servidor microsoft lync 2013 administración básica versión 2.1.pdf
TRANSCRIPT
Servidor Microsoft Lync 2013
Administración Básica
Versión 2.1
Autor: Fabrizio Volpe
1
Agradecimientos
Este libro está dedicado a todos aquellos que viven todos los días conmigo, mi familia,
Federico y Antonella y a mis padres. Está dedicado a Flavia la cual acaba de comenzar su
vida, y a mi abuela Inés, la cual todavía sigue viva en mi pensamiento.
No hay nada como una comida gratis
Leer este libro no le supondrá ningún coste.
Espero que el trabajo que estoy poniendo a su disposición, el cual es el resultado final de
una interesante y compleja colaboración con la editorial Manning Publications sea útil
para usted, comprendiendo y manejando Lync. Pero yo no creo en las comidas gratis.
Por lo tanto si este texto le es útil, y tiene el deseo de pagar por él, le invito a hacer una
donación a Save the Childrens o a otra asociación para la protección de minorías. De
esta forma, usted habrá pagado por su comida.
Aclaración
Hay una versión en español del libro porque dos personas hicieron un trabajo
excepcional. Lync MVP Peter Frank Rosales Díaz dio su experiencia para la revisión
técnica. Sr. Eneas Cuesta hizo la traducción, en un manner.He muy profesional y rápido
trabajado para la pasión, no sólo por el dinero, y eso es algo que se verá en la traducción.
Y digo "gracias" a ambos.
Esta versión “2.1” añade un nuevo capítulo (6, Requerimientos de Firewall para el
Servidor Lync 2013) al trabajo anterior. Una vez más, disfruté de una gran revisión
técnica y de útiles consejos del MVP (Profesional más valorado) de Lync, Thomas Poett
(@ThomasPoett). La “depuración de errores del cliente Lync” cuyo párrafo encontrarás
en el capítulo 6, proviene de su experiencia propia y en mi humilde opinión es
excepcional. Esta vez también tuve otro crítico que me ofreció un gran apoyo no solo en
el proyecto final, si no también en las primeras versiones que he publicado en mi Página
Web. Alessio Giombini (@AlessioGiombini), un experimentado un Arquitecto de
Soluciones de infraestructuras y un profesional de Lync, aportó una ayuda fundamental
a este trabajo. Le doy las gracias a ambos. La comunidad de Lync es un gran lugar en el
que estar porque hay personas como tú.
Imagen de portada: Horizonte de edificios de Calgary y puente peatonal en Calgary,
Alberta Canadá. Usada bajo licencia de impresión Extended RF.
2
Sobre el autor
Fabrizio Volpe – Ha trabajado en el Grupo Bancario Iccrea desde el 2000, como
Administrador de Red y Sistemas. Desde el 2011 ha sido premiado MVP (Profesional
más valorado) de Microsoft en Servicios Directivos de Microsoft. En el año 2014 a sido
premiado MVP (Profesional más valorado) de Microsoft en Lync. Fabrizio a sido el autor
de libros dedicados a los profesionales de las IT (tecnologías de la Información) y
seguridad, ha participado como conferenciante en conocidas conferencias sobre las IT
(tecnologías de la Información) y está comprometido con la creación de contenidos
accesibles a un amplio número de personas, Por lo tanto, a menudo publica contenidos
En su canal de YouTube ( http://www.youtube.com/user/lync2013)
En su blog personal (http://blog.lync2013.org)
En SlideShare ( http://www.slideshare.net/fabriziov )
Acerca de los revisores
Thomas Poett - Profesional, consecuente, y experimentado experto, el cual es
técnicamente un erudito con más de 20 años de experiencia en las IT (tecnologías de la
Información), telecomunicaciones y desarrollo del software. Amplia experiencia
adicional en los negocios y el desarrollo del mercado laboral. Especializado en
relaciones interculturales y de negocio en Asia. Exitoso en la prestación de liderazgo en
nuevos temas y complejos proyectos globales que requieren de la interacción con
equipos internos/externos y entornos de trabajo. Temprano adoptador de tecnologías
3
visionarias. Más de 20 años de carera dentro de diferentes compañías en las áreas del
desarrollo del software, telecomunicaciones, IT (tecnologías de la Información),
movilidad y servicios de hosting y alojamiento en la “nube” (online).
Alessio Giombini - Alessio es un Arquitecto de Soluciones de infraestructuras,
haciendo especial hincapié en Microsoft y en el área de la Unión de las Comunicaciones.
Más de 15 años de estudio y experiencia práctica ofreciendo proyectos de pequeña a gran
escala para las principales industrias de la empresa EMEA, principalmente basados en
Microsoft y otras tecnologías de vanguardia, aplicando sistemas y operaciones que
trabajan sobre éstas. Tiene un amplio y variado respaldo tecnológico en el campo de las
infraestructuras y comunicaciones, integración de Sistemas, Administración de Sistemas,
seguridad, así como unos profundos conocimientos en el negocio de la informática y
redes en las organizaciones empresariales. Actualmente trabaja en InterCall UK y sus
tareas principales son el diseño arquitectónico y distribución de entornos Microsoft, con
especial énfasis en soluciones para UC (Comunicaciones Unificadas) de múltiples
proveedores, basadas en Microsoft Lync 2013 con Enterprise Voice, Exchange Unified
Messaging, migraciones desde Lync 2010 y OCS 2007, balanceadores de carga, Proxy
inverso, firewall, Exchange UM.
Peter Diaz, Venezolano con más de 10 de experiencia en el área de Tecnología de la
Información y Master en Seguridad de las TIC. Se ha dedicado en los ultimos 6 años en
Arquitectura, Preventas y Gerencia de Proyectos en el area de Seguridad y
4
Comunicaciones Unificadas. Ha sido Premiado en el 2012 como MVP de Lync, premio
que otorga Microsoft a los profesionales en sus respectivas áreas de desarrollo y por su
aporte a las comunidades tecnológicas.
Eneas Cuesta – Translator/ traductor freelance
Traducción realizada por: Eneas Cuesta
Linkedin Profile/perfil: http://es.linkedin.com/pub/eneas-cuesta-aka/7a/b17/375
Elance profile/perfil: https://www.elance.com/s/eneascuesta/
5
AGRADECIMIENTOS .............................................................................................................................................. 1
NO HAY NADA COMO UNA COMIDA GRATIS ......................................................................................................... 1
ACLARACIÓN ...................................................................................................................................................... 1
SOBRE EL AUTOR ................................................................................................................................................... 2
ACERCA DE LOS REVISORES .................................................................................................................................. 2
1 ANTES DE EMPEZAR .................................................................................................................................................... 8
¿QUÉ ES MICROSOFT LYNC 2013 SERVER? ........................................................................................................... 8
¿POR QUÉ ES IMPORTANTE LYNC 2013? ............................................................................................................... 8
MIRANDO A LYNC 2013 DESDE EL CLIENTE ........................................................................................................... 9
MIRANDO A LYNC 2013 DESDE EL SERVIDOR....................................................................................................... 14
ADOPTANDO LYNC: QUÉ NECESITO Y CUÁNTO CUESTA ........................................................................................ 15
COSTES EXTRA A TENER EN CUENTA CON LYNC 2013 ........................................................................................... 19
UNA ÚLTIMA PALABRA ........................................................................................................................................ 21
2 CONSTRUYENDO TU LABORATORIO LYNC 2013 .................................................................................................... 22
TRAZANDO UNA MÍNIMA INFRAESTRUCTURA DE TRABAJO....................................................................................... 22
SOLO SERVICIOS INTERNOS DEL SERVIDOR LYNC ................................................................................................... 22
Pruébalo ahora ................................................................................................................................... 23
SERVIDOR LYNC DISPONIBLE PARA USUARIOS EXTERNOS ........................................................................................ 23
Pruébalo ahora ................................................................................................................................... 24
INTEGRACIÓN DE EXCHANGE 2013 Y SHAREPOINT 2013 ..................................................................................... 24
MONTANDO LOS REQUISITOS SOFTWARE Y HARDWARE.......................................................................................... 25
VIRTUALIZACIÓN................................................................................................................................................. 25
ADQUIRIENDO LOS RECURSOS NECESARIOS .......................................................................................................... 26
IMPLEMENTANDO LOS ESCENARIOS DE TRABAJO ................................................................................................... 27
Pruébalo ahora ................................................................................................................................... 28
IMPLEMENTANDO EL LABORATORIO ..................................................................................................................... 28
CONTROLADOR DE DOMINIO ............................................................................................................................. 28
Pruébalo ahora ................................................................................................................................... 30
SERVIDOR LYNC FRONT END ............................................................................................................................... 30
SERVIDOR OFFICE WEB APPS .............................................................................................................................. 30
PROXY INVERSO ................................................................................................................................................. 31
LYNC EDGE ....................................................................................................................................................... 31
EXCHANGE Y SHAREPOINT .................................................................................................................................. 31
LABORATORIO ................................................................................................................................................... 32
3 ADMINISTRANDO USUARIOS CON EL PANEL DE CONTROL DE LYNC SERVER ..................................................... 33
INTRODUCCIÓN A LA ADMINISTRACIÓN DE LYNC DESDE EL PANEL DE CONTROL .................................................... 33
ESCOGIENDO ENTRE EL PANEL DE CONTROL Y LA TERMINAL DE ADMINISTRACIÓN ................................................... 34
POLÍTICAS Y ÁMBITO DE POLÍTICAS EN LA ADMINISTRACIÓN DE LYNC ..................................................................... 35
FUNCIONES EN LA ADMINISTRACIÓN DE LYNC ...................................................................................................... 37
Pruébalo ahora ................................................................................................................................... 38
PERMITIENDO Y CONFIGURANDO USUARIOS ......................................................................................................... 38
6
HBILITANDO A UN USUARIO EN LYNC .................................................................................................................... 39
ASIGNACIÓN DE GRUPOS (POOL) ....................................................................................................................... 41
CONFIGURACIÓN SIP URI .................................................................................................................................. 42
OPCIONES DE TELEFONÍA .................................................................................................................................... 44
POLÍTICA DE MARCADO ..................................................................................................................................... 45
POLÍTICA DE VOZ ............................................................................................................................................... 47
ASIGNAMIENTO DE POLÍTICAS ............................................................................................................................. 47
Pruébalo ahora ................................................................................................................................... 50
LABORATORIO ................................................................................................................................................... 50
4 GESTIONANDO CLIENTES, Y DISPOSITIVOS CON EL PANEL DE CONTROL DEL SERVIDOR LYNC ........................ 52
SOFTWARE DE CLIENTES ...................................................................................................................................... 55
Pruébalo ahora ................................................................................................................................... 58
DISPOSITIVOS HARDWARE ................................................................................................................................... 58
MOVILIDAD ....................................................................................................................................................... 61
ALGUNAS COSAS QUE TIENES QUE HACER FUERA DEL PANEL DE CONTROL .............................................................. 63
Pruébalo ahora ................................................................................................................................... 65
LABORATORIO ................................................................................................................................................... 65
5 GESTIONANDO USUARIOS CON LA TERMINAL DE ADMINISTRACIÓN DEL SERVIDOR LYNC .............................. 67
GESTIONANDO USUARIOS DESDE LA TERMINAL DE ADMINISTRACIÓN ...................................................................... 67
HABILITAR O DESHABILITAR USUARIOS LYNC .......................................................................................................... 70
Pruébalo ahora ................................................................................................................................... 72
MOVIENDO A USUARIOS LYNC ENTRE DIFERENTES GRUPOS (POOLS) ....................................................................... 72
MANEJANDO POLÍTICAS DESDE LA TERMINAL DE ADMINISTRACIÓN ........................................................................ 74
LABORATORIO ................................................................................................................................................... 78
6 REQUERIMIENTOS FIREWALL PARA EL SERVIDOR LYNC 2013 ................................................................................ 79
PLANEANDO UNA IMPLEMENTACIÓN LYNC DE FORMA CORRECTA: HERRAMIENTAS QUE TE ENCANTARÁN (PARTE 1) 79
EL DIAGRAMA BÁSICO DE UNA IMPLEMENTACIÓN LYNC QUE UTILIZAREMOS EN EL CAPÍTULO ................................... 80
SERVIDOR LYNC 2013: RED INTERNA ................................................................................................................... 81
SERVIDORES LOCALIZADOS EN LA LAN ................................................................................................................ 81
SERVIDORES COLOCADOS EN LA DMZ ................................................................................................................ 83
Pruébalo ahora ................................................................................................................................... 85
REQUERIMIENTOS DE INFRAESTRUCTURA ............................................................................................................... 86
NORMAS FIREWALL REQUERIDAS POR LYNC SERVER 2013 .................................................................................... 87
6.1 TRÁFICO DE RED DESDE SERVIDORES EN LA DMZ A SERVIDORES EN LA RED INTERNA .......................................... 89
6.2 TRÁFICO DE RED DESDE LOS SERVIDORES EN LA DMZ A LA RED EXTERIOR ......................................................... 90
6.3 TRÁFICO DE RED DESDE LA RED EXTERIOR A LOS SERVIDORES EN LA DMZ ......................................................... 90
6.4 TRÁFICO DE RED DESDE LOS SERVIDORES EN LA RED INTERNA A LOS SERVIDORES EN LA DMZ ............................. 92
6.5 TRÁFICO DE RED RELACIONADO CON CLIENTES LYNC EN LA RED INTERNA ........................................................ 93
NOTAS RELACIONADAS CON LAS NORMAS FIREWALL REQUERIDAS PARA EL SERVIDOR LYNC 2013 .......................... 94
VERIFICANDO UNA IMPLEMENTACIÓN LYNC CORRECTAMENTE: HERRAMIENTAS QUE TE ENCANTARÁN (PARTE 2) ...... 95
7
VERIFICANDO UNA CORRECTA IMPLEMENTACIÓN DE LYNC: ALGUNOS PASOS AVANZADOS DE DEPURACIÓN SI LOS
CLIENTES LYNC EN LA RED EXTERNA NO ESTÁN FUNCIONANDO. ............................................................................. 96
LABORATORIO ................................................................................................................................................... 96
8
1 Antes de empezar ¿Qué es Microsoft Lync 2013 server?
Lync 2013 server es un sistema de comunicación unificado, Lync es capaz de
entregar mensajes instantáneos (IM), audio conferencias, video conferencias, reuniones
multiusuario de alta definición y voz sobre IP (VOIP), así como un chat permanente.
Puedes Integrar Lync con la Red Telefónica Conmutada convencional (PSTN) para
ofrecer completas características telefónicas y para reemplazar la existente IP PBX.
Si definimos Unificación de Comunicaciones (UC), normalmente integra:
Servicios de comunicación a tiempo real como pueden ser los mensajes instantáneos (chat), información de presencia, telefonía (incluyendo telefonía IP), video conferencias, intercambio de datos, control de llamadas y reconocimiento de voz.
Servicios de comunicación a tiempo no real como pueden ser mensajería unificada(correo de voz integrado, e-mail, SMS y fax)
En cuanto a lo que Lync se refiere hay algunas características que faltan en la lista arriba
mencionada. Reconocimiento de voz, fax y SMS dependen de productos de terceros
mientras que el correo de voz y el e-mail, están "integrados" sólo si lo relacionamos con
Exchange.
¿Por qué es importante Lync 2013?
Lync server 2013 tiene los siguientes beneficios:
Se integra externamente con Active Directory (Directorio Activo), Microsoft
Exchange, y Microsoft SharePoint
Usa herramientas de administración Microsoft para habilitar una administración
más fácil.
Otorga acceso a usuarios externos y afiliados con UC socios, proveedores, clientes
y sistemas públicos de IM como SKYPE, a través del acceso seguro a Internet
reduciendo los costes (no son necesarias conexiones seguras dedicadas o VPN)
Actúa junto con el Hardware desde diferentes fabricantes de forma agnóstica.
Lync es probablemente el ganador en la confrontación por el control del mercado de las
comunicaciones unificadas durante los próximos años. Por un lado, tenemos empresas
que producen hardware y que han creado una interfaz software únicamente para
9
administrar sus productos. Por el otro lado, tenemos Microsoft, un desarrollador de
software. Microsoft ha decidido hacer Lync compatible con tantos productos hardware
(dedicados a la voz y conferencias) como sean posibles. Un largo número de escenarios
coexistentes con otras soluciones unificadoras de comunicación, también está
disponible. Finalmente, pero todavía importante, Lync tiene interfaces de alta calidad
para administradores y usuarios que están demostrando ser el punto fuerte.
Mirando a Lync 2013 desde el Cliente
Una de las mejores maneras de hacerse una idea de las capacidades de Lync es abrir uno
de los clientes habilitados, como hice en la figura 1.1.
Figura 1.1 cliente Lync 2013 completo con indicadores de presencia
Tan pronto como un usuario se registra en Lync, éste utiliza la primera característica de
Lync llamada "indicador de presencia" (Rich presence). Prácticamente todas las
personas conectadas y habilitadas a nuestra infraestructura Lync (colegas, empleados de
compañías socias o socios de negocios) muestran el indicador de presencia como un
“marcador de estado”. El indicador de presencia es como un simple semáforo, con
colores verde, ámbar y rojo. Muestra si la persona está disponible (y dispuesta) a
comunicarse con nosotros de forma directa (indicador verde) antes que recibir mensajes
usando métodos a tiempo “no real” (indicadores ámbar o rojo).
