Servidor Microsoft Lync 2013 Administración Básica Versión 2.1. Autor: Fabrizio Volpe

Transcripción

1 Servidor Microsoft Lync 2013 Administración Básica Versión 2.1 Autor: Fabrizio Volpe

2 Agradecimientos Este libro está dedicado a todos aquellos que viven todos los días conmigo, mi familia, Federico y Antonella y a mis padres. Está dedicado a Flavia la cual acaba de comenzar su vida, y a mi abuela Inés, la cual todavía sigue viva en mi pensamiento. No hay nada como una comida gratis Leer este libro no le supondrá ningún coste. Espero que el trabajo que estoy poniendo a su disposición, el cual es el resultado final de una interesante y compleja colaboración con la editorial Manning Publications sea útil para usted, comprendiendo y manejando Lync. Pero yo no creo en las comidas gratis. Por lo tanto si este texto le es útil, y tiene el deseo de pagar por él, le invito a hacer una donación a Save the Childrens o a otra asociación para la protección de minorías. De esta forma, usted habrá pagado por su comida. Aclaración Hay una versión en español del libro porque dos personas hicieron un trabajo excepcional. Lync MVP Peter Frank Rosales Díaz dio su experiencia para la revisión técnica. Sr. Eneas Cuesta hizo la traducción, en un manner.he muy profesional y rápido trabajado para la pasión, no sólo por el dinero, y eso es algo que se verá en la traducción. Y digo "gracias" a ambos. Esta versión 2.1 añade un nuevo capítulo (6, Requerimientos de Firewall para el Servidor Lync 2013) al trabajo anterior. Una vez más, disfruté de una gran revisión técnica y de útiles consejos del MVP (Profesional más valorado) de Lync, Thomas Poett (@ThomasPoett). La depuración de errores del cliente Lync cuyo párrafo encontrarás en el capítulo 6, proviene de su experiencia propia y en mi humilde opinión es excepcional. Esta vez también tuve otro crítico que me ofreció un gran apoyo no solo en el proyecto final, si no también en las primeras versiones que he publicado en mi Página Web. Alessio Giombini (@AlessioGiombini), un experimentado un Arquitecto de Soluciones de infraestructuras y un profesional de Lync, aportó una ayuda fundamental a este trabajo. Le doy las gracias a ambos. La comunidad de Lync es un gran lugar en el que estar porque hay personas como tú. Imagen de portada: Horizonte de edificios de Calgary y puente peatonal en Calgary, Alberta Canadá. Usada bajo licencia de impresión Extended RF. 1

3 Sobre el autor Fabrizio Volpe Ha trabajado en el Grupo Bancario Iccrea desde el 2000, como Administrador de Red y Sistemas. Desde el 2011 ha sido premiado MVP (Profesional más valorado) de Microsoft en Servicios Directivos de Microsoft. En el año 2014 a sido premiado MVP (Profesional más valorado) de Microsoft en Lync. Fabrizio a sido el autor de libros dedicados a los profesionales de las IT (tecnologías de la Información) y seguridad, ha participado como conferenciante en conocidas conferencias sobre las IT (tecnologías de la Información) y está comprometido con la creación de contenidos accesibles a un amplio número de personas, Por lo tanto, a menudo publica contenidos En su canal de YouTube ( En su blog personal ( En SlideShare ( ) Acerca de los revisores Thomas Poett - Profesional, consecuente, y experimentado experto, el cual es técnicamente un erudito con más de 20 años de experiencia en las IT (tecnologías de la Información), telecomunicaciones y desarrollo del software. Amplia experiencia adicional en los negocios y el desarrollo del mercado laboral. Especializado en relaciones interculturales y de negocio en Asia. Exitoso en la prestación de liderazgo en nuevos temas y complejos proyectos globales que requieren de la interacción con equipos internos/externos y entornos de trabajo. Temprano adoptador de tecnologías 2

4 visionarias. Más de 20 años de carera dentro de diferentes compañías en las áreas del desarrollo del software, telecomunicaciones, IT (tecnologías de la Información), movilidad y servicios de hosting y alojamiento en la nube (online). Alessio Giombini - Alessio es un Arquitecto de Soluciones de infraestructuras, haciendo especial hincapié en Microsoft y en el área de la Unión de las Comunicaciones. Más de 15 años de estudio y experiencia práctica ofreciendo proyectos de pequeña a gran escala para las principales industrias de la empresa EMEA, principalmente basados en Microsoft y otras tecnologías de vanguardia, aplicando sistemas y operaciones que trabajan sobre éstas. Tiene un amplio y variado respaldo tecnológico en el campo de las infraestructuras y comunicaciones, integración de Sistemas, Administración de Sistemas, seguridad, así como unos profundos conocimientos en el negocio de la informática y redes en las organizaciones empresariales. Actualmente trabaja en InterCall UK y sus tareas principales son el diseño arquitectónico y distribución de entornos Microsoft, con especial énfasis en soluciones para UC (Comunicaciones Unificadas) de múltiples proveedores, basadas en Microsoft Lync 2013 con Enterprise Voice, Exchange Unified Messaging, migraciones desde Lync 2010 y OCS 2007, balanceadores de carga, Proxy inverso, firewall, Exchange UM. Peter Diaz, Venezolano con más de 10 de experiencia en el área de Tecnología de la Información y Master en Seguridad de las TIC. Se ha dedicado en los ultimos 6 años en Arquitectura, Preventas y Gerencia de Proyectos en el area de Seguridad y 3

5 Comunicaciones Unificadas. Ha sido Premiado en el 2012 como MVP de Lync, premio que otorga Microsoft a los profesionales en sus respectivas áreas de desarrollo y por su aporte a las comunidades tecnológicas. Eneas Cuesta Translator/ traductor freelance Traducción realizada por: Eneas Cuesta Linkedin Profile/perfil: Elance profile/perfil: 4

6 AGRADECIMIENTOS... 1 NO HAY NADA COMO UNA COMIDA GRATIS... 1 ACLARACIÓN... 1 SOBRE EL AUTOR... 2 ACERCA DE LOS REVISORES ANTES DE EMPEZAR... 8 QUÉ ES MICROSOFT LYNC 2013 SERVER?... 8 POR QUÉ ES IMPORTANTE LYNC 2013?... 8 MIRANDO A LYNC 2013 DESDE EL CLIENTE... 9 MIRANDO A LYNC 2013 DESDE EL SERVIDOR ADOPTANDO LYNC: QUÉ NECESITO Y CUÁNTO CUESTA COSTES EXTRA A TENER EN CUENTA CON LYNC UNA ÚLTIMA PALABRA CONSTRUYENDO TU LABORATORIO LYNC TRAZANDO UNA MÍNIMA INFRAESTRUCTURA DE TRABAJO SOLO SERVICIOS INTERNOS DEL SERVIDOR LYNC Pruébalo ahora SERVIDOR LYNC DISPONIBLE PARA USUARIOS EXTERNOS Pruébalo ahora INTEGRACIÓN DE EXCHANGE 2013 Y SHAREPOINT MONTANDO LOS REQUISITOS SOFTWARE Y HARDWARE VIRTUALIZACIÓN ADQUIRIENDO LOS RECURSOS NECESARIOS IMPLEMENTANDO LOS ESCENARIOS DE TRABAJO Pruébalo ahora IMPLEMENTANDO EL LABORATORIO CONTROLADOR DE DOMINIO Pruébalo ahora SERVIDOR LYNC FRONT END SERVIDOR OFFICE WEB APPS PROXY INVERSO LYNC EDGE EXCHANGE Y SHAREPOINT LABORATORIO ADMINISTRANDO USUARIOS CON EL PANEL DE CONTROL DE LYNC SERVER INTRODUCCIÓN A LA ADMINISTRACIÓN DE LYNC DESDE EL PANEL DE CONTROL ESCOGIENDO ENTRE EL PANEL DE CONTROL Y LA TERMINAL DE ADMINISTRACIÓN POLÍTICAS Y ÁMBITO DE POLÍTICAS EN LA ADMINISTRACIÓN DE LYNC FUNCIONES EN LA ADMINISTRACIÓN DE LYNC Pruébalo ahora PERMITIENDO Y CONFIGURANDO USUARIOS

7 HBILITANDO A UN USUARIO EN LYNC ASIGNACIÓN DE GRUPOS (POOL) CONFIGURACIÓN SIP URI OPCIONES DE TELEFONÍA POLÍTICA DE MARCADO POLÍTICA DE VOZ ASIGNAMIENTO DE POLÍTICAS Pruébalo ahora LABORATORIO GESTIONANDO CLIENTES, Y DISPOSITIVOS CON EL PANEL DE CONTROL DEL SERVIDOR LYNC SOFTWARE DE CLIENTES Pruébalo ahora DISPOSITIVOS HARDWARE MOVILIDAD ALGUNAS COSAS QUE TIENES QUE HACER FUERA DEL PANEL DE CONTROL Pruébalo ahora LABORATORIO GESTIONANDO USUARIOS CON LA TERMINAL DE ADMINISTRACIÓN DEL SERVIDOR LYNC GESTIONANDO USUARIOS DESDE LA TERMINAL DE ADMINISTRACIÓN HABILITAR O DESHABILITAR USUARIOS LYNC Pruébalo ahora MOVIENDO A USUARIOS LYNC ENTRE DIFERENTES GRUPOS (POOLS) MANEJANDO POLÍTICAS DESDE LA TERMINAL DE ADMINISTRACIÓN LABORATORIO REQUERIMIENTOS FIREWALL PARA EL SERVIDOR LYNC PLANEANDO UNA IMPLEMENTACIÓN LYNC DE FORMA CORRECTA: HERRAMIENTAS QUE TE ENCANTARÁN (PARTE 1) 79 EL DIAGRAMA BÁSICO DE UNA IMPLEMENTACIÓN LYNC QUE UTILIZAREMOS EN EL CAPÍTULO SERVIDOR LYNC 2013: RED INTERNA SERVIDORES LOCALIZADOS EN LA LAN SERVIDORES COLOCADOS EN LA DMZ Pruébalo ahora REQUERIMIENTOS DE INFRAESTRUCTURA NORMAS FIREWALL REQUERIDAS POR LYNC SERVER TRÁFICO DE RED DESDE SERVIDORES EN LA DMZ A SERVIDORES EN LA RED INTERNA TRÁFICO DE RED DESDE LOS SERVIDORES EN LA DMZ A LA RED EXTERIOR TRÁFICO DE RED DESDE LA RED EXTERIOR A LOS SERVIDORES EN LA DMZ TRÁFICO DE RED DESDE LOS SERVIDORES EN LA RED INTERNA A LOS SERVIDORES EN LA DMZ TRÁFICO DE RED RELACIONADO CON CLIENTES LYNC EN LA RED INTERNA NOTAS RELACIONADAS CON LAS NORMAS FIREWALL REQUERIDAS PARA EL SERVIDOR LYNC VERIFICANDO UNA IMPLEMENTACIÓN LYNC CORRECTAMENTE: HERRAMIENTAS QUE TE ENCANTARÁN (PARTE 2)

8 VERIFICANDO UNA CORRECTA IMPLEMENTACIÓN DE LYNC: ALGUNOS PASOS AVANZADOS DE DEPURACIÓN SI LOS CLIENTES LYNC EN LA RED EXTERNA NO ESTÁN FUNCIONANDO LABORATORIO

9 1 Antes de empezar Qué es Microsoft Lync 2013 server? Lync 2013 server es un sistema de comunicación unificado, Lync es capaz de entregar mensajes instantáneos (IM), audio conferencias, video conferencias, reuniones multiusuario de alta definición y voz sobre IP (VOIP), así como un chat permanente. Puedes Integrar Lync con la Red Telefónica Conmutada convencional (PSTN) para ofrecer completas características telefónicas y para reemplazar la existente IP PBX. Si definimos Unificación de Comunicaciones (UC), normalmente integra: Servicios de comunicación a tiempo real como pueden ser los mensajes instantáneos (chat), información de presencia, telefonía (incluyendo telefonía IP), video conferencias, intercambio de datos, control de llamadas y reconocimiento de voz. Servicios de comunicación a tiempo no real como pueden ser mensajería unificada(correo de voz integrado, , SMS y fax) En cuanto a lo que Lync se refiere hay algunas características que faltan en la lista arriba mencionada. Reconocimiento de voz, fax y SMS dependen de productos de terceros mientras que el correo de voz y el , están "integrados" sólo si lo relacionamos con Exchange. Por qué es importante Lync 2013? Lync server 2013 tiene los siguientes beneficios: Se integra externamente con Active Directory (Directorio Activo), Microsoft Exchange, y Microsoft SharePoint Usa herramientas de administración Microsoft para habilitar una administración más fácil. Otorga acceso a usuarios externos y afiliados con UC socios, proveedores, clientes y sistemas públicos de IM como SKYPE, a través del acceso seguro a Internet reduciendo los costes (no son necesarias conexiones seguras dedicadas o VPN) Actúa junto con el Hardware desde diferentes fabricantes de forma agnóstica. Lync es probablemente el ganador en la confrontación por el control del mercado de las comunicaciones unificadas durante los próximos años. Por un lado, tenemos empresas que producen hardware y que han creado una interfaz software únicamente para 8

10 administrar sus productos. Por el otro lado, tenemos Microsoft, un desarrollador de software. Microsoft ha decidido hacer Lync compatible con tantos productos hardware (dedicados a la voz y conferencias) como sean posibles. Un largo número de escenarios coexistentes con otras soluciones unificadoras de comunicación, también está disponible. Finalmente, pero todavía importante, Lync tiene interfaces de alta calidad para administradores y usuarios que están demostrando ser el punto fuerte. Mirando a Lync 2013 desde el Cliente Una de las mejores maneras de hacerse una idea de las capacidades de Lync es abrir uno de los clientes habilitados, como hice en la figura 1.1. Figura 1.1 cliente Lync 2013 completo con indicadores de presencia Tan pronto como un usuario se registra en Lync, éste utiliza la primera característica de Lync llamada "indicador de presencia" (Rich presence). Prácticamente todas las personas conectadas y habilitadas a nuestra infraestructura Lync (colegas, empleados de compañías socias o socios de negocios) muestran el indicador de presencia como un marcador de estado. El indicador de presencia es como un simple semáforo, con colores verde, ámbar y rojo. Muestra si la persona está disponible (y dispuesta) a comunicarse con nosotros de forma directa (indicador verde) antes que recibir mensajes usando métodos a tiempo no real (indicadores ámbar o rojo). 9

