Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘Skype for Business 2015 / Lync 2013 – Edge’ Category

Lync 2013 Edge : The Buffer supplied to a function was too small [solved]

Posted by Teruin laurent sur septembre 4, 2014


HI all

Today i cope with a strange behavior on edge server by assigning a public certificat from comodo


By inspecting the log a found this


The cetificat is well imported in the computer certificat container have a private key and the certification path is correct.


By using the following Certutil.exe command i v got this result

 

C:\Users\Adm-teruin>Certutil.exe -v -store my « 4bf5f126f5011c9dad6b737439f4e0b4 »
my « Personal »
================ Certificate 2 ================
X509 Certificate:
Version: 3
Serial Number: 4bf5f126f5011c9dad6b737439f4e0b4
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=COMODO High-Assurance Secure Server CA
O=COMODO CA Limited
L=Salford
S=Greater Manchester
C=GB
Name Hash(sha1): fde74a84a2cc6dd61ec4743bfbbf8abe4a38a458
Name Hash(md5): 193edeb04bee0820e2bde6b731cfe1be

NotBefore: 6/11/2014 2:00 AM
NotAfter: 6/12/2015 1:59 AM
Subject:
CN=access01.XXX.BBB
OU=0002 790043954
O=XXXX
Name Hash(sha1): 0b9997d9949687Fe9440f77789a8f1d87a494365eaa
Name Hash(md5): c9052776583d9038fb42d079e1999777d9e846857
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
Algorithm Parameters:
05 00

 

To solve this issue

  1. Export the certificate with PFX format from the Edge server
  2. import it on Firefox (my machine was Windows 8.1)
  3. export it from Firefox with the format P12
  4. Remove on the edge the assignement on the concerned certificat
  5. Remove the certificat on the edge server from the certificat store
  6. import the new formated certificat with the P12 format.
  7. Assign it to the edge

It should works

 

Publicités

Posted in 2- Skype for Business 2015 / Lync 2013, Skype for Business 2015 / Lync 2013 - Edge | Leave a Comment »

Lync 2013 et Authentification à deux facteurs

Posted by Teruin laurent sur août 2, 2013


Microsoft via la mise en disposition du Cumulative Update du mois de Juillet permet de mettre en place une authentification à deux facteurs avec le client Lync 2013. Ce qui devrait tout naturellement renforcer la sécurité d’accès d’un client et d’une technologie par définition mobile et par conséquent exposée.

On pourra donc dans peu de temps (le temps de tester quand même 😉 utiliser une combinaison Nomd’utilisateur/Mot de passe et Token d’accès. Cependant il est noté que pour ce faire, vous devrez posséder :

  • Des clients Lync 2013 possédant le CU du mois de Juillet
  • Des serveurs Lync 2013 (Edge, Directeur, et frontaux) possédant également le CU du mois de Juillet.

Pour que l’authentification à deux facteurs fonctionne, il faudra également désactiver l’ensemble des autres authentifications ce qui dans la plupart de cas risque de tout simplement n’être pas possible sauf à considérer la mise en place d’une infrastructure dédiée.


Précautions à prendre avant la mise en place

Désactiver le stockage unifié des contacts avec Microsoft Exchange 2013.

Les autres limitations connues sont le fait que la gestion de contacts unifiés n’est pas disponible avec Exchange 2013 et que si vous envisagez de mettre en place l’authentification à deux facteurs, vous devrez au préalable exécuter la commande Invoke-CSUcsRoollback pour supprimer les contacts existant du stockage unifiée pour les stocker dans Lync.

Supprimer les informations de connexion stockées localement

Lorsque Lync 2010 se connecte à un serveur frontal spécifique, il met en cache ce point de terminaison pour rendre le processus plus rapide à l’avenir Avant de mettre en place l’authentification a deux facteurs vous devrez supprimer sur les postes de travail exécutant le client Lync, les informations de connexions en cache depuis le client Lync 2013


Vous devez également supprimer le profil Sip local de l’utilisateur se trouvant normalement dans le répertoire %localappdata%\Microsoft\Office\15.0\Lync.

Supprimer les informations de connexion NT par GPO

La méthode d’authentification Kerberos ou NTLM permet d’utiliser automatiquement les informations d’identification Windows des utilisateurs lors de la phase d’authentification.

Dans le cadre d’un déploiement Lync 2013 faisant appel au protocole Kerberos, NTLM ou aux deux protocoles, les utilisateurs n’ont pas besoin de décliner leur identité à chaque connexion, sauf si vous les obligez de façon explicite à le faire. La clé de Registre DisableNTCredentials détermine si les utilisateurs sont tenus ou non d’entrer leurs informations d’identification à chaque connexion.

Pour éviter de demander ces informations aux utilisateurs, donnez la valeur 0 à la clé de Registre suivante :

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
    REG_DWORD: DisableNTCredentials
    Value: 0x0

Mot de passe sauvegardé

Lorsqu’un utilisateur Lync se connecte pour la première fois alors, il se voit proposer l’option de sauvegarder son mot de passe. Cette option doit être désactivée en modifiant la clef de registre suivante :

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Value: 0x0

Activation dans l’environnet ADFS de la protection Token replay

Afin de protéger le fait qu’un utilisateur mal intentionné puisse rejouer un token vous devez activer la protection de Token replay dans l’environnement ADFS. Pour plus d’information merci de vous reporter a l’article de la base de connaissance suivante : http://go.microsoft.com/fwlink/p/?LinkId=309215.

Pour avoir étudié les documentations techniques de mise en place, la solution n’est envisageable uniquement sur un environnent dédié (Front/ Director et Reverse proxy). Malgré cela, certaines sociétés ayant des normes de sécurités importantes y trouveront surement leurs comptes. 😉

Cordialement
Laurent TERUIN

Posted in 2- Skype for Business 2015 / Lync 2013, Skype for Business 2015 / Lync 2013 - Edge, Skype for Business 2015 / Lync 2013- Services Frontaux | Leave a Comment »