Documente Academic
Documente Profesional
Documente Cultură
Preparado para:
CAF
15 de Marzo de 2014
Versin 1 Draft
Preparado por:
Luis Muoz
Director
luis.munoz@infrasoftcorp.com
Proyecto 1046: Actualizacin Lync
Tabla de Contenido
1 Resumen Ejecutivo .............................................................................................................................. 1
2 Introduccin ......................................................................................................................................... 2
2.1 Antecedentes .................................................................................................................................. 2
2.2 Objetivo de este documento ........................................................................................................... 2
2.3 Alcance del documento .................................................................................................................. 3
2.4 Audiencia y restricciones del contenido ......................................................................................... 3
2.5 Referencias documentales ............................................................................................................. 3
Pag ii
Proyecto 1046: Actualizacin Lync
6.5 Diseo del servicio de Monitoring (Lync Monitoring).................................................................... 27
6.6 Diseo de Mobilidad ..................................................................................................................... 30
6.7 Diseo de Seguridad de la plataforma Lync Server 2013 ............................................................ 33
6.7.1 Herramientas de Diseo y Planificacin ................................................................................. 33
6.7.2 Central Management Store ..................................................................................................... 34
6.7.3 Autenticacin Servidor-a-Servidor .......................................................................................... 34
6.7.4 Interface de gestin basada en Web y basada en PowerShell .............................................. 34
6.7.5 Control de Acceso basado en Roles (Role-Based Access Control o RBAC) ......................... 35
6.7.6 Infraestructura de Llaves Pblicas (PKI) para Lync Server 2013 ........................................... 35
6.7.7 TLS y MTLS para Lync Server 2013 ....................................................................................... 36
6.8 Configuracin de DNS .................................................................................................................. 38
6.9 Matriz de Control de Acceso / Grupos en el Directorio Activo creados para Lync Server 2013 .. 40
6.10 Permisos sobre el Lync File Share ......................................................................................... 45
Pag iii
Proyecto 1046: Actualizacin Lync
1 RESUMEN EJECUTIVO
El proceso de descentralizacin que ha venido experimentando la CAF en los ltimos aos, aunado a
la incorporacin de un importante nmero de pases como miembro pleno de la institucin, ha exigido a
la Direccin de Tecnologa de Informacin un mayor y eficiente uso de las herramientas tecnolgicas
audiovisuales que faciliten una comunicacin ms flexible y dinmica que refuerce el trabajo
colaborativo, apoye la toma de decisin y acerque a sus funcionarios y relacionados externos mediante
reuniones virtuales rpidas, efectivas y en tiempo real.
En esta lnea de accin la Direccin de Tecnologa de Informacin ha evaluado la actualizacin la
actualizacin de la solucin de Comunicaciones, Colaboracin y Conferencias internas (Office
Communications Server 2007 R2); a la ltima versin de esta solucin, denominada Lync Server 2013.
Lync traer algunos beneficios adicionales a la CAF, que apoyan los requerimientos actuales del
negocio a nivel de descentralizacin, colaboracin y comunicaciones; incorporando servicios nuevos
que favorecern no solo la ubicuidad de los usuarios de la CAF, sino el intercambio y comunicaciones
sencillas con entes externos a la Corporacin. Estas capacidades son:
Acceso externo de usuarios CAF a la plataforma Lync
Federacin entre empresas
Federacin con Mensajera Instantnea Pblica (Skype)
Capacidad de realizacin de conferencias con cualquier usuario externo a la CAF
Toda la infraestructura Microsoft Lync Server ser centralizada en el Centro de Datos Miami, ubicado
en el NAP de las Amricas, y atender a todos los usuarios en todas las localidades geogrficas. La
infraestructura constar de un nico pool Enterprise Lync Server 2013 un servidor de Front-End en una
arquitectura consolidada, un Pool Lync Edge para la atencin y manejo de las conexiones de Acceso
Remoto de Usuarios y Federaciones, un Servidor Lync Monitoring para el control y auditora de
comunicaciones y, finalmente, un servidor de Bases de Datos SQL Server que proporcionar los
servicios de base de datos back-end para los usuarios de la solucin.
En este documento se presentan todos los aspectos de diseo y arquitectura tcnicos de la solucin,
contemplados como parte del proyecto 1046 de Actualizacin a Lync.
Pag 1
Proyecto 1046: Actualizacin Lync
2 INTRODUCCIN
2.1 Antecedentes
La CAF solicit a Grupo INFRASOFT la asistencia para la preparacin del diseo y la implementacin
de la solucin Microsoft Lync Server, migrando desde la infraestructura actualmente en operacin:
Microsoft Office Communications Server 2007 R2.
Uno de los requerimientos fundamentales para la Migracin a esta nueva versin de esta solucin es la
integracin de la misma con el Servicio de Skype, de manera que los usuarios habilitados por parte de
la Corporacin en la plataforma Lync puedan comunicarse con usuarios en esta aplicacin pblica de
mensajera.
Adicionalmente, la versin de Office Communicator y Live Meeting que actualmente usa la CAF para
este servicio, ya se encuentra obsoleta y no facilita la incorporacin de mejoras al servicio.
En este documento se detalla el diseo tcnico de la plataforma de Lync Server para la CAF.
El diseo de la plataforma Lync Server permitir proveer mltiples experiencias y funcionalidades a los
usuarios finales en la CAF, incluyendo:
Mensajera Instantnea: Control de Presencia, Chat, File Transfer.
Comunicaciones de Audio (VoIP) entre clientes Lync: Punto-a-Punto y Multi-Punto.
Conferencias de Audio (Vo-IP) entre clientes Lync.
Conferencias de Audio & Video y Conferencias Web (Compartir documentos, escritorio, archivos
y presentaciones).
Comunicaciones de Video (Video Calls) entre clientes Lync: Punto-a-Punto y Multi-Punto.
Acceso externo a la plataforma, desde Clientes: Lync, Lync Mobile Clients, Skype y Federacin
entre organizaciones.
Adicionalmente, en virtud de la implementacin del Proyecto de Migracin a Windows 7 y Office 2010
en toda la Corporacin, se aprovecha esta oportunidad para realizar la actualizacin del cliente Lync en
las estaciones de trabajo de los usuarios, o en cualquier caso, se distribuir la instalacin del Cliente
Lync 2013 utilizando la plataforma Microsoft System Center Configuration Manager actualmente en
operacin en la CAF (este proceso ser ejecutado por los Administradores de esta solucin).
Pag 2
Proyecto 1046: Actualizacin Lync
Pag 3
Proyecto 1046: Actualizacin Lync
Microsoft Lync Server 2013 Deployment documents - http://technet.microsoft.com/en-
us/library/gg398664.aspx
Pag 4
Proyecto 1046: Actualizacin Lync
3.3 Requerimientos
3.3.1 Requerimiento del Negocio
El proceso de descentralizacin que ha venido experimentando la CAF en los ltimos aos, aunado a
la incorporacin de un importante nmero de pases como miembro pleno de la institucin, ha exigido a
la Direccin de Tecnologa de Informacin un mayor y eficiente uso de las herramientas tecnolgicas
audiovisuales que faciliten una comunicacin ms flexible y dinmica que refuerce el trabajo
colaborativo, apoye la toma de decisin y acerque a sus funcionarios y relacionados externos mediante
reuniones virtuales rpidas, efectivas y en tiempo real.
Pag 5
Proyecto 1046: Actualizacin Lync
3.5.2 Restricciones
Los recursos actuales de HW virtuales son limitados, por lo cual deber considerase su
ampliacin en disco y memoria.
Debe estar definido el nuevo esquema de autenticacin de doble factor para las conexiones
externas.
Pag 6
Proyecto 1046: Actualizacin Lync
3.5.3 Riesgos
Potencial saturacin del canal de ancho de banda WAN debido a un posible incremento de
la demanda que el servicio pueda tener.