11 En la primera situación, si necesitas comunicarte con otro usuario, un mensaje instantáneo o llamada son un una buena solución, mientras que sería preferible usar e- mail o invitaciones a una reunión programada para un contacto ocupado. El estado del indicador de presencia en Lync incluye un conjunto de información que permite especificar al usuario la razón de porqué el o ella no están disponibles. Puedes ver los indicadores resumidos en la siguiente figura Figura 1.2 un vistazo rápido al estado de presencia que puedes ver en el cliente Lync 1 Los indicadores de presencia de Lync son también usados en Exchange y en SharePoint, por lo tanto si vamos a escribir un o a organizar una reunion, sabemos el estado de presencia de otro usuario como puedes ver en la figura 1.3 Figura 1.3 Programación de una reunión en Outlook para los usuarios disponibles en Lync. Algunos de ellos están ocupados en ese momento. 1 A través de una configuración individual, basado en los archivos estándar xml, ésos indicadores de presencia pueden ser aumentados con hasta 4 adicionales, bases estándar (consultar ) 10

12 Otras aplicaciones de Microsoft y de terceros proveedores, Ej. Microsoft Office, Dynamic CRM o la mayoría de las aplicaciones basadas en Internet también dan soporte integrado con la API del Cliente Lync. Esto nos permite comenzar una rápida comunicación sin tener en cuenta lo que estemos haciendo. Figura 1.3a Contacto en Microsoft Word Acabo de mencionar la posibilidad de ver el estado de presencia de contactos que no forman parte de nuestra empresa. Eso se logra utilizando una nueva prestación, Lync Federation (Federación). Federación es la capacidad de dos empresas con una infraestructura Lync de extender sus funcionalidades (IM pero también conferencia y voz) el uno con el otro si establecen una relación de confianza. Las prestaciones de Lync federation han sido mejoradas recientemente para incluir usuarios de Skype. Lync 2013 puede también federarse con servicios que no sean de Microsoft basados en XMPP. Puedes ver un ejemplo de los usuarios de Lync mostrados dentro del Cliente de Skype en la figura

13 Figura 1.4 Los usuarios de Lync están disponibles en Skype si su empresa está usando Federation Mensajería Instantánea (incluyendo la posibilidad de intercambiar archivos entre usuarios) y la video conferencia directa entre dos usuarios son una experiencia similar a lo que puedas haber visto ya en otros sistemas como Skype. Una característica no frecuentemente disponible en otros sistemas de UC (Unificación de Comunicaciones) es la capacidad de utilizar una interfaz Web (La Aplicación Web Lync) Para permitir a las personas sin el Cliente Lync instalado en sus entornos de trabajo participar en una reunión. En la figura 1.5 puedes ver la pantalla de acceso a través de la aplicación Web Figura 1.5 El plugin de la aplicación Web de Lync es necesario si quieres tener acceso a todas las prestaciones en las reuniones. La Aplicación Web Lync 2013 comprende todas las posibilidades, incluyendo la participación de audio y vídeo (en Lync 2010 estaba limitado a sólo IM). Esta herramienta amplía la posibilidad de participación a aquellos que trabajan en un entorno de trabajo temporal. Utilizando la Aplicación Web los usuarios externos son capaces de formar parte de una reunión Lync a través de una interfaz con la cual están familiarizados (como puedes ver en la figura 1.6) 12

14 Figura 1.6 Una reunión Lync vista desde la aplicación Web de Lync. Audio y vídeo están disponibles. Lync 2013 para clientes móviles es otra herramienta que ampliará las bases de uso para el usuario de Lync. Está disponible para Windows Phone, iphone, ipad y Android. Como puedes ver en la figura siguiente, el cliente móvil incluye casi todas las prestaciones comprendidas en un cliente completo, incluyendo vídeo conferencia y funciones VOIP. Los cliente móviles disponibles son: Windows Phone 7.x (Lync 2010) Windows Phone 8 (Lync 2013) Windows App (Lync 2013 App) iphone ipad Android Figura 1.7 realizar una vídeo conferencia desde Windows Phone ya no supone ningún problema La calidad de este cliente móvil es un gran añadido para Lync 2013, y es muy popular con una proporción de uso muy alta en las empresas. Existen una serie de plugins y paquetes de terceros para optimizar el Cliente Lync en un entorno de trabajo virtual (incluyendo tanto escritorios virtuales como servicios de escritorio remoto). Lync incluye una prestación llamada chat persistente que te permite crear salas.las salas son una forma de categorizar los IM (mensajes instantáneos) y conservarlos. En cualquier momento en el que un usuario necesite leer o actualizar una conversación, ésta estará disponible en el servidor Para completar este rápido repaso de la parte del cliente de Lync, tengo que hablar sobre las funciones de enterprise voice. Lync puede sustituir sin problemas una IP PBX (Distribuidor privado de conmutación automática) y proveerte de todos los servicios que puedas esperar de las soluciones VOIP. Es también fácil de integrar con soluciones ya existentes (como puede ser el Cisco CUCM). Extendiendo las funcionalidades de voz a 13

15 los usuarios, conectarse desde una re externa solamente requiere del cliente Lync que ya hemos visto anteriormente. Lync server 2013 respalda también teléfonos fijos hardware como los que puedes ver en la figura 1.8 Figura 1.8 algunos teléfonos que puedes usar con Lync Enterprise Voice Añadiendo soporte a estos dispositivos de aspecto más tradicional como los ya mencionados anteriormente, Lync ofrece a los usuarios la capacidad de elegir entre estos teléfonos y auriculares conectados directamente al ordenador (una elección más práctica, especialmente para usuarios de dispositivos móviles). Mirando a Lync 2013 desde el Servidor A menudo, como administrador de Lync, te fijarás en la infraestructura y sus funciones desde el punto de vista del servidor. Hay muchas herramientas a tu disposición para ayudarte a administrar o depurar errores en una implementación Lync pero los dos instrumentos principales, los que utilizarás en las tareas del día a día, son la interfaz gráfica de administración de Lync (Panel de Control de Lync Server) y el intérprete de comandos de administración (Terminal de administración de Lync Server) basada en PowerShell. Puedes ver ambos en la figura

16 Figura 1.9 el panel de control y la terminal de administración uno al lado del otro El panel de control es la herramienta que puedes usar alrededor del 80% de las veces en todas las tareas de administración. El 20% restante sólo está disponible en la terminal de administración (que incluye a su vez todas las funciones disponibles en el panel de control). Adoptando Lync: Qué necesito y cuánto cuesta? Lync distingue claramente dos ediciones (Standard y Enterprise). La licencia de servidor básico tiene el mismo precio para las dos versiones. En cualquier caso, el tipo de versión que utilices tiene un impacto en la continuidad de las funciones disponibles y en el número de servidores requeridos. Para entender las diferencias arriba mencionadas, es necesario explicar también las funciones (roles) de Lync Server. Funciones: Todo rol (función) otorga a la infraestructura una o más funciones a Lync. Los Roles (funciones) pueden ser llevados a cabo por uno o más servidores Lync al mismo tiempo. El uso de roles convierten la arquitectura de Lync Server 2013 en altamente escalable. Una implementación en un pequeño negocio sin usuarios externos, puede consistir de un único servidor standard edition, con el rol Front End de Lync. Esto es debido a que el Front End de Lync es el rol fundamental, y ejecuta una gran parte de las funciones básicas de Lync Server. Añadiendo al escenario un servidor Active Directory (Lync requiere de Servicios de Directorio) y un servidor con la Aplicación Web de Office instalada (esto es necesario para las presentaciones PowerPoint dentro de una reunión en Lync) tenemos el completo funcionamiento (interno) de una implementación Lync que puedes ver en la figura

17 Figura 1.10 una infraestructura mínima que otorgará funcionalidades Lync a nuestro usuario interno Los usuarios están asentados en un Front End y su capacidad para trabajar con Lync depende de la disponibilidad de este rol o de un servidor capaz de reemplazar su servidor doméstico en caso de errores. La solución basada en el standard edition es interesante, especialmente para mantener los costes lo más bajo posible. No requiere de licencias adicionales a parte de una única standard edition de Lync y no utiliza una base de datos externa, como es el caso en la enterprise edition. Este tipo de solución, basada en un único paquete, tiene sus limitaciones. La version standard edition de Lync no garantiza una alta disponibilidad. Hay, como verás más adelante, un método para emparejar dos servidores Front End para otorgar flexibilidad pero esto no es automático y requiere de operaciones por parte del administrador de Lync. La implementación de la versión enterprise edition es más costosa y compleja. Se requieren al menos dos servidores Front End de Lync para crear un grupo (pool/cluster). También requiere de la instalación de un balanceador de carga. Esto es necesario debido al uso de la persistencia de sesión para http/ https. Un grupo (pool/cluster) es un conjunto de servidores con idéntica configuración que proveen de al sistema de una alta disponibilidad. En un grupo (pool/cluster) las funcionalidades de Lync estarán disponibles incluso si uno de los servidores se viene abajo. Las bases de datos funcionales de Lync no están conjuntamente alojadas en el Front End (como ocurría en la versión standard edition) pero están activas en un servidor SQL externo. Si además necesitamos de continuidad en las bases de datos, podemos utilizar el mecanismo de espejo SQL (mirroring mechanism). La instalación Clusterizada de SQL también está soportada, pero tienes que recordar que este tipo de alta disponibilidad está centrado en el mismo servidor SQL y no otorga la continuidad original a las bases de datos que tenemos alojadas con el mecanismo de espejo (mirroring mechanism). 16

18 En Lync las funciones de alta disponibilidad del servidor necesitan de la implementación de grupos (pools/clusters). En la figura 1.11 puedes ver planificada la implementación de un grupo Lync con la versión enterprise edition Front End. Figura 1.11 un diseño para una instalación Lync incluyendo un grupo para alta disponibilidad Front End. La Aplicación Web Office no es una función en Lync, Por lo tanto si necesitas usarlo con alta disponibilidad debes utilizar su mecanismo, el cual es implementar una granja (Cluster). El coste de esta solución deriva: De licencias para servidores Lync con versiones Enterprise Edition. De licencias de servidores SQL, necesarias para crear la infraestructura de la base de datos Lync, llamada Back End. Nota: La guía de licencias SQL 2012 expone que, si el segundo servidor SQL está siendo usado únicamente como una copia pasiva, solo necesitas una única licencia SQL (la del primer servidor) D5B886A5AE00/SQL_Server_2012_Licensing_Reference_Guide.pdf Normalmente el siguiente paso después de la instalación de los servicios para la red interna es la exposición de las características de Lync a los usuarios externos. 17

19 Para lograr el resultado mencionado anteriormente necesitas desplegar un servidor Lync Edge y un Proxy inverso. El servidor Lync Edge es un rol que toma Lync instalado en una máquina autónoma, normalmente se encuentra en una red perimetral y no se añade al dominio de Active Directory. Lync edge pone audio, vídeo y servicios de conferencia a disposición de usuarios externos de forma segura, actuando como un man in the middle (intermediario) que recibe peticiones desde Internet y las envía al Front End de Lync. No hay conexión directa entre el usuario y el servidor Lync en la red interna. Un proxy inverso es similar a Lync edge, pero expone de forma segura las Funcionalidades Web (como Web App, Libreta de direcciones o URLs simples) de el Front End, colocándose a si mismo en el medio, entre el cliente y el servidor objetivo. Una solución de proxy inverso podría ser Microsoft TMG, Microsoft IIS ARR, Microsoft Web Application Proxy (2012 R2) o cualquier otro firewall soportado. En la figura 1.12, puedes ver un esquema incluyendo los servidores necesarios para el acceso de usuarios externos. Figura 1.12 Esquema con una red perimétrica y los servidores necesarios para el acceso de usuarios externos Añadir Lync edge y un proxy inverso no requiere de costes adicionales, porque edge no necesita licencia y hay muchas soluciones gratuitas para implementar funcionalidades de Proxy inverso. A propósito de las funciones de Lync hay algunas de las cual todavía no he mencionado: 18

20 Monitoreo es una función dedicada al registro de los parámetros de calidad y para la presentación de informes relacionados. Registro esta función guarda el contenido de los IM para los requisitos legales y de cumplimiento y registro de IM, conferencias y Chat Persistente. En el servidor Lync 2013 las funciones de monitoreo y registro están siempre localizadas en el Front End. La decisión a tomar tiene que ver con si estas funciones son requeridas. El Monitoreo es muy útil para la resolución de problemas y obtiene valor añadido si se utiliza Enterprise Voice. La presencia del registro está únicamente relacionada con restricciones legales. Chat Persistente es una función que permite la creación de IM salas de chat. Serás capaz de crear áreas temáticas y la sala es fija. Un usuario puede releer la conversación o añadir algo en cualquier momento. Una función como esta tiene sentido, por ejemplo, para crear una base de información corporativa. El Chat persistente se puede colocar en una versión standard Edition de Front End o implementada como un servidor dedicado (o grupo). Servidor de Mediación es requerido para operar con enterprise voice (maneja la corriente de datos de la "señalización"). En Lync 2013, los requisitos hardware han sido reducidos debido a la presencia del desvío de medios (el cual discutiremos en los capítulos dedicados a la implementación de voz). Esta innovación permite adoptar esta mediación como una función en el Front End de Lync. La posibilidad de crear un servidor o un grupo de mediación está todavía disponible. Director es una función que administra la autentificación de usuarios antes de que conecten directamente con el Front End de Lync. En el servidor Lync 2013 esta función no es realmente útil. Podría proporcionar una capa de seguridad adicional, pero el director añade (también) un punto crítico potencial. Costes Extra a tener en cuenta con Lync 2013 Durante la explicación anterior, no mencioné algunos costes que tienen su importancia en el diseño de una solución Lync. El primer aspecto a considerar es el coste del sistema operativo en el que instalaremos Lync y los servidores adicionales necesarios (Office Web Apps y proxies inversos). Lync soporta instalaciones en un entorno virtual, por lo que podemos utilizar los derechos de virtualización de Windows para reducir costes (por ejemplo, la Datacenter edition de Windows 2012 te permite instalar ilimitadas máquinas virtuales en un único Host físico). De cualquier forma, una 19

