PI Services

Contexte

Dans cet article la mise en place du mode hybride entre Skype for Business (SfB) OnPremise et Skype Online sera expliquée. La partie hybride Cloud PBX ne sera pas évoquée.

La mise en place du mode hybride étant légèrement différente entre Skype for Business et Lync Server, cet article sera découpé en deux parties. La première partie sur portera sur Skype for Business 2015 / Skype Online. La seconde partie portera sur Lync Server 2010-2013 / Skype Online.

Mode hybride Skype for Business / Skype Online

Prérequis

Pour pouvoir mettre en place le mode hybride entre SfB OnPremise et Skype Online, certains prérequis doivent être respectés :

• Une architecture Skype for Business 2015 (avec les dernières mises à jour) contenant au minimum un serveur Edge
• Un tenant Office 365
• La synchronisation des comptes utilisateurs entre l’Active Directory et Office 365 (DirSync, Azure AD Connect,...)
• L’ADFS doit être configurée
• Des licences utilisateurs Office 365
• Un compte utilisateur ayant les droits CSAdministrator
• Un compte utilisateur ayant les droits d’administration Skype Entreprise dans Office 365
• La liste des domaines fédérées dans Skype Online doit être identique à celle de Skype for Business OnPremise

Note : L’ensemble des entrées DNS doivent pointer sur les serveurs Skype for Business OnPremise. Aucun changement n’est à prévoir.

Mise en place

Depuis un serveur Front-End, lancez la commande suivante depuis le Management Shell (en tant qu'administrateur) pour vérifier que les paramètres AllowFederatedUsers et AllowOutsideUsers sont à True et que le paramètre RoutingMethod corresponde à UseDnsSrvRouting :

Get-CsAccessEdgeConfiguration

Si ce n’est pas le cas, exécutez la commande suivante :

Set-CSAccessEdgeConfiguration -AllowOutsideUsers $True -AllowFederatedUsers $True -UseDnsSrvRouting

Exécutez la commande Get-CsHostingProvider pour identifier le provider Skype for Business (ou Lync Online).

Supprimez le provider Skype for Business existant via la commande Remove-CsHostingProvider.

Exécutez la commande suivante pour recréer le provider avec les bons paramètres :

New-CSHostingProvider -Identity SkypeforBusinessOnline -ProxyFqdn "sipfed.online.lync.com" -Enabled $true -EnabledSharedAddressSpace $true -HostsOCSUsers $true -VerificationLevel UseSourceVerification -IsLocal $false -AutodiscoverUrl https://webdir.online.lync.com/Autodiscover/AutodiscoverService.svc/root

Une fois la partie OnPremise configurée, il faut configurer la partie Online. Pour cela vous devez vous connecter à Skype Online en PowerShell (via le module Skype for Business Online https://www.microsoft.com/en-us/download/details.aspx?id=39366).

Exécutez les commandes suivantes :

Import-Module SkypeOnlineConnector

$cred = Get-Credential <Compte administrateur Skype Online>

$CSSession = New-CsOnlineSession –Credential $cred

Import-PSSession $CSSession –AllowClobber

Ensuite vérifiez dans la configuration du tenant si le paramètre SharedSipAddressSpace est à True.

Si ce n’est pas le cas, utilisez la commande suivante pour le passer à True :

Set-CsTenantFederationConfiguration –SharedSipAddressSpace $true

Allez sur le portail d'administration Skype Online, vérifiez que le paramètre External Access soit à On except for blocked domains ou à On only for allowed domains.

Maintenant que ces commandes sont passées, connectez-vous sur la console d’administration de SfB OnPremise, cliquez sur Sign in to Office 365 et indiquez le compte administrateur de Skype Online.

Des que vous êtes connectés, cliquez sur Set up hybrid with Skype for Business Online.

Cliquez sur Next.

Si au moment de la validation du mode hybride les erreurs suivantes apparaissent, patientez quelques instants que la réplication des paramètres modifiés précédemment soient prise en compte sur l’ensemble des serveurs.

