Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘Lync 2010’ Category

Lync & Certificats Publics.. : Pas si publics que ça … mise à jour

Posted by Teruin laurent sur mars 14, 2012


Bonjour

Plusieurs problèmes récents liés aux certificats et à Lync 2010 m’amène à poster cet article

Pour que les services Lync Edge / reverse proxy fonctionnent correctement, il faut que le mobile ou le pc approuve l’autorité de certification de confiance qui a émis ce certificat. L’autorité de certification la plus communément reconnue et par conséquent installée dans le magasin de certificat des ordinateurs semble être Verisign et Thawte.

Cependant, cela n’empêche pas les autres de fonctionner convenablement à condition que les autorités de certification qui ont délivrées le certificat, à savoir l’Autorité racine de confiance ou l’autorité intermédiaire soient présentes dans le magasin du périphérique qui accède à Lync. Périphérique qui peut être un téléphone mobile (Windows Phone, Iphone etc..) , un Serveur Lync Edge (Fédération), un Pc de l’entreprise dans le domaine, un pc externe inconnu.

Bien sûr me direz-vous que si vous achetez des certificats publics (au prix où parfois ils sont vendus ….), c’est pour justement ne pas avoir à mettre en place des certificats d’autorités de confiance dans les PC. J’en conviens mais……. Mais parfois ce n’est pas le cas.

Pour tester j’ai installé une machine Windows 7 «  from scratch » que je l’ai mis à jour.

Voici ce qu’elle possédé dans son magasin de certifications


 


On n’y trouve Thawte Verisign (qui semble être la même société par ailleurs) mais pas de trace de Comodo ni de Globalsign par exemple. Ce qui veut dire que pour ces autorités, il faudra déployer des certificats d’autorités de confiance Racines et voir intermédiaires sur les postes de travail de l’entreprise. En Gpo ça se fait très rapidement. Par contre sur les Smartphones, c’est selon le système d’exploitation parfois un peu plus compliqué, surtout si vous en avez beaucoup ;-))

Cependant reste le problème de l’accès WEB APP de Lync qui est censé être utilisé par des clients externes en https, et qui n’étant pas dans le domaine, n’auront pas forcement les bonnes autorités de certifications dans leurs magasins. Pour eux, lorsqu’ils tenteront d’accéder à une réunion par web app un warning de certificat s’affichera avec la possibilité de continuer néanmoins. C’est moyen je vous l’accorde mais ….pas le choix.

Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs !.

D’autre part, il n’est pas exclu, même si vous choisissez une autorité connue par défaut dans Windows 7 que cela suffise. Pourquoi ? Parce que les autorités de certifications publiques peuvent si elle le souhaite, utiliser des nouvelles autorités de certifications intermédiaires pour délivrer des certificats publics. De facto, cette nouvelle autorité de certification publique de confiance et intermédiaire ne sera donc pas présente dans vos magasins. Et par conséquent cela ne fonctionnera pas. Un exemple ? un certificat récemment acheter auprès de Vérisign . Vous remarquerez le nom de l’autorité de certification intermédiaire


Concernant la fédération avec Windows Live et autre IM, peu de problème sont remontés pour le moment.

Certificat pour les Phone Edition

Pour les téléphones voici les autorités racines approuvés par défaut sur Lync Phone Edition

Fournisseur  

Nom du certificat  

Date d’expiration  

Longueur de la clé  

Comodo 

AAA Certificate Services 

12/31/2020 

2048 

Comodo

AddTrust External CA Root 

5/30/2020 

2048 

Cybetrust 

Baltimore CyberTrust Root 

5/12/2025 

2048 

Cybetrust 

GlobalSign Root CA 

1/28/2014 

2048 

Cybetrust 

GTE CyberTrust Global Root 

8/13/2018 

1024 

VeriSign 

Class 2 Public Primary Certification Authority 

8/1/2028

1024 

VeriSign 

Thawte Premium Server CA 

12/31/2020 

1024 

VeriSign 

Thawte Server CA 

12/31/2020 

1024 

VeriSign 

Comodo 

1/7/2010 

1000 

VeriSign 

Class 3 Public Primary Certification Authority 

8/1/2028 

1024 

Entrust 

Entrust.net Certification Authority (2048)

12/24/2019 

2048 

Entrust 

Entrust.net Secure Server Certification Authority 

5/25/2019 

1024 

Equifax 

Equifax Secure Certification Authority 

8/22/2018 

1024 

GeoTrust 

GeoTrust Global CA 

5/20/2022 

2048 

Go Daddy 

Go Daddy Class 2 Certification Authority 

6/29/2034

2048 

Go Daddy 

http://www.valicert.com/ 

6/25/2019 

1024 

Go Daddy 

Starfield Class 2 Certification Authority 

6/29/2034 

2048 

 

Donc avant de signer chez un fournisseur d’autorité de certification publique comme on dit dans le sud … Méfi !