21 estrutura compleja, como la de un grupo (cluster) Front End, también necesitará de un gasto significativo para el sistema operativo base. El segundo aspecto es el coste de las licencias del cliente. Lync necesita de una CAL (Licencia de Acceso Cliente) por cada usuario o máquina que accede al sistema. Las CAL son de tres tipos y cada una tiene derecho a la utilización de una parte de las funcionalidades. El acceso a funciones Premium se determina por la adopción del CAL Estándar y después deberás añadir licencias CAL suplementarias, una CAL Enterprise y, y para algunas funcionalidades adicionales, una tercera licencia llamada Plus CAL (Puedes pensar en Enterprise CAL y en Plus CAL como suplementarias de Standard CAL). Standard CAL (Licencia de Acceso Cliente): ofrece IM (Mensajería Instantánea) y presencia, así como comunicación de audio y vídeo de PC a PC. Enterprise CAL (Licencia de Acceso Cliente): el usuario puede utilizar reuniones multitudinarias en Lync meetings (incluyendo Vista de Galería, una opción que permite visualizar hasta cinco videos en directo al mismo tiempo) y conferencias salientes PSTN (Red Telefónica Conmutada). Plus CAL (Licencia de Acceso Cliente): Habilita las capacidades de Enterprise Voice. El software del cliente Lync 2013 puede llevar a costes más grandes. El cliente Lync 2013 completo para escritorio está disponible como parte del Office 2103 Plus o como una aplicación autónoma bajo un contrato de acuerdo Enterprise, Por lo tanto tendremos que considerar el coste de este paquete. La alternativa gratuita (cliente básico para Lync 2013) tiene algunas limtaciones, por ejemplo las funciones Lync Enterprise Voice están reducidas para un cliente. También es posible mantener el uso del preexistente cliente Lync 2010 pero, de cualquier forma, la elección de una solución de cliente requiere una evaluación apropiada de los costes. Nota: Las CALs de Lync (Licencia de Acceso Cliente): son añadidos, así que las únicas combinaciones bajo acuerdo de licencia son: Standard CAL Standard CAL + Enterprise CAL or Standard CAL + Plus CAL Standard CAL + Enterprise CAL + Plus CAL 20

22 Una última palabra Esta breve reseña ha introducido conceptos que se pueden ver en detalle a lo largo del libro. Muchas de las ideas presentadas aquí tendrán más sentido cuando sean vistas en el contexto, Por lo que te invito a comenzar con el primer capítulo principal, construyendo tu laboratorio de Lync

23 2 Construyendo tu laboratorio Lync 2013 Normalmente un libro come este que estás leyendo comienza con un proceso de instalación del producto paso a paso. Este capítulo está dedicado para ayudarte a construir un laboratorio para estudiar a Lync 2013 con una amplia visión de conjunto de los recursos necesarios y de las diferentes operaciones desde un punto de vista lógico. Trazando una mínima infraestructura de trabajo Voy a considerar tres escenarios diferentes para el banco de pruebas. Cada uno de ellos será la columna base principal para el siguiente: Solo servicios internos del Servidor Lync Servidor Lync disponible para usuarios externos Integración de Exchange 2013 y SharePoint 2013 En el párrafo 2 voy a estudiar las diferentes tareas relacionadas con el hardware y el software necesario y las soluciones disponibles para hacer que los ajustes antes mencionados funcionen. Solo servicios internos del Servidor Lync Lync está basado en Active Directory, por lo que el primer servidor obligatorio que tienes que implementar no es Lync, si no un controlador de dominio. Las buenas noticias son que este servidor se usará para más de una única función y también será tu DNS (la resolución de nombres de dominio es vital para Lync) y tu Enterprise C.A. (entidad de certificación empresarial) El segundo servidor en tu lista debería un Lync Front End adjuntado al dominio. NOTA: Estamos hablando de un laboratorio con recursos limitados. De cualquier manera esto es un servidor que necesita al menos 3Gb de RAM 3 (en caso contrario la instalación de Lync no funcionará en absoluto). Un requerimiento adicional es un servidor Office Web Apps para las presentaciones PowerPoint durante las reuniones. 22

24 Con estos tres servidores anteriores, tienes un entorno de trabajo Lync. Es buena idea añadir clientes virtuales para comprobar el comportamiento de un usuario Lync dentro y fuera del dominio. Tu laboratorio debería ser como el de la siguiente figura Figura 2.1 El entorno de laboratorio básico Con la implementación anterior (y añadiendo un servidor DHCP en tu controlador de dominio) podrías incluso probar la versión de teléfono. Pruébalo ahora Eres capaz de instalar un Lync Front End sin un servidor Office Web Apps disponible? Cuáles son las consecuencias? Servidor Lync disponible para usuarios externos Si también quieres probar el acceso de los usuarios externos, tienes que añadir un Lync Edge y un software o hardware para hacer un Proxy inverso a los servicios de Lync Front End (por ejemplo IIS o Forefront TMG). Un requisito adicional será simular el escenario más común, una red DMZ entre Internet y tu red interna. Podrías alcanzar ese resultado con un esquema como el de la siguiente imagen usando Forefront TMG como un cortafuego en trípode (three-legged-firewall), configurando RRAS (servicio de enrutamiento y acceso remoto) en un servidor Windows virtual o usando un hardware para simular la topología de la red. NOTA: Bajo todas las circunstancias, si implementas un servidor Lync Edge en un real, y completamente compatible entorno, tú DEBES asegurarte de que Edge Server está 23

25 implementado con DOS interfaces de red, una para el acceso interno a la red y otra para el acceso externo! Figura 2.2 entorno de laboratorio con tres redes simuladas Pruébalo ahora Aceptando trabajar en un escenario sin soporte para limitar el número de servidores requeridos, eres capaz de implementar Lync para los usuarios externos sin un Proxy inverso? Es posible alcanzar este objetivo sin un servidor Lync Edge? Integración de Exchange 2013 y SharePoint 2013 Exchange y SharePoint añaden muchas funciones interesantes a Lync (tienda de contacto unificada e imágenes de alta resolución desde Exchange 2013, habilidad basada en la búsqueda con SharePoint 2013). Con Exchange deberías considerar también la función de Mensajes Unificados (Unified Messaging) para integrar un correo de voz y otros servicios de voz. También, para sondar la integración entre Lync y Outlook necesitarás habilitar el mail de tus usuarios Lync con buzón de correo Exchange. Llegado este punto el laboratorio no es tan fácil de implementar y administrar como con 24

26 los que hemos visto anteriormente. Figura 2.3 entorno de laboratorio con Exchange y SharePoint implementados Montando los requisitos software y hardware Así que, vamos a construir entornos de laboratorio que funcionen. Un driver (normalmente) mantiene un coste bajo (en términos de espacio tiempo y dinero requerido). Cuáles son los recursos que tenemos que cuidar más? Qué somos capaces de guardar en un entorno virtual y qué necesitamos instalar en un hardware dedicado? Virtualización Vamos a comenzar por el último de los aspectos mencionados anteriormente: Lync 2013 permite la virtualización de todas las funciones de Lync. También, casi todo en esta infraestructura que te ayude a desplegar o añadir características (controladores de dominio, servidores de correo y más) es virtualizable también. Esto es muy importante y te ayudará a alcanzar el primer objetivo (Aprender Lync con el mínimo esfuerzo) y 25

27 añade el soporte para tomas instantáneas (snapshots), Así que puedes probar configuraciones y volver atrás con un simple comando. Si tienes acceso a un Trunk SIP (o puedes simularlo, por ejemplo con una segunda instalación Lync o una solución alternativa de voz como Asterisk) eres capaz de aprender mucha cosas sobre Lync Enterprise Voice sin necesidad de tener un hardware dedicado. Si puedes comprar un teléfono fijo Lync y un switch serás capaz de investigar también la administración del hardware telefónico con Lync. Por consiguiente, qué te perderás con este método? Pues bien, lo que no puedes esperar es el conocimiento profesional de como configurar un Gateway de voz a tres voces, IP PBX y más. Eso es algo importante que tendrás que aprender (probablemente) en un entorno real, esperando que la documentación del proveedor sea lo mejor posible. Adquiriendo los recursos necesarios Primero vamos a examinar los recursos individuales que vas a necesitar. Después del primer párrafo (en el cual verás las diferentes escenarios de instalación), intentaré proponer el mejor método para obtenerlos. RAM (memoria): es un bien costoso de conseguir. En portátiles y ordenadores la máxima memoria que puedes usar está imitada por el hardware, y una buena placa base podría ofrecer como máximo 32 GB (pero tienes que considerar el coste de los módulos de memoria también). Así que uno de tus trabajos principales será el de crear la infraestructura necesaria usando la menor memoria posible. Una limitación aquí es la utilidad porque muchas veces eres capaz de mantener algunos servidores funcionando con unos pocos Mb de RAM pero su rendimiento será tan malo que estarán como si fueran inservibles. La virtualización puede ser de ayuda en apoyo a la memoria dinámica pero la memoria requerida es a menudo un cuello de botella. Discos duros: normalmente localizar espacio del disco para los es rápido y barato (especialmente si estuviéramos hablando de una instalación virtual). El rendimiento de los discos puede crear un problema. Cuantas más máquinas virtuales pongas en un único disco físico, más lento trabajará. Una vez más la solución aquí podría ser añadir discos (más fácil en un ordenador), para distribuir los archivos de los servidores virtuales en discos externos o usar discos SSD (costosos) CPU: esto es un recurso que normalmente subyuga a los requisitos. Si tienes un buen procesador x64 con varios núcleos y habilitada la tecnología multi-hilos (hyper threading), eso es algo de lo que no te tienes que preocupar. Conexiones: si quieres probar también el acceso para usuarios externos tendrás que simular una red de Internet y una interna (con tu servidor Edge y tu proxy inverso 26

28 actuando como un punto de entrada a tu instalación Lync). Podrías utilizar un hardware cortafuegos SOHO (firewalls) y routers son muy baratos) o un software (un servidor Windows virtual con enrutamiento y acceso remoto habilitados) Certificados SSL: en un entorno de pruebas podrías usar un C.A. (certificado de autorización) para crear y distribuir tus certificados. Ten en cuenta que en un escenario real un tercer C.A. es el camino más fácil de expandir los servicios Lync a usuarios externos y de evitar problemas y dolores de cabeza. Software: para el sistema base (monitor de máquina virtual) puedes utilizar un producto gratuito (Microsoft y VMware ofrecen buenas soluciones). El servidor que vas a implementar (Windows 2012 o Windows 2008 R2) y el software de control del servidor que necesitas (Lync, Exchange, Forefront TMG y SharePoint) están normalmente disponibles durante 190 días de prueba por lo que esto debería ser el camino más barato y más fácil de encontrar Implementando los escenarios de trabajo Basaré mi siguiente explicación en un ambiente virtual. Para una implementación física la disposición de los diferentes servidores requieren de un trabajo adicional y complejidad (esto es una exageración para una instalación de prueba según mi humilde opinión) Para cumplir el escenario interno del servidor Lync un simple portátil u ordenador con un monitor de máquina virtual, con al menos 8Gb de Ram y un disco rápido es suficiente. La suma de servicios accesibles desde Internet (segundo escenario), requiere dos servidores adicionales y quizás pueda ser demasiado pesado para un ordenador portátil. Un buen ordenador con 12 GB de RAM y un par de discos donde puedas distribuir las diferentes máquinas virtuales podría ser suficiente. Para la integración de la instalación de Exchange 2013 y SharePoint 2013 podrías probar con un ordenador muy bueno (con cuanta más RAM y más discos como sea posible) o con un servidor hardware reformado (hay buenas opciones para comprar viejos hardware que se ajustarán a tus necesidades dentro de un precio abordable Otra solución que he probado es comprar servidores virtuales privados en la nube, desde un proveedor de hosting. Son más baratos que comprar el hardware, no necesitan espacio ni mantenimiento de tu parte y muchas veces ofrecen direcciones IP públicas, para que de esta forma tú no tengas que simular Internet ya que tendrías un servidor real directamente conectado. El inconveniente en esta solución es que, cuantos más 27

29 servidores (y tiempo) necesites, más vas a gastar. Por lo que, esta solución es buena solo si vas a concentrar tus pruebas y estudios en un corto periodo de tiempo Pruébalo ahora Si necesitas probar un aspecto específico de Lync, como la instalación de un a Front End o de un Lync Edge, prueba los laboratorios virtuales de Microsoft Ignite. Son gratis, disponibles para clientes y socios Microsoft, y te dan un entorno virtual (por tiempo limitado) que puedes usar de acuerdo con los pasos que se describirán en el laboratorio o para probar funciones que quieras verificar por ti mismo. Implementando el laboratorio Empezando con el escenario Solo servicios internos del Servidor Lync Tienes que desarrollar: Un controlador de dominio Un Lync Front End (Standard Edition) Un servidor Office Web Apps Controlador de dominio Lync usará los siguientes servidores como infraestructura básica: Active Directory DNS Certification Authority (Autoridad de certificación) Lync interactúa con Active Directory para construir la infraestructura, modificar el proyecto, los bosques y los dominios así estas nuevas clases y atributos son creadas. Una de las limitaciones es que solo puedes tener un organismo Lync por cada bosque. Es necesario tener al menos un Windows 2003 para los bosques y para los dominios. DNS: Lync necesita la capacidad de resolver todos los nombres de dominio que forman parte de la infraestructura, Incluyendo ambos, Los asociados con el dominio interno y los relacionados con el nombre público (o nombres) de nuestra empresa. Éstos últimos 28