Pag 7
Proyecto 1046: Actualizacin Lync
Pag 8
Proyecto 1046: Actualizacin Lync
Adicionalmente, forman parte integral de la solucin Lync Server 2013 a implementar en la CAF, los
siguientes servicios / servidores:
Monitoring Server Database: El servicio de Monitoring sobre la infraestructura Lync Server 2013
permitir verificar y asegurar la calidad de las llamadas y las conferencias de Audio y Video. El
servicio de Monitoring es implementado en cada uno de los Servidores Front-End, y la Base de
Datos correspondiente a este servicio ser colocada en los Servidores Back-End de esta
plataforma.
Un (1) Lync Edge Server Pool: Un Pool de dos (2) servidores Lync 2013 Edge con direcciones
IP Privadas usando NAT ser implementado para proveer servicio a los usuarios de la CAF,
fuera de las fronteras de la red LAN / WAN empresarial y adems, para proveer acceso Federado
con otras organizaciones de confianza e interconexin con Mensajera Instantnea Pblica:
Skype. Los beneficios de esta arquitectura as como cada una de los servicios provistos por la
misma sern detallados en secciones posteriores.
Un (1) servidor de Office Web Apps: En toda implementacin de Lync Server 2013 donde se
usar Web Conferencing es requerida la implementacin del Office Web Apps Server. Este
servidor es el que hace posible la presentacin de lminas de PowerPoint en una conferencia
web.
El diagrama conceptual que se muestra a continuacin ilustra el diseo de la arquitectura en un nivel
alto. En este diagrama estn incluidos todos los elementos clave del diseo de la plataforma Lync Server
2013 para la CAF, tal como han sido descritos previamente en esta seccin:
Firewall Permetro
CAF
lyncpoolweb.caf.com
NAPCCPR1 10.1.11.133
HTTP Reverse Proxy
(Microsoft TMG) VLAN Servidores
Centro de Datos Miami
NAPHHPR8
Lync FE Enterprise
Pool / Monitoring
NAPHHPR10
Lync FE Enterprise
NAPJJPR2 Pool / Monitoring
Lync Edge Server #1 NAPHHPR11
Lync FE Enterprise
Pool / Monitoring
NAPHHPR7
Lync Back-End Server
& Monitoring Store
NAPHHPR12
Lync 2013 Front-End Office Web Apps
Pool Enterprise Edition Server
lyncpool.caf.com
NAPJJPR3
Lync Edge Server #2
DMZ
Figura 1. Arquitectura Conceptual Lync Server 2013 en la CAF Centro de Datos Miami
Pag 9
Proyecto 1046: Actualizacin Lync
5 AMBIENTE EXISTENTE
Importante
La CAF, como parte de este proyecto de Migracin a Lync Server; no solicit la actualizacin o
implementacin de esta nueva plataforma en los Ambientes de Construccin y Pre-produccin. Por ende,
estos ambientes no contarn con esta nueva versin de la solucin (Microsoft Lync Server 2013) instalada
y configurada.
5.2 DNS
La arquitectura de DNS de la CAF usa el espacio de nombres: caf.com, tanto para las comunicaciones
Internas como las Externas. Se dispone de una plataforma dividida (Split-DNS) para el mantenimiento
del mismo espacio de nombres en Internet y el Directorio Activo.
El dominio DNS a utilizar para el SIP-Address de todos los usuarios, ser el correspondiente a su misma
direccin de correo electrnico: @caf.com.
Pag 10
Proyecto 1046: Actualizacin Lync
Sobre el Pool R2 se encuentran consolidados todos los servicios todos los servicios base de OCS 2007
R2 ms los servicios de Audio y Video conferencias, actualmente en uso por los usuarios en todas las
localidades geogrficas.
Este Pool Enterprise Edition de OCS 2007 R2 est compuesto exclusivamente de dos (2) Servidores:
Un (1) Servidor Front-End OCS 2007 R2 Enterprise Edition (ocspoolcaf.caf.com) NAPHHPR1
Un (1) Servidor Back-End SQL Server NAPGGPR1
Pag 11
Proyecto 1046: Actualizacin Lync
Importante
Lync Server es una aplicacin de 64 bits, razn por la cual requiere tanto Hardware como Sistema Operativo
que soporte esta arquitectura.
En la CAF, los servidores designados para Lync Server 2013 sern virtualizados bajo la plataforma Microsoft
Hyper-V 2008 R2 implementada en el Centro de Datos Miami.
Lync 2013 Front-End (Enterprise Edition Pool) Tres (3) servidores en total:
Pag 12
Proyecto 1046: Actualizacin Lync
Versiones de SQL Server soportadas (RECOMENDADO) Microsoft SQL Server 2012 Standard (64-
bit edition). Additionally running the latest service pack is
recommended.
Microsoft SQL Server 2008 R2 Enterprise database software
(64-bit edition). Additionally running the latest service pack is
recommended.
Microsoft SQL Server 2008 R2 Standard (64-bit edition).
Additionally running the latest service pack is recommended.
Microsoft SQL Server 2012 Enterprise (64-bit edition).
Additionally running the latest service pack is recommended.
Lync 2013 Edge Server (DMZ) (Standard Edition Server): Dos (2) servidores
Pag 13
Proyecto 1046: Actualizacin Lync
(*) Lync Server 2013 soporta las siguientes ediciones de 64 Bits de Sistemas Operativos:
(RECOMENDADO) The Windows Server 2012 R2 Standard operating system
The Windows Server 2012 Standard operating system
The Windows Server 2008 R2 with Service Pack 1 (SP1) Standard operating system
(required) or latest service pack (recommended)
The Windows Server 2008 R2 with SP1 Enterprise operating system (required) or latest
service pack (recommended)
The Windows Server 2008 R2 with SP1 Datacenter operating system (required) or latest
service pack (recommended)
The Windows Server 2012 Datacenter operating system
Toda la informacin contenida en esta seccin est soportada y ampliada en el siguiente enlace de
Microsoft Technet: http://technet.microsoft.com/en-us/library/gg398438.aspx
Nota
En la CAF, todos los servidores designados para Lync Server 2013 y el servidor de Office Web Apps fueron
instalados bajo el Sistema Operativo: Windows Server 2012 R2 Standard.
Pag 14
Proyecto 1046: Actualizacin Lync
(a implementar en la CAF) est diseada para organizaciones medianas a grandes, en las cuales existe
un requerimiento de alta disponibilidad para el servicio de comunicaciones.
Un Front-End Lync Server 2013 proporciona los siguientes servicios en el entorno Corporativo:
Mensajera Instantnea (Instant Messaging) IM
Esta funcionalidad habilita a los usuarios de la organizacin para comunicarse entre s, en
tiempo real, desde sus computadores o dispositivos mviles usando mensajes de chat
(basados en texto).
Estn soportadas tanto sesiones uno a uno (dos usuarios), como sesiones de IM de
mltiples usuarios.
Presencia
Con este servicio se provee informacin a los usuarios acerca del estatus del resto en la
red. El estatus de presencia de un usuario permite al resto de los integrantes de la
organizacin decidir el mejor mecanismo de comunicacin en un momento determinado,
habilitando una comunicacin inmediata a travs de IM, email o una llamada.
La informacin de presencia facilita las comunicaciones instantneas en todo momento,
pero tambin permite proveer informacin al respecto de si un usuario est en una reunin,
en una llamada, o fuera de la oficina; indicando en estos casos que la comunicacin
instantnea pudiera no ser posible.
El estatus de presencia es mostrado como un cono de presencia en el cliente Lync y en
otras aplicaciones presence-aware; incluyendo: Microsoft Outlook, Microsoft SharePoint,
Microsoft Word, Microsoft Excel, etc.
Conferencias
Cuando se implementa la caracterstica de Conferencias, se pueden habilitar o no todos
los tipos disponibles: Web Conferencing y Audio / Video Conferencing; o solo Web
Conferencing.