Vérifier également sur le site de Microsoft que cette autorité de certifications publiques est bien certifiée UC par l’éditeur voir ci-dessous ou. lien suivant : http://support.microsoft.com/kb/929395


Au prix où ils le vendent leurs services ne serait-t-il pas de bon ton de les publier au moins via Windows Update non ? Sinon à quoi bon passer par une autorité de certification publique. J’ai dit une bêtise la ?

Laurent Teruin

 

 

Posted in Certificat-2010, Lync 2010 | 3 Comments »

Lync 2010 : Unable to connect on Edge from a Xp SP3

Posted by Teruin laurent sur février 16, 2012


Impossible de connecter une station de travail Windows XP SP3 sur un serveur Edge Lync 2010
Message d’erreur ‘ms-diagnostics: 1000;reason= »Final handshake failed »;source= »Lyncpool.unifiedit »;HRESULT= »0xC3E93EC3(SIP_E_AUTH_UNAUTHORIZED) » 

Bonjour à tous

Nous avons expérimenté un petit souci de connexion de stations XP SP3 vers un serveur Lync Edge 2010.

Ce problème survient ci votre serveur Lync front end exécute le système d’exploitation Windows 2008 R2.

Pour que cela fonctionne vous devez changer deux paramètres de sécurité sur votre serveur frontal. Pour ce faire suivez la procédure suivante

1.    Exécutez secpol.msc sur le serveur Frontal Windows Server 2008 R2

2.    Sélectionnez Local Policies et cliquez sur Security Options.

3.    Vérifier que sur les entrées ci-dessous que les valeurs soient fixé a « No minimum »

Network Security: Minimum session security for NTLM SSP based (including secure RPC)
Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers

Redémarrer votre serveur frontal et normalement cela devrait fonctionner 😉

Cordialement

Laurent Teruin

Posted in Lync 2010, Lync Client | Leave a Comment »

Lync 2010 : Lync need 4/5 Seconds to transfert a call

Posted by Teruin laurent sur février 12, 2012


We have experimented in a full Lync environment (Im Web conf, telephony) a transfer delay (4/5 Sec) when a User A calls a User B and transfer to User C. this behavior was reproduced with a simple Lync client , Polycom CX300 and Cx 600.

When User A transfer the call, user C have to wait until 5 second before he can talk to User A.

The concerned site has one FrontEnd running on Wmvare and on Edge. To avoid any virtualization issue we have decided to reproduce the issue with a physical environment. The problem was the same. To avoid any issue with the firewall we have decided to connect the Edge Internal Card to the Internal Vlan where the Front End was connected, same issue.

We knew that when an Edge is present the internal client try to connect to internal Edge Nic. By regarding the uccapilog we can see that the client add the edge server as an ICE Server and try to resolve his Internal IP address. (See below)

CUccEndpoint::AddMediaConnectivityServerWithCredential MR-INFO – Adding ice server srvedge-na.company.com
02/10/2012|17:47:59.421 1470:E5C INFO :: CUccDnsResolver::StartDnsLookup MR-INFO – [07DE4E48] DNS lookup started for srvedge-na.Company.com
CUccDnsResolverManager::AddHostName MR-INFO – [072F3398] DNS resolver [07DE4E48] added for srvedge-na.company.com

-> ->

To resolve this issue we just modify the Host file on our Lync clients by adding the Ip address and Edge FQDN. And the transfer time has been reduced to less than 1 sec!

Best Regards
Laurent Teruin

Posted in Lync 2010, Lync Client | 1 Comment »

Lync Server : Cumulative update du mois de janvier 2012

Posted by Teruin laurent sur janvier 31, 2012


Bonjour

Les équipes techniques de Microsoft Lync viennent de sortir un correctif pour Lync 2010 corrigeant le problème suivant : Large increases in load on the OrgID service because of recurring authentication requests from Lync 2010

Voir http://support.microsoft.com/kb/2670467

Ce correctif peut être récupérer à l’adresse suivante : http://support.microsoft.com/kb/2670498

Attention l’application de correctif va demander l’arrêt et le redémarrage du serveur.