10
En la primera situación, si necesitas comunicarte con otro usuario, un mensaje
instantáneo o llamada son un una buena solución, mientras que sería preferible usar e-
mail o invitaciones a una reunión programada para un contacto “ocupado”.
El estado del indicador de presencia en Lync incluye un conjunto de información que
permite especificar al usuario la razón de porqué el o ella no están disponibles. Puedes
ver los indicadores resumidos en la siguiente figura
Figura 1.2 un vistazo rápido al estado de presencia que puedes ver en el cliente Lync 1
Los indicadores de presencia de Lync son también usados en Exchange y en SharePoint,
por lo tanto si vamos a escribir un e-mail o a organizar una reunion, sabemos el estado
de presencia de otro usuario como puedes ver en la figura 1.3
Figura 1.3 Programación de una reunión en Outlook para los usuarios disponibles en Lync. Algunos de ellos están
“ocupados” en ese momento.
1 A través de una configuración individual, basado en los archivos estándar xml, ésos
indicadores de presencia pueden ser aumentados con hasta 4 adicionales, bases estándar
(consultar http://technet.microsoft.com/en-us/library/gg398997.aspx )
11
Otras aplicaciones de Microsoft y de terceros proveedores, Ej. Microsoft Office, Dynamic
CRM o la mayoría de las aplicaciones basadas en Internet también dan soporte
integrado con la API del Cliente Lync. Esto nos permite comenzar una rápida
comunicación sin tener en cuenta lo que estemos haciendo.
Figura 1.3a Contacto en Microsoft Word
Acabo de mencionar la posibilidad de ver el estado de presencia de contactos que no
forman parte de nuestra empresa. Eso se logra utilizando una nueva prestación, Lync
Federation (Federación). Federación es la capacidad de dos empresas con una
infraestructura Lync de extender sus funcionalidades (IM pero también conferencia y
voz) el uno con el otro si establecen una relación de confianza. Las prestaciones de Lync
federation han sido mejoradas recientemente para incluir usuarios de Skype. Lync
2013 puede también “federarse” con servicios que no sean de Microsoft basados en
XMPP. Puedes ver un ejemplo de los usuarios de Lync mostrados dentro del Cliente de
Skype en la figura 1.4
12
Figura 1.4 Los usuarios de Lync están disponibles en Skype si su empresa está usando Federation
Mensajería Instantánea (incluyendo la posibilidad de intercambiar archivos entre
usuarios) y la video conferencia directa entre dos usuarios son una experiencia
similar a lo que puedas haber visto ya en otros sistemas como Skype. Una característica
no frecuentemente disponible en otros sistemas de UC (Unificación de Comunicaciones)
es la capacidad de utilizar una interfaz Web (La Aplicación Web Lync) Para permitir
a las personas sin el Cliente Lync instalado en sus entornos de trabajo participar en una
reunión. En la figura 1.5 puedes ver la pantalla de acceso a través de la aplicación Web
Figura 1.5 El plugin de la aplicación Web de Lync es necesario si quieres tener acceso a todas las prestaciones
en las reuniones.
La Aplicación Web Lync 2013 comprende todas las posibilidades, incluyendo la
participación de audio y vídeo (en Lync 2010 estaba limitado a sólo IM). Esta
herramienta amplía la posibilidad de participación a aquellos que trabajan en un
entorno de trabajo temporal. Utilizando la Aplicación Web los usuarios externos son
capaces de formar parte de una reunión Lync a través de una interfaz con la cual están
familiarizados (como puedes ver en la figura 1.6)
13
Figura 1.6 Una reunión Lync vista desde la aplicación Web de Lync. Audio y vídeo están disponibles.
Lync 2013 para clientes móviles es otra herramienta que ampliará las bases de uso
para el usuario de Lync. Está disponible para Windows Phone, iPhone, iPad y Android.
Como puedes ver en la figura siguiente, el cliente móvil incluye casi todas las
prestaciones comprendidas en un cliente completo, incluyendo vídeo conferencia y
funciones VOIP.
Figura 1.7 realizar una vídeo conferencia desde Windows Phone ya no supone ningún problema
La calidad de este cliente móvil es un gran añadido para Lync 2013, y es muy popular
con una proporción de uso muy alta en las empresas.
Existen una serie de plugins y paquetes de terceros para optimizar el Cliente Lync en un
entorno de trabajo virtual (incluyendo tanto escritorios virtuales como servicios de
escritorio remoto).
Lync incluye una prestación llamada chat persistente que te permite crear “salas”.Las
salas son una forma de categorizar los IM (mensajes instantáneos) y conservarlos. En
cualquier momento en el que un usuario necesite leer o actualizar una conversación,
ésta estará disponible en el servidor
Para completar este rápido repaso de la parte del cliente de Lync, tengo que hablar sobre
las funciones de enterprise voice. Lync puede sustituir sin problemas una IP PBX
(Distribuidor privado de conmutación automática) y proveerte de todos los servicios que
puedas esperar de las soluciones VOIP. Es también fácil de integrar con soluciones ya
existentes (como puede ser el Cisco CUCM). Extendiendo las funcionalidades de voz a
Los cliente móviles disponibles son:
Windows Phone 7.x (Lync 2010)
Windows Phone 8 (Lync 2013)
Windows App (Lync 2013 App)
iPhone
iPAD
Android
14
los usuarios, conectarse desde una re externa solamente requiere del cliente Lync que ya
hemos visto anteriormente.
Lync server 2013 respalda también teléfonos fijos hardware como los que puedes ver en
la figura 1.8
Figura 1.8 algunos teléfonos que puedes usar con Lync Enterprise Voice
Añadiendo soporte a estos dispositivos de aspecto más tradicional como los ya
mencionados anteriormente, Lync ofrece a los usuarios la capacidad de elegir entre
estos teléfonos y auriculares conectados directamente al ordenador (una elección más
práctica, especialmente para usuarios de dispositivos móviles).
Mirando a Lync 2013 desde el Servidor
A menudo, como administrador de Lync, te fijarás en la infraestructura y sus funciones
desde el punto de vista del servidor. Hay muchas herramientas a tu disposición para
ayudarte a administrar o depurar errores en una implementación Lync pero los dos
instrumentos principales, los que utilizarás en las tareas del día a día, son la interfaz
gráfica de administración de Lync (Panel de Control de Lync Server) y el intérprete
de comandos de administración (Terminal de administración de Lync Server)
basada en PowerShell.
Puedes ver ambos en la figura 1.9
15
Figura 1.9 el panel de control y la terminal de administración uno al lado del otro
El panel de control es la herramienta que puedes usar alrededor del 80% de las veces en
todas las tareas de administración. El 20% restante sólo está disponible en la terminal
de administración (que incluye a su vez todas las funciones disponibles en el panel de
control).
Adoptando Lync: ¿Qué necesito y cuánto cuesta?
Lync distingue claramente dos ediciones (Standard y Enterprise). La licencia de
servidor básico tiene el mismo precio para las dos versiones. En cualquier caso, el tipo
de versión que utilices tiene un impacto en la continuidad de las funciones disponibles y
en el número de servidores requeridos. Para entender las diferencias arriba
mencionadas, es necesario explicar también las “funciones” (roles) de Lync Server.
Funciones:
Todo rol (función) otorga a la infraestructura una o más funciones a Lync.
Los Roles (funciones) pueden ser llevados a cabo por uno o más servidores Lync
al mismo tiempo.
El uso de roles convierten la arquitectura de Lync Server 2013 en altamente escalable.
Una implementación en un pequeño negocio sin usuarios externos, puede consistir de
un único servidor standard edition, con el rol Front End de Lync. Esto es debido a que
el Front End de Lync es el rol fundamental, y ejecuta una gran parte de las funciones
básicas de Lync Server.
Añadiendo al escenario un servidor Active Directory (Lync requiere de Servicios de
Directorio) y un servidor con la Aplicación Web de Office instalada (esto es
necesario para las presentaciones PowerPoint dentro de una reunión en Lync) tenemos
el completo funcionamiento (interno) de una implementación Lync que puedes ver en la
figura 1.10
16
Figura 1.10 una infraestructura mínima que otorgará funcionalidades Lync a nuestro usuario interno
Los usuarios están “asentados” en un Front End y su capacidad para trabajar con Lync
depende de la disponibilidad de este rol o de un servidor capaz de reemplazar su
servidor doméstico en caso de errores. La solución basada en el standard edition es
interesante, especialmente para mantener los costes lo más bajo posible.
No requiere de licencias adicionales a parte de una única standard edition de Lync y no
utiliza una base de datos externa, como es el caso en la enterprise edition. Este tipo de
solución, basada en un único “paquete”, tiene sus limitaciones. La version standard
edition de Lync no garantiza una alta disponibilidad. Hay, como verás más adelante, un
método para “emparejar” dos servidores Front End para otorgar flexibilidad pero esto
no es automático y requiere de operaciones por parte del administrador de Lync.
La implementación de la versión enterprise edition es más costosa y compleja. Se
requieren al menos dos servidores Front End de Lync para crear un “grupo”
(pool/cluster). También requiere de la instalación de un balanceador de carga. Esto es
necesario debido al uso de la persistencia de sesión para http/ https.
Un grupo (pool/cluster) es un conjunto de servidores con idéntica configuración que
proveen de al sistema de una alta disponibilidad. En un grupo (pool/cluster) las
funcionalidades de Lync estarán disponibles incluso si uno de los servidores se viene
abajo. Las bases de datos funcionales de Lync no están conjuntamente alojadas en el
Front End (como ocurría en la versión standard edition) pero están activas en un
servidor SQL externo. Si además necesitamos de continuidad en las bases de datos,
podemos utilizar el mecanismo de espejo SQL (mirroring mechanism). La instalación
“Clusterizada” de SQL también está soportada, pero tienes que recordar que este tipo de
alta disponibilidad está centrado en el mismo servidor SQL y no otorga la continuidad
original a las bases de datos que tenemos alojadas con el mecanismo de espejo
(mirroring mechanism).
17
En Lync las funciones de alta disponibilidad del servidor necesitan de la
implementación de grupos (pools/clusters).
En la figura 1.11 puedes ver planificada la implementación de un grupo Lync con la
versión enterprise edition Front End.
Figura 1.11 un diseño para una instalación Lync incluyendo un grupo para alta disponibilidad Front End.
La Aplicación Web Office no es una función en Lync, Por lo tanto si necesitas usarlo con
alta disponibilidad debes utilizar su mecanismo, el cual es implementar una “granja”
(Cluster).
El coste de esta solución deriva:
De licencias para servidores Lync con versiones Enterprise Edition.
De licencias de servidores SQL, necesarias para crear la infraestructura de la base
de datos Lync, llamada Back End.
Nota: La guía de licencias SQL 2012 expone que, si el segundo servidor SQL está
siendo usado únicamente como una copia “pasiva”, solo necesitas una única licencia
SQL (la del primer servidor)
http://download.microsoft.com/download/7/3/C/73CAD4E0-D0B5-4BE5-AB49-
D5B886A5AE00/SQL_Server_2012_Licensing_Reference_Guide.pdf
Normalmente el siguiente paso después de la instalación de los servicios para la red
interna es la exposición de las características de Lync a los usuarios externos.
18
Para lograr el resultado mencionado anteriormente necesitas desplegar un servidor
Lync Edge y un Proxy inverso.
El servidor Lync Edge es un rol que toma Lync instalado en una máquina autónoma,
normalmente se encuentra en una red perimetral y no se añade al dominio de Active
Directory. Lync edge pone audio, vídeo y servicios de conferencia a disposición de
usuarios externos de forma segura, actuando como un “man in the middle”
(intermediario) que recibe peticiones desde Internet y las envía al Front End de Lync.
No hay conexión directa entre el usuario y el servidor Lync en la red interna.
Un proxy inverso es similar a Lync edge, pero expone de forma segura las
Funcionalidades Web (como Web App, Libreta de direcciones o URLs simples) de el
Front End, colocándose a si mismo en el medio, entre el cliente y el servidor objetivo.
Una solución de proxy inverso podría ser Microsoft TMG, Microsoft IIS ARR, Microsoft
Web Application Proxy (2012 R2) o cualquier otro firewall soportado.
En la figura 1.12, puedes ver un esquema incluyendo los servidores necesarios para el
acceso de usuarios externos.
Figura 1.12 Esquema con una red perimétrica y los servidores necesarios para el acceso de usuarios externos
Añadir Lync edge y un proxy inverso no requiere de costes adicionales, porque edge no
necesita licencia y hay muchas soluciones gratuitas para implementar funcionalidades
de Proxy inverso. A propósito de las funciones de Lync hay algunas de las cual todavía
no he mencionado:
19
Monitoreo es una función dedicada al registro de los parámetros de calidad y para la
presentación de informes relacionados.
Registro esta función guarda el contenido de los IM para los requisitos legales y de
cumplimiento y registro de IM, conferencias y Chat Persistente.
En el servidor Lync 2013 las funciones de monitoreo y registro están siempre localizadas
en el Front End. La decisión a tomar tiene que ver con si estas funciones son requeridas.
El Monitoreo es muy útil para la resolución de problemas y obtiene valor añadido si se
utiliza Enterprise Voice. La presencia del registro está únicamente relacionada con
restricciones legales.
Chat Persistente es una función que permite la creación de IM “salas de chat”. Serás
capaz de crear áreas temáticas y la sala es fija. Un usuario puede releer la conversación
o añadir algo en cualquier momento. Una función como esta tiene sentido, por ejemplo,
para crear una base de información corporativa. El Chat persistente se puede colocar en
una versión standard Edition de Front End o implementada como un servidor dedicado
(o grupo).
Servidor de Mediación es requerido para operar con enterprise voice (maneja la
corriente de datos de la "señalización"). En Lync 2013, los requisitos hardware han sido
reducidos debido a la presencia del desvío de medios (el cual discutiremos en los
capítulos dedicados a la implementación de voz). Esta innovación permite adoptar esta
mediación como una función en el Front End de Lync. La posibilidad de crear un
servidor o un grupo de mediación está todavía disponible.
Director es una función que administra la autentificación de usuarios antes de que
conecten directamente con el Front End de Lync. En el servidor Lync 2013 esta función
no es realmente útil. Podría proporcionar una capa de seguridad adicional, pero el
director añade (también) un punto crítico potencial.
Costes Extra a tener en cuenta con Lync 2013
Durante la explicación anterior, no mencioné algunos costes que tienen su importancia
en el diseño de una solución Lync. El primer aspecto a considerar es el coste del
sistema operativo en el que instalaremos Lync y los servidores adicionales necesarios
(Office Web Apps y proxies inversos). Lync soporta instalaciones en un entorno virtual,
por lo que podemos utilizar los “derechos de virtualización” de Windows para reducir
costes (por ejemplo, la Datacenter edition de Windows 2012 te permite instalar
ilimitadas máquinas virtuales en un único Host físico). De cualquier forma, una
20
estrutura compleja, como la de un grupo (cluster) Front End, también necesitará de un
gasto significativo para el sistema operativo base.
El segundo aspecto es el coste de las licencias del cliente. Lync necesita de una CAL
(Licencia de Acceso Cliente) por cada usuario o máquina que accede al sistema. Las CAL
son de tres tipos y cada una tiene derecho a la utilización de una parte de las
funcionalidades. El acceso a funciones “Premium” se determina por la adopción del
CAL Estándar y después deberás añadir licencias CAL suplementarias, una CAL
Enterprise y, y para algunas funcionalidades adicionales, una tercera licencia llamada
Plus CAL (Puedes pensar en Enterprise CAL y en Plus CAL como suplementarias de
Standard CAL).
Standard CAL (Licencia de Acceso Cliente): ofrece IM (Mensajería Instantánea) y
presencia, así como comunicación de audio y vídeo de PC a PC.
Enterprise CAL (Licencia de Acceso Cliente): el usuario puede utilizar reuniones
multitudinarias en Lync meetings (incluyendo Vista de Galería, una opción
que permite visualizar hasta cinco videos en directo al mismo tiempo) y
conferencias salientes PSTN (Red Telefónica Conmutada).
Plus CAL (Licencia de Acceso Cliente): Habilita las capacidades de Enterprise
Voice.
El software del cliente Lync 2013 puede llevar a costes más grandes. El cliente Lync
2013 completo para escritorio está disponible como parte del Office 2103 Plus o como
una aplicación autónoma bajo un contrato de acuerdo Enterprise, Por lo tanto
tendremos que considerar el coste de este paquete. La alternativa gratuita (cliente
básico para Lync 2013) tiene algunas limtaciones, por ejemplo las funciones Lync
Enterprise Voice están reducidas para un cliente. También es posible mantener el uso
del preexistente cliente Lync 2010 pero, de cualquier forma, la elección de una solución
de cliente requiere una evaluación apropiada de los costes.
Nota: Las CALs de Lync (Licencia de Acceso Cliente): son añadidos, así que las únicas
combinaciones bajo acuerdo de licencia son:
Standard CAL
Standard CAL + Enterprise CAL or Standard CAL + Plus CAL
Standard CAL + Enterprise CAL + Plus CAL
21
Una última palabra
Esta breve reseña ha introducido conceptos que se pueden ver en detalle a lo largo del
libro. Muchas de las ideas presentadas aquí tendrán más sentido cuando sean vistas en
el contexto, Por lo que te invito a comenzar con el primer capítulo principal,
construyendo tu laboratorio de Lync 2013.