Con todos los tipos de conferencias habilitados, los usuarios disfrutarn del entorno ms
amplio de posibilidades con mltiples combinaciones de servicios para conferencias:
mensajera instantnea (IM), audio, video, desktop sharing, presentaciones, compartir
anexos y compartir aplicaciones.
En la siguiente seccin se amplan los conceptos para este servicio en la implementacin
de Lync Server 2013 en la CAF.
Enterprise Voice
A continuacin una tabla que resume la configuracin principal del Pool Lync Server 2013 en la CAF:
lyncpool.caf.com
Cluster ID 1:1
Roles Front-End
AV Conferencing
CMS
Pag 15
Proyecto 1046: Actualizacin Lync
lyncpool.caf.com
Machines naphhpr8.caf.com
naphhpr10.caf.com
naphhpr11.caf.com
A continuacin la vista lgica del Pool de Servidores Lync 2013 Front-End Enterprise Edition, en
configuracin de alta-disponibilidad
Estarn habilitadas las siguientes capacidades como parte del Pool Lync
(lyncpool.caf.com):
Figura 2. Arquitectura Lgica del nuevo Pool Lync Server 2013 con sus servicios Internos para la CAF
En una configuracin de Pool Enterprise todos los componentes de servicios para los usuarios estn
instalados en los servidores Front-End del pool, con la excepcin de la Base de Datos de Back-End, la
cual reside en un servidor separado y dedicado. Esta configuracin provee a la CAF la disponibilidad y
escalabilidad requeridas.
Pag 16
Proyecto 1046: Actualizacin Lync
En Lync Server 2013, la arquitectura de Front-End pool ha cambiado, y estos cambios afectan no solo
la implementacin sino el mantenimiento de los Pools de Front-End. Se recomienda que todo Front-End
pool incluya al menos tres (3) servidores Front-End. En esta nueva versin la arquitectura utiliza un
modelo de sistema distribuido, en donde los datos de configuracin y sesiones de los usuarios son
mantenidos sobre tres (3) servidores Front-End en el pool.
Para cada uno de los usuarios, un servidor Front-End acta como el master para la informacin de
dicho usuario, y los otros dos Front-Ends mantienen rplicas de esta informacin. Si un servidor Front-
End sale de servicio, otro de los servidores Front-End que mantiene la rplica es promovido
inmediatamente como master.
Todo este proceso sucede en forma automtica, y los administradores no requieren saber cul de los
servidores Front-End es el master de los usuarios. Esta distribucin del almacenamiento de informacin
mejora el desempeo y la escalabilidad dentro del pool, y elimina el punto nico de falla de un nico
servidor Back-End.
El servidor Back-End cumple funcin como almacenamiento de respaldo para los datos de conferencias,
y tambin como almacenamiento primario para otras bases de datos, tales como Grupos de Respuesta
(Response Group).
Es por todas estos cambios y mejoras que se recomienda que todos los Lync Server 2013 Enterprise
Pools incluyan al menos tres (3) servidores Front-End, para proveer el nmero completo de rplicas que
la arquitectura requiere por diseo.
En la siguiente tabla se detalla el nmero de Servidores Front-End que deben estar operacionales para
mantener el pool funcionando. Esto debe tenerse en consideracin para cuando se planifican
mantenimientos o actualizaciones sobre el pool Lync 2013:
Nmero total de servidores Front-End Nmero de servidores que deben estar ejecutando
en el pool para mantener el pool en operacin
1-2 1
3-4 2
5-6 3
7-8 4
9-10 5
11-12 6
Si el nmero de servidores que estn ejecutando en el pool cae por debajo del permitido para mantener
la operacin (como se muestra en la tabla anterior), los servidores que queden operativos en el pool
entran en un modo de sobrevivencia (survivability mode) y se podr observar el siguiente mensaje en
los logs de eventos de los mismos:
Local Pool Manager has been disconnected from Pool Fabric Manager. (Id:
32163).
Despus de cinco minutos, si el nmero de servidores en operacin contina por debajo del mnimo
requerido, todos los servidores en el pool detendrn sus servicios de Lync Server y se observar el
siguiente mensaje en el log de eventos:
Pag 17
Proyecto 1046: Actualizacin Lync
Pool Manager failed to connect to Fabric Pool Manager (id: 32170) Server
is being shutdown because fabric pool manager could not be initialized
(id: 32173).
Dado que se usar DNS Load Balancing para el Front-End Pool Lync 2013, se requiere la creacin de
los siguientes registros tipo Host (A) en el DNS del Directorio Activo caf.com:
naphhpr8.caf.com 10.1.11.134
naphhpr10.caf.com 10.1.11.136
naphhpr11.caf.com 10.1.11.135
lyncpool.caf.com 10.1.11.134
lyncpool.caf.com 10.1.11.135
lyncpool.caf.com 10.1.11.136
Del mismo modo, es un requisito para un Pool Enterprise Lync Server 2013, que todas las peticiones
de los usuarios a sus servicios Web, sean dirigidas y balanceadas en un equipo de Balanceo por
Hardware Certificado por Microsoft para esta solucin. En el caso de la CAF, se utiliz un equipo f5
Big-IP ya operativo en la plataforma, para balancear las solicitudes Web hacia las siguientes URLs del
Pool:
lyncpoolweb.caf.com 10.1.11.133
lyncdiscoverinternal.caf.com 10.1.11.133
admin.caf.com 10.1.11.133
dialin.caf.com 10.1.11.133
meet.caf.com 10.1.11.133
Pag 18
Proyecto 1046: Actualizacin Lync
Conferencias de Audio / Video (A/V), a travs de las cuales los usuarios podrn realizar
conferencias de audio o video sin la necesidad de servicios externos tales como
LiveMeeting, Webex o un audio bridge de terceros.
Conferencias de Mensajera Instantnea (IM), en las cuales ms de dos usuarios
pueden comunicarse en una sesin de IM comn.
Dial-In Conferencing, a travs de la cual podemos integrar a un usuario a la porcin de
audio de una conferencia en Lync Server 2013, mediante una llamada telefnica desde la
red pblica de telefona (PSTN), sin la necesidad de un audio bridge o proveedor de
conferencias de terceros.
En Lync Server 2013 son soportadas tanto las conferencias planificadas (scheduled) como las
conferencias improvisadas o inmediatas.
Importante
En la implementacin de Lync Server 2013 en la CAF, se estar realizando migracin de la plataforma de
comunicaciones Office Communications Server 2007 R2.
En este escenario, dado que estn en operacin conferencias organizadas usando los clientes Office
Communicator 2007 R2 (incluyendo el cliente Live Meeting o el Add-In de Conferencias para Microsoft
Outlook), es importante resaltar las siguientes limitaciones despus de que las mismas sean migradas a Lync
Server 2013:
Los usuarios no estarn habilitados para utilizar las capacidades de colaboracin en las reuniones,
incluyendo colaboracin con documentos, compartir aplicaciones y escritorios.
Pueden surgir problemas de estabilidad debido a que los clientes Office Communicator 2007 R2 no son
compatibles ni estn soportados con Lync Server 2013.
Para evitar estas limitaciones se recomienda re-planificar cualquier conferencia organizada con los clientes
Office Communicator 2007 R2, a travs del cliente Outlook 2010 o Outlook 2013 usando el Online Meeting
Add-In for Lync 2013.