30 están normalmente definidos como dominios SIP para una empresa (Protocolo de Inicio de Sesiones o SIP es el protocolo usado para iniciar o terminar sesiones de comunicación en vivo. Eso tiene sentido porque tus usuarios accederán a Lync siempre con la misma dirección SIP (o usando su dirección de correo) sin tener en cuenta la localización (terminales fuera de nuestra empresa, ordenador unido al dominio, etcétera). Po lo tanto, el DNS interno debe de ser capaz de resolver los nombres de dominio públicos de tu dominio y DEBE de encaminar las solicitudes hacia direcciones de red que están dentro de nuestra red. Para lograr este resultado existen dos soluciones disponibles: DNS partida (esto es servir de host para una zona pública falsa en el DNS interno) o usar zonas señalizadas (PintPoint), esto te permitirá apuntar nombres de dominio público hacia IPs internas, Sin la necesidad de administrar toda la copia interna de la zona pública que es típica de los escenarios split brain. Para crear una zona PinPoint (por ejemplo para hacer que meet.lync2013.org apunte a ), puedes utilizar los siguientes comandos desde un intérprete de comandos en el servidor DNS. dnscmd. /zoneadd meet.lync2013.org. /dsprimary dnscmd. /recordadd A En la siguiente imagen puedes ver los mensajes resultantes de los comandos dnscmd Figura 2.4 Realización exitosa de la señalización (pinpointing) del registro (record) meet para el Lync Front End Nota: Si pruebas los comandos arriba mencionados desde PowerShell, solo el primero funcionará. 29

31 Nota: Independientemente de, el tipo del registro DNS que uses, es importante entender completamente el impacto que creas para los clientes Lync. El cliente Lync utiliza un procedimiento dado para identificar su servidor Lync, basado en la IP de los usuarios del dominio SIP ). El procedimiento está basado en los registros SRV DNS. Para nuestro test de laboratorio, nos meteremos en más detalle. Certificado de Autoridad: Todo el sistema Lync está diseñado para ser seguro y las comunicaciones sólo viajan de forma segura. Esta es la razón de porqué los certificados son muy importantes en Lync (los servicios básicos ni siquiera se iniciarán si existe algún problema con los certificados). Para una prueba de entorno el C.A. (certificado de Autoridad) instalado en el controlador de dominio, es todo lo que necesitamos para crear internamente los certificados requeridos por los servidores internos y los conectados a Internet. Pruébalo ahora La señalización pinpointing se puede hacer también desde la interfaz gráfica. Pruébalo y evalúa qué método encaja mejor contigo. Servidor Lync Front End Hablando de la implementación del laboratorio, lo que sugiero es instalar la versión Lync Estándar Edition e instalar la función de monitoreo, el chat de grupo (Chat Group) y el servidor de Mediación (Mediation Server). Nota: para instalar la función de monitoreo, necesitas instalar también los informes de monitorización. Todo el proceso está bien descrito en el blog de Matt Landis Servidor Office Web Apps La instalación está bien descrita en el artículo TechNet implementación del servidor Office Web Apps La única advertencia aquí es el seleccionar recordar el nombre interno y público del servidor, porque serán requeridos para los certificados y para construir la Topología de Lync 30

32 Tienes requisitos adicionales para el segundo escenario Servidor Lync Disponible para usuarios externos Proxy inverso Microsoft no sugiere una solución específica para el proceso de publicación de Lync Con TMG en su camino hacia el final de su vida, una solución viable es usar IIS como Proxy inverso. Dicha solución está descrita en el blog NextHop usando IIS ARR como Proxy inverso para el servidor Lync 2013 Otra solución son los balanceadores de carga de KEMP Tehnologies que son equipos homologados para Microsoft Lync Lync Edge La instalación de Lync Edge será discutida en el capítulo 25. En un entorno de pruebas sugiero usar el archivo hosts en el servidor edge para resolver los nombres de la infraestructura interna de Lync. Exchange y SharePoint La organización de Exchange y SharePoint está ligada a la versión de los servidores arriba mencionados que vas a desplegar. Lync es capaz de integrarse con Exchange 2007, 2010 y SharePoint es soportado si las versiones seleccionadas son 2010 o Algunos consejos: En Exchange 2013 no hay función UM: LA funcionalidad está en la función del servidor del buzón de correo. 31

33 LA función del servidor Client Access proporciona el servicio de enrutamiento de llamada UM (UM Call Router). La autentificación Servidor-a-Servidor y la autorización, OAuth (Autorización abierta) es un protocolo requerido por Lync Server 2013, Exchange 2013 y Microsoft SharePoint Server, Las credenciales de los usuarios y contraseñas no son transmitidas de un ordenador a otro (OAuth está basado en el intercambio de señales de seguridad security tokens ) Las señales (tokens) conceden acceso a un específico conjunto de recursos para una específica cantidad de tiempo. Laboratorio La configuración de OAuth puede empezarse desde Lync 2013 asignando un certificado de autentificación Servidor-a-Servidor al servidor Microsoft Lync Server o desde Exchange 2013 Integrando Exchange Lync 2013 para la integración UCS & OWA Prueba ambos métodos y evalúa los pros y los contras de los diferentes enfoques. 32

34 3 Administrando usuarios con el panel de control de Lync Server El panel de control de Lync es la primera herramienta administrativa a la que te dirigirás después de que la instalación de Lync se complete. Alrededor del 80-90% de todas las tareas administrativas pueden ser manejadas con esta interfaz gráfica (Las operaciones restantes estarán limitadas a la terminal de administración del servidor Lync que empezaré a explicar a partir del capítulo 5). Este capítulo está perfectamente partido en dos temas básicos. Una visión general exhaustiva del panel de control y de algunos conceptos fundamentales de la administración de Lync (políticas, los alcances de las políticas y funciones administrativas) Una explicación completa de los parámetros de configuración de usuario disponibles en el Panel de control, incluida la asignación de los grupos (pool), la configuración del SIP URI, opciones de telefonía y la asignación de directivas Introducción a la administración de Lync desde el panel de control Si no eres un experto en PowerShell y si tu implementación de Lync no requiere una resolución de problemas frecuentes, el panel de control es la herramienta que usarás más a menudo en el día a día de la administración de Lync. La primera operación que se suele realizar en el Panel de control (y que se sugiere por defecto) es habilitar a los usuarios de Lync. La operación mencionada anteriormente puede sonar lógica si ignoramos un hecho básico: La configuración que tu usuario recibirá está basada en gran parte en las políticas de Lync y reglas mientras su configuración Enterprise Voice dependerá en gran parte del dial plan y enrutamiento de voz que implementarás en tu empresa. will depend largely on the dial plans and voice routes you will deploy in your company. Así que el supuesto tácito aquí es que antes de habilitar al primer usuario deberías tener todos los ajustes requeridos en su sitio y el plan para la voz, el balance de la carga de trabajo, etcétera. Mi experiencia personal dice 33

35 que normalmente (por muchas buenas razones) tendrás que habilitar usuarios en Lync y después modificar los ajustes de usuario acorde con lo configuración que desplegarás en un segundo momento. Así que vamos a examinar algunos de los pasos que necesitas llevar a cabo si vas a habilitar a nuestros usuarios (Patricia Johnson, Peter Duggan and Julie Penny) a Lync teniendo en cuenta sus diferentes necesidades. Resumiendo lo que dijimos aquí en el 1er capítulo, tendrán Enterprise Voice (para Julie con el prefijo de acceso externo configurado, para Peter con delegación), movilidad, conferencia (con vista de gallería para Patricia) y federación con un proveedor XMPP externo (otra vez para Patricia). Escogiendo entre el panel de control y la terminal de administración Una decisión que necesitas tomar antes de que empieces el verdadero trabajo es sobre qué herramienta utilizarás. Como dije al principio del capítulo, Lync 2013 permite la administración desde una interfaz gráfica (panel de control del servidor Lync) y una línea de comandos (terminal de administración del terminal de administración). Administrar con un GUI (Interfaz Gráfica de Usuario) es más fácil, pero por ejemplo, si vas a habilitar un número más grande de usuarios con un lote de modificaciones, la mejor herramienta es la terminal de administración El panel de control puede ser confuso porque tendrás todas las interfaces administrativas disponibles, incluyendo las relacionadas con las funciones que todavía no has implementado (y algunas que no utilizarás jamás). Viendo la siguiente imagen por ejemplo, puedes ver la tabla de herramientas del Chat persistente en el panel de control de la implementación Lync que no tiene el chat persistente habilitado. 34

36 Figura 3.1 La página de inicio del Panel de Control Ahora, antes de hacer operaciones administrativas, vamos a traducir la información de sobre Patricia en una lista de parámetros Lync: ella necesitará un número de teléfono, recargable desde el sistema público telefónico con una extensión interna (Usaré 1(555) y su extensión será 5555). El hábito de marcado de la empresa es añadir el 9 antes de marcar un número externo y nosotros queremos mantener esta característica. Patricia será habilitada para las características avanzadas de voz, incluyendo transferencia de llamadas, llamadas simultáneas, etcétera. Desde el punto de vista de la video conferencia ella usará además la Vista Galería (múltiples vídeos simultáneos). Políticas y ámbito de políticas en la administración de Lync Toda la experiencia Lync para nuestros usuarios estará dictada por las políticas que les apliquemos, al sitio de Lync (esto es, la localización de red), a los grupos de Lync (Lync Pools) y a la organización como un todo. Cuando tu objetivo es crear una configuración o límite para la mayor parte de los usuarios es recomendado utilizar políticas globales. Las políticas por defecto que Lync aplica justo después de la instalación son globales. Digamos, por ejemplo, que Lync2013.Org tiene una política interna para denegar delegación (una característica que permite a los usuarios especificar otros usuarios que puedan mandar y recibir llamadas en su nombre). Para mandar un requerimiento como este trabajaremos en una política global (una política de voz con un alcance global para ser más específicos). 35

37 Como se ha dicho, las políticas se aplican en un orden de jerarquías, como la ilustrada en el esquema abajo: La política se aplicará a toda la infraestructura Lync (ver figura 3.2) Figure 3.2 una política global con delegación no habilitada Algunos usuarios Lync como Peter Duggan (Que delegará a Julie Penny) tendrán acceso a la función arriba mencionada. Para crear una excepción a la regla crearás una política de voz adicional (Voice Policy) (con alcance de usuario) entonces estarás habilitado para aplicarlo a los usuarios que lo requieran. Vamos a definir una nueva política de voz para responder a esta necesidad en la figura

38 Figura 3.3 seleccionando alcance para crear políticas que serán aplicadas a usuarios específicos. Si tuvieras una sucursal con una gran cantidad de usuarios que necesitan la función de delegación, podrías haber usado el tercer ámbito que se aplica a todos los usuarios (sitio) en un sitio específico de Lync. La política más específica prevalece sobre las otras para permitir una gestión granular (esto es, los parámetros conflictivos se resolverán usando la política de usuario predominando la política de sitio y la política de sitio remplazando las políticas de parámetros globales). Como consecuencia, El aspecto de las conexiones de red de tu instalación influirá en tu administración de Lync; esto es obvio porque si tienes un solo sitio, perderás un cierto nivel de flexibilidad cuando administres tus políticas. Funciones en la administración de Lync Role Based Access Control (RBAC) es el modelo de permisiones usado en Lync Durante la preparación del bosque y el dominio que es obligatorio para la implementación de Lync, algunos grupos universales son creados y se les asignan permisos. Los grupos arriba mencionados son la base de RBAC y te permiten controlar que es lo que pueden hacer los administradores y los usuarios finales. LA división entre las funciones Lync y otras tareas administrativas (como la administración de los servicios de Directory) es tan neta que justo después de la preparación del dominio tienes que insertar al menos un usuario en el grupo CsAdministrator, para definir al primer administrador de Lync Cada función RBAC está asociada con una serie de cmdlets de la terminal de administración del servidor Lync que se corresponden con las tareas que pueden ser llevadas a cabo por los usuarios de un grupo específico. Vamos a intentar imaginar un escenario: Lync2013.Org quiere delegar a un grupo de operarios el monitoreo de la vida de Lync. La única operación que el administrador de 37

39 Lync necesitará ejecutar es insertar sus usuarios en el grupo CsViewOnlyAdministrator, La herramienta a utilizar es Active Directory Users and Computers (usuarios y computadoras de Active Directory), (no hay forma desde Lync de hacer esta tarea). Pruébalo ahora Dijimos que los grupos tienen un subconjunto limitado de cmdlets disponibles. Para verificar qué comandos cada grupo es capaz de realizar, puedes utilizar el siguiente string en la terminal de administración de Lync. Quedándonos con el ejemplo arriba mencionado, puedes lanzar el siguiente comando: GET-CSADMINROLE -IDENTITY "CSVIEWONLYADMINISTRATOR" SELECT-OBJECT -EXPANDPROPERTY CMDLETS Los resultados mostrarán una lista de cmdlets relacionados con el grupo CsViewOnlyAdministrator. Puedes probar el mismo comando con CsAdministrator y ver las diferncias. Permitiendo y configurando usuarios En la figura 3.4 he dividido la pantalla New Lync Server User en cuatro zonas : Asignamiento de grupo (Pool) Configuración de SIP URI Opciones de telefonía Otorgamiento de política Usaré la división arriba mencionada para separar las diferentes tareas relacionadas con parámetros de usuario que tienes a tu disposición para configurar tus usuarios (después en el capítulo, haremos lo mismo para los clientes y dispositivos 38

40 Figura 3.4 La nueva página de usuario del servidor Lync con las opciones divididas en cuatro zonas Habilitando a un usuario en Lync Vamos a echar un vistazo a un proceso estándar para permitir en Lync nuestros usuarios, Patricia Johnson. a uno de Queremos darle un usuario Lync que coincida con su dirección de correo, para asignarla al grupo (pool) de Lync que está localizado en la sede de la empresa y darla un número de teléfono que es directamente accesible desde el sistema de telefonía público 1(555) Ella utilizará la capacidad de Lync para ver múltiples vídeos transmitidos (en streaming) en una única conferencia Gallery view (vista Galería) y ella requirió simplificar el acceso a servicios de IM públicos como Jabber.Org (por el momento ella tiene muchas cuentas 39