22
2 Construyendo tu
laboratorio Lync 2013
Normalmente un libro come este que estás leyendo comienza con un proceso de
instalación del producto paso a paso. Este capítulo está dedicado para ayudarte a
construir un laboratorio para estudiar a Lync 2013 con una amplia visión de conjunto de
los recursos necesarios y de las diferentes operaciones desde un punto de vista lógico.
Trazando una mínima infraestructura de trabajo
Voy a considerar tres escenarios diferentes para el banco de pruebas. Cada uno de ellos
será la columna base principal para el siguiente:
Solo servicios internos del Servidor Lync
Servidor Lync disponible para usuarios externos
Integración de Exchange 2013 y SharePoint 2013
En el párrafo 2 voy a estudiar las diferentes tareas relacionadas con el hardware y el
software necesario y las soluciones disponibles para hacer que los ajustes antes
mencionados funcionen.
Solo servicios internos del Servidor Lync
Lync está basado en Active Directory, por lo que el primer servidor obligatorio que
tienes que implementar no es Lync, si no un controlador de dominio. Las buenas
noticias son que este servidor se usará para más de una única función y también será tu
DNS (la resolución de nombres de dominio es vital para Lync) y tu Enterprise C.A.
(entidad de certificación empresarial)
El segundo servidor en tu lista debería un Lync Front End adjuntado al dominio.
NOTA: Estamos hablando de un laboratorio con recursos limitados. De cualquier
manera esto es un servidor que necesita al menos 3Gb de RAM 3 (en caso contrario la
instalación de Lync no funcionará en absoluto).
Un requerimiento adicional es un servidor Office Web Apps para las presentaciones
PowerPoint durante las reuniones.
23
Con estos tres servidores anteriores, tienes un entorno de trabajo Lync. Es buena idea
añadir clientes virtuales para comprobar el comportamiento de un usuario Lync dentro
y fuera del dominio.
Tu laboratorio debería ser como el de la siguiente figura
Figura 2.1 El entorno de laboratorio básico
Con la implementación anterior (y añadiendo un servidor DHCP en tu controlador de
dominio) podrías incluso probar la versión de teléfono.
Pruébalo ahora
¿Eres capaz de instalar un Lync Front End sin un servidor Office Web Apps disponible?
¿Cuáles son las consecuencias?
Servidor Lync disponible para usuarios externos
Si también quieres probar el acceso de los usuarios externos, tienes que añadir un Lync
Edge y un software o hardware para hacer un Proxy inverso a los servicios de Lync Front
End (por ejemplo IIS o Forefront TMG). Un requisito adicional será simular el
escenario más común, una red DMZ entre Internet y tu red interna. Podrías alcanzar
ese resultado con un esquema como el de la siguiente imagen usando Forefront TMG
como un cortafuego en trípode (three-legged-firewall), configurando RRAS (servicio de
enrutamiento y acceso remoto) en un servidor Windows virtual o usando un hardware
para simular la topología de la red.
NOTA:
Bajo todas las circunstancias, si implementas un servidor Lync Edge en un real, y
completamente compatible entorno, tú DEBES asegurarte de que Edge Server está
24
implementado con DOS interfaces de red, ¡una para el acceso interno a la red y otra para
el acceso externo!
Figura 2.2 entorno de laboratorio con tres redes simuladas
Pruébalo ahora
Aceptando trabajar en un escenario sin soporte para limitar el número de servidores
requeridos, ¿eres capaz de implementar Lync para los usuarios externos sin un Proxy
inverso? ¿Es posible alcanzar este objetivo sin un servidor Lync Edge?
Integración de Exchange 2013 y SharePoint 2013
Exchange y SharePoint añaden muchas funciones interesantes a Lync (tienda de
contacto unificada e imágenes de alta resolución desde Exchange 2013, habilidad basada
en la búsqueda con SharePoint 2013). Con Exchange deberías considerar también la
función de Mensajes Unificados (Unified Messaging) para integrar un correo de voz y
otros servicios de voz. También, para sondar la integración entre Lync y Outlook
necesitarás “habilitar el mail” de tus usuarios Lync con buzón de correo Exchange.
Llegado este punto el laboratorio no es tan fácil de implementar y administrar como con
25
los que hemos visto anteriormente.
Figura 2.3 entorno de laboratorio con Exchange y SharePoint implementados
Montando los requisitos software y hardware
Así que, vamos a construir entornos de laboratorio que funcionen. Un driver
(normalmente) mantiene un coste bajo (en términos de espacio tiempo y dinero
requerido). ¿Cuáles son los recursos que tenemos que cuidar más? ¿Qué somos capaces
de guardar en un entorno virtual y qué necesitamos instalar en un hardware dedicado?
Virtualización
Vamos a comenzar por el último de los aspectos mencionados anteriormente: Lync 2013
permite la virtualización de todas las funciones de Lync. También, casi todo en esta
infraestructura que te ayude a desplegar o añadir características (controladores de
dominio, servidores de correo y más) es virtualizable también. Esto es muy importante y
te ayudará a alcanzar el primer objetivo (Aprender Lync con el mínimo esfuerzo) y
26
añade el soporte para tomas instantáneas (snapshots), Así que puedes probar
configuraciones y volver atrás con un simple comando. Si tienes acceso a un Trunk SIP
(o puedes simularlo, por ejemplo con una segunda instalación Lync o una solución
alternativa de voz como Asterisk) eres capaz de aprender mucha cosas sobre Lync
Enterprise Voice sin necesidad de tener un hardware dedicado. Si puedes comprar un
teléfono fijo Lync y un “switch” serás capaz de investigar también la administración del
hardware telefónico con Lync. Por consiguiente, ¿qué te perderás con este método? Pues
bien, lo que no puedes esperar es el conocimiento profesional de como configurar un
Gateway de voz a tres voces, IP PBX y más. Eso es algo importante que tendrás que
aprender (probablemente) en un entorno real, esperando que la documentación del
proveedor sea lo mejor posible.
Adquiriendo los recursos necesarios
Primero vamos a examinar los recursos individuales que vas a necesitar. Después del
primer párrafo (en el cual verás las diferentes escenarios de instalación), intentaré
proponer el mejor método para obtenerlos.
RAM (memoria): es un bien costoso de conseguir. En portátiles y ordenadores la
máxima memoria que puedes usar está imitada por el hardware, y una buena placa base
podría ofrecer como máximo 32 GB (pero tienes que considerar el coste de los módulos
de memoria también). Así que uno de tus trabajos principales será el de crear la
infraestructura necesaria usando la menor memoria posible. Una limitación aquí es la
utilidad porque muchas veces eres capaz de mantener algunos servidores funcionando
con unos pocos Mb de RAM pero su rendimiento será tan malo que estarán como si
fueran inservibles. La virtualización puede ser de ayuda en apoyo a la memoria
dinámica pero la memoria requerida es a menudo un cuello de botella.
Discos duros: normalmente localizar espacio del disco para los es rápido y barato
(especialmente si estuviéramos hablando de una instalación virtual). El rendimiento de
los discos puede crear un problema. Cuantas más máquinas virtuales pongas en un
único disco físico, más lento trabajará. Una vez más la solución aquí podría ser añadir
discos (más fácil en un ordenador), para distribuir los archivos de los servidores
virtuales en discos externos o usar discos SSD (costosos)
CPU: esto es un recurso que normalmente subyuga a los requisitos. Si tienes un buen
procesador x64 con varios núcleos y habilitada la tecnología “multi-hilos” (hyper
threading), eso es algo de lo que no te tienes que preocupar.
Conexiones: si quieres probar también el acceso para usuarios externos tendrás que
simular una red de “Internet” y una interna (con tu servidor Edge y tu proxy inverso
27
actuando como un punto de entrada a tu instalación Lync). Podrías utilizar un hardware
cortafuegos SOHO (firewalls) y routers son muy baratos) o un software (un servidor
Windows virtual con enrutamiento y acceso remoto habilitados)
Certificados SSL: en un entorno de pruebas podrías usar un C.A. (certificado de
autorización) para crear y distribuir tus certificados. Ten en cuenta que en un escenario
real un tercer C.A. es el camino más fácil de expandir los servicios Lync a usuarios
externos y de evitar problemas y dolores de cabeza.
Software: para el sistema base (monitor de máquina virtual) puedes utilizar un
producto gratuito (Microsoft y VMware ofrecen buenas soluciones). El servidor que vas
a implementar (Windows 2012 o Windows 2008 R2) y el software de control del
servidor que necesitas (Lync, Exchange, Forefront TMG y SharePoint) están
normalmente disponibles durante 190 días de prueba por lo que esto debería ser el
camino más barato y más fácil de encontrar
Implementando los escenarios de trabajo
Basaré mi siguiente explicación en un ambiente virtual. Para una implementación física
la disposición de los diferentes servidores requieren de un trabajo adicional y
complejidad (esto es una exageración para una instalación de prueba según mi humilde
opinión) Para cumplir el “escenario interno del servidor Lync” un simple portátil u
ordenador con un monitor de máquina virtual, con al menos 8Gb de Ram y un disco
rápido es suficiente.
La suma de servicios accesibles desde Internet (segundo escenario), requiere dos
servidores adicionales y quizás pueda ser demasiado pesado para un ordenador portátil.
Un buen ordenador con 12 GB de RAM y un par de discos donde puedas distribuir las
diferentes máquinas virtuales podría ser suficiente.
Para la integración de la instalación de “Exchange 2013 y SharePoint 2013” podrías
probar con un ordenador muy bueno (con cuanta más RAM y más discos como sea
posible) o con un servidor hardware reformado (hay buenas opciones para comprar
viejos hardware que se ajustarán a tus necesidades dentro de un precio abordable
Otra solución que he probado es comprar servidores virtuales privados en la “nube”,
desde un proveedor de hosting. Son más baratos que comprar el hardware, no necesitan
espacio ni mantenimiento de tu parte y muchas veces ofrecen direcciones IP públicas,
para que de esta forma tú no tengas que simular Internet ya que tendrías un servidor
real directamente conectado. El inconveniente en esta solución es que, cuantos más
28
servidores (y tiempo) necesites, más vas a gastar. Por lo que, esta solución es buena solo
si vas a concentrar tus pruebas y estudios en un corto periodo de tiempo
Pruébalo ahora
Si necesitas probar un aspecto específico de Lync, como la instalación de un a Front End
o de un Lync Edge, prueba los laboratorios virtuales de Microsoft Ignite.
http://lynclabs.vlabcenter.com/Signin .
Son gratis, disponibles para clientes y socios Microsoft, y te dan un entorno virtual (por
tiempo limitado) que puedes usar de acuerdo con los pasos que se describirán en el
laboratorio o para probar funciones que quieras verificar por ti mismo.
Implementando el laboratorio
Empezando con el escenario “Solo servicios internos del Servidor Lync” Tienes
que desarrollar:
Un controlador de dominio
Un Lync Front End (Standard Edition)
Un servidor Office Web Apps
Controlador de dominio
Lync usará los siguientes servidores como infraestructura básica:
Active Directory
DNS
Certification Authority (Autoridad de certificación)
Lync interactúa con Active Directory para construir la infraestructura, modificar el
proyecto, los bosques y los dominios así estas nuevas clases y atributos son creadas. Una
de las limitaciones es que solo puedes tener un organismo Lync por cada bosque. Es
necesario tener al menos un Windows 2003 para los bosques y para los dominios.
DNS: Lync necesita la capacidad de resolver todos los nombres de dominio que forman
parte de la infraestructura, Incluyendo ambos, Los asociados con el dominio interno y
los relacionados con el nombre público (o nombres) de nuestra empresa. Éstos últimos
29
están normalmente definidos como dominios SIP para una empresa (Protocolo de Inicio
de Sesiones o SIP es el protocolo usado para iniciar o terminar sesiones de
comunicación en vivo. Eso tiene sentido porque tus usuarios accederán a Lync siempre
con la misma dirección SIP (o usando su dirección de correo) sin tener en cuenta la
localización (terminales fuera de nuestra empresa, ordenador unido al dominio,
etcétera).
Po lo tanto, el DNS interno debe de ser capaz de resolver los nombres de dominio
públicos de tu dominio y DEBE de encaminar las solicitudes hacia direcciones de red
que están dentro de nuestra red. Para lograr este resultado existen dos soluciones
disponibles: DNS partida (esto es servir de host para una zona pública “falsa” en el DNS
interno) o usar zonas “señalizadas” (PintPoint), esto te permitirá apuntar nombres de
dominio público hacia IPs internas, Sin la necesidad de administrar toda la copia
interna de la zona pública que es típica de los escenarios “split brain”.
Para crear una zona PinPoint (por ejemplo para hacer que meet.lync2013.org apunte a
192.168.1.100), puedes utilizar los siguientes comandos desde un intérprete de
comandos en el servidor DNS.
dnscmd . /zoneadd meet.lync2013.org. /dsprimary
dnscmd . /recordadd meet.lync2013.org. @ A 192.168.1.100
En la siguiente imagen puedes ver los mensajes resultantes de los comandos dnscmd
Figura 2.4 Realización exitosa de la señalización (pinpointing) del registro (record) meet para el Lync Front End
Nota: Si pruebas los comandos arriba mencionados desde PowerShell, solo el primero
funcionará.
30
Nota: Independientemente de, el tipo del registro DNS que uses, es importante
entender completamente el impacto que creas para los clientes Lync. El cliente Lync
utiliza un procedimiento dado para identificar su servidor Lync, basado en la IP de los
usuarios del dominio SIP (“@domain.com”). El procedimiento está basado en los
registros SRV DNS. Para nuestro test de laboratorio, nos meteremos en más detalle.
Certificado de Autoridad: Todo el sistema Lync está diseñado para ser seguro y las
comunicaciones sólo viajan de forma segura. Esta es la razón de porqué los certificados
son muy importantes en Lync (los servicios básicos ni siquiera se iniciarán si existe
algún problema con los certificados). Para una prueba de entorno el C.A. (certificado de
Autoridad) instalado en el controlador de dominio, es todo lo que necesitamos para
crear internamente los certificados requeridos por los servidores internos y los
“conectados a Internet”.
Pruébalo ahora
La señalización “pinpointing” se puede hacer también desde la interfaz gráfica. Pruébalo
y evalúa qué método encaja mejor contigo.
Servidor Lync Front End
Hablando de la implementación del laboratorio, lo que sugiero es instalar la versión
Lync Estándar Edition e instalar la función de monitoreo, el chat de grupo (Chat Group)
y el servidor de Mediación (Mediation Server).
Nota: para instalar la función de monitoreo, necesitas instalar también los informes de monitorización. Todo el
proceso está bien descrito en el blog de Matt Landis http://windowspbx.blogspot.it/2012/07/aaa-donotpost-
install-lync-standard.html
Servidor Office Web Apps
La instalación está bien descrita en el artículo TechNet implementación del servidor
Office Web Apps http://technet.microsoft.com/en-us/library/jj219455.aspx . La única
advertencia aquí es el seleccionar recordar el nombre interno y público del servidor,
porque serán requeridos para los certificados y para construir la Topología de Lync
31
Tienes requisitos adicionales para el segundo escenario “Servidor Lync Disponible para
usuarios externos”
Proxy inverso
Microsoft no sugiere una solución específica para el proceso de publicación de Lync
2013. Con TMG en su camino hacia el final de su vida, una solución viable es usar IIS
como Proxy inverso. Dicha solución está descrita en el blog NextHop usando IIS ARR
como Proxy inverso para el servidor Lync 2013
http://blogs.technet.com/b/nexthop/archive/2013/02/19/using-iis-arr-as-a-reverse-
proxy-for-lync-server-2013.aspx
Otra solución son los balanceadores de carga de KEMP Tehnologies que son equipos
homologados para Microsoft Lync 2013.
http://kemptechnologies.com/es/server-load-balancing-appliances/product-
matrix.html
Lync Edge
La instalación de Lync Edge será discutida en el capítulo 25. En un entorno de pruebas
sugiero usar el archivo hosts en el servidor edge para resolver los nombres de la
infraestructura interna de Lync.
Exchange y SharePoint
La organización de Exchange y SharePoint está ligada a la versión de los servidores
arriba mencionados que vas a desplegar. Lync es capaz de integrarse con Exchange
2007, 2010 y 2013. SharePoint es soportado si las versiones seleccionadas son 2010 o
2013.
Algunos consejos:
En Exchange 2013 no hay función UM:
LA funcionalidad está en la función del servidor del buzón de correo.
32
LA función del servidor Client Access proporciona el servicio de enrutamiento de
llamada UM (UM Call Router).
La autentificación Servidor-a-Servidor y la autorización, OAuth (Autorización
abierta) es un protocolo requerido por Lync Server 2013, Exchange 2013 y
Microsoft SharePoint Server, Las credenciales de los usuarios y contraseñas no
son transmitidas de un ordenador a otro (OAuth está basado en el intercambio de
señales de seguridad “security tokens”) Las señales (tokens) conceden acceso a
un específico conjunto de recursos para una específica cantidad de tiempo.
Laboratorio
La configuración de OAuth puede empezarse desde Lync 2013 “asignando un certificado
de autentificación Servidor-a-Servidor al servidor Microsoft Lync Server 2013”
http://technet.microsoft.com/en-us/library/jj205253.aspx o desde Exchange 2013
“Integrando Exchange 2013 + Lync 2013 para la integración UCS & OWA” http://memphistech.net/?p=280
Prueba ambos métodos y evalúa los pros y los contras de los diferentes enfoques.