Cordialement
Laurent Teruin

Posted in Lync 2010 | Leave a Comment »

Lync 2010 : Error: Prerequisite installation failed: Wmf2008R2 / Installation result: -2146762496

Posted by Teruin laurent sur janvier 23, 2012


Si vous tentez d’installer un serveur Lync Standard ou entreprise sur un serveur Windows 2008 R2 SP1 alors vous allez surement rencontrer cette erreur

Ce cas est documenté dans le Case Microsoft : http://support.microsoft.com/kb/2522454. Cela provient du fait que le serveur Lync demande l’installation d’un package Media format avec un numéro incorrect.

Pour réussir votre installation il faut donc avant d’installer votre serveur

  • Installer le package correct qui correspond à la version de Windows 2008 R2 SP1
  • Redémarrer le serveur

Le numéro de version 6.1.7600.16385 recherché par Lync n’est pas correct.

Placer vous dans le répertoire C:\Windows\system32\dism.exe /online /norestart /add-package /packagepath:C:\Windows\servicing\Packages\ ,identifiez la version de votre package Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64 et exécutez le en utilisant la commande suivante :

C:\Windows\system32\dism.exe /online /norestart /add-package /packagepath:C:\Windows\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~VOTREVERSION.mum /ignorecheck

Penser à redémarrer votre serveur avant d’installer le produit Lync

Cordialement
Laurent Teruin

Posted in Lync 2010 | Leave a Comment »

Lync 2010 Client : Lync Cannot verify that Server is trusted / Lync ne peut pas vérifier que le serveur est approuvé…

Posted by Teruin laurent sur janvier 23, 2012


Bonjour

Peut-être avez-vous rencontré ce problème, en tous les cas lors d’un récent déploiement nous sommes tombés dessus.

« Lync ne peut pas vérifier que le serveur est approuvé pour votre adresse ». Ou « Lync cannot verify that the server is trusted for your sign-in address. » »


 

Le problème survient lorsque votre client Lync est positionné en mode de découverte automatique et uniquement au premier lancement. Car si vous acceptez de continuer en cochant la case Always trust this server alors le problème ne se reproduira plus.

Lors de l’utilisation du mode Autodiscover via les enregistrements SRV, Lync possède un mécanisme de sécurité lorsqu’il se connecte aux serveurs Lync ou Microsoft Exchange. Ce mécanisme de protection a été implanté pour éviter des attaques de type DNS Spoofing, notamment lorsqu’il s’agit de connexion depuis l’extérieur.

La découverte automatique étant rendue possible soit par l’utilisation des enregistrements SRV ou des enregistrements A basés sur le SIP URI ou sur le domaine de l’adresse SMTP, ou sur l’option 120 des serveurs DHCP.

Lorsque Lync à découvert le serveur sur lequel il doit se connecter, alors il le compare à la liste des serveurs auquel il fait confiance. Si ce serveur est dans la liste alors la connexion vers le serveur est établie dans le cas contraire le Pop UP situé ci-dessus est affiché. Mais pour mieux comprendre prenons un exemple

Le scénario est le suivant

  • Le SIP URI de l’utilisateur est Laurentt@unifiedit.com
  • Le nom du serveur Lync est Fe01.paris.unifiedIt.local
  • Nous avons placé un enregistrement A pour le serveur FE01.paris.unifiedit.local qui correspond à l’adresse IP 192.168.1.10
  • Nous avons placé un enregistrement SRV pour du type _SipinternalTls._Tcp.unifiedit.com qui renvoi sur le Fqdn fe01.paris.unifiedIt.local pour permettre la découverte automatique puis la connexion
  • La connexion automatique du client Lync est donc opérationnelle

Lorsque l’utilisateur va se connecter la première fois, le client Lync va automatiquement faire confiance au domaine UnifiedIt.com mais comme il va récupérer dans l’enregistrement SRV le domaine paris.unified.local qui ne sera considéré comme un domaine de confiance alors le message de dessus va apparaitre.