41 diferentes en varios sistemas). Patricia y sus compañeros han usado durante muchos años una PBX que requería marcar el 9 antes de ser capaz de llamar a un número externo. También queremos adoptar este hábito de marcado. Empezamos por el Panel de control, pestaña Usuarios y seleccionar Permitir Usuarios Figura 3.5 Empezando el proceso de permisión En la siguiente pantalla seleccionar Añadir Figura 3.7 La nueva pantalla de usuario del servidor Lync En la pantalla Seleccionar desde Active Directory e te permite buscar el usuario con una búsqueda o simplemente puedes apretar el botón Buscar y obtener una lista de todos los usuarios de Active Directory no permitidos para Lync. Selecciona Patricia Johnson. 40

42 Figura 3.7 Empezando el proceso de permisión Asignación de grupos (pool) Varios parámetros ya están establecidos en automático, lo que significa que la política mundial se aplicará siempre y cuando no digamos lo contrario. La primera área se utiliza para decidir qué grupo será el anfitrión (host) de la cuenta de usuario (Patricia Johnson) como se puede ver en la siguiente captura de pantalla (figura 3.8). La información relacionada con el grupo (pool) en la que el usuario está "asentado" se muestra en la primera parte del menú y son importantes, por ejemplo, si tenemos que pasar nuestros usuarios de un servidor a otro en caso de una desastrosa recuperación. Figura 3.8 Asignando al usuario a un servidor con versión Standard Edition En Lync 2013 el llamado grupo (pool) Front End está al cargo de una gran parte de las funcionalidades Lync incluyendo autentificación y registro. Un grupo (pool) Front End podría estar constituido por un simple servidor Lync Standard edition o por un grupo 41

43 de servidores Lync Enterprise Edition (El mínimo sugerido son dos servidores para un grupo pool Enterprise). Todo usuario habilitado en Lync debe de estar asentado en un grupo (pool). Si el grupo contiene más de un servidor, cualquier persona conectada a Lync tendrá una un orden de inscripción definido (esto se crea y actualiza con un algoritmo) que contiene un servidor primario, uno secundario, y así sucesivamente. Los mecanismos arriba mencionados equilibran a los usuarios en un grupo (pool) siendo estos nodos y da continuidad si alguno de los servidores falla. Si tienes una red geográfica con diferentes sitios Lync, el escenario estándar es el tener a los usuarios asentados en un grupo (pool) qué esté en su propia red, aunque esto no es obligatorio. Con la llamada lógica ladrillo implementada en Lync 2023, tenemos una función de continuidad adicional (emparejamiento Front End). Si tienes dos grupos (pools) separados, eres capaz de tolerar fallos (failover) y hacer recuperaciones (failback) en las cuentas desde un grupo Front End a otro. Este no es el mismo nivel de continuidad que tienes con un único grupo enterprise porque tendrás que suspender usuarios manualmente desde la edición estándar de un servidor a otro. De cualquier forma este método soporta la continuidad del sistema (no de alta disponibilidad) porque los datos son replicados de una forma que permite al usuario ser movido sin perder información. Configuración SIP URI Patricia Johnson tiene una cuenta de correo en nuestro sistema Exchange (PatriciaJ@lync2013.org ). Ella se sentirá más cómoda si la permites usar la misma cuenta de correo para acceder a los servicios Lync (una función llamada comunicación unificada ). Los clientes y los socios esperarán contactar con ella través de Lync/Skype Federation usando la misma dirección de correo (reflejado también en su tarjeta de negocios). Otro referencia, diferente de la arriba mencionada podría ser confuso. Como ya sabes, Lync utiliza (SIP) Protocolo de Inicio de Sesión como protocolo de señalización. Citando a RFC 3261 SIP es un protocolo de control de capa de aplicación que puede establecer, modificar y terminar sesiones (conferencias) como pueden ser llamadas telefónicas por Internet. SIP también puede invitar participantes a sesiones ya existentes. SIP URI es el esquema de direccionamiento SIP para llamar a otra persona. En otras palabras, un SIP URI es la versión software de un número de teléfono tradicional basado en el protocolo SIP. 42

44 Cada recurso en una red SIP necesita un único URI (identificador uniforme de recursos) y Lync no es una excepción. La segunda zona, Configuración SIP URI es donde puedes configurar una dirección SIP para tu usuario que debe de ser única en la estructura Lync y debería ser lo más fácil posible de recordar para ambos, usuarios internos y externos. Figura 3.9 Las opciones SIP disponibles para cualquier usuario Las opciones disponibles para SIP URI dependen enormemente en las decisiones que hagas en el constructor de Topología Lync. Cuando diseñas (y publicas) tu infraestructura Lync, se te requiere listar todos los dominios SIP que tu implementación requiera. En la figura 3.10 puedes ver la configuración relacionada con el dominio SIP por defecto y los adicionales que se te permite añadir. El SIP URI que contenga dominios que no existan aquí, no son configurables en el servidor Lync Figura 3.10 Añadir o eliminar Dominios SIP requiere la modificación de la topología. Si uno de los dominios SIP es también un dominio de correo público, la opción Utiliza dirección de correo de usuario debería ser tu primera elección. La opción de utilizar UPN (Nombre Principal de Usuario) ha sido ampliamente utilizada, pero si tu dominio de Active Directory utiliza un nombre interno, los límites 43

45 de los certificados de terceros que serán efectivos en noviembre de 2015 hacen a esta opción menos conveniente de lo que fue en el pasado. Las opciones restantes añaden flexibilidad para darte la posibilidad de usar un esquema de nombres SIP URI que cumpla con las necesidades de tu empresa Opciones de Telefonía En la tercera área, opciones de telefonía, hay cuatro ajustes disponibles en el primer menú de pestañas desplegables como puedes ver en la figura Figura 3.11 El menú de pestañas desplegables de telefonía Audio/video deshabilitado implica que el usuario no puede hacer llamadas con audio y vídeo y está limitado a solo Presencia e IM. PC-a-PC El usuario solo puede hacer llamadas de audio y vídeo de PC-a-PC Enterprise Voice Permite al usuario a coger llamadas entrantes y realizar llamadas de voz salientes (esta función requiere una licencia específica Client Access que necesitarás comprar adicionalmente a la licencia del servidor, como explicaré más tarde en este capítulo), el control de llamadas remotas tienen dos ajustes diferentes. Control de llamadas remotas permiten al usuario controlar las llamadas remotas. Hay dos opciones, Remote call control and Remote call control only. Si es elegido RCC only, la función PC-a-PC es deshabilitada. Todos los parámetros (excluyendo Audio/video deshabilitado) requieren una línea URI (el número de teléfono del usuario). Patricia requiere la función completa de Enterprise Voice y un número accesible desde el sistema de telefonía público, 1(555) El primer parámetro que necesitamos es una Línea URI. Dijimos que Lync está basado en el protocolo SIP, así que tienes que darle formato acorde con la recomendación ITU- T ejemplo. 164 (tel: ). 44

46 Tal formato incluye un código del país, un código de área, y un número de usuario local es requerido para poner el servidor Lync 2013 en una posición para hablar (también) con la Red Telefónica conmutada Convencional (PSTN) y con el mundo exterior en general. Enterprise Voice será explicado en mayor detalle, más tarde en el libro. El número arriba mencionado puede ser accesible directamente dede el exterior de la empresa (esto se llama DID, Direct Inward Dialing) o quizás un número interno que requiera llamar a un número principal. En el escenario a continuación, tenemos soporte para un parámetro adicional, ext. La Línea URI aparecerá como la de la figura 3.12, donde la extensión es Figura 3.12 Configurando un usuario DID con extensión Política de marcado La política de marcado (dial plan) y la política de voz (Voice policy) añadirán algunos parámetros que necesitamos administrar para un usuario Enterprise Voice: La política de plan de marcado (dial plan policy) resuelve un problema común: necesitas normalizar los números (por ejemplo, los que el usuario marca) de esta manera se transmiten a los Gateways de voz o Trunk SIP en formato E Un plan de marcado contiene una o más normas que puedes aplicar a un sitio, a un grupo (pool), aun usuario, o a todo el sistema Lync (La política global por defecto). Las normas de normalización son creadas usando expresiones regulares tales como $ al final (un tema que investigaremos en la parte del libro Enterprise Voice. 45

47 Figura 3.13 Configurando un plan de marcado (dial plan) con un prefijo de acceso externo En la figura 3.13 también he añadido un prefijo de acceso externo (9) que es normalmente utilizado para llamadas salientes fuera de la empresa. Este parámetro es útil si el hábito de marcado de tu usuario es añadir un número para identificar llamadas que van fuera de la empresa. Nuestro usuario Julie Penny normalmente utiliza un teléfono de oficina y marca los números de teléfono después de que haya descolgado el auricular marcado después de descolgar (off-hook dialing). Ella marca el 9 al principio de un número externo (un hábito que ha aprendido con la vieja PBX de la empresa) y después lee el número y lo marca. El prefijo de acceso externo le dice a Lync que el 9 será usado para números exteriores (por lo que las normas para los números internos serán ignoradas) y que el número 9 no es tomado en cuenta cuando se marca el número. 46

48 Política de Voz Las políticas de voz están echas de dos partes : características (que puedes habilitar o deshabilitar) y registros de uso de PSTN, como se muestra en la figura 3.14 Figura 3.14 Editando una política de voz La captura de pantalla anterior muestra la configuración por defecto para una política de voz. Para nuestro usuario también habilitaremos la función de aparcar llamada (esto es, la capacidad de dejar una llamada en espera y coger una llamada de otro teléfono). Los registros PSTN son etiquetas que utilizamos para agrupar las normas necesarias para administrar el coste de las llamadas y enrutamiento de voz. Hablaremos más sobre Enterprise Voice en la tercera parte del libro. Anteriormente, mencionamos las CALs de Lync. En Lync la concesión de licencias se basa en el honor, por lo que no hay control o límite en las características que eres capaz de utilizar incluso si no has adquirido las licencias necesarias y no tienes una pantalla dedicada o configuración para añadir o eliminar licencias. La única forma que tienes de mantener el control sobre los números de las licencias requeridas es con las políticas que asignas a los usuarios de Lync, añadiendo o eliminando funciones Asignamiento de Políticas Dijimos que Patricia usará una función llamada Vista de Galería. Esta es una nueva disposición que permite hasta cinco videos activos transmitidos al mismo tiempo. El parámetro Permitir múltiples videos (habilitado por defecto e introducido por primera vez en Lync 2013) puede ser deshabilitada en situaciones donde necesitamos inhibir el 47

49 acceso a una conferencia que utilice Vista Galería (Gallery view). Esto es algo que tenemos que habilitar usando una política (esta está, en la parte de abajo del panel de control). Los parámetros están preparados como se ven en la figura 3.15 (En la pestaña de Conferencias, Editar las políticas de conferencia). Figura 3.15 Editando las políticas globales de conferencia para habilitar múltiples vídeos Patricia Johnson está en contacto con un gran número de clientes de nuestra compañía y se la requiere normalmente el conocerlos públicamente a través de servicios IM jabber.org. Tú quieres asegurarte de que sea fácil para ella para conectar con los servicios externos antes mencionados utilizando su cuenta de Lync (y reemplazarlos con la siguiente lista de cuentas que ella utiliza en las varias plataformas). Puedes obtener el resultado configurando una federación basada en XMPP. Explicaré los detalles más tarde, pero básicamente lo que necesitas es configurar la política en la pestaña de federaciones y acceso externo (Federation and External Access), editando la política de acceso externo (External Access Policy) como se muestra en la figura

50 Figura 3.16 Configurando una política, con un alcance limitado para el usuario, para la federación (federation) XMPP Es importante apuntar que la política será de alcance de usuario, porque no queremos que la integración de XMPP sea una función disponible Volviendo a los parámetros de usuarios para Patricia (figura 3.17) la ataremos a la política XMPP Federation, dejando la política global/por defecto, sin cambios. Figura 3.17 Aplicando una política de usuario para Google Talk Las diversas políticas que vemos en esta pantalla dictarán toda la experiencia del usuario y se discutirán más profundamente en los próximos capítulos. Para que os hagáis una idea rápida de los parámetros disponibles, tenemos: Política de conferencia Define las características y capacidades que los usuarios tienen a su disposición durante una reunión, incluyendo el audio y las funciones de vídeo y las herramientas de intercambio de datos. Política de la versión del Cliente Esta política define para Lync las versiones de los clientes que se admiten en su entorno. Política PIN Para participar en una conferencia de acceso telefónico local, un usuario de Lync requiere un número de identificación personal (PIN). La política PIN dicta máximo número de intentos de inicio de sesión, la expiración del PIN, etcétera. 49

51 Política de acceso externo Puedes configurar qué sistemas públicos (incluyendo XMPP socios federados) o los usuarios externos pueden colaborar con los usuarios internos. Política Archiving Archiving permite a tu empresa para mantener un registro de las conversaciones de mensajería instantánea implicando a los usuarios de Lync. La característica anteriormente mencionada podría ser necesaria por razones legales y podría ser activada sólo para usuarios específicos, con una política dedicada aplicada a las personas que necesitan realizar un seguimiento. Políticas de ubicación Las políticas de ubicación contienen los ajustes E Política de movilidad Las funciones que puedes controlar desde aquí están relacionadas principalmente con el cliente Lync 2013 para dispositivos móviles, por ejemplo, requisitos Wifi de conexión para llamadas con video desde esos dispositivos. Persistent Chat policy The parameters you can modify here are related to the persistent chat service. Política del cliente La política de cliente determina qué características de cliente estarán disponibles para el usuario. Como has visto, incluso la configuración de un usuario que no tiene requisitos particularmente complejos implica varios pasos. Las Políticas y configuración de usuario (especialmente proyectado a gran escala) tienen un profundo impacto en los costos y en el rendimiento del sistema y no deben ser infravaloradas. Pruébalo ahora Mueve un usuario de un grupo de Lync a otro y desactiva sus políticas de conferencia utilizando el Panel de control. Laboratorio NOTA para este laboratorio, necesitarás un controlador de dominio y un Lync Front End funcionando. Procede habilitando un nuevo usuario en Lync. Delega a este usuario la capacidad de activar y desactivar los usuarios del servidor Lync. Abre el Panel de control de Lync con dicho usuario y habilitar dos nuevos usuarios a Lync. 50