33
3 Administrando usuarios
con el panel de control
de Lync Server
El panel de control de Lync es la primera herramienta administrativa a la que te
dirigirás después de que la instalación de Lync se complete. Alrededor del 80-90% de
todas las tareas administrativas pueden ser manejadas con esta interfaz gráfica (Las
operaciones restantes estarán limitadas a la terminal de administración del servidor
Lync que empezaré a explicar a partir del capítulo 5).
Este capítulo está perfectamente partido en dos temas básicos.
Una visión general exhaustiva del panel de control y de algunos conceptos
fundamentales de la administración de Lync (políticas, los alcances de las
políticas y funciones administrativas)
Una explicación completa de los parámetros de configuración de usuario disponibles en el Panel de control, incluida la asignación de los grupos (pool), la configuración del SIP URI, opciones de telefonía y la asignación de directivas
Introducción a la administración de Lync desde el panel de control
Si no eres un experto en PowerShell y si tu implementación de Lync no requiere una
resolución de problemas frecuentes, el panel de control es la herramienta que usarás
más a menudo en el día a día de la administración de Lync.
La primera operación que se suele realizar en el Panel de control (y que se sugiere por
defecto) es habilitar a los usuarios de Lync. La operación mencionada anteriormente
puede sonar lógica si ignoramos un hecho básico: La configuración que tu usuario
recibirá está basada en gran parte en las políticas de Lync y reglas mientras su
configuración Enterprise Voice dependerá en gran parte del dial plan y enrutamiento de
voz que implementarás en tu empresa. will depend largely on the dial plans and voice
routes you will deploy in your company. Así que el supuesto tácito aquí es que antes de
habilitar al primer usuario deberías tener todos los ajustes requeridos en su sitio y el
plan para la voz, el balance de la carga de trabajo, etcétera. Mi experiencia personal dice
34
que normalmente (por muchas buenas razones) tendrás que habilitar usuarios en Lync y
después modificar los ajustes de usuario acorde con lo configuración que desplegarás en
un segundo momento.
Así que vamos a examinar algunos de los pasos que necesitas llevar a cabo si vas a
habilitar a nuestros usuarios (Patricia Johnson, Peter Duggan and Julie Penny) a Lync
teniendo en cuenta sus diferentes necesidades. Resumiendo lo que dijimos aquí en el 1er
capítulo, tendrán Enterprise Voice (para Julie con el prefijo de acceso externo
configurado, para Peter con delegación), movilidad, conferencia (con vista de gallería
para Patricia) y federación con un proveedor XMPP externo (otra vez para Patricia).
Escogiendo entre el panel de control y la terminal de administración
Una decisión que necesitas tomar antes de que empieces el verdadero trabajo es sobre
qué herramienta utilizarás. Como dije al principio del capítulo, Lync 2013 permite la
administración desde una interfaz gráfica (panel de control del servidor Lync) y una
línea de comandos (terminal de administración del terminal de administración).
Administrar con un GUI (Interfaz Gráfica de Usuario) es más fácil, pero por ejemplo, si
vas a habilitar un número más grande de usuarios con un lote de modificaciones, la
mejor herramienta es la terminal de administración
El panel de control puede ser confuso porque tendrás todas las interfaces
administrativas disponibles, incluyendo las relacionadas con las funciones que todavía
no has implementado (y algunas que no utilizarás jamás). Viendo la siguiente imagen
por ejemplo, puedes ver la tabla de herramientas del Chat persistente en el panel de
control de la implementación Lync que no tiene el chat persistente habilitado.
35
Figura 3.1 La página de inicio del Panel de Control
Ahora, antes de hacer operaciones administrativas, vamos a traducir la información de
sobre Patricia en una lista de parámetros Lync: ella necesitará un número de teléfono,
recargable desde el sistema público telefónico con una extensión interna (Usaré
1(555)555-5555 y su extensión será 5555). El hábito de marcado de la empresa es añadir
el 9 antes de marcar un número externo y nosotros queremos mantener esta
característica. Patricia será habilitada para las características avanzadas de voz,
incluyendo transferencia de llamadas, llamadas simultáneas, etcétera. Desde el punto de
vista de la video conferencia ella usará además la Vista Galería (múltiples vídeos
simultáneos).
Políticas y ámbito de políticas en la administración de Lync
Toda la experiencia Lync para nuestros usuarios estará dictada por las políticas que les
apliquemos, al sitio de Lync (esto es, la localización de red), a los grupos de Lync (Lync
Pools) y a la organización como un todo.
Cuando tu objetivo es crear una configuración o límite para la mayor parte de los
usuarios es recomendado utilizar políticas globales. Las políticas por defecto que Lync
aplica justo después de la instalación son globales. Digamos, por ejemplo, que
Lync2013.Org tiene una política interna para denegar delegación (una característica
que permite a los usuarios especificar otros usuarios que puedan mandar y recibir
llamadas en su nombre). Para mandar un requerimiento como este trabajaremos en una
política global (una política de voz con un alcance global para ser más específicos).
36
Como se ha dicho, las políticas se aplican en un orden de jerarquías, como la ilustrada
en el esquema abajo:
La política se aplicará a toda la infraestructura Lync (ver figura 3.2)
Figure 3.2 una política global con delegación no habilitada
Algunos usuarios Lync como Peter Duggan (Que delegará a Julie Penny) tendrán acceso
a la función arriba mencionada. Para crear una excepción a la regla crearás una política
de voz adicional (Voice Policy) (con alcance de usuario) entonces estarás habilitado para
aplicarlo a los usuarios que lo requieran. Vamos a definir una nueva política de voz para
responder a esta necesidad en la figura 3.3.
37
Figura 3.3 seleccionando alcance para crear políticas que serán aplicadas a usuarios específicos.
Si tuvieras una sucursal con una gran cantidad de usuarios que necesitan la función de
delegación, podrías haber usado el tercer ámbito que se aplica a todos los usuarios
(sitio) en un sitio específico de Lync. La política más específica prevalece sobre las otras
para permitir una gestión granular (esto es, los parámetros conflictivos se resolverán
usando la política de usuario “predominando” la política de sitio y la política de sitio
remplazando las políticas de parámetros globales). Como consecuencia, El aspecto de
las conexiones de red de tu instalación influirá en tu administración de Lync; esto es
obvio porque si tienes un solo sitio, perderás un cierto nivel de “flexibilidad” cuando
administres tus políticas.
Funciones en la administración de Lync
Role Based Access Control (RBAC) es el modelo de permisiones usado en Lync 2013.
Durante la preparación del bosque y el dominio que es obligatorio para la
implementación de Lync, algunos grupos universales son creados y se les asignan
permisos.
Los grupos arriba mencionados son la base de RBAC y te permiten controlar que es lo
que pueden hacer los administradores y los usuarios finales. LA división entre las
funciones Lync y otras tareas administrativas (como la administración de los servicios
de Directory) es tan neta que justo después de la preparación del dominio tienes que
insertar al menos un usuario en el grupo CsAdministrator, para definir al primer
administrador de Lync 2013.
Cada función RBAC está asociada con una serie de cmdlets de la terminal de
administración del servidor Lync que se corresponden con las tareas que pueden ser
llevadas a cabo por los usuarios de un grupo específico.
Vamos a intentar imaginar un escenario: Lync2013.Org quiere delegar a un grupo de
operarios el monitoreo de la vida de Lync. La única operación que el administrador de
38
Lync necesitará ejecutar es insertar sus usuarios en el grupo
CsViewOnlyAdministrator, La herramienta a utilizar es “Active Directory Users
and Computers” (usuarios y computadoras de Active Directory), (no hay forma
desde Lync de hacer esta tarea).
Pruébalo ahora
Dijimos que los grupos tienen un subconjunto limitado de cmdlets disponibles. Para
verificar qué comandos cada grupo es capaz de realizar, puedes utilizar el siguiente
“string” en la terminal de administración de Lync.
Quedándonos con el ejemplo arriba mencionado, puedes lanzar el siguiente comando:
GET-CSADMINROLE -IDENTITY "CSVIEWONLYADMINISTRATOR" | SELECT-OBJECT -EXPANDPROPERTY
CMDLETS
Los resultados mostrarán una lista de cmdlets relacionados con el grupo
CsViewOnlyAdministrator.
Puedes probar el mismo comando con CsAdministrator y ver las diferncias.
Permitiendo y configurando usuarios
En la figura 3.4 he dividido la pantalla New Lync Server User en cuatro “zonas”:
Asignamiento de grupo (Pool)
Configuración de SIP URI
Opciones de telefonía
Otorgamiento de política
Usaré la división arriba mencionada para separar las diferentes tareas relacionadas con
parámetros de usuario que tienes a tu disposición para configurar tus usuarios (después
en el capítulo, haremos lo mismo para los clientes y dispositivos
39
Figura 3.4 La nueva página de usuario del servidor Lync con las opciones divididas en cuatro “zonas”
Habilitando a un usuario en Lync
Vamos a echar un vistazo a un proceso estándar para permitir en Lync a uno de
nuestros usuarios, Patricia Johnson.
Queremos darle un usuario Lync que coincida con su dirección de correo, para asignarla
al grupo (pool) de Lync que está localizado en la sede de la empresa y darla un número
de teléfono que es directamente accesible desde el sistema de telefonía público
1(555)555-5555.
Ella utilizará la capacidad de Lync para ver múltiples vídeos transmitidos (en streaming)
en una única conferencia Gallery view (vista Galería) y ella requirió simplificar el acceso
a servicios de IM públicos como Jabber.Org (por el momento ella tiene muchas cuentas
40
diferentes en varios sistemas). Patricia y sus compañeros han usado durante muchos
años una PBX que requería marcar el 9 antes de ser capaz de llamar a un número
externo. También queremos adoptar este hábito de marcado.
Empezamos por el Panel de control, pestaña Usuarios y seleccionar Permitir
Usuarios
Figura 3.5 Empezando el proceso de permisión
En la siguiente pantalla seleccionar Añadir
Figura 3.7 La nueva pantalla de usuario del servidor Lync
En la pantalla Seleccionar desde Active Directory e te permite buscar el usuario
con una búsqueda o simplemente puedes apretar el botón Buscar y obtener una lista de
todos los usuarios de Active Directory no permitidos para Lync. Selecciona Patricia
Johnson.
41
Figura 3.7 Empezando el proceso de permisión
Asignación de grupos (pool)
Varios parámetros ya están establecidos en automático, lo que significa que la política
mundial se aplicará siempre y cuando no digamos lo contrario. La primera área se utiliza
para decidir qué grupo será el anfitrión (host) de la cuenta de usuario (Patricia Johnson)
como se puede ver en la siguiente captura de pantalla (figura 3.8). La información
relacionada con el grupo (pool) en la que el usuario está "asentado" se muestra en la
primera parte del menú y son importantes, por ejemplo, si tenemos que pasar nuestros
usuarios de un servidor a otro en caso de una desastrosa recuperación.
Figura 3.8 Asignando al usuario a un servidor con versión Standard Edition
En Lync 2013 el llamado grupo (pool) Front End está al cargo de una gran parte de las
funcionalidades Lync incluyendo autentificación y registro. Un grupo (pool) Front End
podría estar constituido por un simple servidor Lync Standard edition o por un grupo
42
de servidores Lync Enterprise Edition (El mínimo sugerido son dos servidores para un
grupo “pool” Enterprise).
Todo usuario habilitado en Lync debe de estar asentado en un grupo (pool). Si el grupo
contiene más de un servidor, cualquier persona conectada a Lync tendrá una un orden
de inscripción definido (esto se crea y actualiza con un algoritmo) que contiene un
servidor primario, uno secundario, y así sucesivamente. Los mecanismos arriba
mencionados equilibran a los usuarios en un grupo (pool) siendo estos “nodos” y da
continuidad si alguno de los servidores falla. Si tienes una red geográfica con diferentes
sitios Lync, el escenario estándar es el tener a los usuarios asentados en un grupo (pool)
qué esté en su propia red, aunque esto no es obligatorio.
Con la llamada lógica “ladrillo” implementada en Lync 2023, tenemos una función de
continuidad adicional (emparejamiento Front End). Si tienes dos grupos (pools)
separados, eres capaz de tolerar fallos (failover) y hacer recuperaciones (failback) en las
cuentas desde un grupo Front End a otro. Este no es el mismo nivel de continuidad que
tienes con un único grupo “enterprise” porque tendrás que suspender usuarios
manualmente desde la edición estándar de un servidor a otro. De cualquier forma este
método soporta la continuidad del sistema (no de alta disponibilidad) porque los datos
son replicados de una forma que permite al usuario ser movido sin perder información.
Configuración SIP URI
Patricia Johnson tiene una cuenta de correo en nuestro sistema Exchange
([email protected] ). Ella se sentirá más cómoda si la permites usar la misma
cuenta de correo para acceder a los servicios Lync (una función llamada “comunicación
unificada”). Los clientes y los socios esperarán contactar con ella través de Lync/Skype
Federation usando la misma dirección de correo (reflejado también en su tarjeta de
negocios). Otro referencia, diferente de la arriba mencionada podría ser confuso.
Como ya sabes, Lync utiliza (SIP) Protocolo de Inicio de Sesión como protocolo de
señalización. Citando a RFC 3261 “SIP es un protocolo de control de capa de aplicación
que puede establecer, modificar y terminar sesiones (conferencias) como pueden ser
llamadas telefónicas por Internet. SIP también puede invitar participantes a sesiones ya
existentes.
SIP URI es el esquema de direccionamiento SIP para llamar a otra persona. En otras
palabras, un SIP URI es la versión software de un número de teléfono tradicional basado
en el protocolo SIP.
43
Cada recurso en una red SIP necesita un único URI (identificador uniforme de recursos)
y Lync no es una excepción. La segunda zona, “Configuración SIP URI” es donde puedes
configurar una dirección SIP para tu usuario que debe de ser única en la estructura Lync
y debería ser lo más fácil posible de recordar para ambos, usuarios internos y externos.
Figura 3.9 Las opciones SIP disponibles para cualquier usuario
Las opciones disponibles para SIP URI dependen enormemente en las decisiones que
hagas en el constructor de Topología Lync. Cuando diseñas (y publicas) tu
infraestructura Lync, se te requiere listar todos los dominios SIP que tu implementación
requiera.
En la figura 3.10 puedes ver la configuración relacionada con el dominio SIP por defecto
y los adicionales que se te permite añadir. El SIP URI que contenga dominios que no
existan aquí, no son configurables en el servidor Lync 2013.
Figura 3.10 Añadir o eliminar Dominios SIP requiere la modificación de la topología.
Si uno de los dominios SIP es también un dominio de correo público, la opción “Utiliza
dirección de correo de usuario” debería ser tu primera elección.
La opción de utilizar UPN (Nombre Principal de Usuario) ha sido ampliamente
utilizada, pero si tu dominio de Active Directory utiliza un nombre interno, los límites
44
de los certificados de terceros que serán efectivos en noviembre de 2015 hacen a esta
opción menos conveniente de lo que fue en el pasado. Las opciones restantes añaden
flexibilidad para darte la posibilidad de usar un esquema de nombres SIP URI que
cumpla con las necesidades de tu empresa
Opciones de Telefonía
En la tercera área, opciones de telefonía, hay cuatro ajustes disponibles en el primer
menú de pestañas desplegables como puedes ver en la figura 3.11.
Figura 3.11 El menú de pestañas desplegables de telefonía
Audio/video deshabilitado implica que el usuario no puede hacer llamadas con
audio y vídeo y está limitado a solo Presencia e IM.
PC-a-PC El usuario solo puede hacer llamadas de audio y vídeo de PC-a-PC
Enterprise Voice Permite al usuario a coger llamadas entrantes y realizar llamadas de
voz salientes (esta función requiere una licencia específica “Client Access” que
necesitarás comprar adicionalmente a la licencia del servidor, como explicaré más tarde
en este capítulo), el control de llamadas remotas tienen dos ajustes diferentes.
Control de llamadas remotas permiten al usuario controlar las llamadas remotas.
Hay dos opciones, Remote call control and Remote call control only. Si es elegido RCC
only, la función PC-a-PC es deshabilitada.
Todos los parámetros (excluyendo Audio/video deshabilitado) requieren una línea URI
(el número de teléfono del usuario).
Patricia requiere la función completa de Enterprise Voice y un número accesible desde
el sistema de telefonía público, 1(555)555-5555.
El primer parámetro que necesitamos es una Línea URI. Dijimos que Lync está basado
en el protocolo SIP, así que tienes que darle formato acorde con la recomendación ITU-
T ejemplo. 164 (tel:+15555555555).
45
Tal formato incluye un código del país, un código de área, y un número de usuario local
es requerido para poner el servidor Lync 2013 en una posición para hablar (también)
con la Red Telefónica conmutada Convencional (PSTN) y con el mundo exterior
en general. Enterprise Voice será explicado en mayor detalle, más tarde en el libro.
El número arriba mencionado puede ser accesible directamente dede el exterior de la
empresa (esto se llama DID, Direct Inward Dialing) o quizás un número interno que
requiera llamar a un número principal. En el escenario a continuación, tenemos soporte
para un parámetro adicional, ext. La Línea URI aparecerá como la de la figura 3.12,
donde la extensión es 5555.