De façon plus simple, si vous ne voulez pas que cela arrive, il faut que le domaine du pool ou du serveur frontal soit accédé via les enregistrements DNS à travers le même domaine que le domaine SIP URI utilisé par l’utilisateur. Dans le cas contraire le prompt sera présent lors de la première connexion. Ceci n’est pas forcement compliqué, mais il faudra penser également que le FQDN par lequel vous acheminez vos clients vers le pool soit bien dans vos Certificat SAN et ceci en raison de l’utilisation de TLS

Ce problème peut également se produire si l’adresse SIP et de type UnifiedIt.com et l’adresse Email Exchange est d’un autre domaine comme par exemple unifiedt.net. Car lorsque Lync va utiliser les services d’autodiscover sur Exchange alors ces services vont le rediriger vers un domaine auquel il ne fait pas confiance.

« Extrait Case MS »

Si l’adresse du serveur de domaine de boîtes aux lettres de l’utilisateur Exchange diffère de l’adresse de serveur d’ouverture de session de domaine Lync, la boîte de dialogue peut apparaître une fois que l’utilisateur se connecte. Les administrateurs peuvent utiliser cette procédure pour ajouter l’adresse de serveur de domaine de boîtes aux lettres Exchange pour empêcher l’affichage après signe dans la boîte de dialogue.

L’article suivant de Microsoft http://support.microsoft.com/kb/2531068 datant du 28 Octobre 2011 référence ce problème et propose de mettre dans une clef de registre (
HKEY_CURRENT_USER\Software\Microsoft\Communicator\TrustModelData) les noms de domaines auquel Lync peut faire confiance.

Pour avoir essayé il apparait que la clef de registre est créée ou est modifiée au premier démarrage de Lync, il est donc difficile de faire ces modifications pour éviter un PopUp lors du premier lancement de Lync. 😉

Cordialement
Laurent Teruin

Posted in Lync 2010 | Leave a Comment »

Ou trouver Lync Mobile ?

Posted by David PEKMEZ sur janvier 9, 2012


Petit post pour référencer les liens de téléchargement du client Lync mobile ! Mis à jour avec tous les clients comme promis J

La page de référence : http://lync.microsoft.com/en-us/Product/UserInterfaces/Pages/lync-2010-mobile.aspx

Windows Phone: http://www.windowsphone.com/en-US/apps/9ce93e51-5b35-e011-854c-00237de2db9e

Android : https://market.android.com/details?id=com.microsoft.office.lync

IPhone :

Posted in Lync 2010 | Leave a Comment »

Ou trouver Lync Mobile ?

Posted by David PEKMEZ sur décembre 19, 2011


Petit post pour référencer les liens de téléchargement du client Lync mobile !

La page de référence : http://lync.microsoft.com/en-us/Product/UserInterfaces/Pages/lync-2010-mobile.aspx

Windows Phone: http://www.windowsphone.com/en-US/apps/9ce93e51-5b35-e011-854c-00237de2db9e

Android : https://market.android.com/details?id=com.microsoft.office.lync

IPad et IPhone : Coming soon .. je ferais une update de ce post lors de leur sortie

David Pekmez

Posted in Lync 2010 | Leave a Comment »

The Remote UC Troubleshooting Tool

Posted by David PEKMEZ sur décembre 18, 2011


Encore une présentation d’un outil super sympa pour Lync Server 2010 !

Il vous aidera notamment à diagnostiquer les problématiques liées aux certificats ou aux noms DNS utilisés, très pratique donc !

Exemple d’utilisation


Détail de l’utilisation ci-dessous

http://www.insideocs.com/Tools/RUCT/RUCT.htm

Outil : The Remote UC Troubleshooting Tool

Auteur : Curtis Johnstone, Architecte chez Quest Software et MVP Microsoft

Site Web:

Posted in Lync 2010, Outils-2010 | Leave a Comment »

Lync Profile Tool : Excellent !

Posted by David PEKMEZ sur décembre 1, 2011


Bonjour !

Un collègue vient de m’envoyer un lien vers un outil super intéressant pour les consultants Lync Server 2010 !

Cet outil vous permet de configurer plusieurs comptes Lync et de les lancer en un clic de souris !



La configuration est extrêmement simple et bien pensée J

Il suffit ensuite de cliquer sur les boutons 1,2 ou 3 pour se connecter avec le compte configuré !

L’outil est : Profiles For Lync

Auteur : Greiginsydney

Site Web : https://greiginsydney.com/

Téléchargement : http://gallery.technet.microsoft.com/Profiles-For-Lync-multiple-bef8769f

HTH,

David Pekmez

Posted in Lync 2010, Outils-2010 | Leave a Comment »