Pag 19
Proyecto 1046: Actualizacin Lync
Description
MaxMeetingSize 10 35 100 50 15 10
Pag 20
Proyecto 1046: Actualizacin Lync
Nota
Si bien en el alcance del Proyecto no est contemplado la modificacin de las Polticas de Conferencias
existentes, se recomienda la revisin de las mismas para adaptarlas a las nuevas polticas, realidades y
funcionalidades en la plataforma Lync Server 2013; especialmente lo concerniente a:
Capacidad de invitacin de Usuarios externos a la plataforma (Usuarios Annimos)
Alcance de Lync Server 2013 Edge Services para la CAF: Proyecto 1046
Como parte del alcance del Proyecto 1046, se establece el uso de Lync Server 2013 Edge Services para
proveer los siguientes servicios a los usuarios internos de la Corporacin:
Acceso Externo de usuarios Lync: El cual habilitar la conexin de usuarios CAF, con los permisos
correspondientes, a la plataforma Lync 2013 desde fuera de las fronteras de la organizacin (Internet);
usando los equipos corporativos o desde dispositivos mviles.
Federacin entre organizaciones: Servicio mediante el cual se podr establecer una Comunicacin
Federada con otras organizaciones y empresas que posean Lync implementado, y con las cuales la CAF
vea inters en establecer comunicacin directa a travs de esta solucin.
Acceso a Mensajera Instantnea Pblica (Skype): Con el cual se Federar la implementacin Lync 2013
de la CAF con el servicio Skype de Microsoft, habilitando de esta manera comunicaciones de Presencia,
Mensajera Instantnea y Audio con usuarios Skype.
Conferencias Web con usuarios Federados y/o Annimos: Este servicio habilitar a los usuarios que
dispongan del permiso correspondiente para agendar Conferencias de IM, Audio, Video o
Presentaciones Web; con otros usuarios fuera de las fronteras de la organizacin.
Se incorporan como parte de este proyecto los Certificados Digitales Pblicos correspondientes para la
plataforma de Acceso Externo en Lync Server 2013, de forma de habilitar los mecanismos de comunicacin
descritos.
La mayora de los componentes de la arquitectura de Lync Server 2013 Edge, que se enumeran a
continuacin, son implementados en la Red Perimetral de la CAF:
Servidores Lync 2013 Edge
Pag 21
Proyecto 1046: Actualizacin Lync
Los Servidores Lync 2013 Edge permiten enviar y recibir el trfico de red para los servicios
ofrecidos en la plataforma Lync 2013 a usuarios o clientes externos. Un servidor Lync 2013
Edge ejecuta los siguientes servicios:
Access Edge service; el cual es el punto de acceso nico confiable para las
conexiones entrantes y salientes en trfico SIP (Session Initiation Protocol).
Web conferencing Edge service; a travs del cual se habilita a usuarios externos para
unirse a conferencias que estn provistas por la plataforma Lync Server 2013 interna.
Audio / Video Edge service; este servicio permite que las funcionalidades de audio,
video, compartir aplicaciones, compartir escritorio y transferencia de archivos; estn
disponibles para los usuarios externos.
Los usuarios autorizados de la Corporacin pueden acceder a los servicios provistos por los
servidores Lync 2013 Edge para acceder a los servicios internos de Lync Server 2013; pero
este acceso no habilita o permite que los usuarios accedan otros servicios en la red Corporativa
interna.
Proxy Reverso
El Proxy Reverso es requerido para lo siguiente:
Permitir a los usuarios externos la descarga del contenido de las conferencias
Permitir a los usuarios externos la expansin de Grupos de Distribucin
Permitir a los usuarios remotos la descarga de archivos del Address Book Server o la
realizacin de consultas a este mismo servidor / servicio
Habilitar a los dispositivos mviles para descubrir automticamente los Servidores Lync
2013 Front-End que ofrecen servicios de movilidad, y su conexin a los mismos
Para la implementacin en la CAF, se utilizarn los servidores Microsoft TMG ya instalados en
la DMZ; para proveer este servicio de Proxy reverso.
Balanceo de Cargas; para topologas ampliadas de Lync Server Edge, bien sea DNS Load
Balancing o Balanceo de Cargas por Hardware (Hardware Load Balancing).
Importante
El uso de DNS Load Balancing en una interface de los Servidores Lync Edge y Hardware Load
Balancing en la otra interface, no est soportado. Se debe usar cualquiera de los dos mecanismos
de balanceo de cargas en ambas interfaces por igual.
En la implementacin realizada en la CAF, se estableci el uso de DNS Load Balancing en ambas
interfaces del Pool Lync Edge.
lyncedge.caf.com
Roles Edge
Machines NAPJJPR2.caf.com
NAPJJPR3.caf.com
Pag 22
Proyecto 1046: Actualizacin Lync
lyncedge.caf.com
XMPP Proxy
XMPP (TCP:5269)
Service
HTTP (Public CA CRL Check)
200.14.11.35 SIP/TLS (TCP:443) CLS/MTLS (TCP:50001)
SIP/MTLS (TCP:5061) Access Edge CLS/MTLS (TCP:50002)
Edge
Ext IP
DNS (UDP/TCP:53) Internal IP CLS/MTLS (TCP:50003)
10.6.12.11/25
XMPP/MTLS (TCP:23456)
SIP/MTLS (TCP:5061)
Media
WebConf Edge
200.14.11.37 PSOM/MTLS (TCP:443)
Ext IP
Authentication PSOM/MTLS (TCP:8057)
Service SIP/MTLS (TCP:5062)
10.6.12.13/25
STUN (UDP:3478) STUN (UDP:3478)
200.14.11.39 STUN (TCP:443) STUN (TCP:443)
AV Edge Ext IP Edge Internal IP
RTP (TCP/UDP:50000-59999) 10.6.12.15/25 NAPJJPR2 10.6.12.131/25 HTTPS (TCP:4443)
Lync Edge Server #1
XMPP Proxy
XMPP (TCP:5269) Service
HTTP (Public CA CRL Check)
CLS/MTLS (TCP:50001)
200.14.11.34 SIP/TLS (TCP:443)
Access Edge CLS/MTLS (TCP:50002)
SIP/MTLS (TCP:5061) Edge
Ext IP CLS/MTLS (TCP:50003)
Internal IP
DNS (UDP/TCP:53) 10.6.12.12/25
XMPP/MTLS (TCP:23456)
SIP/MTLS (TCP:5061)
Media
WebConf Edge PSOM/MTLS (TCP:8057)
200.14.11.36 PSOM/MTLS (TCP:443) Ext IP
Authentication
Service SIP/MTLS (TCP:5062)
10.6.12.14/25
STUN (UDP:3478)
STUN (UDP:3478)
STUN (TCP:443)
200.14.11.38 STUN (TCP:443) AV Edge Ext IP Edge Internal IP
NAPJJPR3 HTTPS (TCP:4443)
RTP (TCP/UDP:50000-59999) 10.6.12.16/25 10.6.12.132/25
Lync Edge Server #2
Figura 3. Arquitectura Lgica de Permetro para Lync Server 2013 EDGE Servers en la CAF
Pag 23
Proyecto 1046: Actualizacin Lync
Tabla 1. Resumen de Reglas de Firewall para la Arquitectura Edge Server en alta disponibilidad, DNS Load Balancing con Direcciones IP Privadas
usando NAT: Interfase EXTERNA Nodos NAPJJPR2 y NAPJJPR3
Pag 24
Proyecto 1046: Actualizacin Lync
Tabla 2. Resumen de Reglas de Firewall para la Arquitectura Edge Server en alta disponibilidad, DNS Load Balancing con Direcciones IP Privadas
usando NAT: Interfase INTERNA Nodos NAPJJPR2 y NAPJJPR3
Pag 25
Proyecto 1046: Actualizacin Lync
Pag 26
Proyecto 1046: Actualizacin Lync
En Microsoft Lync Server 2013, el Monitoring es utilizado para capturar informacin de uso y Calidad
de Experiencia (Quality of Experience QoE), de las sesiones de comunicaciones que se llevan a
cabo en la plataforma. Una sesin es un trmino genrico que cubre las conexiones de los usuarios a:
Conferencias (Lync Meetings)
Conferencias de Servicios (tales como Audio / Video o Compartir Aplicaciones)
Otros usuarios va una conversacin punto a punto (P2P), tales como Mensajera Instantnea
o una llamada de Audio
Nota
Lync Server 2013 almacena toda la informacin de cada sesin: quin llam a quin, cules dispositivos (o
endpoints) fueron utilizados en la sesin, cunto dur la sesin, cul fue la calidad percibida y recibida en la
sesin; entre otros.