Figura 3.12 Configurando un usuario DID con extensión
Política de marcado
La política de marcado (dial plan) y la política de voz (Voice policy) añadirán algunos
parámetros que necesitamos administrar para un usuario Enterprise Voice:
La política de plan de marcado (dial plan policy) resuelve un problema común:
necesitas normalizar los números (por ejemplo, los que el usuario marca) de esta
manera se transmiten a los Gateways de voz o Trunk SIP en formato E. 164. Un plan de
marcado contiene una o más normas que puedes aplicar a un sitio, a un grupo (pool),
aun usuario, o a todo el sistema Lync (La política global por defecto).
Las normas de normalización son creadas usando expresiones regulares tales como “$ al
final” (un tema que investigaremos en la parte del libro Enterprise Voice.
46
Figura 3.13 Configurando un plan de marcado (dial plan) con un prefijo de acceso externo
En la figura 3.13 también he añadido un “prefijo de acceso externo” (9) que es
normalmente utilizado para llamadas salientes fuera de la empresa.
Este parámetro es útil si el hábito de marcado de tu usuario es añadir un número para
identificar llamadas que van fuera de la empresa. Nuestro usuario Julie Penny
normalmente utiliza un teléfono de oficina y marca los números de teléfono después de
que haya descolgado el auricular “marcado después de descolgar” (off-hook dialing).
Ella marca el 9 al principio de un número externo (un hábito que ha aprendido con la
vieja PBX de la empresa) y después lee el número y lo marca. El prefijo de acceso
externo le dice a Lync que el 9 será usado para números exteriores (por lo que las
normas para los números internos serán ignoradas) y que el número 9 no es tomado en
cuenta cuando se marca el número.
47
Política de Voz
Las políticas de voz están echas de dos “partes”: características (que puedes habilitar o
deshabilitar) y registros de uso de PSTN, como se muestra en la figura 3.14
Figura 3.14 Editando una política de voz
La captura de pantalla anterior muestra la configuración por defecto para una política
de voz. Para nuestro usuario también habilitaremos la función de aparcar llamada (esto
es, la capacidad de dejar una llamada en “espera” y coger una llamada de otro teléfono).
Los registros PSTN son etiquetas que utilizamos para agrupar las normas necesarias
para administrar el coste de las llamadas y enrutamiento de voz. Hablaremos más sobre
Enterprise Voice en la tercera parte del libro.
Anteriormente, mencionamos las CALs de Lync. En Lync la concesión de licencias se
basa en el honor, por lo que no hay control o límite en las características que eres capaz
de utilizar incluso si no has adquirido las licencias necesarias y no tienes una pantalla
dedicada o configuración para añadir o eliminar licencias. La única forma que tienes de
mantener el control sobre los números de las licencias requeridas es con las políticas
que asignas a los usuarios de Lync, añadiendo o eliminando funciones
Asignamiento de Políticas
Dijimos que Patricia usará una función llamada Vista de Galería. Esta es una nueva
disposición que permite hasta cinco videos activos transmitidos al mismo tiempo. El
parámetro “Permitir múltiples videos” (habilitado por defecto e introducido por primera
vez en Lync 2013) puede ser deshabilitada en situaciones donde necesitamos inhibir el
48
acceso a una conferencia que utilice Vista Galería (Gallery view). Esto es algo que
tenemos que habilitar usando una política (esta está, en la parte de abajo del panel de
control). Los parámetros están preparados como se ven en la figura 3.15 (En la pestaña
de Conferencias, Editar las políticas de conferencia).
Figura 3.15 Editando las políticas globales de conferencia para habilitar múltiples vídeos
Patricia Johnson está en contacto con un gran número de clientes de nuestra compañía
y se la requiere normalmente el conocerlos públicamente a través de servicios IM
jabber.org. Tú quieres asegurarte de que sea fácil para ella para conectar con los
servicios externos antes mencionados utilizando su cuenta de Lync (y reemplazarlos con
la siguiente lista de cuentas que ella utiliza en las varias plataformas). Puedes obtener el
resultado configurando una federación basada en XMPP. Explicaré los detalles más
tarde, pero básicamente lo que necesitas es configurar la política en la pestaña de
“federaciones y acceso externo” (Federation and External Access), editando la
“política de acceso externo” (External Access Policy) como se muestra en la figura
3.16.
49
Figura 3.16 Configurando una política, con un alcance limitado para el usuario, para la federación (federation)
XMPP
Es importante apuntar que la política será de alcance de usuario, porque no queremos
que la integración de XMPP sea una función disponible
Volviendo a los parámetros de usuarios para Patricia (figura 3.17) la ataremos a la
política “XMPP Federation”, dejando la política global/por defecto, sin cambios.
Figura 3.17 Aplicando una política de usuario para Google Talk
Las diversas políticas que vemos en esta pantalla dictarán toda la experiencia del
usuario y se discutirán más profundamente en los próximos capítulos. Para que os
hagáis una idea rápida de los parámetros disponibles, tenemos:
Política de conferencia— Define las características y capacidades que los usuarios
tienen a su disposición durante una reunión, incluyendo el audio y las funciones de
vídeo y las herramientas de intercambio de datos.
Política de la versión del Cliente— Esta política define para Lync las versiones de
los clientes que se admiten en su entorno.
Política PIN— Para participar en una conferencia de acceso telefónico local, un
usuario de Lync requiere un número de identificación personal (PIN). La política PIN
dicta máximo número de intentos de inicio de sesión, la expiración del PIN, etcétera.
50
Política de acceso externo— Puedes configurar qué sistemas públicos (incluyendo
XMPP socios federados) o los usuarios externos pueden colaborar con los usuarios
internos.
Política Archiving— Archiving permite a tu empresa para mantener un registro de
las conversaciones de mensajería instantánea implicando a los usuarios de Lync. La
característica anteriormente mencionada podría ser necesaria por razones legales y
podría ser activada sólo para usuarios específicos, con una política dedicada aplicada a
las personas que necesitan realizar un seguimiento.
Políticas de ubicación—Las políticas de ubicación contienen los ajustes E9-1-1.
Política de movilidad—Las funciones que puedes controlar desde aquí están
relacionadas principalmente con el cliente Lync 2013 para dispositivos móviles, por
ejemplo, requisitos Wifi de conexión para llamadas con video desde esos dispositivos.
Persistent Chat policy—The parameters you can modify here are related to the
persistent chat service.
Política del cliente— La política de cliente determina qué características de cliente
estarán disponibles para el usuario.
Como has visto, incluso la configuración de un usuario que no tiene requisitos
particularmente complejos implica varios pasos. Las Políticas y configuración de usuario
(especialmente proyectado a gran escala) tienen un profundo impacto en los costos y en
el rendimiento del sistema y no deben ser infravaloradas.
Pruébalo ahora
Mueve un usuario de un grupo de Lync a otro y desactiva sus políticas de conferencia
utilizando el Panel de control.
Laboratorio
NOTA para este laboratorio, necesitarás un controlador de dominio y un Lync Front End
funcionando.
Procede habilitando un nuevo usuario en Lync.
Delega a este usuario la capacidad de activar y desactivar los usuarios del
servidor Lync.
Abre el Panel de control de Lync con dicho usuario y habilitar dos nuevos
usuarios a Lync.
51
Define sus políticas para que uno de ellos solo pueda usar IM mientras el otro es
un usuario Enterprise Voice.
En este último caso, configurar una política de marcado que incluye 0 como un
prefijo de acceso externo.
Prueba una llamada de audio y luego configurar todo para que los usuarios son
capaces de hablar entre sí con Enterprise Voice.
Prueba la función de delegación, permitiéndolo para usuario de Lync y aplicando
la delegación de número desde el cliente Lync.
52
4 Gestionando clientes, y
dispositivos con el panel
de control del servidor
Lync
Como administrador del servidor Lync, una de tus tareas es administrar actualizaciones
software y uso de políticas para los clientes. La definición de cliente en Lync incluye al
software del cliente Lync instalado en la estación de trabajo del usuario o en un
dispositivo móvil y teléfonos IP de oficina. Puedes añadir a la lista el Lync Web App, una
interfaz Web accesible a los usuarios sin cliente software en sus terminales locales. La
aplicación Web (Web App) no es un cliente con todas las funciones pero permite que
participe en una reunión existente
En la figura 4.1 puedes ver todo el cliente, la aplicación Web App y el teléfono de oficina
el uno al lado del otro.
4.1 Una representación gráfica de algunos clientes de Lync 2013
El panel de control del servidor Lync 2013 será de mucha ayuda en esta tarea con las
herramientas incorporadas en la pestaña llamada CLIENTS (como expliqué
anteriormente, el panel de control es la interfaz gráfica de la administración en Lync)
Puedes verlo en la figura 4.2
53
Figura 4.2 El panel izquierdo de Lync 2013, panel de control del servidor. El círculo verde muestra la pestaña
clientes.
En las pestañas del cliente tenemos las herramientas:
Clientes: El software cliente Lync y OCS instalado en clientes de escritorio (OCS 2007
R2 fue el producto publicado UC desde Microsoft antes que Lync)
Hardware: esta definición incluye todos los teléfonos de escritorio que puede utilizar
con Lync. Estos se pueden dividir en dos amplias categorías:
Teléfonos IP compatibles probados y cualificados por Lync: Estos son
teléfonos que utilizan un software de terceros que es compatible con Lync.
Teléfonos IP Optimizados por Lync: Estos son teléfonos basados en Lync Phone
Edition (ver figura 4.3). Lync Phone Edition es un cliente software de Microsoft que
funciona en dispositivos homologados y provee funciones tradicionales y avanzadas.
Figura 4.3 El teléfono de la izquierda utiliza Lync Phone Edition mientras que el de la derecha utiliza un software
del fabricante de hardware
Movilidad: dedicada a la gestión de la funcionalidad del cliente diseñado para
dispositivos móviles, como smartphones y tablets.
En la figura 4.4, además de mostrar el contenido de la ficha Clientes, he dividido en tres
"zonas" (clientes, de hardware y de movilidad). Debería ser más fácil de explicar las
diferentes herramientas de esta manera.
54
Figure 4.4 Pestaña de clientes en el panel de control de Lync con las tres zonas
Como puedes ver, dos tablas son para el Software de administración de Clientes
(Clients), cuatro son para los dispositivos Hardware y dos centrados en la movilidad
(Mobility).
Puede asignar cada pestaña con las tareas administrativas que cumplas, como en el
siguiente cuadro
Política de versión del cliente
(Client version policies) te permite especificar que clientes serán aceptados desde el servidor Lync
Configuración de la versión del cliente
Aquí puede especificar una acción predeterminada para los clientes sin una definida política de versión del cliente
Actualización de dispositivos
(Devices update) puedes aprobar y distribuir actualizaciones de software para los dispositivos
Dispositivo de prueba
Puede añadir un dispositivo de prueba y utilizarlo para verificar nuevas actualizaciones antes de implementarlas en los dispositivos de producción
Configuración de acceso de los dispositivos
Puede administrar los ajustes relacionados con las actualizaciones del acceso de los dispositivos
Configuración de dispositivos
Configuración de dispositivos te permiten modificar las opciones de gestión para Lync Phone Edition Lite como el bloqueo del teléfono después del cumplimiento de hora
Políticas de movilidad
Se puede crear una política de movilidad para permitir o denegar las características de Lync para usuarios móviles
55
Configuración de Push Notification (Notificación Push)
Puedes activar o desactivar las notificaciones push. Una notificación es un aviso en pantalla acerca de las comunicaciones Lync perdidas. Está disponible sólo en ciertas versiones del cliente móvil de Lync
Voy a explicar algunas de las configuraciones disponibles en las diversas pestañas,
manteniendo la división lógica en tres áreas para mejorar la claridad.
NOTA: Por lo general, la gestión de clientes no es un trabajo que vas a realizar
diariamente. Por lo general, tendrás que trabajar de cara a las nuevas actualizaciones de
software o si es necesario cambiar las políticas para tus clientes.
Para empezar con un ejemplo práctico, imaginemos que usted acaba de migrar la
infraestructura de Lync de su empresa al servidor de Lync 2013. Es probable que tengas
el cliente Lync 2010 mostrando el siguiente error: “Microsoft Lync 2010 es una versión
que no puede ser usada en este servidor”, como puedes ver en la figura 4.5
Figura 4.5 error por defecto en los clientes de Lync 2010.
La solución a tu problema es lo que he llamado la zona “software de clientes” en la
pestaña clientes en el servidor Lync del panel de control.
Software de Clientes Los parámetros en la política “Client Version Policy” y en las pestañas “Client
Version Configuration” dictan que clientes pueden acceder al servidor Lync.
Cada vez que un usuario inicia sesión en Lync, la configuración de la versión del cliente
seleccionar si está sujeto a la versión cliente de cheques o no. Si la configuración de
“Client Version” está habilitada (ver figura 4.6 la política de “Client Version”,
comprobará la versión del software cliente y permitirá (o denegará) su acceso.
56
Figura 4.6 configuración de “Client Version” está habilitada
Entonces la política del “Client Version” establece las normas para admitir o bloquear
los diferentes clientes.
La política por defecto es global (lo que significa que se aplica a toda la infraestructura
de Lync) como se puede ver en la figura 4.7
Figura 4.7 Política de “client version” con la configuración de política (por defecto)
Abriendo la política, verás la lista en la imagen 4.7. El valor que he marcado en verde es
el que tiene en cuenta nuestros clientes de Lync 2010. Si son más antiguos que la
versión 4.0.7577.4103 no será capaces de conectarse al servidor Lync 2013.
57
Figura 4.7 Política de “client version” con el parámetro que tiene que ver con el cliente Lync 2010 remarcado
Los ajustes por defecto son demasiado restrictivos, para nuestro escenario, excluyendo
una parte de los clientes de Lync 2010. Lo que tienes que hacer es modificarlo para
ajustar que la versión OC 4.0.7577.4103 del "agente de usuario" (correspondiente del
cliente Lync 2010). Como puedes ver en la siguiente captura de pantalla.
Figura 4.6 Permitiendo clientes de Lync 2010
Ahora, vamos a añadir un poco de información para ir más allá del tema específico que
acaba de ver.
La configuración de la versión (Version Configuration) incluye un ajuste para bloquear
clientes que no están identificados. Es un ajuste importante, ya que determina cómo
Lync gestionará cualquier cliente que no es capaz de igualar con las versiones
enumeradas en los parámetros de la política. Para gestionar escenarios con
implementaciones de empresa de los clientes Lync puedes crear sitio o políticas de
usuario para gestionar excepciones de una única oficina o empleado.
58
Nota: Si también quieres mantener los clientes Microsoft Office Communicator 2007 R2
funcionando, la versión a modificar es la 3.5.6907.233
Consejo: te sugiero una herramienta gratis (Encuentra “Lync Versions”
http://www.stumper66.com/software/lync.html) que requiera la base de datos RTC
Local para recuperar la versión cliente que tus usuarios tienen en su puesto de trabajo.
Pruébalo ahora
Abre un cliente Lync e identificar su número de versión.
Prepara una lista de los pasos necesarios para permitir la conexión con el
servidor Lync para clientes de versiones anteriores en una sucursal con un
servidor local de Lync Front End, donde se alojan los usuarios.
Ahora, imagina la sucursal antes mencionada con un despliegue de la SBA de
Lync ( Survivable Branch Appliance “SBA” es un hardware con funciones
limitadas de Lync para aumentar la persistencia de voz en los escenarios de
sucursales). ¿La lista de los pasos necesarios para mantener a los clientes
heredados de trabajo va a cambiar?
Dispositivos Hardware
Si tu empresa utiliza el Enterprise Voice de Lync server 2013 (este es el término de Lync
para definir las comunicaciones de voz sobre protocolo de Internet o VoIP) es probable
que también hayas implementado teléfonos de escritorio como los que usted ha visto al
principio del capítulo. Una parte de las tareas administrativas es mantener actualizado y
alinear a la última versión del software de los dispositivos de telefonía físicas
mencionadas
En esta zona del panel de control puedes aprobar y distribuir actualizaciones a los
dispositivos (y para volver atrás en caso de problemas), para probarlos o para configurar
algunos parámetros (ver figura 4.7)
Figura 4.7 gestión de dispositivo en el panel de control de Lync
Asumamos que tienes que actualizar un teléfono HP4110 a su última versión software.
El primer paso es descargar un archivo actualizador .bin (este archivo, desarrollado para
59
los teléfonos de escritorio, actualizará sus software). Por lo tanto necesitas hacerlo
disponible para los dispositivos.
Lync permite distribuciones software a los dispositivos a través del servicio Web
instalado por defecto en los Lync Front Ends.
Nota: El proceso requerirá también del uso de la terminal de administración de Lync
(esto es la “línea de comandos” basada en Windows PowerShell para la administración
de Lync) y sus cmdlets (un comando ligero usado en los PowerShell)
Necesitas también un cmdlet para importar los archivos .bin al servidor Lync. El
comando básico es Import-CsDeviceUpdate pero además necesitas saber un parámetro
de tu Front End llamado identity.
Si no conoces el parámetro “-identity” de tu servidor puedes utilizar el siguiente cmdlet
Get-CsService –WebServer.
En mi ejemplo tengo un valor igual a
Webserver:2012SE1.Lync2013.dom.
