate Certification Authorities  from the right pane
4) Right-click on Certificates from the right pane and select All Tasks > Import to open the Certificate Import Wizard
5) Click on the Next button
6) Specify the location of the intermediate file by browsing to it and click on the Next button
7) By default, it will place the certificate in the Intermediate Certification Authorities store. Keep this selection and click on the Next button.
8) Click on the Finish button
9) A message will appear confirming the successful import of the certificate. Click on the OK button.


If your site still has the chaining error, restart the IIS service. If the problem continues, the whole server needs a reboot to use the new intermediate.
 
Also, open and close any browser you had open before doing the above that was giving you the chaining error, to prevent any browswer caching issues from showing the incomplete chain.

 

 

Una vez que hemos instalado el certificado reiniciamos el IIS y cuando nos volvamos a conectar ya ha desparecido el problema!! Si utilizamos ISA Server o TMG para publicar las distintas URLs solo tenemos que hacer el cambio en el ISA o TMG y para ello debemos reiniciar los servicios de firewall para que podáis ver los cambios reflejados.
 
Está claro que sino conocemos esto, podemos echar horas o días buscando la solución. Yo este problema me lo he encontrado con los certificados de Thawte, si alguien tiene alguna experiencia parecida con otros certificados agradezco que lo comenten
 
Espero que les sea de utilidad!!

Desencriptar Tráfico de Sesiones SSL o TLS con Wireshark

abril 1st, 2013 | Posted by Santiago Buitrago in Lync Server | Troubleshooting - (0 Comments)

Seguramente en alguna ocasión habéis utilizado Wireshark (analizador de tráfico de red: sniffer) para analizar el tráfico de vuestra red en busca de detectar algún comportamiento anómalo, analizar el tráfico de red o simple curiosidad de saber que está pasando.​ Como sabéis en Lync el tráfico entre servidores va protegido vía MTLS y de cliente a servidor vía TLS, aquí tenéis una tabla resumida de cómo se protegen los distintos flujos de datos:

Tipo de tráfico Protegido por
Entre servidores
MTLS
De cliente a servidor
TLS
Mensajería instantánea y presencia
TLS (si se ha configurado para TLS)
Audio, vídeo y uso compartido de escritorio
SRTP
Uso compartido de escritorio (señalización)
TLS
Conferencia web
TLS
Descarga del contenido de las reuniones, descarga de la libreta de direcciones y expansión de grupos de distribución
HTTPS
El problema viene dado cuando queréis ver porque el cliente Lync no conecta, o que tipo de DSCP utiliza nuestro cliente Lync cuando iniciamos una conferencia, etc.. y nos encontramos con esto….
wireshark_ssl_17.png
Como se puede observar el tráfico está cifrado y sería imposible revisar nada, hasta aqui todo correcto. Pero claro, si queremos analizar cúal es el posible problema que tenemos resultaría imposible. Con Wireshark (y otras herramientas) podemos desencriptar el tráfico SSL (desencriptar no es igual a «juankear» ni similar) para poder analizarlo. Para esto necesitamos tener el certificado que utiliza el servidor al cual nos queremos conectar con su clave privada, de tal forma que tenemos que exportarlo desde el servidor con ella. Si no tenemos la clave privada  no podemos hacer nada,  para ello debemos tener acceso a ello. De ahí el comentario anterior de que no estamos hackeando nada de nada, puesto que el certificado con su clave privada la exportamos nosotros. Este artículo solo predente mostrar un procedimiento que debéis seguir para analizar el tráfico SSL o TLS que utiliza Lync (o cualquier otro servicio) para cifrar las comunicaciones. Una vez que tenemos nuestro certificado exportado con su correspondiente clave privada: (Exportación e Importación Certificados en Windows Server 2012)
Exportar_Certificado_Win2012_1.jpg
Demos convertir el PFX a PEM, que es el formato que Wireshark puede utilizar y para ello utilizaremos OpenSSL. Una vez instalado debemos ejecutar los siguientes comandos:
openssl pkcs12 -nodes -in SIP.pfx -out sip.pem -nocerts -nodes
openssl rsa -in sip.pem -out sipout.pem
wireshark_ssl_1.png
Ahora deberíais tener un fichero con el nombre sipout.pem (cada uno que ponga el nombre que quiera) similar a este (sin los puntitos, esto lo he puesto yo)
—–BEGIN RSA PRIVATE KEY—–
MIIEpAIBAAKCAQEAiFBWj/E7y6MAMUWacV2aeSpt/j2wHzB7xIYBCMnJy0u869eb
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………………….
ufZSuWUFoiu1XPS6vWPtQ8VRjb0a4hGXSMYDxyupDgEAgRDIMN0jyW1PklbsOZOb
aJWQWC5UQuoWEP4gw+3aC87UTGrk8U10X0DpQdfyD3Bjwwvai3mEYw==
—–END RSA PRIVATE KEY—–
Ahora debemos configurar nuestro Wireshark para que utilice el fichero de clave privada, para ello abrimos el Wireshark y vamos a Edit – Preferences (Shift+Ctrl+P)
wireshark_ssl_4.png
Desplegamos la opción de Protocol, seleccionamos SSL y pulsamos en Edit…
wireshark_ssl_6.png
Pulsamos en New
wireshark_ssl_7.png
Y configuramos las siguientes opciones:
IP Address: IP del servidor en donde esté instalado el certificado
Puerto: 443
Protocolo: HTTP
Key File: Elegimos el fichero que anteriormente hemos convertido a .PEM
wireshark_ssl_8.png
Pulsamos en OK
wireshark_ssl_9.png
Y por último vamos a configurar el fichero de registro que se creará en los procesos de desencriptación (información muy útil) y pulsamos en Apply para iniciar el proceso de desencriptación de las capturas actuales
wireshark_ssl_13.png
Si ahora abrimos el fichero de LOG, veremos que se están procesando correctamente, por lo que podremos ver el tráfico capturado de forma «legible»
wireshark_ssl_16.png
Abrimos de nuevo el Wireshark, capturamos algo de tráfico y pulsamos en Follow SSL Stream
wireshark_ssl_10.png
Nota: Si elegimos la opción Follow SSL Stream sin la configuración del Wireshark adecuada nos mostrará la siguiente pantalla (en blanco)
wireshark_ssl_19.png
ahora podemos ver esto, desde luego ya podemos analizar que puede estar sucediendo
wireshark_ssl_11.png
wireshark_ssl_12.png
El poder desencriptar el tráfico resulta muy útil, eso si, debéis tener acceso a la clave privada del certificado. Por otra parte, no deberíais permitir que los certificados instalados en los servidores tengan la clave privada como exportable, porque si alguien tiene más habilidad que nosotros nos puede comprometer y mucho la seguridad de nuestra empresa. Este artículo solo viene a representar como podéis analizar el tráfico encriptado con una de las herramientas más utilizadas para analizar tráfico de red, pero podéis hacerlo con otras muchas. En principio solo tiene el fin de  solventar distintos problemas que nos puedan surgir en nuestras implementaciones, como el tráfico están encriptado se nos complica cualquier diagnóstico.
Os dejo también un ejemplo muy ilustrativo de una captura sin tráfico encriptado, pero y si estuviera encriptado? podríamos tardar horas en encontrar cual es el problema
wireshark_ssl_18.png
Espero que os sea  de utilidad!!!

, , ,