52 Define sus políticas para que uno de ellos solo pueda usar IM mientras el otro es un usuario Enterprise Voice. En este último caso, configurar una política de marcado que incluye 0 como un prefijo de acceso externo. Prueba una llamada de audio y luego configurar todo para que los usuarios son capaces de hablar entre sí con Enterprise Voice. Prueba la función de delegación, permitiéndolo para usuario de Lync y aplicando la delegación de número desde el cliente Lync. 51

53 4 Gestionando clientes, y dispositivos con el panel de control del servidor Lync Como administrador del servidor Lync, una de tus tareas es administrar actualizaciones software y uso de políticas para los clientes. La definición de cliente en Lync incluye al software del cliente Lync instalado en la estación de trabajo del usuario o en un dispositivo móvil y teléfonos IP de oficina. Puedes añadir a la lista el Lync Web App, una interfaz Web accesible a los usuarios sin cliente software en sus terminales locales. La aplicación Web (Web App) no es un cliente con todas las funciones pero permite que participe en una reunión existente En la figura 4.1 puedes ver todo el cliente, la aplicación Web App y el teléfono de oficina el uno al lado del otro. 4.1 Una representación gráfica de algunos clientes de Lync 2013 El panel de control del servidor Lync 2013 será de mucha ayuda en esta tarea con las herramientas incorporadas en la pestaña llamada CLIENTS (como expliqué anteriormente, el panel de control es la interfaz gráfica de la administración en Lync) Puedes verlo en la figura

54 Figura 4.2 El panel izquierdo de Lync 2013, panel de control del servidor. El círculo verde muestra la pestaña clientes. En las pestañas del cliente tenemos las herramientas: Clientes: El software cliente Lync y OCS instalado en clientes de escritorio (OCS 2007 R2 fue el producto publicado UC desde Microsoft antes que Lync) Hardware: esta definición incluye todos los teléfonos de escritorio que puede utilizar con Lync. Estos se pueden dividir en dos amplias categorías: Teléfonos IP compatibles probados y cualificados por Lync: Estos son teléfonos que utilizan un software de terceros que es compatible con Lync. Teléfonos IP Optimizados por Lync: Estos son teléfonos basados en Lync Phone Edition (ver figura 4.3). Lync Phone Edition es un cliente software de Microsoft que funciona en dispositivos homologados y provee funciones tradicionales y avanzadas. Figura 4.3 El teléfono de la izquierda utiliza Lync Phone Edition mientras que el de la derecha utiliza un software del fabricante de hardware Movilidad: dedicada a la gestión de la funcionalidad del cliente diseñado para dispositivos móviles, como smartphones y tablets. En la figura 4.4, además de mostrar el contenido de la ficha Clientes, he dividido en tres "zonas" (clientes, de hardware y de movilidad). Debería ser más fácil de explicar las diferentes herramientas de esta manera. 53

55 Figure 4.4 Pestaña de clientes en el panel de control de Lync con las tres zonas Como puedes ver, dos tablas son para el Software de administración de Clientes (Clients), cuatro son para los dispositivos Hardware y dos centrados en la movilidad (Mobility). Puede asignar cada pestaña con las tareas administrativas que cumplas, como en el siguiente cuadro Política de versión del cliente Configuración de la versión del cliente Actualización dispositivos Dispositivo prueba de de Configuración de acceso de los dispositivos Configuración de dispositivos Políticas movilidad de (Client version policies) te permite especificar que clientes serán aceptados desde el servidor Lync Aquí puede especificar una acción predeterminada para los clientes sin una definida política de versión del cliente (Devices update) puedes aprobar y distribuir actualizaciones de software para los dispositivos Puede añadir un dispositivo de prueba y utilizarlo para verificar nuevas actualizaciones antes de implementarlas en los dispositivos de producción Puede administrar los ajustes relacionados con las actualizaciones del acceso de los dispositivos Configuración de dispositivos te permiten modificar las opciones de gestión para Lync Phone Edition Lite como el bloqueo del teléfono después del cumplimiento de hora Se puede crear una política de movilidad para permitir o denegar las características de Lync para usuarios móviles 54

56 Configuración de Push Notification (Notificación Push) Puedes activar o desactivar las notificaciones push. Una notificación es un aviso en pantalla acerca de las comunicaciones Lync perdidas. Está disponible sólo en ciertas versiones del cliente móvil de Lync Voy a explicar algunas de las configuraciones disponibles en las diversas pestañas, manteniendo la división lógica en tres áreas para mejorar la claridad. NOTA: Por lo general, la gestión de clientes no es un trabajo que vas a realizar diariamente. Por lo general, tendrás que trabajar de cara a las nuevas actualizaciones de software o si es necesario cambiar las políticas para tus clientes. Para empezar con un ejemplo práctico, imaginemos que usted acaba de migrar la infraestructura de Lync de su empresa al servidor de Lync Es probable que tengas el cliente Lync 2010 mostrando el siguiente error: Microsoft Lync 2010 es una versión que no puede ser usada en este servidor, como puedes ver en la figura 4.5 Figura 4.5 error por defecto en los clientes de Lync La solución a tu problema es lo que he llamado la zona software de clientes en la pestaña clientes en el servidor Lync del panel de control. Software de Clientes Los parámetros en la política Client Version Policy y en las pestañas Client Version Configuration dictan que clientes pueden acceder al servidor Lync. Cada vez que un usuario inicia sesión en Lync, la configuración de la versión del cliente seleccionar si está sujeto a la versión cliente de cheques o no. Si la configuración de Client Version está habilitada (ver figura 4.6 la política de Client Version, comprobará la versión del software cliente y permitirá (o denegará) su acceso. 55

57 Figura 4.6 configuración de Client Version está habilitada Entonces la política del Client Version establece las normas para admitir o bloquear los diferentes clientes. La política por defecto es global (lo que significa que se aplica a toda la infraestructura de Lync) como se puede ver en la figura 4.7 Figura 4.7 Política de client version con la configuración de política (por defecto) Abriendo la política, verás la lista en la imagen 4.7. El valor que he marcado en verde es el que tiene en cuenta nuestros clientes de Lync Si son más antiguos que la versión no será capaces de conectarse al servidor Lync

58 Figura 4.7 Política de client version con el parámetro que tiene que ver con el cliente Lync 2010 remarcado Los ajustes por defecto son demasiado restrictivos, para nuestro escenario, excluyendo una parte de los clientes de Lync Lo que tienes que hacer es modificarlo para ajustar que la versión OC del "agente de usuario" (correspondiente del cliente Lync 2010). Como puedes ver en la siguiente captura de pantalla. Figura 4.6 Permitiendo clientes de Lync 2010 Ahora, vamos a añadir un poco de información para ir más allá del tema específico que acaba de ver. La configuración de la versión (Version Configuration) incluye un ajuste para bloquear clientes que no están identificados. Es un ajuste importante, ya que determina cómo Lync gestionará cualquier cliente que no es capaz de igualar con las versiones enumeradas en los parámetros de la política. Para gestionar escenarios con implementaciones de empresa de los clientes Lync puedes crear sitio o políticas de usuario para gestionar excepciones de una única oficina o empleado. 57

59 Nota: Si también quieres mantener los clientes Microsoft Office Communicator 2007 R2 funcionando, la versión a modificar es la Consejo: te sugiero una herramienta gratis (Encuentra Lync Versions que requiera la base de datos RTC Local para recuperar la versión cliente que tus usuarios tienen en su puesto de trabajo. Pruébalo ahora Abre un cliente Lync e identificar su número de versión. Prepara una lista de los pasos necesarios para permitir la conexión con el servidor Lync para clientes de versiones anteriores en una sucursal con un servidor local de Lync Front End, donde se alojan los usuarios. Ahora, imagina la sucursal antes mencionada con un despliegue de la SBA de Lync ( Survivable Branch Appliance SBA es un hardware con funciones limitadas de Lync para aumentar la persistencia de voz en los escenarios de sucursales). La lista de los pasos necesarios para mantener a los clientes heredados de trabajo va a cambiar? Dispositivos Hardware Si tu empresa utiliza el Enterprise Voice de Lync server 2013 (este es el término de Lync para definir las comunicaciones de voz sobre protocolo de Internet o VoIP) es probable que también hayas implementado teléfonos de escritorio como los que usted ha visto al principio del capítulo. Una parte de las tareas administrativas es mantener actualizado y alinear a la última versión del software de los dispositivos de telefonía físicas mencionadas En esta zona del panel de control puedes aprobar y distribuir actualizaciones a los dispositivos (y para volver atrás en caso de problemas), para probarlos o para configurar algunos parámetros (ver figura 4.7) Figura 4.7 gestión de dispositivo en el panel de control de Lync Asumamos que tienes que actualizar un teléfono HP4110 a su última versión software. El primer paso es descargar un archivo actualizador.bin (este archivo, desarrollado para 58

60 los teléfonos de escritorio, actualizará sus software). Por lo tanto necesitas hacerlo disponible para los dispositivos. Lync permite distribuciones software a los dispositivos a través del servicio Web instalado por defecto en los Lync Front Ends. Nota: El proceso requerirá también del uso de la terminal de administración de Lync (esto es la línea de comandos basada en Windows PowerShell para la administración de Lync) y sus cmdlets (un comando ligero usado en los PowerShell) Necesitas también un cmdlet para importar los archivos.bin al servidor Lync. El comando básico es Import-CsDeviceUpdate pero además necesitas saber un parámetro de tu Front End llamado identity. Si no conoces el parámetro -identity de tu servidor puedes utilizar el siguiente cmdlet Get-CsService WebServer. En mi ejemplo tengo un valor igual a Webserver:2012SE1.Lync2013.dom. El archivo.bin que he descargado está localizado en c: y se llama ucupdates.cab. El último cmdlet a importar será: Import-CsDeviceUpdate -identity WebServer:2012SE1.Lync2013.dom -FileName c:\ucupdates.cab Para verificar que la actualización se ha importado correctamente tienes que ir al panel de control de Lync y abrir actualización de dispositivo (Device Update) en la pestaña clientes. El resultado es el que puedes ver en la figura 4.8 (También he abierto el menú Action para la aprobación). 59

61 Figura 4.8 Las actualizaciones están disponibles para su aprobación en el panel de control de Lync Antes de implementarlo a gran escala puedes verificar las nuevas actualizaciones en dispositivos d prueba usando el menú dedicado probar dispositivo (Test Device) en el panel de control. El hardware puede ser identificado usando la dirección MAC (único identificador de la interfaz de red del teléfono de escritorio). En mi caso 00:04:13:72:00:7F. También podrías utilizar el número de serie (M ) como se muestra en la figura 4.9 Figure 4.9 Configurando un dispositivo de prueba Si el dispositivo de pruebas no presenta problemas, puedes instalar la actualización aprobándola en la pestaña arriba mencionada actualización de dispositivo (Device Update). Nota: Los requisitos previos para una exitosa implementación de Phone Edition incluyen un Lync Enterprise Voice en funcionamiento y modificaciones a la infraestructura de servidores red como DNS y DHCP. 60

62 Movilidad Supongamos que nuestro usuario Patricia Johnson necesita: Utilizar un cliente móvil y la funcionalidad llamar vía el trabajo (esto es,. la capacidad de llamar desde su teléfono usando su número del trabajo) Queremos que ella utilice voz y vídeo solo si la conexión Wifi se encuentra disponible (así que la conexión de datos móviles debería estar deshabilitada para estas funcionalidades) Las malas noticias son que no puedes obtener este resultado usando únicamente el panel de control. La política por defecto (global) que puedes ver en la pestaña de política de movilidad (Mobility Policy) (figura 4.10) no satisface los requerimientos arriba mencionados y por eso no hay forma de forzar el parámetro del Wifi desde el panel de control. Figura 4.10 La política de movilidad (Mobility Policy) con la política por defecto abierta. He hecho un zoom a la imagen anterior en la figura Como puedes observar, los ajustes son solo para habilitar o deshabilitar la movilidad y la llamada vía el trabajo. Figura 4.11 Política global Mobility 61

63 La solución es utilizar (una vez más) la terminal de administración de Lync. Si lanzas el comando cmdlet Get-CsMobilityPolicy verás un resultado como: Identity: Global Description: EnableOutsideVoice: EnableMobility: EnableIPAudioVideo: True True True RequireWIFIForIPAudio: False RequireWIFIForIPVideo: False Por lo que para obtener el resultado que quieres (limitando el alcance a un usuario porque queremos aplicarlo a usuarios individuales la cmdlet será algo como New-CsMobilityPolicy -identity "Wi-Fi required" -RequireWiFiForIPAudio $True - RequireWiFiForIPVideo $True Notificaciones Push Dependiendo del tipo de dispositivo móvil con el que el usuario trabajará, puedes preferir habilitar las notificaciones push de Lync (como dijimos antes, avisos en pantalla (on-screen) sobre comunicaciones perdidas en Lync. Las notificaciones Push estás deshabilitadas por defecto (ver Figura 4.12) Figura 4.12 Política por defecto para notificaciones Push Para continuar con nuestro ejemplo anterior, si Patricia tiene Lync 2013 Mobile en un dispositivo Apple, no necesitas notificaciones push porque la nueva versión del cliente para IPad y IPhone no las soportan. Si ella utiliza Lync 2010 Mobile en un dispositivo Apple o un Windows Phone, las notificaciones son útiles. Las configuraciones arriba 62