El archivo .bin que he descargado está localizado en c: y se llama ucupdates.cab. El
último cmdlet a importar será:
Import-CsDeviceUpdate -identity WebServer:2012SE1.Lync2013.dom -FileName
c:\ucupdates.cab
Para verificar que la actualización se ha importado correctamente tienes que ir al panel
de control de Lync y abrir “actualización de dispositivo” (Device Update) en la pestaña
clientes.
El resultado es el que puedes ver en la figura 4.8 (También he abierto el menú “Action”
para la aprobación).
60
Figura 4.8 Las actualizaciones están disponibles para su aprobación en el panel de control de Lync
Antes de implementarlo a gran escala puedes verificar las nuevas actualizaciones en
dispositivos d prueba usando el menú dedicado “probar dispositivo” (Test Device) en
el panel de control. El hardware puede ser identificado usando la dirección MAC (único
identificador de la interfaz de red del teléfono de escritorio). En mi caso
00:04:13:72:00:7F. También podrías utilizar el número de serie (M08400000) como se
muestra en la figura 4.9
Figure 4.9 Configurando un dispositivo de prueba
Si el dispositivo de pruebas no presenta problemas, puedes instalar la actualización
aprobándola en la pestaña arriba mencionada “actualización de dispositivo” (Device
Update).
Nota: Los requisitos previos para una exitosa implementación de Phone Edition incluyen
un Lync Enterprise Voice en funcionamiento y modificaciones a la infraestructura de
servidores red como DNS y DHCP.
61
Movilidad
Supongamos que nuestro usuario Patricia Johnson necesita:
Utilizar un cliente móvil y la funcionalidad “llamar vía el trabajo” (esto es, . la
capacidad de llamar desde su teléfono usando su número del trabajo)
Queremos que ella utilice voz y vídeo solo si la conexión Wifi se encuentra
disponible (así que la conexión de datos móviles debería estar deshabilitada para
estas funcionalidades)
Las malas noticias son que no puedes obtener este resultado usando únicamente el
panel de control.
La política por defecto (global) que puedes ver en la pestaña de “política de movilidad”
(Mobility Policy) (figura 4.10) no satisface los requerimientos arriba mencionados y
por eso no hay forma de forzar el parámetro del Wifi desde el panel de control.
Figura 4.10 La política de movilidad (Mobility Policy) con la política por defecto abierta.
He hecho un zoom a la imagen anterior en la figura 4.11. Como puedes observar, los
ajustes son solo para habilitar o deshabilitar la movilidad y la “llamada vía el trabajo”.
Figura 4.11 Política global Mobility
62
La solución es utilizar (una vez más) la terminal de administración de Lync. Si lanzas el
comando cmdlet Get-CsMobilityPolicy verás un resultado como:
Identity: Global
Description:
EnableOutsideVoice: True
EnableMobility: True
EnableIPAudioVideo: True
RequireWIFIForIPAudio: False
RequireWIFIForIPVideo: False
Por lo que para obtener el resultado que quieres (limitando el alcance a un usuario
porque queremos aplicarlo a usuarios individuales la cmdlet será algo como
New-CsMobilityPolicy -identity "Wi-Fi required" -RequireWiFiForIPAudio $True -
RequireWiFiForIPVideo $True
Notificaciones Push
Dependiendo del tipo de dispositivo móvil con el que el usuario trabajará, puedes
preferir habilitar las notificaciones push de Lync (como dijimos antes, avisos en pantalla
(on-screen) sobre comunicaciones perdidas en Lync.
Las notificaciones Push estás deshabilitadas por defecto (ver Figura 4.12)
Figura 4.12 Política por defecto para notificaciones Push
Para continuar con nuestro ejemplo anterior, si Patricia tiene Lync 2013 Mobile en un
dispositivo Apple, no necesitas notificaciones push porque la nueva versión del cliente
para IPad y IPhone no las soportan. Si ella utiliza Lync 2010 Mobile en un dispositivo
Apple o un Windows Phone, las notificaciones son útiles. Las configuraciones arriba
63
mencionadas usarán el servicio push para notificar al usuario sobre mensajes IM y
contactos perdidos cuando el cliente trabaja en background.
Nota: la función requiere configuraciones para el Lync Edge y para el proxy inverso que
veremos más adelante en el texto.
Algunas cosas que tienes que hacer fuera del panel de control
Algunos dispositivos, como los dedicados a conferencias y los teléfonos comunes no son
gestionados desde el panel de control y hablaremos sobre ellos.
Una parte de la gestión y configuración del cliente (política bootstrapping) es gestionada
a través de políticas de Grupo (Las plantillas administrativas de Lync 2013 están
incluidas en los archivos “Office 2013 Administrative Template (ADMX, ADML)”) como
puedes ver en la figura 4.13
Figura 4.13Plantilla administrativa Microsoft Lync 2013 en el editor de políticas de Grupo
Como puede que ya sepas, las políticas de Grupo te permiten modificar toda la
experiencia de trabajo de un usuario, añadiendo o eliminando funcionalidades,
programas y permisos del cliente basados en su pertenencia al grupo, la unidad
organizativa en la que insertamos la cuenta de Active Directory, el ordenador objetivo,
etcétera. Normalmente esto es algo gestionado desde el grupo administrativo
responsable de los servicios Directory de la empresa. Como administrador de Lync,
puedes utilizar la infraestructura de Active Directory para configurar los parámetros del
cliente Lync. Las políticas de Grupo para Lync son políticas para el ordenador objeto,
por lo que estás habilitado para modificar algunos ajustes del cliente Lync basados en el
sitio de trabajo donde el usuario ha iniciado sesión
Una aplicación útil de las políticas de Grupo con Lync 2013 aporta una solución a el
Lync – Error de inicio de sesión “Lync no puede comprobar que el servidor
64
es de confianza para la dirección de inicio de sesión. ¿Conectar todos
modos?”.
Normalmente, este es un error relacionado con algunos datos que no encajan en los
certificados de Lync, donde la dirección SIP de los usuarios no coincide con elsufijo del
servidor DNS interno.
Por ejemplo, tu dominio de Active Directory es Lync2013.dom y por lo tanto tu nombre
Lync Front End (y registros DNS) están asociados al dominio Lync2013.org.
Todos los clientes Lync, la primera vez que intenten conectar, se mostrará el error arriba
mencionado. Puedes añadir manualmente el servidor a la lista de los dominios de
confianza pero una solución más inteligente es utilizar las políticas de Grupo.
Añadiendo el servidor Lync en el parámetro “Lista de dominios de confianza
(TrustModelData)” (ver siguiente imagen).
Figura 4.14 Lista de dominios de confianza.
El error nunca se mostrará en cualquiera de los clientes se unieron a tu dominio de
Active Directory.
Este es sólo un ejemplo de los resultados que son capaces de obtener con las directivas
de grupo. En el próximo "Pruébalo ahora" yo te mostraré algunas de las tareas
adicionales que puede realizar.
65
Pruébalo ahora
Para profundizar en el poder de la directiva de grupo de Lync 2013 se podría tratar de
crear dos políticas diferentes: La primera (que puedes llamar Seguimiento) habilitará el
seguimiento para resolución de problemas en el cliente (conecta el seguimiento para
Lync habilitado en la política) y puedes enlazarlo a una unidad organizativa que puedes
depurar. La segunda política (que puedes llamar “no seguimiento”) tendrá los mismos
parámetros de seguimiento con configuración en deshabilitado, y será enlazado a unas
unidades organizativas llamadas clientes Lync. La situación será la que puedes ver en
esta figura.
Figura 4.13 Unidades organizativas con las dos políticas de grupo Lync enlazadas
Ahora, cada vez que tengas un problema con el cliente Lync de una única terminal de
trabajo, puedes mover el ordenador en cuestión a la unidad organizativa Depuración, así
la próxima vez que el cliente inicie sesión en el dominio, el seguimiento estará
habilitado. Cuando el problema es resuelto, puedes moverlo a la unidad de organización
original y el seguimiento estará deshabilitado en el siguiente inicio de sesión
Laboratorio
En este capítulo se ha visto una parte de la gestión a través del panel de control de Lync
que abarca todas las soluciones de cliente a disposición de los usuarios (clientes Lync
para entornos de escritorio y móvil y usuarios externos basados en opciones de
dispositivos móviles). Como has visto, algunas tareas específicas tienen que ser
ejecutadas fuera de la interfaz gráfica, las características del terminal de administración
Lync son el sujeto de los siguientes capítulos.
NOTA: Para este laboratorio, necesitarás un controlador de dominio y un Lync Front End
funcionando.
66
Trate de contestar las siguientes preguntas y completar las tareas especificadas. Esta
práctica de laboratorio se centra en las características que el panel de control de Lync
ofrece para gestionar los diferentes tipos de clientes y dispositivos.
¿Se puede inhibir el uso de Lync para un grupo de usuarios? ¿Cómo se realiza
esto?
¿Cómo se habilita el uso de Lync cliente 2010 sólo para un sitio específico?
¿Cuál es el mejor método para poner a prueba un firmware de teléfono de
escritorio Lync antes de implementarla en todos los dispositivos?
¿Cómo se puede dictar que las características de audio y voz para clientes móviles
sólo están disponibles si una red Wi Fi está conectada?
67
5 Gestionando usuarios
con La terminal de
administración del servidor
Lync
La terminal de administración del servidor es una interfaz administrativa construida en
Windows PowerShell 3.0. Aunque es posible realizar el 80% de las tareas de
administración y configuración desde el panel de control Lync, tienes que recordar que
el interfaz arriba mencionado solo implementa un subconjunto del cmdlet que tienes a
tu disposición en la terminal de administración. LA terminal de administración del
servidor Lync es también la mejor herramienta para automatizar tareas administrativas.
Gestionando usuarios desde La terminal de administración
Usar la nueva PowerShell 3.0 significa que las nuevas funcionalidades y mejoras están
disponibles para gestionar Lync. La primera herramienta útil es el Show-Command
cmdlet. Como puedes ver en la figura 5.1la nueva versión de este cmdlet abre una
interfaz gráfica que te permite seleccionar el módulo PowerShell que quieres usar y
luego saca una lista de las cmdlets disponibles.
5.1 Usando el Show-Command cmdlet para explorar comandos Lync
68
Seleccionando un cmdlet eres capaz de ver los parámetros disponibles (ver figura 5.2)
Figura 5.2 Los parámetros se muestran en la interfaz gráfica
Obtener información sobre los usuarios Lync
Puedes empezar a examinar uno de los cmdlets más usados por el gestor de usuarios de
Lync: Get-CsUser
Figura 5.3 El cmdlet Get-CsUser con una lista de las opciones disponibles
69
Figura 5.3 muestra una de las propiedades más comunes que puedes utilizar con el
comando get-CsUser. Un primer, interesante cmdlet que puedes utilizar es
Get-CsUser | Get-Member -MemberType Properties
Este comando mostrará todas las propiedades que podrías consultar con Get-CsUserIn.
La siguiente imagen que he sacado solo filtra el nombre de las propiedades para tener
una lista más limpia
Get-CsUser | Get-Member -MemberType Properties | select-object Name
Figura 5.4 El resultado del cmdlet anterior con los valores seleccionados en la tabla
Algunos ejemplos:
Get-CsUser | Select-Object DisplayName
70
El comando listará todos los usuarios permitidos en Lync y mostrará solo el nombre
para cada uno.
Get-CsUser -Filter {EnterpriseVoiceEnabled -eq $true}| Select-Object DisplayName
El comando listará todos los usuarios permitidos en Enterprise Voice y mostrará
únicamente el nombre de cada uno.
Get-CsUser | where {$_.LineURI -like "tel:+39*"} | Sort-Object LineURI | Select-Object
Displayname, LineURI, PrivateLine
El comando mostrará todos los usuarios permitidos en Lync enterprise voice con un
número, empezando por +39 y ordenándolos basándose en su número de teléfono en
una tabla como puedes ver en la figura siguiente
Figura 5.5 El resultado del anterior cmdlet con los valores seleccionados en la tabla.
$list = Get-CsUser
$list.Count
To count the users enabled to Lync and display a numeric value
$list=Get-CsUser -Filter {EnterpriseVoiceEnabled -eq $true}
$list.count
Si solo quieres listar los usuarios permitidos en Enterprise Voice puedes mezclar el
comando anterior y uno de los ejemplos anteriores
Get-CsUser | where {$_.registrarpool -match "Lync01.lync2013.intra"}
Si quieres listar los usuarios organizados en un grupo de registro (por ejemplo
Lync01.lync2013.intra)
Habilitar o deshabilitar usuarios Lync
Para habilitar un usuario el iniciar sesión en el servidor Lync, tienes que habilitar este
usuario a los servicios Lync. El usuario arriba mencionado debe tener una cuenta válida
en el bosque de Active Directory.
Aunque eras capaz de lanzar el cmdlet Get-CsUser sin parámetros, el Enable-CsUser
cmdlet tiene algunos parámetros requeridos. Identity, RegistrarPool y SipAddress
71
tienen que ser definidos (aunque el último puede ser parametrizado automáticamente o
manualmente en el cmdlet).
Figura 5.6 Los parámetros del Enable-CsUser están en amarillo
Algunos ejemplos:
get-csaduser -filter {windowsemailaddress -like ‘*@domain.com’} -OU
“ou=OrganizationUnitName,dc=domain,dc=com” | Enable-CsUser –RegistrarPool
“PoolServer.domain.com” -SipAddressType EmailAddress
La habilitación de una mayoría de usuarios de Active Directory a Lync es algo
demandado a menudo. He utilizado la solución publicada en este blog
http://jamesosw.wordpress.com/2012/01/16/enabling-lync-users-in-bulk/
Este se basa en el cmdlet get-csaduser y te deja escoger un usuario en cuestión de una
unidad organizativa específica, filtrándolos usando la dirección e-mail address y
habilitándolos Lync con una dirección autogenerada basada en la dirección e-mail
arriba mencionada.
72
El panel de control no puede modificar dominios de usuario que son parte de un grupo
administrativo. Si pruebas ha hacer esto tendrás el error que se muestra en la siguiente
imagen.
Figura 5.7 el mensaje de error relacionado con la modificación de un administrador
Es necesario operar desde la terminal de administración con el siguiente cmdlet
Enable-CsUser –Identity "Administrator" –RegistrarPool Lync01.lync2013.intra -
SipAddressType EmailAddress
Pruébalo ahora
Prueba el parámetro WhatIf para probar un cmdlet Enable-CsUser
Prueba la diferencia entre el cmdlet Set-CsUser –Identity "username" –Enabled
$False y el cmdlet Disable-CsUser –Identity "username". Te darás cuenta de que el
primero deshabilita el usuario de Lync sin ninguna pérdida de configuración o
política, mientras que el segundo limpia todos los parámetros.
Moviendo a usuarios Lync entre diferentes grupos (pools)
El cmdlet Move-CsUser te permite mover una cuenta de usuario desde un grupo
registrador a otro.
Este comando es importante en Lync 2013 porque podemos usarlo para la prevención y
recuperación de fallos de usuarios habilitados en Lync desde un grupo a otro si hemos
decidido tomar ventaja de la funcionalidad de emparejamiento Front End (mirar más
tarde en el texto para una explicación más extensa).
Los parámetros relacionados con Move-CsUser son los que puedes ver en la figura 5.8,
con los amarillos (Identity y Target) requeridos.
73
Figura 5.8 El cmdlet Move-CsUser con los parámetros requeridos y opcionales
Como una parte de la prevención de fallos si un Front End emparejado ya no se
encuentra disponible, tienes que utilizar el siguiente cmdlet (incluyendo el parámetro –
Force)
Get-csuser -Filter {RegistrarPool -eq "Lync1.Lync2013.Intra"} | Move-CsUser -Target
Lync1.Lync2013.Intra -Force
Lync2013.Org ha desarrollado un entorno híbrido con un dominio dividido. Aunque
hablaremos de este tipo de configuración en el capítulo 21, por el momento es
importante recordar permite a tus usuarios trabajar localmente y online con el dominio
SIP. También puedes mover a los usuarios online y locales usando el cmdlet Move-
CsUser, la sintaxis será algo similar a la que puedes ver aquí.
Move-CsUser -Identity “UserURI ”@Lync2013.Org” -Target sipfed.online.lync.com -
Credential “Office 365 administrator credentials” -HostedMigrationOverrideUrl
“Migration URI taken from the Office 365 Portal”
74
Manejando políticas desde la terminal de administración
Como has visto en los capítulos anteriores, el servidor Lync provee de un número
políticas para administrar las funcionalidades y configuraciones. Por cada una de las
políticas que has visto en el panel de control, hay un cmdlet emparejado en la terminal
de administración. Las políticas están relacionadas con clientes y dispositivos (Version
del cliente, Pin, Política del cliente) serán explicadas en el capítulo 6.
En cuanto a los usuarios Lync tenemos el esquema que puedes observar en la figura 5.9.
Date cuenta de que el esquema utiliza únicamente el “New-“ cmdlet usado para crear
una política nueva, pero también tienes “Grant-“ para asignar una política existente,
“Get-” para recuperar información sobre las políticas, “Remove-“ para eliminar
políticas y “Set-“ para modificar una política existente.