Sin embargo, Lync Server no registra y almacena informacin al respecto de la llamada en s; esto quiere
decir, por ejemplo, que aunque Lync Server almacena informacin de las sesiones de Mensajera
Pag 27
Proyecto 1046: Actualizacin Lync
Instantnea, el servicio de Monitoring no mantiene un registro de los mensajes que fueron intercambiados en
dichas sesiones.
La informacin de detalle de llamadas y calidad del servicio almacenada por el Lync Server Monitoring
puede ser utilizada en diferentes direcciones; tales como:
Gestin de Inventario de Dispositivos. La gerencia de la informacin de los activos ayuda a
los administradores a identificar el uso de dispositivos antiguos o No-Certificados que deben ser
reemplazados. Esto es de vital importancia ya que la garanta de calidad en las llamadas y
sesiones de esta plataforma lo da el uso de los dispositivos apropiados.
Service Desk. La informacin de troubleshooting habilita a los Ingenieros de Soporte a
determinar el por qu una llamada de usuario fall, y a verificar estas razones sin la necesidad
de colectar Logs en el lado del cliente o del servidor.
Resolucin de fallas en la plataforma. Los administradores pueden detectar problemas de
ndole mayor que puedan potencialmente afectar las capacidades o servicios que reciben los
usuarios finales, tales como: unirse a una conferencia, realizar una llamada o enviar un mensaje
instantneo.
Adicional a la informacin bsica de llamadas, el servidor Lync Monitoring tambin provee mecanismos
que permiten a un Endpoint SIP (tal como el cliente Lync 2013) el proveer informacin valiosa para
resolucin de problemas, que de otra manera no podra ser accesible desde los servidores Lync en la
infraestructura:
Media Metrics que impactan la calidad. Estas mtricas tienen que ver con la transmisin de
la llamada en s, esto es, se provee una especie de travel log de la llamada a travs de la red.
Estas mediciones incluyen elementos como: packet loss, jitter, y round trip times; los cuales
proveen informacin alrededor de lo que sucedi en esta llamada desde el momento en que la
misma inici hasta su finalizacin.
Problemas reportados al Usuario Final. Estas mtricas incluyen las notificaciones de mala
calidad en la red / llamada presentadas al usuario en su cliente, en los casos donde el mismo
est muy lejos del micrfono, hablando muy bajo, hay baja calidad en la conexin de red, o se
est experimentando baja calidad porque otra aplicacin en la computadora se est
consumiendo los recursos disponibles.
Informacin del Ambiente. Estas mtricas detallan otros factores que influyen en la calidad de
una llamada, tales como el tipo de micrfono y altavoces que se estn usando, si el usuario est
conectado a travs de una VPN, o si el usuario est conectado en una red inalmbrica (WiFi).
Al finalizar cada llamada, el Endpoint SIP-Compliant transmitir en forma automtica esta informacin
al servidor Front End que gestion la llamada. El usuario no tiene que realizar ninguna operacin para
que este proceso suceda, ya que el comportamiento est configurado en el protocolo SIP que maneja
Lync Server 2013.
Pag 28
Proyecto 1046: Actualizacin Lync
A continuacin algunas figuras que muestran algunos de los tipos de informacin que puede ser
visualizado con los Reportes del rol Lync Monitoring:
Pag 29
Proyecto 1046: Actualizacin Lync
Para mayor informacin y detalles al respecto de todas las opciones, configuraciones y usos de los
diferentes reportes provistos por Lync Server 2013, se puede acceder y consultar el siguiente enlace en
la documentacin Technet de Microsoft: Using Monitoring Reports
Pag 30
Proyecto 1046: Actualizacin Lync
Para garantizar este tipo de Arquitecturas, todas las conexiones de dispositivos mviles a Lync Server
2013 se llevan a cabo a travs de Servicios Web provistos en el Lync Front End Pool; a travs del Proxy
Reverso o el Balanceador de Cargas de la empresa, tal como se resalta en la siguiente figura:
Public CA Certificates
Lync Server External Web Site (4443)
Symantec SSL (External)
HTTPS Get lyncdiscover.caf.com
Autodiscover
Mcx
https://lyncpool.caf.com/... Ucwa
NAPCCPR1
HTTP Reverse Proxy CAF Enterprise Root CA
Lync Server Internal Web Site (443)
(Microsoft TMG) Certificates (Internal)
Autodiscover
Ucwa
DNS (A) Records:
lyncdiscoverinternal.caf.com 10.1.11.133
lyncpoolweb.caf.com 10.1.11.133
NAPJJPR2
Lync Edge Server #1 lyncpoolweb.caf.com
lyncdiscoverinternal.caf.com
NAPJJPR3
Lync Edge Server #2 https://lyncpoolweb.caf.com/...
Figura 7. Flujo de comunicaciones para Dispositivos Mviles en la plataforma Lync Server 2013 de la CAF
Como se puede inferir de la figura anterior, hay algunos elementos importantes que deben cumplirse
para que el dispositivo mvil tenga acceso a la plataforma Lync Server 2013 de la CAF, bien sea desde
el exterior de la Corporacin (Internet / Public Network) o desde el interior de la misma (CAF Internal
Network):
Pag 31
Proyecto 1046: Actualizacin Lync
Disponibilidad, en los dispositivos mviles, del Certificado Raz de la CAF Enterprise Root
CA; esto debido a que las conexiones a servicios Web internos del Pool son atendidos por
Certificados Internos
Enable Outside Voice Permite controlar la capacidad de un usuario para realizar llamadas IP
(Via Work), habilitando al usuario para realizar y recibir llamadas en su
Parmetro: EnableOutsideVoice
dispositivo mvil usando su nmero o extensin de la oficina en lugar
Alcance: Global / Site / User de su nmero de telfono mvil.
Nota: Esta capacidad no est disponible en la CAF debido a que Lync
no est integrado a la Telefona IP y/o PSTN
Enable IP Audio and Video Controla si un usuario puede usar su dispositivo mvil para realizar o
recibir llamadas en VoIP de Audio o Video. Si est configurado como
Parmetro: EnableIPAudioVideo
False, el usuario no podr hacer ni recibir llamadas de Audio o Video
Alcance: Global / Site / User va IP en su dispositivo mvil.
La configuracin preestablecida es: True
Require WiFi for IP Audio Este parmetro permite especificar si el cliente requerir o no estar
conectado en una Red WiFi para poder realizar llamadas de Audio
Parmetro: RequireWiFiforIPAudio
VoIP, en lugar de la red de Datos del operador de Telefona Celular.
Alcance: Global / Site / User Si est configurado como True, el usuario podr hacer y recibir
llamadas VoIP solo cuando est conectado a una red WiFi.
La configuracin preestablecida es: False
Require WiFi for IP Video Este parmetro permite especificar si el cliente requerir o no estar
conectado en una Red WiFi para poder realizar llamadas de Video
Parmetro: RequireWiFiforIPVideo
VoIP, en lugar de la red de Datos del operador de Telefona Celular.
Alcance: Global / Site / User Si est configurado como True, el usuario podr hacer y recibir
llamadas de Video VoIP solo cuando est conectado a una red WiFi.