Une fois tous les paramètres synchronisés, la fenêtre suivante s’affiche et le mode hybride est actif.

Bascule d’utilisateurs

Une fois que le mode hybride est actif, il est possible de migrer un utilisateur de SfB OnPremise vers Skype Online (et inversement).

Attention : La migration d'un utilisateur peut lui faire perdre l'ensemble de ses contacts Skype.

Pour migrer un utilisateur, vérifiez qu'il possède une licence comprenant la fonctionnalité Skype Online.

Depuis la console d’administration SfB OnPremise, recherchez l’utilisateur, sélectionnez-le, cliquez sur Action et enfin sur Move selected users to Skype for Business Online…

Validez les différentes étapes en cliquant sur Next.

L’utilisateur est alors dans Skype for Business Online.

La migration d’un utilisateur Online vers OnPremise se fait par le même procédé en sélectionnant Move selected users from Skype for Business Online…

Contexte

Ce billet est la seconde partie de l’article sur la mise en place du mode hybride avec Skype Online. Dans cet article la mise en place de l’hybridation entre Lync Server 2010 (ou 2013) sera traitée.

La grande différence entre l’hybridation SfB / Skype Online et Lync 2010-2013 / Skype Online est la gestion des comptes utilisateurs. En effet dans le cas du mode hybride avec Lync Server 2010/2013 toutes les migrations d’utilisateurs (OnPremise <-> Online) se fait uniquement par PowerShell.

Mode Hybride Lync Server 2010-2013 / Skype Online

Prérequis

Pour pouvoir mettre en place le mode hybride entre Lync Server 2010-2013 et Skype Online, certains prérequis doivent être respectés :

• Une architecture Lync Server 2010 ou 2013 (avec les dernières mises à jour) contenant au minimum un serveur Edge
• Pour une architecture Lync Server 2010, un serveur supplémentaire avec les outils d’administration Lync Server 2013 est obligatoire
• Un tenant Office 365
• La synchronisation des comptes utilisateurs entre l’Active Directory et Office 365 (DirSync, Azure AD Connect,...)
• L’ADFS doit être configurée
• Des licences utilisateurs Office 365
• Un compte utilisateur ayant les droits CSAdministrator
• Un compte utilisateur ayant les droits d’administration Skype Entreprise dans Office 365
• La liste des domaines fédérées dans Skype Online doit être identique à celle de Lync Server

Note : L’ensemble des entrées DNS doivent pointer sur les serveurs Skype for Business OnPremise. Aucun changement n’est à prévoir.

Mise en place

Comme décrit précédemment, les outils d’administration Lync Server 2013 sont obligatoires, donc si vous avez une architecture Lync Server 2010, installez-les sur un serveur d'administration depuis l’iso de Lync Server 2013.

Remarque : Les outils d'administration Lync Server 2013 ne peuvent pas être installés sur un serveur ayant des services Lync Server 2010.

Depuis un serveur Front-End (ou le serveur d’administration), lancez la commande suivante depuis le Management Shell (en tant qu'administrateur) pour vérifier que les paramètres AllowFederatedUsers et AllowOutsideUsers sont à True et que le paramètre RoutingMethod est à UseDnsSrvRouting :

Get-CsAccessEdgeConfiguration

Si ce n’est pas le cas, exécutez la commande suivante :

Set-CSAccessEdgeConfiguration -AllowOutsideUsers $True -AllowFederatedUsers $True -UseDnsSrvRouting

Exécutez la commande Get-CsHostingProvider pour identifier le provider Skype for Business (ou Lync Online). 

Supprimez le provider existant via la commande Remove-CsHostingProvider.