Figura 5.9 políticas de usuario emparejadas con el cmdlet usado para generar una nueva política
La primera política Lync2013.Org quiere implementarse para conferencias, limitará a
los usuarios con un CAL estándar para IM, presencia y participación (sin programación)
en conferencias. Tim Harrington ha hecho un buen trabajo aquí http://howdouc.blogspot.it/2011/09/understanding-and-enforcing-licensing_21.html con una política que hace lo que necesites usando la terminal de administración (los
artículos estaban basados en Lync 2010 pero las limitaciones del CAL estándar y de las
cmdlets a utilizar son las mismas en Lync 2013):
75
New-CsConferencingPolicy –Identity “Conf-StandardCAL” –AllowIPAudio $false –
AllowIPVideo $false –AllowUserToScheduleMeetingsWithAppSharing $false –AllowPolls
$false –EnableAppDesktopSharing None –EnableDialinConferencing $false
La política deshabilitará todas las funcionalidades no incluidas en el CAL estándar como
puedes ver en los resultados mostrados en la figura 5.10
Figura 5.10 configurando una nueva política para hacer cumplir una CAL estándar
El siguiente paso será aplicar la política a los usuarios. Por ejemplo, digamos que
cuando Julie Penny fue contratada en la empresa, las funcionalidades que la otorgamos
fueron las incluidas en el CAL estándar.
Grant-CsConferencingPolicy –Identity "Julie Penny" –PolicyName "Conf-StandardCAL"
Cuando Julie empezó a trabajar con Stacey Duggan el administrador de Lync decidió
pasarles a la política “global”, la cual incluye funciones adicionales.
Una vez más, desde la terminal de administración, somos capaces de desempeñar la
tarea utilizando:
Grant-CsConferencingPolicy –Identity "Julie Penny" –PolicyName $Null
CsExternalAccessPolicy está dedicada para gestionar tus políticas de acceso externo
(como federation). Por lo tanto, el primer paso que podrías llevar a cabo es coger una
76
lista de políticas existentes con Get-CsExternalAccessPolicy. Ahora, supongamos que los
Internos de tu empresa no deberían estar habilitados para usar las funcionalidades de
acceso externo. Puedes responder a esta necesidad creando una política de usuario con
un cmdlet de esta forma:
New-CsExternalAccessPolicy -identity Intern
No necesitas especificar los parámetros, porque las funciones serán $False (esto es,
deshabilitado) por defecto, como puedes ver en la siguiente figura 5.11
Figura 5.10 Configurando una política restrictiva para un grupo de usuarios
Ahora todo lo que necesitas es definir es un parámetro que identifique a los usuarios
internos habilitados para Lync y aplicar la política antes mencionada de una manera
homogénea. Si su título en Active Directory es “Interno” (intern), el cmdlet será algo
parecido a lo siguiente
Get-CsUser –LdapFilter "Title=Intern" | Grant-CsExternalAccessPolicy –PolicyName Intern
El servidor Lync (con la función “archivar”Archiving) permite a las organizaciones
archivar contenido de IM (mensajes instantáneos), contenido de conferencia (reunión),
o ambos. El primer paso será leer las políticas que están trabajando en nuestra empresa
con el cmdlet Get-CsArchivingPolicy. Configuración por defecto de una política global
como la que puedes ver en la figura 5.11
Figura 5.11 Leyendo las políticas Archiving “archivar”
Estando envuelto en asuntos legales, Stacey Duggan ha requerido tener conferencias
internas y externas realizadas.
Puedes proceder a crear y aplicar la política para ella con el siguiente cmdlet:
New-CsArchivingPolicy -Identity “LegalAffairs” -ArchiveInternal $True –ArchiveExternal
$True
Grant-CsArchivingPolicy –Identity "Stacey Duggan" –PolicyName “LegalAffairs”
77
Algunas configuraciones asociadas a clientes móviles están disponibles solo en la
terminal de administración. Trabajando en la cuenta de Stacey, quieres habilitarla para
Call via Work (el usuario puede hacer y recibir llamadas en su teléfono móvil usando
su número de teléfono del trabajo) pero también quieres asegurarte de que ella puede
usar las funciones VOIP y Video del cliente móvil Lync 2013 solo cuando una red Wi-Fi
está disponible (evitando usar su plan de datos).
Este último parámetro solo está disponible desde la terminal de administración y no es
visible desde el panel de control después de que hayas añadido la nueva política.
El cmdlet será como el siguiente:
new-CsMobilityPolicy -Identity "CallviaWork" -EnableOutsideVoice $True -
RequireWIFIForIPAudio $True -RequireWIFIForIPVideo $True
En la siguiente figura las diferentes visualizaciones se muestran, con el panel de control
y la terminal de administración
Figura 5.12. La conexión Wi-Fi obligatoria para VOIP no se muestra en el panel de control
Después de que hayas concedido la política CallviaWork a Stacey, los ajustes en su
cliente móvil se bloquearán de esta forma ella no es capaz de utilizar una conexión
diferente al Wi-Fi (figura 5.13)
Figura 5.Los ajustes del cliente están dictados por la política
Lync2013.Org usará la función chat persistente (hablaremos sobre esto en el capítulo
10) y necesitarás utilizar los cmdlets dedicados (que son nuevos en la terminal de
administración Lync 2013).
78
El nuevo cmdlet c -CsPersistentChatPolicy crea una nueva política de Chat persistente
para determinar si el acceso del usuario está permitido a salas de Chat persistente.
Una política que necesitarás es la de habilitar a los usuarios al chat persistente
New-CsPersistentChatPolicy -Identity "ChatPolicy" -EnablePersistentChat $True
Laboratorio
Para probar la flexibilidad y potencia de la terminal de administración un buen
comienzo es probar los siguientes “bien conocidos” comandos
Get-CsAdUser | ?{$_.UserAccountControl -match "AccountDisabled" -and $_.Enabled -
eq$true} | Disable-CsUser
Este es de Pat Richard y deshabilita usuarios de Lync que ya están deshabilitados en
Active Directory
(get-csuser -OnLyncServer -Filter {EnterpriseVoiceEnabled -eq $true}).count
Este es de Mike Pfieffer y en este ejemplo utiliza AD PowerShell para importar una foto
llamada rhouston.jpg para un usuario llamado rhouston
(get-csuser -OnLyncServer -Filter {EnterpriseVoiceEnabled -eq $true}).count
De parte de Chris Norman, cuenta el número de usuarios con voz habilitada en Lync.
79
6 Requerimientos Firewall
para el Servidor Lync 2013
Como he explicado en capítulos anteriores, Lync Server 2013 contiene muchas
funcionalidades de comunicaciones unificadas y cada una de ellas requerirá el uso de
una serie de protocolos y puertos de red. Si resumes todas las funcionalidades
disponibles, el número de configuraciones firewall (cortafuegos) requeridas es alto, y no
es trivial. En este capítulo trataré de explicar algunos de los recursos que debes utilizar
para el diseño de tu seguridad de la red para el servidor Lync 2013, las normas
requeridas en tus firewalls y algunas herramientas útiles para verificar y depurar tu
instalación.
Planeando una implementación Lync de forma correcta:
Herramientas que te encantarán (Parte 1)
La galería TechNet está llena de herramientas increíbles (y gratis). Sugeriré un par de
ellas para esta parte de la planificación de nuestro Lync Server 2013:
Lync 2013 Calculadora de diseño detallada: De Alessio Giombini
(@AlessioGiombini ), Alberto Nunes (@AA_Nunes). Citando la
descripción “es un offline, gratis, basado en Excel, calculadora de diseño
de bajo nivel para implementaciones Microsoft Lync 2013”
http://gallery.technet.microsoft.com/lync/Lync-2013-Standard-Edition-
324bf0f1 . Basado en tu diseño planificado generará mucha información
útil, incluyendo las normas firewall necesarias.
Diagrama de Firewall V2 para Lync 2013: De Randy Chapman. Es
un diagrama de Visio base de una implementación de Lync Server 2013
http://gallery.technet.microsoft.com/lync/Lync-2013-Firewall-Diagram-
9a7e3c92 . puedes modificarlo para explicar tus requerimientos de
seguridad / firewall. Citando la descripción “Lo tomé de Visio e hice un
cuadro que espero que dure al menos mil palabras.” Estoy fuertemente de
acurdo en eso.
Requisitos de puerto: un post de TechNet que enlaza a todas las
diferentes fuentes relacionadas con el firewall del servidor Lync 2013.
http://technet.microsoft.com/en-us/library/gg398798.aspx
80
Protocolo de cargas de trabajo del Servidor Microsoft Lync
2013: Este muestra en un archivo .pdf / .vsd todas las diferentes cargas de
trabajo relacionadas con el servidor Lync 2013 y los protocolos y puertos
que necesitas para habilitarlos http://www.microsoft.com/en-
us/download/details.aspx?id=39968 . Este recurso es excepcional para
cualidad, pero un poco difícil de usar si no estás familiarizado con Lync.
Planificación e implementación del certificado interno del
Servidor Lync 2013: Este recurso te ayudará a entender y gestionar los
requerimientos del servidor Lync 2013, con especial atención en los
certificados http://lyncuc.blogspot.de/2014/04/internal-certificate-
deployment-in-lync.html.
El diagrama básico de una implementación Lync que utilizaremos
en el capítulo
La explicación de los requerimientos Lync empezará desde un diagrama en la figura 6.1
(idéntica a la mostrada en la figura 2.2), representando la mínima infraestructura
requerida para implementar un servidor Lync 2013 que también está disponible para
usuarios externos.
Figura 6.1 Una mínima infraestructura de trabajo del servidor Lync 2013 incluyendo usuarios externos
Para explicar la infraestructura Lync, como dije, necesitaremos añadir nombres y
direcciones de red (IPs) a nuestro diseño Lync. Para otorgar la resolución de nombres
81
usaremos el mismo servidor DNS que es ya requerido por los servicios de dominio de
Active Directory (AD DS).
Nota: Habrá dos resoluciones de nombres DNS diferentes requeridos, Uno para
Internet y otro para la red interna. Este último será el que aprovechará el servidor DNS
existente. Esos servidores DNS son usados internamente por servidores miembros de
Active Directory y por usuarios de dominio SIP con proceso de inicio de sesión
automático.
Servidor Lync 2013: Red interna
En la figura 6.2 he añadido nombres, dirección de red, y Virtual LANs (VLANs) al
esquema mostrado en la figura anterior 6.1
Figura 6.2 El diagrama previo de Lync, poblado de nombres, IPs y VLANs
Servidores localizados en la LAN
El Controlador de dominio, Aphrodite estará a cargo de la identificación del
usuario, permisos y servicio DNS. Lync está construido sobre Active Directory, así que la
implementación interna requerirá un dominio con los siguientes requisitos:
Todos los controladores de dominio tienen que ser al menos versiones 32-
bit o 64-bit del sistema operativo Server Windows 2003
Nivel funcional del dominio al menos Windows Server 2003
Nivel funcional del bosque al menos Windows Server 2003
82
Nota: ver el post TechNet de los requerimientos de infraestructura de Active Directory
http://technet.microsoft.com/en-us/library/gg412955.aspx para información adicional
Para un usuario conectado a la red LAN interna, todos los servicios Lync están
directamente en el Front End (Apollo). Una parte de los servicios Lync anteriormente
mencionados (como “marcar en” (dialin) y reunión) serán implementados a través de la
función instalada localmente Servios de Información de Internet (IIS) y será
accesible por el puerto 80 y 443 del Apollo. Adicionalmente, el IIS interno estará
escuchando el puerto 80 también para la versión Lync Phone Edition.
En Apollo tendremos un segundo grupo de servicios Web, similar a los nombrados
anteriormente, pero escuchando en el puerto TCP 8080 y 4443. Es fácil distinguirlos
usando los nombres por defecto del (Internal Web Site) Sitio web Interno
(escuchando en los puertos TCP 80 y 443) y (external Web Site) Sitio Web externo
(escuchando en los puertos TCP 8080 y4443). Esta separación está impulsada por
motivos de seguridad, separando los recursos de los clientes provenientes de una red
externa de los de usuarios en la red interna.
Figura 6.3 La configuración IIS en un servidor Lync 2013 Front End
El sitio Web externo (External Web Site) será utilizado para conceder servicios a los
usuarios externos usando un proxy inverso
83
En la figura 6.4 he expandido el sitio Web interno (Internal Web Site) de Lync
Figura 6.4 Los sitios IIS “Internos” en un servidor Lync 2013 Front End
Tan pronto cómo compartimos una presentación PowerPoint, durante una reunión,
seremos redirigidos al puerto TCP 443 (u 80) del servidor Office Web App (Demeter).
Nota: Los clientes Lync para móvil siempre requerirán acceso a los servicios Lync
cuando vengan desde Internet, además si están conectados a una red interna (ver
siguientes párrafos). Sus peticiones internas tienen que ser redireccionados desde la
LAN interna, de vuelta al sitio Web externo (external Web Site) a través del Proxy
inverso. Esto es con respecto a mover clientes móviles entre el Wi-Fi (interno) y
3G/ Wi-Fi (externo) y su necesidad de retener la sesión iniciada en el servidor.
Servidores colocados en la DMZ
Para hacer al servidor Lync 2013 disponible para usuarios externos, publicaremos los
servicios desde un único Front End a través de dos servidores diferentes que
colocaremos en la Zona Desmilitarizada (DMZ). Los servidores deberían ser
autónomos (o, al menos, no ser parte del dominio interno de Active Directory).
Nota: Una solución comúnmente utilizada es emparejar la zona interna DNS de Active
Directory DNS como un sufijo DNS en el Lync Edge. Esto hace a las implementaciones
arriba mencionadas un poco más fáciles.
Ambos servidores deberían tener dos interfaces de red (NICs) diferentes, Una
dedicada a comunicarse con la LAN interna y la otra para ser publicada en Internet, en
nuestro caso para los dos, con una, traducción de dirección de red. Network Address
Translation (NAT). También he segregado físicamente las dos redes lógicas usando
84
VLANs, de esta forma la comunicación desde un NIC a otro nunca se mezclarán. VLAN2
será conectada a la red interna LAN a través de un firewall back-end, mientras que
VLAN3 será conectada a Internet utilizando un firewall front-end.
Los servicios Web del Lync Front End serán públicos utilizando un proxy inverso
(Ares) que responderá en una IP pública en un puerto TCP 443 y hará la función proxy
a las solicitudes para el puerto 4443 del Front End (o en el puerto TCP 80 para hacer de
proxy en el puerto 8080 del Front End).
Si compartimos una presentación PowerPoint en una reunión que contiene usuarios
externos, el proxy inverso los direccionará al puerto TCP 443 del servidor de Office Web
Application. CUALQUIER solución de proxy inverso debería funcionar, incluyendo
Servidor Windows 2012 R2 Proxy de Web Application (siempre que estés
desarrollando SOLO un ÚNICO dominio SIP). (He enseñando cómo configurarlo para
Lync 2013 en este vídeo: http://www.youtube.com/watch?v=iKpi8UomRDo ).
Gestión de Forefront Threat es también una solución que muchas empresas han
usado durante los años anteriores (por favor, ten en cuenta que toda la familia de
productos Forefront está “al final de su vida”).
Todos los servicios restantes serán implementados utilizando una función de servidor
Lync dedicada, el servidor Lync Edge (Dionysus) que tiene que ser definido y
publicado usando el (Topology Builder) Constructor Topológico de Lync (más
detalles del servidor Edge y Topology Builder serán añadidos en capítulos posteriores).
Tres direcciones de red serán requeridas para publicar los servicios Edge. Lync soporta
dos configuraciones diferentes en tu firewall front-end y servidor Lync Edge:
Una dirección IP única y un único nombre de dominio público para los
tres servicios, Access Edge, Web Conferencing Edge y Audio/Video Edge (con
tres puertos diferentes TCP escuchando)
Nota: esto creará problemas y limitaciones para los servicios de conferencia
Web. El puerto TCP 444 sugerido por defecto (o tu puerto definido
personalizado) normalmente no están abiertos en los firewalls corporativos.
Una simple implementación con Tres direcciones públicas, una para cada
una de las arriba mencionadas direcciones de red.
En la figura 6.5 puedes ver la opción que habilita el uso de un único nombre de dominio
público e IP.
85
Figura 6.5 La opción “Usar un único FQDN y dirección IP” en el constructor de topología
En la figura 6.6 he mostrado las dos configuraciones diferentes que utilizarás al
construir la topología de Lync. A la izquierda, el escenario si mostramos una única
dirección IP y un único FQDN. En el escenario de la derecha con múltiples IPs y FQDNs
Figura 6.6 a la izquierda, “usar un único FQDN y dirección IP” habilitado. Ala derecha múltiples FQDNs e IPs
Nota: Es fácil de entender que la solución de una única IP será menos “costosa”, Pero
será más propenso a problemas con firewalls externos, trasladando los servicios desde
un puerto TCP “estándar” 443 a un grupo de puertos TCP personalizados.
Pruébalo ahora
Añade información sobre una implementación Lync (podrías utilizar el que acabo de
describir en el ejemplo) y mételos en la Calculadora de diseño detallada (Detailed
Design Calculator). Observa las normas del firewall e intenta entender porqué se
86
necesitan. Luego, utiliza el Workload Poster para identificar la funcionalidad que
requiera las normas que no fuiste capaz de reconocer a primera vista.