La configuracin preestablecida es: False
Para una descripcin completa de las polticas y configuraciones que pueden realizarse para usuarios
con dispositivos mviles, pueden referenciarse los siguientes enlaces:
Pag 32
Proyecto 1046: Actualizacin Lync
New-CsMobilityPolicy: http://technet.microsoft.com/en-us/library/hh689987.aspx
Set-CsMobilityPolicy: http://technet.microsoft.com/en-us/library/hh690021.aspx
Get-CsMobilityPolicy: http://technet.microsoft.com/en-us/library/hh690017.aspx
Grant-CsMobilityPolicy: http://technet.microsoft.com/en-us/library/hh690038.aspx
Remove-CsMobilityPolicy: http://technet.microsoft.com/en-us/library/hh690048.aspx
Nota
La configuracin de polticas para el servicio de movilidad es realizada desde el Lync Server Powershell,
exclusivamente.
Pag 33
Proyecto 1046: Actualizacin Lync
Nota
En todo momento podemos observar el Servidor Lync 2013 que actualmente almacena la CMS en nuestra
infraestructura, ejecutando el siguiente comando en Lync Server 2013 PowerShell:
Get-CsConfigurationStoreLocation
Pag 34
Proyecto 1046: Actualizacin Lync
Nota
En el siguiente enlace se pueden observar las entidades de certificacin pblicas soportadas por Microsoft
para su solucin de Comunicaciones Unificadas: http://support.microsoft.com/kb/929395
En la implementacin de Lync Server 2013 para la CAF se utilizaron Certificados Digitales emitidos por la
CA Interna de la CAF: CAF Enterprise Root CA, para los servicios accesibles dentro de la red LAN / WAN;
y Certificados Digitales Pblicos emitidos por Symantec (VeriSign):
https://www.symantec.com/theme.jsp?themeid=san-ssl-certificates; para el acceso de servicios en Lync
Server 2013 desde el exterior (Internet).
En la siguiente tabla se describen los Certificados Digitales Pblicos emitidos para la plataforma Lync
Server 2013 en esta fase de proyecto para la CAF:
SN: sip.caf.com Lync Server Edge Pool Symantec Acceso externo de usuarios, federacin entre
SAN: webconf.caf.com (Access Edge & Web Conf SSL organizaciones, federacin con mensajera
Edge - External) pblica (Skype), acceso a conferencias web.
Pag 35
Proyecto 1046: Actualizacin Lync
SN: lyncpool.caf.com Lync Server Enterprise Pool Symantec Acceso externo a Servicios Web provistos en
SANs: (External Web Services) y SSL el Lync 2013 Enterprise Pool. Estos servicios
Reverse Proxy (TMG) son publicados por el Proxy Reverso (TMG)
meet.caf.com
en la infraestructura de la CAF.
dialin.caf.com
lyncdiscover.caf.com
lyncdirext.caf.com
SN: naphhpr12.caf.com Lync Office Web Apps Server Symantec Acceso externo de usuarios al contenido de
SAN: owa.caf.com SSL Archivos, Presentaciones y documentos en
Conferencias Web
Tabla 3. Requerimientos de Certificados Digitales Pblicos para Lync Server 2013
Pag 36
Proyecto 1046: Actualizacin Lync
En Lync Server 2013, los protocolos TLS y MTLS ayudan a prevenir tanto las escuchas como los
ataques man-in-the middle. En un ataque man-in-the-middle, el atacante redirige las comunicaciones
entre dos entidades de red a travs del equipo del atacante, sin el conocimiento de cualquiera de las
partes.
La especificacin de las configuraciones de TLS y los Servidores Lync 2013 de confianza (especificados
en el Topology Builder) permiten mitigar el riesgo de un ataque del tipo man-in-the-middle parcialmente
en la capa de aplicacin mediante el uso de cifrado de extremo a extremo, mediante el cifrado de claves
pblicas entre los dos extremos; por lo que un atacante tendra que tener un certificado vlido y de
confianza con la clave privada correspondiente y emitida al nombre del servicio al que el cliente se est
comunicando para descifrar la comunicacin. En ltima instancia, sin embargo, se recomienda seguir
las mejores prcticas de seguridad en su infraestructura de red (en este caso el DNS empresarial
Directorio Activo). Lync Server 2013 presupone que el servidor DNS es de confianza, de la misma
manera que los controladores de dominio y catlogos globales son de confianza.
En la siguiente figura se muestra, a un alto nivel, cmo Lync Server 2013 utiliza TLS / MTLS y HTTPS
para todas las comunicaciones entre Clientes y Servidores y Servidor-a-Servidor:
Firewall Permetro
CAF
HTTPS (HTTP sobre SSL TLS)
NAPHHPR8
MTLS
MTLS TLS
Organizacin
Federada / NAPJJPR3 Cliente Interno
Lync Edge Server #2
MI Pblica (Skype)
En la siguiente tabla se resumen todos los esquemas de proteccin y cifrado del trfico en la solucin
Lync Server 2013, todos estos mecanismos actualmente habilitados en la implementacin de la CAF:
Pag 37
Proyecto 1046: Actualizacin Lync
Zona caf.com
(DNS Interno)
Pag 38
Proyecto 1046: Actualizacin Lync
Adicionalmente, para el soporte de toda la plataforma de acceso de permetro a los servicios en Lync
Server 2013 de la CAF; se crearon los siguientes registros en la Zona DNS Externa (Pblica) caf.com:
Zona caf.com
(DNS Pblico)
Pag 39
Proyecto 1046: Actualizacin Lync
Pag 40
Proyecto 1046: Actualizacin Lync
En la siguiente tabla se detallan los Grupos creados por Lync Server 2013 en el Directorio Activo, los
permisos que cada uno de ellos genera sobre la plataforma, y los usuarios que son actualmente
miembros de los mismos:
CSLocationAdministrator Members of this group have the lowest level of rights for Empty
E911 management. They can create E911 locations and
network identifiers, and associate them with each other in
Lync Server 2013.
CsPersistentChatAdministrator Members of this group can run the persistent chat admin Empty
cmdlets for Categories/Rooms/Addins.
CSUserAdministrator Members of this group can enable and disable users for CAF\RTCUniversalServerAdmins
Lync Server 2013, move users, and assign existing
policies to users.
CSViewOnlyAdministrator Members of this group can view the Lync Server 2013 CAF\CSEEPR03
deployment, including server information, in order to
monitor deployment health.
RTCComponentUniversalServices Members can be used as RTC MCU and web component CAF\CSEEPR03
services logon. CAF\NAPHHPR8
CAF\NAPHHPR10
CAF\NAPHHPR11
Pag 41
Proyecto 1046: Actualizacin Lync
RTCUniversalReadOnlyAdmins Members can only read RTC related server and user CAF\RTCSBAUniversalServices
properties in this forest. CAF\RTCUniversalSBATechnicians
CAF\RTCUniversalUserAdmins
Pag 42
Proyecto 1046: Actualizacin Lync
RTCUniversalServerAdmins Members can manage all aspects of RTC servers in this CAF\CA15865
forest. CAF\CA29688
CAF\CA33967
CAF\CSEEPR03
CAF\MS15071
CAF\MS33302
CAF\NAPHHPR8
CAF\NAPHHPR10
CAF\NAPHHPR11
Adicionalmente, se detalla a continuacin los grupos locales creados sobre los Servidores Lync 2013
Edge y los miembros asociados a los mismos:
RTC Component Local Group Lync Server Web Components And MCU service accounts are NT SERVICE\RTCCLSAGT
granted appropriate local permissions through this group
RTC Local Administrators RTC domain Server Administrators get local Central BUILTIN\Administrators
Management database access through this group
RTC Local Config Replicator Lync Server replication services are granted appropriate local NT SERVICE\REPLICA
permissions through this group
RTC Local Read-only RTC domain Read-only Administrators get local Central Empty
Administrators Management database access through this group
RTC Local User Administrators RTC domain User Administrators get local DCOM permissions Empty
through this group
Pag 43
Proyecto 1046: Actualizacin Lync
RTC Server Applications Lync Server Server applications are granted appropriate local Empty
permissions through this group
RTC Server Local Group Lync Server service accounts are granted appropriate local NT SERVICE\RTCDATAPROXY
permissions through this group NT SERVICE\RTCMEDIARELAY
NT SERVICE\RTCMRAUTH
NT SERVICE\RtcSrv
SQLServer2005SQLBrowser Members in the group have the required access and privileges to NT SERVICE\SQLBrowser
User$NAPJJPR2 be assigned as the log on account for the associated instance of
SQL Server Browser.