64 mencionadas usarán el servicio push para notificar al usuario sobre mensajes IM y contactos perdidos cuando el cliente trabaja en background. Nota: la función requiere configuraciones para el Lync Edge y para el proxy inverso que veremos más adelante en el texto. Algunas cosas que tienes que hacer fuera del panel de control Algunos dispositivos, como los dedicados a conferencias y los teléfonos comunes no son gestionados desde el panel de control y hablaremos sobre ellos. Una parte de la gestión y configuración del cliente (política bootstrapping) es gestionada a través de políticas de Grupo (Las plantillas administrativas de Lync 2013 están incluidas en los archivos Office 2013 Administrative Template (ADMX, ADML) ) como puedes ver en la figura 4.13 Figura 4.13Plantilla administrativa Microsoft Lync 2013 en el editor de políticas de Grupo Como puede que ya sepas, las políticas de Grupo te permiten modificar toda la experiencia de trabajo de un usuario, añadiendo o eliminando funcionalidades, programas y permisos del cliente basados en su pertenencia al grupo, la unidad organizativa en la que insertamos la cuenta de Active Directory, el ordenador objetivo, etcétera. Normalmente esto es algo gestionado desde el grupo administrativo responsable de los servicios Directory de la empresa. Como administrador de Lync, puedes utilizar la infraestructura de Active Directory para configurar los parámetros del cliente Lync. Las políticas de Grupo para Lync son políticas para el ordenador objeto, por lo que estás habilitado para modificar algunos ajustes del cliente Lync basados en el sitio de trabajo donde el usuario ha iniciado sesión Una aplicación útil de las políticas de Grupo con Lync 2013 aporta una solución a el Lync Error de inicio de sesión Lync no puede comprobar que el servidor 63

65 es de confianza para la dirección de inicio de sesión. Conectar todos modos?. Normalmente, este es un error relacionado con algunos datos que no encajan en los certificados de Lync, donde la dirección SIP de los usuarios no coincide con elsufijo del servidor DNS interno. Por ejemplo, tu dominio de Active Directory es Lync2013.dom y por lo tanto tu nombre Lync Front End (y registros DNS) están asociados al dominio Lync2013.org. Todos los clientes Lync, la primera vez que intenten conectar, se mostrará el error arriba mencionado. Puedes añadir manualmente el servidor a la lista de los dominios de confianza pero una solución más inteligente es utilizar las políticas de Grupo. Añadiendo el servidor Lync en el parámetro Lista de dominios de confianza (TrustModelData) (ver siguiente imagen). Figura 4.14 Lista de dominios de confianza. El error nunca se mostrará en cualquiera de los clientes se unieron a tu dominio de Active Directory. Este es sólo un ejemplo de los resultados que son capaces de obtener con las directivas de grupo. En el próximo "Pruébalo ahora" yo te mostraré algunas de las tareas adicionales que puede realizar. 64

66 Pruébalo ahora Para profundizar en el poder de la directiva de grupo de Lync 2013 se podría tratar de crear dos políticas diferentes: La primera (que puedes llamar Seguimiento) habilitará el seguimiento para resolución de problemas en el cliente (conecta el seguimiento para Lync habilitado en la política) y puedes enlazarlo a una unidad organizativa que puedes depurar. La segunda política (que puedes llamar no seguimiento ) tendrá los mismos parámetros de seguimiento con configuración en deshabilitado, y será enlazado a unas unidades organizativas llamadas clientes Lync. La situación será la que puedes ver en esta figura. Figura 4.13 Unidades organizativas con las dos políticas de grupo Lync enlazadas Ahora, cada vez que tengas un problema con el cliente Lync de una única terminal de trabajo, puedes mover el ordenador en cuestión a la unidad organizativa Depuración, así la próxima vez que el cliente inicie sesión en el dominio, el seguimiento estará habilitado. Cuando el problema es resuelto, puedes moverlo a la unidad de organización original y el seguimiento estará deshabilitado en el siguiente inicio de sesión Laboratorio En este capítulo se ha visto una parte de la gestión a través del panel de control de Lync que abarca todas las soluciones de cliente a disposición de los usuarios (clientes Lync para entornos de escritorio y móvil y usuarios externos basados en opciones de dispositivos móviles). Como has visto, algunas tareas específicas tienen que ser ejecutadas fuera de la interfaz gráfica, las características del terminal de administración Lync son el sujeto de los siguientes capítulos. NOTA: Para este laboratorio, necesitarás un controlador de dominio y un Lync Front End funcionando. 65

67 Trate de contestar las siguientes preguntas y completar las tareas especificadas. Esta práctica de laboratorio se centra en las características que el panel de control de Lync ofrece para gestionar los diferentes tipos de clientes y dispositivos. Se puede inhibir el uso de Lync para un grupo de usuarios? Cómo se realiza esto? Cómo se habilita el uso de Lync cliente 2010 sólo para un sitio específico? Cuál es el mejor método para poner a prueba un firmware de teléfono de escritorio Lync antes de implementarla en todos los dispositivos? Cómo se puede dictar que las características de audio y voz para clientes móviles sólo están disponibles si una red Wi Fi está conectada? 66

68 5 Gestionando usuarios con La terminal de administración del servidor Lync La terminal de administración del servidor es una interfaz administrativa construida en Windows PowerShell 3.0. Aunque es posible realizar el 80% de las tareas de administración y configuración desde el panel de control Lync, tienes que recordar que el interfaz arriba mencionado solo implementa un subconjunto del cmdlet que tienes a tu disposición en la terminal de administración. LA terminal de administración del servidor Lync es también la mejor herramienta para automatizar tareas administrativas. Gestionando usuarios desde La terminal de administración Usar la nueva PowerShell 3.0 significa que las nuevas funcionalidades y mejoras están disponibles para gestionar Lync. La primera herramienta útil es el Show-Command cmdlet. Como puedes ver en la figura 5.1la nueva versión de este cmdlet abre una interfaz gráfica que te permite seleccionar el módulo PowerShell que quieres usar y luego saca una lista de las cmdlets disponibles. 5.1 Usando el Show-Command cmdlet para explorar comandos Lync 67

69 Seleccionando un cmdlet eres capaz de ver los parámetros disponibles (ver figura 5.2) Figura 5.2 Los parámetros se muestran en la interfaz gráfica Obtener información sobre los usuarios Lync Puedes empezar a examinar uno de los cmdlets más usados por el gestor de usuarios de Lync: Get-CsUser Figura 5.3 El cmdlet Get-CsUser con una lista de las opciones disponibles 68

70 Figura 5.3 muestra una de las propiedades más comunes que puedes utilizar con el comando get-csuser. Un primer, interesante cmdlet que puedes utilizar es Get-CsUser Get-Member -MemberType Properties Este comando mostrará todas las propiedades que podrías consultar con Get-CsUserIn. La siguiente imagen que he sacado solo filtra el nombre de las propiedades para tener una lista más limpia Get-CsUser Get-Member -MemberType Properties select-object Name Figura 5.4 El resultado del cmdlet anterior con los valores seleccionados en la tabla Algunos ejemplos: Get-CsUser Select-Object DisplayName 69

71 El comando listará todos los usuarios permitidos en Lync y mostrará solo el nombre para cada uno. Get-CsUser -Filter {EnterpriseVoiceEnabled -eq $true} Select-Object DisplayName El comando listará todos los usuarios permitidos en Enterprise Voice y mostrará únicamente el nombre de cada uno. Get-CsUser where {$_.LineURI -like "tel:+39*"} Sort-Object LineURI Select-Object Displayname, LineURI, PrivateLine El comando mostrará todos los usuarios permitidos en Lync enterprise voice con un número, empezando por +39 y ordenándolos basándose en su número de teléfono en una tabla como puedes ver en la figura siguiente Figura 5.5 El resultado del anterior cmdlet con los valores seleccionados en la tabla. $list = Get-CsUser $list.count To count the users enabled to Lync and display a numeric value $list=get-csuser -Filter {EnterpriseVoiceEnabled -eq $true} $list.count Si solo quieres listar los usuarios permitidos en Enterprise Voice puedes mezclar el comando anterior y uno de los ejemplos anteriores Get-CsUser where {$_.registrarpool -match "Lync01.lync2013.intra"} Si quieres listar los usuarios organizados en un grupo de registro (por ejemplo Lync01.lync2013.intra) Habilitar o deshabilitar usuarios Lync Para habilitar un usuario el iniciar sesión en el servidor Lync, tienes que habilitar este usuario a los servicios Lync. El usuario arriba mencionado debe tener una cuenta válida en el bosque de Active Directory. Aunque eras capaz de lanzar el cmdlet Get-CsUser sin parámetros, el Enable-CsUser cmdlet tiene algunos parámetros requeridos. Identity, RegistrarPool y SipAddress 70

72 tienen que ser definidos (aunque el último puede ser parametrizado automáticamente o manualmente en el cmdlet). Figura 5.6 Los parámetros del Enable-CsUser están en amarillo Algunos ejemplos: get-csaduser -filter {windows address -like *@domain.com } -OU ou=organizationunitname,dc=domain,dc=com Enable-CsUser RegistrarPool PoolServer.domain.com -SipAddressType Address La habilitación de una mayoría de usuarios de Active Directory a Lync es algo demandado a menudo. He utilizado la solución publicada en este blog Este se basa en el cmdlet get-csaduser y te deja escoger un usuario en cuestión de una unidad organizativa específica, filtrándolos usando la dirección address y habilitándolos Lync con una dirección autogenerada basada en la dirección arriba mencionada. 71

73 El panel de control no puede modificar dominios de usuario que son parte de un grupo administrativo. Si pruebas ha hacer esto tendrás el error que se muestra en la siguiente imagen. Figura 5.7 el mensaje de error relacionado con la modificación de un administrador Es necesario operar desde la terminal de administración con el siguiente cmdlet Enable-CsUser Identity "Administrator" RegistrarPool Lync01.lync2013.intra - SipAddressType Address Pruébalo ahora Prueba el parámetro WhatIf para probar un cmdlet Enable-CsUser Prueba la diferencia entre el cmdlet Set-CsUser Identity "username" Enabled $False y el cmdlet Disable-CsUser Identity "username". Te darás cuenta de que el primero deshabilita el usuario de Lync sin ninguna pérdida de configuración o política, mientras que el segundo limpia todos los parámetros. Moviendo a usuarios Lync entre diferentes grupos (pools) El cmdlet Move-CsUser te permite mover una cuenta de usuario desde un grupo registrador a otro. Este comando es importante en Lync 2013 porque podemos usarlo para la prevención y recuperación de fallos de usuarios habilitados en Lync desde un grupo a otro si hemos decidido tomar ventaja de la funcionalidad de emparejamiento Front End (mirar más tarde en el texto para una explicación más extensa). Los parámetros relacionados con Move-CsUser son los que puedes ver en la figura 5.8, con los amarillos (Identity y Target) requeridos. 72

74 Figura 5.8 El cmdlet Move-CsUser con los parámetros requeridos y opcionales Como una parte de la prevención de fallos si un Front End emparejado ya no se encuentra disponible, tienes que utilizar el siguiente cmdlet (incluyendo el parámetro Force) Get-csuser -Filter {RegistrarPool -eq "Lync1.Lync2013.Intra"} Move-CsUser -Target Lync1.Lync2013.Intra -Force Lync2013.Org ha desarrollado un entorno híbrido con un dominio dividido. Aunque hablaremos de este tipo de configuración en el capítulo 21, por el momento es importante recordar permite a tus usuarios trabajar localmente y online con el dominio SIP. También puedes mover a los usuarios online y locales usando el cmdlet Move- CsUser, la sintaxis será algo similar a la que puedes ver aquí. Move-CsUser -Identity -Target sipfed.online.lync.com - Credential Office 365 administrator credentials -HostedMigrationOverrideUrl Migration URI taken from the Office 365 Portal 73

75 Manejando políticas desde la terminal de administración Como has visto en los capítulos anteriores, el servidor Lync provee de un número políticas para administrar las funcionalidades y configuraciones. Por cada una de las políticas que has visto en el panel de control, hay un cmdlet emparejado en la terminal de administración. Las políticas están relacionadas con clientes y dispositivos (Version del cliente, Pin, Política del cliente) serán explicadas en el capítulo 6. En cuanto a los usuarios Lync tenemos el esquema que puedes observar en la figura 5.9. Date cuenta de que el esquema utiliza únicamente el New- cmdlet usado para crear una política nueva, pero también tienes Grant- para asignar una política existente, Get- para recuperar información sobre las políticas, Remove- para eliminar políticas y Set- para modificar una política existente. Figura 5.9 políticas de usuario emparejadas con el cmdlet usado para generar una nueva política La primera política Lync2013.Org quiere implementarse para conferencias, limitará a los usuarios con un CAL estándar para IM, presencia y participación (sin programación) en conferencias. Tim Harrington ha hecho un buen trabajo aquí con una política que hace lo que necesites usando la terminal de administración (los artículos estaban basados en Lync 2010 pero las limitaciones del CAL estándar y de las cmdlets a utilizar son las mismas en Lync 2013): 74

76 New-CsConferencingPolicy Identity Conf-StandardCAL AllowIPAudio $false AllowIPVideo $false AllowUserToScheduleMeetingsWithAppSharing $false AllowPolls $false EnableAppDesktopSharing None EnableDialinConferencing $false La política deshabilitará todas las funcionalidades no incluidas en el CAL estándar como puedes ver en los resultados mostrados en la figura 5.10 Figura 5.10 configurando una nueva política para hacer cumplir una CAL estándar El siguiente paso será aplicar la política a los usuarios. Por ejemplo, digamos que cuando Julie Penny fue contratada en la empresa, las funcionalidades que la otorgamos fueron las incluidas en el CAL estándar. Grant-CsConferencingPolicy Identity "Julie Penny" PolicyName "Conf-StandardCAL" Cuando Julie empezó a trabajar con Stacey Duggan el administrador de Lync decidió pasarles a la política global, la cual incluye funciones adicionales. Una vez más, desde la terminal de administración, somos capaces de desempeñar la tarea utilizando: Grant-CsConferencingPolicy Identity "Julie Penny" PolicyName $Null CsExternalAccessPolicy está dedicada para gestionar tus políticas de acceso externo (como federation). Por lo tanto, el primer paso que podrías llevar a cabo es coger una 75