Requerimientos de infraestructura
Ahora que he esbozado los ladrillos para la construcción de una estructura Lync, hay
tres temas más que comprender si queremos tener una infraestructura en
funcionamiento:
Las normas firewall requeridas para permitir comunicaciones para clientes Lync,
servidores Lync y para los arriba mencionados servidores no-Lync con servicios
adicionales que necesitamos
Ajustes DNS para hacer a los servicios Lync disponibles tanto en la red interna
como desde Internet.
Estructura de los certificados. Lync es seguro de diseño y los certificados digitales
son obligatorios para cualquier infraestructura Lync 2013
Sistemas encarados a Internet necesitan ser configurados, en la mayoría de los
casos, con una entrada por defecto en su adaptador de red exterior y con
enrutamiento estático a todas las redes internas, donde el servidor Lync y los
clientes están ubicados.
Nota: En el servidor Lync Edge, por razones de seguridad, el mejor hábito es crear el
servidor externo DNS en la tarjeta de red externa y utilizar el archivo hosts para el
servidor interno de Lync. Puedes utilizar un único DNS interno el cual es capaz de
resolver zonas DNS externas. Pero un servidor Edge debería comprometerse, el
atacante podría tener acceso y conocimientos de tu infraestructura interna.
87
Normas Firewall requeridas por Lync Server 2013
Una profunda inmersión en las normas firewall para el servidor Lync 3013 debería
incluir el ya citado artículo de TechNet, Port Requirements (requisitos de puertos) y el
protocolo Lync 2013 Workloads poster (en otras palabras, comprobar los requisitos
para los diferentes escenarios). De todos modos, para hacer el tema más fácil de
comprender, he tratado de crear una explicación basada en algunas suposiciones.
En el primer supuesto que haré aquí es que tu red tiene una DMZ dividida para
hacer los servicios disponibles en Internet de una forma segura. Algunas
soluciones posibles para dicha imoplementación son:
o Usar dos firewalls.
Nota: normalmente la tecnología utilizada para los firewalls no es
importante. De cualquier forma, si un SIP trunk es requerido en
nuestro escenario, es importante tener un SIP Application-level
gateway (ALG), especialmente si vas a utilizar NAT para SIP
trunks.
o Un firewall de “tres patas” (three-legged firewall) esto creará una zona
desmilitarizada lógica.
No hay diferencia en el resultado, desde un punto de vista de la funcionalidad,
decidirse por la primera o la segunda opción. Un único firewall implicaría un
punto de fallo único y un riesgo de seguridad mayor, porque un único dispositivo
conectado a Internet estará expuesto a la DMZ y a la red interna. Teniendo dos
firewalls diferentes, un firewall frontal (FW2) y uno trasero (FW1), como se
muestra en la figura 6.7, es más seguro, especialmente si vamos a utilizar dos
plataformas diferentes o soluciones para la seguridad. En el escenario anterior,
una vulnerabilidad de seguridad explotable mediante una sola tecnología no
afectará al segundo servidor de seguridad.
Figura 6.7 disposición incluyendo sólo firewalls y redes que tendrán un impacto en nuestra implementación Lync
88
El segundo supuesto será que no implementaremos sistemas de alta
disponibilidad o de balance de carga (incluyendo grupos (pools) Enterprise
Edition de Lync Front Ends). Aunque puede que los necesites en el diseño del
mundo real, estos añaden trabajo de configuración que no te ayudará a entender
los fundamentos de los requerimientos de tráfico de red del servidor Lync 2013
El tercer supuesto es que utilizaremos NAT cada vez que una IP pública sea
requerida. Exponiendo directamente un servidor a Internet normalmente no es la
mejor solución de seguridad disponible.
La cuarta suposición es que, el servidor Edge use tres direcciones el la tarjeta de
interfaz de red “exterior” para exponer servicios a Internet. Las direcciones son
las que ya hemos visto:
La última suposición: falta de integración o conexión con el servidor Office
Communications 2007 se requiere implementaciones o clientes.
Tendremos que conceder los siguientes tipos tráfico de red:
6.1 Desde los servidores en la DMZ a servidores en la red interna
6.2 Desde los servidores en la DMZ a la red exterior
6.3 Desde la red exterior a servidores en la DMZ
6.4 Desde servidores en la red interna a servidores en la DMZ
6.5 El tráfico de red está relacionado con los clientes Lync en la red interna
Nota: El punto 6.5 de la lista sólo se aplica si tienes firewalls (o firewalls end-point)
separando las redes que contienen los clientes Lync y los servidores Lync.
89
6.1 Tráfico de red desde servidores en la DMZ a servidores en la red
interna
El firewall trasero (Back-End), FW1, para tráfico proveniente del proxy inverso, los
siguientes puertos serán requeridos:
Normas del proxy inverso en el firewall trasero (Back-End), (FW1)
Interfaz fuente Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
NIC interno del proxy inverso
TCP (HTTPS)
ninguno 4443 Lync Front End Servicios Web en el Lync Front End
NIC interno del proxy inverso
TCP (HTTPS)
ninguno 443 Servidor Office Web Apps
Presentación de PowerPoint compartida
En el firewall trasero (Back-End), FW1, para tráfico proveniente del servidor Edge,
serán requeridos los siguientes puertos:
Normas del servidor Lync Edge en el firewall trasero (Back-End), (FW1)
Interfaz fuente
Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
NIC interno de Lync Edge
TCP (SIP/MTLS)
ninguno 5061 Lync Front End
Tráfico SIP entrante
NIC interno de Lync Edge
TCP ninguno 80 C.A. Interno Descarga de CRL o chequeo
90
6.2 Tráfico de red desde los servidores en la DMZ a la red exterior
En el firewall delantero, FW2, desde el servidor Edge, serán necesarios los siguientes
puertos. Es útil recordarte los cuatro supuestos: tenemos tres IPs diferntes en la interfaz
de red exterior del servidor Lync Edge: Access, Webconf y AV. Las normas del firewall
para el tráfico de red desde la red externa al servidor Edge tendrán que apuntar a una de
las tres IPs, como se explica en la siguiente tabla:
Normas del servidor Lync Edge en un firewall delantero (Front-End), (FW2)
Interfaz fuente
Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
NIC externo de Edge (Acceso IP)
TCP (XMPP) ninguno 5269 A los socios federados XMPP
Puerto estándar de de comunicación Servidor a servidor para XMPP
NIC externo de Edge (Acceso IP)
TCP (SIP/MTLS)
ninguno 5061 Servicios y socios federados
Lync y Skype Federation usando SIP
NIC externo de Edge (AV IP)
UDP (Stun/Turn)
ninguno 3478 ninguno Negociaciones Stun/Turn para candidatos
NIC externo de Edge (AV IP)
TCP (Stun/Turn)
ninguno 443 ninguno Negociaciones Stun/Turn para candidatos
Nota: El rango de puertos dinámicos está recomendado para compatibilidad con versiones
anteriores OCS 2007 según dice Microsoft. Esto es solo parte de la verdad. También
Lync 2013 hace uso de puertos dinámicos, pero si están cerrados en al firewall, el
protocolo ICE redireccionará al cliente a puertos estáticos. Si as implementado un
grupo (pool) Edge, también aquí es recomendado abrir el puerto dinámico entre esos
dos servidores. Mira la charla de Thomas Binder “Lync Deep Dive: Edge Media
Connectivity with ICE” aquí
http://channel9.msdn.com/Events/TechEd/Europe/2012/EXL412
6.3 Tráfico de red desde la red exterior a los servidores en la DMZ
En el firewall delantero, FW2, tráfico desde la red externa al proxy inverso, se
requerirán los siguientes puertos
91
Hacia el proxy inverso desde la red externa en el firewall delantero (FW2)
Interfaz fuente
Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
Any TCP (HTTPS)
ninguno 443 Interfaz de red externa de Proxy inverso
Acceso a los servicios Web en el Lync Front End
Nota: El puerto TCP 80 podría ser requerido, por ejemplo, si decides publicar
Lyncdiscover (usado por clientes Lync para autodiscovery) usando HTTP y no HTTPS.
En el firewall delantero, FW2, tráfico desde la red exterior hacia el servidor Edge, se
requerirán los siguientes puertos
Hacia Lync Edge desde la red externa en el firewall delantero (FW2)
Interfaz fuente Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
ninguno TCP (SIP/TLS)
ninguno
443 NIC externo Edge (Webconf IP)
Medios de conferencia Web
ninguno TCP (SIP/TLS)
ninguno
443 NIC externo Edge (Acceso IP)
Tráfico SIP Client-a-servidor para uso de usuarios externos
Socios federados (Federated partners) XMPP
TCP (XMPP)
ninguno
5269 NIC externo Edge (Acceso IP)
Puerto de comunicación estándar servidor a servidor XMPP
Servicios Federation y socios
TCP (SIP/MTLS)
ninguno
5061 NIC externo Edge (Acceso IP)
Lync y Skype Federation usando SIP
ninguno UDP (Stun/Turn)
ninguno
3478 NIC externo Edge (AV IP)
Negociaciones Stun/Turn para candidatos
ninguno TCP (Stun/Turn)
ninguno 443 NIC externo Edge (AV IP)
Negociaciones Stun/Turn para candidatos
92
6.4 Tráfico de red desde los servidores en la red interna a los
servidores en la DMZ
En el firewall trasero Back-End, FW1, para tráfico proveniente de la red interna, se
requerirán los siguientes puertos
Hacia Lync Edge desde la red interna en el firewall trasero (FW1)
Interfaz fuente
Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
Lync Front End
TCP (XMPP/MTLS)
ninguno 23456 NIC interno de Edge
Tráfico de salida XMPP
Lync Front End
TCP (SIP/MTLS)
ninguno 5061 NIC interno de Edge
Tráfico de salida SIP
Lync Front End
TCP (PSOM/MTLS)
ninguno 8057 NIC interno de Edge
Tráfico de conferencia Web
Lync Front End
TCP (SIP/MTLS)
ninguno 5062 NIC interno de Edge
Autentificación de usuarios A/V
Lync Front End
TCP (HTTPS) ninguno 4443 NIC interno de Edge
Réplica de CMS en Lync Edge
Lync Front End
TCP (Stun/Turn) ninguno 443 NIC interno de Edge
Stun/Turn negociación para candidatos
93
6.5 Tráfico de red relacionado con clientes Lync en la red interna
Las siguientes normas son requeridas en cualquier firewall trasero (end-point) y en
cualquier firewall interno que controle el tráfico proveniente de los clientes Lync de
la res interior.
desde hasta característica Protocolo Puerto Bidireccional Nota Cliente interno
Lync Front End Presencia, IM, AV y Conferncia Web, Application Sharing Enterprise Voice
SIP/TLS 5061
Presencia y IM, AV y Conferncia Web
STUN/TCP
Enterprise Voice
STUN/TCP 443
AV y Conferncia Web, Application Sharing
SRTP/UDP /TCP
49152-65535
AV y Conferncia Web
PSOM/TLS 8057
Enterprise Voice
TURN/TCP 448
Cliente interno A
Cliente interno B AV y Conferncia Web Application Sharing
SRTP/UDP 1024-65535
si Sesiones Peer to Peer
Cliente interno
Lync Edge AV y Conferncia Web Application Sharing
STUN/TCP 443
Enterprise Voice
TURN/TCP 443
AV y Conferncia Web
UDP 3478
Cliente interno
UM de intercambio
Enterprise Voice
SRTP/RTCP 60000-64000
si
Cliente interno
Entrada de voz (VoiceGateway)
Enterprise Voice
SRTP/RTCP 30000-39999
con Media Bypass
Cliente interno
Director Presencia y IM
SIP/TLS 5061
94
Notas relacionadas con las normas firewall requeridas para el
servidor Lync 2013
El servidor Lync 2013 Edge Server necesita resolución de DNS y acceso http a la
revocación de listas de certificados. Dependiendo del diseño de tu red, los servicios
arriba mencionados podrían estar en Internet o podrían estar disponibles utilizando
servicios en la red interna (como un proxy). La siguiente norma es para adaptarse a tu
diseño de la red.
Normas adicionales del servidor Lync Edge en un firewall delantero (FW2) o en un firewall trasero(FW1)
Interfaz fuente
Protocolo Puerto fuente
Puerto de destino
Destinación Servicio
NIC externo de Edge (Acceso IP)
TCP ninguno 53 Servidores DNS desde la DMZ
Resolución DNS
NIC externo de Edge (Acceso IP)
UDP ninguno 53 Servidores DNS para la DMZ
Resolución DNS
NIC externo de Edge (Acceso IP)
TCP (HTTP)
ninguno 80 Depende del servicio disponible de navegación HTTP
Verificaciones CRL
Nota: Los puertos TCP y UDP 53 son utilizados en el NIC externo hasta que los archivos
requeridos por los recursos internos se encuentran en el archivo HOSTS de Lync Edge.
Otra solución podría ser utilizar el DNS interno para resolver tanto privados FQDN
como públicos. En esta situación abre los puertos TCP y UDP 53 desde Lync Edge hasta
los servidores internos DNS.
Servicio de inicio de sesión centralizado (una nueva funcionalidad en el servidor
Lync 2013) necesita de puertos adicionales en el firewall trasero (back-end), (para más
detalles leer el artículo TechNet Using the Centralized Logging Service (Usando el
servicio de inicio de sesión centralizado)
http://technet.microsoft.com/en-us/library/jj688101.aspx
95
Normas del servidor Lync Edge en un firewall trasero (FW1) para inicios de sesión
centralizados
Interfaz fuente Protocolo Puerto
fuente
Puerto de
destino
Destinación Servicio
Servicio de inicio
de sesión
centralizado
TCP
(MTLS)
ninguno 50001 NIC interno de
Edge
Servicio de inicio
de sesión
centralizado
Servicio de inicio
de sesión
centralizado
TCP
(MTLS)
ninguno 50002 NIC interno de
Edge
Servicio de inicio
de sesión
centralizado
Servicio de inicio
de sesión
centralizado
TCP
(MTLS)
ninguno 50003 NIC interno de
Edge
Servicio de inicio
de sesión
centralizado
Verificando una implementación Lync correctamente: herramientas
que te encantarán (Parte 2)
Ahora que has configurado todas las normas necesarias, necesitas algunos instrumentos
para comprobar tu implementación.
Herramienta de comprobación de puertos de Lync Edge: De
James Cussen (@mylynclab ) a pesar del nombre, la herramienta es buena
también para comprobar puertos del servidor y cliente interno.
http://www.mylynclab.com/2014/02/lync-edge-testing-suite-part-1-
lync.html
Analizador de conectividad remota: este requiere TAMBIÉN que los
certificados digitales estén funcionando correctamente. No obstante, es un
buen test el comprobar tus puertos firewall desde una fuente externa de
Internet.
https://testconnectivity.microsoft.com/
Sondeo de la fiabilidad del transporte IP: si vas a utilizar Lync
Online, esta herramienta podría darte unos consejos útiles en relación a tu
implementación.
http://tripphkn.online.lync.com/
96
Verificando una correcta implementación de Lync: algunos pasos
avanzados de depuración si los clientes Lync en la red externa no
están funcionando.
En mi experiencia a lo largo de los años, una gran parte de los problemas relacionados
con implementaciones Lync están conectados con las configuraciones firewall. Aquí
daré algunas sugerencias avanzadas sobre cómo solucionar problemas en una
implementación que no está funcionando correctamente. Incluso si estás seguro de que
el firewall no está configurado correctamente, sugiero empezar el proceso en este orden
listado:
1. Comprueba la zona externa DNS y asegúrate de que los clientes no tienen nada
en la memoria cache de nombres.
a. Elimina el perfil de usuario Lync bajo:
C:\Users\<your_alias>\AppData\Local\Microsoft\Office\15.0\Lync\Traci
ng\ b. Limpia la cache del DNS: ipconfig /flushdns
c. con ipconfig /displaydns comprueba si la correcta resolución DNS se
produce.
2. Utiliza netstat –ano en el servidor Edge para verificar que todos los puertos
requeridos están escuchando, en caso contrario comprueba los servicios Lync.
Nota: para realizar los siguientes dos pasos (3 y 4) la Remote Connectivity Analyzer
(analizador de conectividad remota) puede ser muy útil. Sea como sea, como
cualquier herramienta, no cubre ningún escenario y quizás debas realizar
manualmente los análisis.
3. Utiliza un escáner y consulta de puertos definidos en la configuración firewall
4. Verifica el certificado aplicado al proxy inverso y servidor Edge
5. Solo ahora es buena idea el utilizar OCSLogger y Snooper. No seguir la pista
inmediatamente en el servidor Edge, empezar con el inicio de sesión del cliente:
C:\Users\<your_alias>\AppData\Local\Microsoft\Office\15.0\Lync\Tracing\Ly
nc-UccApi-0.UccApilog
Nota: Definitivamente en el archivo arriba mencionado encontrarás también, la
información más interesante sobre las causas sobre porqué un cliente no puede
iniciar sesión.
Laboratorio
Una implementación Lync con una única IP pública disponible requerirá algunas
modificaciones a las normas del firewall que has visto en este capítulo. Intenta
97
dibujar un esquema de las normas requeridas para el escenario anteriormente
mencionado.
Intenta explicar si usar un único, firewall en trípode (three-legged firewall), ¿daría
alguna ventaja cuando se administren las normas firewall? ¿por qué?
Apunta el archivo hosts que sería requerido en los servidores Lync Edge, suponiendo
que estás utilizando la implementación de la figura 6.2