WindowsFabricAdministrators Members of this group can administer the Windows Fabric NT AUTHORITY\NETWORK
deployment. SERVICE
WindowsFabricAllowedUsers Members of this group can administer the Windows Fabric NT AUTHORITY\NETWORK
deployment. SERVICE
Tabla 8. Grupos Locales en Servidores Lync 2013 Edge (NAPJJPR2) y sus miembros
RTC Component Local Group Lync Server Web Components And MCU service accounts are NT SERVICE\RTCCLSAGT
granted appropriate local permissions through this group
RTC Local Administrators RTC domain Server Administrators get local Central BUILTIN\Administrators
Management database access through this group
RTC Local Config Replicator Lync Server replication services are granted appropriate local NT SERVICE\REPLICA
permissions through this group
RTC Local Read-only RTC domain Read-only Administrators get local Central Empty
Administrators Management database access through this group
RTC Local User Administrators RTC domain User Administrators get local DCOM permissions Empty
through this group
RTC Server Applications Lync Server Server applications are granted appropriate local Empty
permissions through this group
RTC Server Local Group Lync Server service accounts are granted appropriate local NT SERVICE\RTCDATAPROXY
permissions through this group NT SERVICE\RTCMEDIARELAY
NT SERVICE\RTCMRAUTH
NT SERVICE\RtcSrv
SQLServer2005SQLBrowser Members in the group have the required access and privileges to NT SERVICE\SQLBrowser
User$NAPJJPR3 be assigned as the log on account for the associated instance of
SQL Server Browser.
WindowsFabricAdministrators Members of this group can administer the Windows Fabric NT AUTHORITY\NETWORK
deployment. SERVICE
WindowsFabricAllowedUsers Members of this group can administer the Windows Fabric NT AUTHORITY\NETWORK
deployment. SERVICE
Tabla 9. Grupos Locales en Servidores Lync 2013 Edge (NAPJJPR3) y sus miembros
Pag 44
Proyecto 1046: Actualizacin Lync
Pag 45
Proyecto 1046: Actualizacin Lync
Informacin de configuracin de Central Management Store Topologa de Lync Server, polticas y configuracin.
la Topologa (Database: Xds.mdf) Se recomienda respaldar en forma regular y cada vez que se
Servidor NAPHHPR7 realizan cambios en la configuracin, polticas o topologa.
Tabla 12. Informacin de configuracin de Lync Server a respaldar
Pag 46
Proyecto 1046: Actualizacin Lync
Datos de la Libreta de Direcciones (Bases de Datos: Rtcab.mdf y Rtcab1.mdf). La base de datos
de la Libreta de Direcciones es re-generada automticamente a partir de la informacin
contenida en el Directorio Activo.
Informacin del Servicio de Lync Monitoring (Bases de Datos: LcsCDR.mdf y QoEMetrics.mdf)
En la siguiente tabla se identifican los tipos de datos resaltados y las Instancias / Bases de Datos donde
se encuentran almacenados:
Datos persistentes de usuarios Base de Datos: RtcXds.mdf Derechos de usuarios, listas de contactos de los usuarios, datos
Servidor NAPHHPR7/RTC del servidor o pool, conferencias planificadas, etc. Los datos de
los usuarios no incluyen el contenido cargado (uploaded) a una
conferencia.
Se recomienda respaldar en forma regular. Esta informacin de
dinmica, pero la prdida de las actualizaciones no es
catastrfico para Lync Server incluso si se debe restaurar a un
respaldo de cierto tiempo atrs. Si las Listas de Contactos de los
usuarios son importantes para su organizacin, entonces se
debe considerar respaldar esta base de datos con mayor
frecuencia.
Datos de Monitoring Bases de Datos: LcsCDR.mdf y Los registros de detalles de llamadas son dinmicos y pueden
QoEMetrics.mdf ser crticos para la organizacin. Es importante determinar la
Servidor NAPHHPR7/LyncMonitoring planificacin de este respaldo, considerando si necesita estos
registros por razones regulatorias.
La informacin de Calidad de Experiencia (Quality of
Experience) es dinmica. La prdida de datos QoE no es crtica
para el funcionamiento de Lync Server, pero pudiese ser
fundamental para su negocio. Es importante determinar la
planificacin de este respaldo, basndose en la importancia que
esta informacin tiene para su organizacin.
Tabla 13. Informacin de Bases de Datos a ser respaldadas
Pag 47
Proyecto 1046: Actualizacin Lync
Almacn de archivos de Lync Carpeta compartida: LyncFileShare Contenido de reuniones, metadata del contenido de las
Server en la ruta: reuniones, registros de cumplimiento (compliance) de las
\\NAPHHPR7.caf.com\LyncFileShare reuniones, archivos de datos de la aplicacin, archivos de
actualizacin para dispositivos, entre otros.
Servidor NAPHHPR7 Se recomienda respaldar en forma regular, con sus respaldos
habituales del Sistema de Archivos.
Tabla 14. Informacin a respaldar del Almacn de Archivos para Lync Server
7.2.1 Respaldos
Para respaldar Lync Server 2013, se pueden utilizar las herramientas referenciadas en la tabla a
continuacin. Todos los comandos indicados para el respaldo de Lync Server 2013, pueden ser
ejecutados mediante un Script en forma remota.
Datos persistentes de los usuarios (Base de Datos: RtcXds.mdf) Export-CsUserData -PoolFqdn "lyncpool.caf.com" FileName
IDs de Conferencias [Unidad:]\Ruta\LyncUserData.zip
Pag 48
Proyecto 1046: Actualizacin Lync
Importante
Todos los scripts mostrados en la tabla anterior, deben ser ejecutados desde el Lync Server Management
Shell. Bien sea desde alguno de los Servidores Lync 2013 o desde una estacin de trabajo con las
herramientas administrativas de Lync Server 2013 instaladas.
7.2.2 Recuperacin
Para recuperar Lync Server 2013, se pueden utilizar las herramientas referenciadas en la tabla a
continuacin. Todos los comandos indicados para el respaldo de Lync Server 2013 pueden ser
ejecutados mediante un Script, algunos en forma local y otros en forma remota.
Recuperar datos del Almacn de Lync en el Sistema de Archivos: : Se recomienda utilizar la herramienta de respaldo regular de Sistema
\\NAPHHPR7.caf.com\LyncFileShare de Archivos en la CAF.
Pag 49
Proyecto 1046: Actualizacin Lync
Es importante resaltar que la ejecucin total o parcial de una recuperacin de Lync Server 2013 requiere
la asistencia de personal especializado y certificado sobre la plataforma. Dados todos los componentes
y servicios en infraestructura base que estn relacionados con esta solucin: Directorio Activo,
servidores de bases de datos SQL Server, repositorios de archivos, etc.
Los Administradores de la solucin en la CAF deben mantener un estricto apego a la documentacin de
todos los cambios, va los Controles de Cambio, que puedan darse sobre los servidores de la plataforma
o configuraciones dentro de la solucin; a los efectos de poder replicar cualquier elemento que sea
requerido en un momento de falla.
Como informacin complementaria se pueden tener a la mano los procedimientos globales sealados
en: http://technet.microsoft.com/en-us/library/hh202160.aspx
Pag 50
Proyecto 1046: Actualizacin Lync
Desde el Internet Explorer, en el PC del Administrador de Lync Server, acceda al URL del Lync
Server 2013 Control Panel en la CAF: https://admin.caf.com/cscp
Si en el PC est en sesin con una Cuenta de Usuario que no tiene los permisos de:
CsUserAdministrator o CsAdministrator en Lync Server; se mostrar un mensaje de acceso
denegado.