77 lista de políticas existentes con Get-CsExternalAccessPolicy. Ahora, supongamos que los Internos de tu empresa no deberían estar habilitados para usar las funcionalidades de acceso externo. Puedes responder a esta necesidad creando una política de usuario con un cmdlet de esta forma: New-CsExternalAccessPolicy -identity Intern No necesitas especificar los parámetros, porque las funciones serán $False (esto es, deshabilitado) por defecto, como puedes ver en la siguiente figura 5.11 Figura 5.10 Configurando una política restrictiva para un grupo de usuarios Ahora todo lo que necesitas es definir es un parámetro que identifique a los usuarios internos habilitados para Lync y aplicar la política antes mencionada de una manera homogénea. Si su título en Active Directory es Interno (intern), el cmdlet será algo parecido a lo siguiente Get-CsUser LdapFilter "Title=Intern" Grant-CsExternalAccessPolicy PolicyName Intern El servidor Lync (con la función archivar Archiving) permite a las organizaciones archivar contenido de IM (mensajes instantáneos), contenido de conferencia (reunión), o ambos. El primer paso será leer las políticas que están trabajando en nuestra empresa con el cmdlet Get-CsArchivingPolicy. Configuración por defecto de una política global como la que puedes ver en la figura 5.11 Figura 5.11 Leyendo las políticas Archiving archivar Estando envuelto en asuntos legales, Stacey Duggan ha requerido tener conferencias internas y externas realizadas. Puedes proceder a crear y aplicar la política para ella con el siguiente cmdlet: New-CsArchivingPolicy -Identity LegalAffairs -ArchiveInternal $True ArchiveExternal $True Grant-CsArchivingPolicy Identity "Stacey Duggan" PolicyName LegalAffairs 76

78 Algunas configuraciones asociadas a clientes móviles están disponibles solo en la terminal de administración. Trabajando en la cuenta de Stacey, quieres habilitarla para Call via Work (el usuario puede hacer y recibir llamadas en su teléfono móvil usando su número de teléfono del trabajo) pero también quieres asegurarte de que ella puede usar las funciones VOIP y Video del cliente móvil Lync 2013 solo cuando una red Wi-Fi está disponible (evitando usar su plan de datos). Este último parámetro solo está disponible desde la terminal de administración y no es visible desde el panel de control después de que hayas añadido la nueva política. El cmdlet será como el siguiente: new-csmobilitypolicy -Identity "CallviaWork" -EnableOutsideVoice $True - RequireWIFIForIPAudio $True -RequireWIFIForIPVideo $True En la siguiente figura las diferentes visualizaciones se muestran, con el panel de control y la terminal de administración Figura La conexión Wi-Fi obligatoria para VOIP no se muestra en el panel de control Después de que hayas concedido la política CallviaWork a Stacey, los ajustes en su cliente móvil se bloquearán de esta forma ella no es capaz de utilizar una conexión diferente al Wi-Fi (figura 5.13) Figura 5.Los ajustes del cliente están dictados por la política Lync2013.Org usará la función chat persistente (hablaremos sobre esto en el capítulo 10) y necesitarás utilizar los cmdlets dedicados (que son nuevos en la terminal de administración Lync 2013). 77

79 El nuevo cmdlet c -CsPersistentChatPolicy crea una nueva política de Chat persistente para determinar si el acceso del usuario está permitido a salas de Chat persistente. Una política que necesitarás es la de habilitar a los usuarios al chat persistente New-CsPersistentChatPolicy -Identity "ChatPolicy" -EnablePersistentChat $True Laboratorio Para probar la flexibilidad y potencia de la terminal de administración un buen comienzo es probar los siguientes bien conocidos comandos Get-CsAdUser?{$_.UserAccountControl -match "AccountDisabled" -and $_.Enabled - eq$true} Disable-CsUser Este es de Pat Richard y deshabilita usuarios de Lync que ya están deshabilitados en Active Directory (get-csuser -OnLyncServer -Filter {EnterpriseVoiceEnabled -eq $true}).count Este es de Mike Pfieffer y en este ejemplo utiliza AD PowerShell para importar una foto llamada rhouston.jpg para un usuario llamado rhouston (get-csuser -OnLyncServer -Filter {EnterpriseVoiceEnabled -eq $true}).count De parte de Chris Norman, cuenta el número de usuarios con voz habilitada en Lync. 78

80 6 Requerimientos Firewall para el Servidor Lync 2013 Como he explicado en capítulos anteriores, Lync Server 2013 contiene muchas funcionalidades de comunicaciones unificadas y cada una de ellas requerirá el uso de una serie de protocolos y puertos de red. Si resumes todas las funcionalidades disponibles, el número de configuraciones firewall (cortafuegos) requeridas es alto, y no es trivial. En este capítulo trataré de explicar algunos de los recursos que debes utilizar para el diseño de tu seguridad de la red para el servidor Lync 2013, las normas requeridas en tus firewalls y algunas herramientas útiles para verificar y depurar tu instalación. Planeando una implementación Lync de forma correcta: Herramientas que te encantarán (Parte 1) La galería TechNet está llena de herramientas increíbles (y gratis). Sugeriré un par de ellas para esta parte de la planificación de nuestro Lync Server 2013: Lync 2013 Calculadora de diseño detallada: De Alessio Giombini (@AlessioGiombini ), Alberto Nunes (@AA_Nunes). Citando la descripción es un offline, gratis, basado en Excel, calculadora de diseño de bajo nivel para implementaciones Microsoft Lync bf0f1. Basado en tu diseño planificado generará mucha información útil, incluyendo las normas firewall necesarias. Diagrama de Firewall V2 para Lync 2013: De Randy Chapman. Es un diagrama de Visio base de una implementación de Lync Server a7e3c92. puedes modificarlo para explicar tus requerimientos de seguridad / firewall. Citando la descripción Lo tomé de Visio e hice un cuadro que espero que dure al menos mil palabras. Estoy fuertemente de acurdo en eso. Requisitos de puerto: un post de TechNet que enlaza a todas las diferentes fuentes relacionadas con el firewall del servidor Lync

81 Protocolo de cargas de trabajo del Servidor Microsoft Lync 2013: Este muestra en un archivo.pdf /.vsd todas las diferentes cargas de trabajo relacionadas con el servidor Lync 2013 y los protocolos y puertos que necesitas para habilitarlos Este recurso es excepcional para cualidad, pero un poco difícil de usar si no estás familiarizado con Lync. Planificación e implementación del certificado interno del Servidor Lync 2013: Este recurso te ayudará a entender y gestionar los requerimientos del servidor Lync 2013, con especial atención en los certificados El diagrama básico de una implementación Lync que utilizaremos en el capítulo La explicación de los requerimientos Lync empezará desde un diagrama en la figura 6.1 (idéntica a la mostrada en la figura 2.2), representando la mínima infraestructura requerida para implementar un servidor Lync 2013 que también está disponible para usuarios externos. Figura 6.1 Una mínima infraestructura de trabajo del servidor Lync 2013 incluyendo usuarios externos Para explicar la infraestructura Lync, como dije, necesitaremos añadir nombres y direcciones de red (IPs) a nuestro diseño Lync. Para otorgar la resolución de nombres 80

82 usaremos el mismo servidor DNS que es ya requerido por los servicios de dominio de Active Directory (AD DS). Nota: Habrá dos resoluciones de nombres DNS diferentes requeridos, Uno para Internet y otro para la red interna. Este último será el que aprovechará el servidor DNS existente. Esos servidores DNS son usados internamente por servidores miembros de Active Directory y por usuarios de dominio SIP con proceso de inicio de sesión automático. Servidor Lync 2013: Red interna En la figura 6.2 he añadido nombres, dirección de red, y Virtual LANs (VLANs) al esquema mostrado en la figura anterior 6.1 Figura 6.2 El diagrama previo de Lync, poblado de nombres, IPs y VLANs Servidores localizados en la LAN El Controlador de dominio, Aphrodite estará a cargo de la identificación del usuario, permisos y servicio DNS. Lync está construido sobre Active Directory, así que la implementación interna requerirá un dominio con los siguientes requisitos: Todos los controladores de dominio tienen que ser al menos versiones 32- bit o 64-bit del sistema operativo Server Windows 2003 Nivel funcional del dominio al menos Windows Server 2003 Nivel funcional del bosque al menos Windows Server

83 Nota: ver el post TechNet de los requerimientos de infraestructura de Active Directory para información adicional Para un usuario conectado a la red LAN interna, todos los servicios Lync están directamente en el Front End (Apollo). Una parte de los servicios Lync anteriormente mencionados (como marcar en (dialin) y reunión) serán implementados a través de la función instalada localmente Servios de Información de Internet (IIS) y será accesible por el puerto 80 y 443 del Apollo. Adicionalmente, el IIS interno estará escuchando el puerto 80 también para la versión Lync Phone Edition. En Apollo tendremos un segundo grupo de servicios Web, similar a los nombrados anteriormente, pero escuchando en el puerto TCP 8080 y Es fácil distinguirlos usando los nombres por defecto del (Internal Web Site) Sitio web Interno (escuchando en los puertos TCP 80 y 443) y (external Web Site) Sitio Web externo (escuchando en los puertos TCP 8080 y4443). Esta separación está impulsada por motivos de seguridad, separando los recursos de los clientes provenientes de una red externa de los de usuarios en la red interna. Figura 6.3 La configuración IIS en un servidor Lync 2013 Front End El sitio Web externo (External Web Site) será utilizado para conceder servicios a los usuarios externos usando un proxy inverso 82

84 En la figura 6.4 he expandido el sitio Web interno (Internal Web Site) de Lync Figura 6.4 Los sitios IIS Internos en un servidor Lync 2013 Front End Tan pronto cómo compartimos una presentación PowerPoint, durante una reunión, seremos redirigidos al puerto TCP 443 (u 80) del servidor Office Web App (Demeter). Nota: Los clientes Lync para móvil siempre requerirán acceso a los servicios Lync cuando vengan desde Internet, además si están conectados a una red interna (ver siguientes párrafos). Sus peticiones internas tienen que ser redireccionados desde la LAN interna, de vuelta al sitio Web externo (external Web Site) a través del Proxy inverso. Esto es con respecto a mover clientes móviles entre el Wi-Fi (interno) y 3G/ Wi-Fi (externo) y su necesidad de retener la sesión iniciada en el servidor. Servidores colocados en la DMZ Para hacer al servidor Lync 2013 disponible para usuarios externos, publicaremos los servicios desde un único Front End a través de dos servidores diferentes que colocaremos en la Zona Desmilitarizada (DMZ). Los servidores deberían ser autónomos (o, al menos, no ser parte del dominio interno de Active Directory). Nota: Una solución comúnmente utilizada es emparejar la zona interna DNS de Active Directory DNS como un sufijo DNS en el Lync Edge. Esto hace a las implementaciones arriba mencionadas un poco más fáciles. Ambos servidores deberían tener dos interfaces de red (NICs) diferentes, Una dedicada a comunicarse con la LAN interna y la otra para ser publicada en Internet, en nuestro caso para los dos, con una, traducción de dirección de red. Network Address Translation (NAT). También he segregado físicamente las dos redes lógicas usando 83

85 VLANs, de esta forma la comunicación desde un NIC a otro nunca se mezclarán. VLAN2 será conectada a la red interna LAN a través de un firewall back-end, mientras que VLAN3 será conectada a Internet utilizando un firewall front-end. Los servicios Web del Lync Front End serán públicos utilizando un proxy inverso (Ares) que responderá en una IP pública en un puerto TCP 443 y hará la función proxy a las solicitudes para el puerto 4443 del Front End (o en el puerto TCP 80 para hacer de proxy en el puerto 8080 del Front End). Si compartimos una presentación PowerPoint en una reunión que contiene usuarios externos, el proxy inverso los direccionará al puerto TCP 443 del servidor de Office Web Application. CUALQUIER solución de proxy inverso debería funcionar, incluyendo Servidor Windows 2012 R2 Proxy de Web Application (siempre que estés desarrollando SOLO un ÚNICO dominio SIP). (He enseñando cómo configurarlo para Lync 2013 en este vídeo: ). Gestión de Forefront Threat es también una solución que muchas empresas han usado durante los años anteriores (por favor, ten en cuenta que toda la familia de productos Forefront está al final de su vida ). Todos los servicios restantes serán implementados utilizando una función de servidor Lync dedicada, el servidor Lync Edge (Dionysus) que tiene que ser definido y publicado usando el (Topology Builder) Constructor Topológico de Lync (más detalles del servidor Edge y Topology Builder serán añadidos en capítulos posteriores). Tres direcciones de red serán requeridas para publicar los servicios Edge. Lync soporta dos configuraciones diferentes en tu firewall front-end y servidor Lync Edge: Una dirección IP única y un único nombre de dominio público para los tres servicios, Access Edge, Web Conferencing Edge y Audio/Video Edge (con tres puertos diferentes TCP escuchando) Nota: esto creará problemas y limitaciones para los servicios de conferencia Web. El puerto TCP 444 sugerido por defecto (o tu puerto definido personalizado) normalmente no están abiertos en los firewalls corporativos. Una simple implementación con Tres direcciones públicas, una para cada una de las arriba mencionadas direcciones de red. En la figura 6.5 puedes ver la opción que habilita el uso de un único nombre de dominio público e IP. 84

86 Figura 6.5 La opción Usar un único FQDN y dirección IP en el constructor de topología En la figura 6.6 he mostrado las dos configuraciones diferentes que utilizarás al construir la topología de Lync. A la izquierda, el escenario si mostramos una única dirección IP y un único FQDN. En el escenario de la derecha con múltiples IPs y FQDNs Figura 6.6 a la izquierda, usar un único FQDN y dirección IP habilitado. Ala derecha múltiples FQDNs e IPs Nota: Es fácil de entender que la solución de una única IP será menos costosa, Pero será más propenso a problemas con firewalls externos, trasladando los servicios desde un puerto TCP estándar 443 a un grupo de puertos TCP personalizados. Pruébalo ahora Añade información sobre una implementación Lync (podrías utilizar el que acabo de describir en el ejemplo) y mételos en la Calculadora de diseño detallada (Detailed Design Calculator). Observa las normas del firewall e intenta entender porqué se 85