En este caso, puede seleccionar la opcin Sign in as a diferent user; y en el cuadro de
dilogo, ingrese las credenciales apropiadas de Administracin de Lync Server
Pag 51
Proyecto 1046: Actualizacin Lync
Una vez dentro del Panel de Control, haga clic en Users en el panel izquierdo
En el cuadro de dilogo de la bsqueda, escriba la totalidad o la primera parte del nombre del
usuario (Display Name), nombre, apellido, cuenta de usuario (SAM), direccin SIP o el URI de
la cuenta de usuario que desea buscar y, a continuacin, haga clic en el botn Find.
(Opcional) Puede especificar criterios adicionales de bsqueda, usando la opcin: + Add Filter
En este momento, se desplegarn los resultados de la bsqueda en el recuadro de resultados
de la bsqueda. Se puede en este recuadro seleccionar a alguno o varios de los usuarios
encontrados para ejecutar las tareas de configuracin requeridas.
Pag 52
Proyecto 1046: Actualizacin Lync
Despus de habilitar o crear una cuenta de usuario en el Directorio Activo, se puede utilizar el Lync
Server 2013 Control Panel para crear y habilitar este usuario en Lync Server; para ello se siguen los
siguientes pasos:
Desde el Internet Explorer, en el PC del Administrador de Lync Server, acceda al URL del Lync
Server 2013 Control Panel en la CAF: https://admin.caf.com/cscp
Si en el PC est en sesin con una Cuenta de Usuario que no tiene los permisos de:
CsUserAdministrator o CsAdministrator en Lync Server; se mostrar un mensaje de acceso
denegado.
En este caso, puede seleccionar la opcin Sign in as a diferent user; y en el cuadro de
dilogo, ingrese las credenciales apropiadas de Administracin de Lync Server
Una vez dentro del Panel de Control, haga clic en Users en el panel izquierdo.
Haga clic en Enable users
En la caja de dilogo New Lync Server User, haga clic en Add
En la caja de dilogo de bsqueda de usuarios, tipee una porcin o todo el nombre, display
name, SAM, email, o UPN del usuario a activar; luego haga clic en Find
En la tabla de resultados, seleccione la cuenta del usuario que se desea agregar a Lync Server,
y haga clic en OK.
Asigne al usuario a un Pool, especifique todos los detalles de configuraciones adicionales y
polticas que desea activar para el usuario, al final haga clic en Enable.
Para Deshabilitar un usuario activo en Lync Server 2013, sin perder las configuraciones que se hayan
realizado sobre el mismo, se sigue el siguiente procedimiento:
Desde el Internet Explorer, en el PC del Administrador de Lync Server, acceda al URL del Lync
Server 2013 Control Panel en la CAF: https://admin.caf.com/cscp
Si en el PC est en sesin con una Cuenta de Usuario que no tiene los permisos de:
CsUserAdministrator o CsAdministrator en Lync Server; se mostrar un mensaje de acceso
denegado.
En este caso, puede seleccionar la opcin Sign in as a diferent user; y en el cuadro de
dilogo, ingrese las credenciales apropiadas de Administracin de Lync Server
Una vez dentro del Panel de Control, haga clic en Users en el panel izquierdo.
Pag 53
Proyecto 1046: Actualizacin Lync
En el cuadro de dilogo de la bsqueda, escriba la totalidad o la primera parte del nombre del
usuario requerido (Display Name), nombre, apellido, cuenta de usuario (SAM), direccin SIP o
el URI de la cuenta de usuario que desea buscar y, a continuacin, haga clic en el botn Find.
En la ventana de resultados, haga clic sobre la cuenta del usuario que se desea deshabilitar o
re-habilitar.
En el men Actions seleccione alguna de las siguientes opciones:
Para Deshabilitar Temporalmente la cuenta de usuario en Lync Server 2013, haga clic en
Temporarily disable for Lync Server
Para re-habilitar la cuenta del usuario, que haba sido deshabilitada previamente, haga clic
en: Re-enable for Lync Server
En el caso de los Servidores Front-End y Back-End se recomienda seguir los procedimientos especficos
descritos en esta seccin. Para el caso de los servidores Lync Edge y Office Web Apps, solo seguir el
orden indicado realizando una actualizacin tpica de hotfixes en el Sistema Operativo (Crticos e
Importantes); manteniendo el orden indicado en la lista anterior.
Pag 54
Proyecto 1046: Actualizacin Lync
Figura 9. Flujograma para actualizacin de Servidores Lync 2013 Front-End Pool Enterprise
En este sentido, y tal como lo establece el flujograma de la figura anterior, se realizan los siguientes
pasos para la actualizacin de cada uno (uno a uno) de los Servidores Front-End en el Pool Enterprise
de la CAF:
Pag 55
Proyecto 1046: Actualizacin Lync
En uno de los Servidores Front-End del Pool, en una ventana del Lync Server 2013 Management
Shell, ejecute el siguiente comando:
Get-CsPoolUpgradeReadinessState
Si el valor de PoolUpgradeState es Busy, espere 10 minutos y, a continuacin, intente Get-
CsPoolUpgradeReadinessState nuevamente.
Si ve ocupado por lo menos durante tres veces consecutivas, despus de esperar 10 minutos
entre cada intento, o si usted ve cualquier resultado de InsufficientActiveFrontEnds en el
PoolUpgradeState, entonces hay un problema con el Lync Pool. Si este fuera el caso, debe
proceder a revisar y restituir el estatus Activo y Estable del Pool.
Si el valor de PoolUpgradeState es Ready, vaya al siguiente paso.
A continuacin un ejemplo de la salida apropiada del comando indicado:
PS C:\Users\ms15071> Get-CsPoolUpgradeReadinessState
PoolName : lyncpool.caf.com
State : Ready
TotalFrontends :3
TotalActiveFrontends : 3
UpgradeDomains :{
UpgradeDomainName: UpgradeDomain1
IsReadyForUpgrade: True
Total FrontEnds: 1
Total Active FrontEnds: 1
Frontends: naphhpr8.caf.com
,
UpgradeDomainName: UpgradeDomain2
IsReadyForUpgrade: True
Total FrontEnds: 1
Total Active FrontEnds: 1
Frontends: naphhpr10.caf.com
,
UpgradeDomainName: UpgradeDomain3
IsReadyForUpgrade: True
Total FrontEnds: 1
Total Active FrontEnds: 1
Frontends: naphhpr11.caf.com
}
El comando Get-CsPoolUpgradeReadinessState tambin devuelve informacin sobre cada
upgrade domain en el Pool, y sobre cules servidores front-end hay en cada dominio de
actualizacin. Si el valor es True para el parmetro IsReadyforUpgrade para el dominio de
actualizacin que contiene el servidor o los servidores que se desean actualizar, se puede
actualizar de forma segura a los servidores. Para ello, se realiza lo siguiente:
Seguir el orden de actualizacin especificado como la salida del comando anterior.
UpgradeDomain1, UpgradeDomain2 y UpgradeDomain3
Detener nuevas conexiones al Servidor Front-End que se requiere actualizar, utilizando el
siguiente comando:
Pag 56
Proyecto 1046: Actualizacin Lync
Stop-CsWindowsService Graceful Verbose
Actualizar el servidor.
Reiniciar el servidor, y luego asegurarse que todos los servicios en este servidor Lync estn
operativos y el mismo est aceptando nuevas conexiones.
Repetir todos los pasos anteriores, para el resto de los servidores Front-End en el Pool; hasta
que todos se encuentren actualizados.
Pag 57
Proyecto 1046: Actualizacin Lync
Pag 58