Exécutez la commande suivante pour recréer le provider avec les bons paramètres :

New-CSHostingProvider -Identity SkypeforBusinessOnline -ProxyFqdn "sipfed.online.lync.com" -Enabled $true -EnabledSharedAddressSpace $true -HostsOCSUsers $true -VerificationLevel UseSourceVerification -IsLocal $false -AutodiscoverUrl https://webdir.online.lync.com/Autodiscover/AutodiscoverService.svc/root

Une fois la partie OnPremise configurée, il faut configurer la partie Online. Pour cela vous devez vous connecter à Skype Online en PowerShell (via le module Skype for Business Online https://www.microsoft.com/en-us/download/details.aspx?id=39366).

Exécutez les commandes suivantes :

Import-Module SkypeOnlineConnector

$cred = Get-Credential <Compte administrateur Skype Online>

$CSSession = New-CsOnlineSession –Credential $cred

Import-PSSession $CSSession –AllowClobber

Ensuite vérifiez dans la configuration du tenant si le paramètre SharedSipAddressSpace est à True.

Si ce n’est pas le cas, utilisez la commande suivante pour le passer à True :

Set-CsTenantFederationConfiguration –SharedSipAddressSpace $true

Allez sur le portail d'administration Skype Online, vérifiez que le paramètre External Access soit à On except for blocked domains ou à On only for allowed domains.

Le mode hyrbide est désormais en place.

Bascule d’utilisateurs

Attention : La migration d'un utilisateur peut lui faire perdre l'ensemble de ses contacts Lync.

Dans un premier temps, connectez-vous au portail d’administration de Skype Online et récupérez le début de l’URL, dans le cas ci-dessous https://admin1e.online.lync.com/

Pour migrer des utilisateurs vous devrez utiliser le début de l’URL complétée par HostedMigration/hostedmigrationservice.svc.

Ici, l’URL finale sera https://admin1e.online.lync.com/HostedMigration/hostedmigrationservice.svc

Maintenant pour migrer un utilisateur OnPremise vers Online, exécutez la commande depuis le Management Shell Lync Server 2013 (depuis le serveur d’administration si vous avez une architecture Lync 2010).

$cred = Get-Credentials <Compte administrateur Skype Online>

Move-CsUser –Identity <UPN> -Target sipfed.online.lync.com -Credential $cred –HostedMigrationOverrideUrl <URL>

Pour migrer un utilisateur Online vers OnPremise, exécutez la commande depuis le Management Shell Lync Server 2013 (depuis le serveur d’administration si vous avez une architecture Lync 2010).

$cred = Get-Credentials <Compte administrateur Skype Online>

Move-CsUser –Identity <UPN> –Target <FQDN Front-End>-Credential $cred –HostedMigrationOverrideUrl <URL>

Nouvelle interface

Dès aujourd’hui (mardi 14 avril 2015) Lync client devient Skype Entreprise (Skype for Business en anglais).
Cette modification apporte une refonte complète de l'interface Lync cliente. Les fonctionnalités de cette nouvelle version restent pour le moment inchangées (par rapport à Lync client 2013).

Activer ou désactiver Skype Entreprise

Il est pour le moment possible de désactiver l'interface Skype Entreprise pour les utilisateurs Lync Online.
Pour se faire il faut se connecter en PowerShell à Lync Online.
Téléchargement du module PowerShell pour Lync Online : http://www.microsoft.com/en-us/download/details.aspx?id=39366
Utilisez ensuite les commandes suivantes :
   Import-Module LyncOnlineConnector
   $session = New-CsOnlineSession –Credential username@domaine.com
   Import-PSSession $session
Remarque : Si le domaine du compte administrateur n'est pas @tenant.onmicrosoft.com, il faut ajouter le paramètre –OverrideAdminDomain "tenant.onmicrosoft.com" à la commande PS.
Lancez la commande Get-CsClientPolicy | ft Identity,EnableSkypeUI. Deux politiques existent déjà, une pour activer l'interface Skype et l'autre pour la désactiver.

Pour ajouter une politique à un utilisateur il faut lancer la commande suivante :
Get-CsOnlineUser Utilisateur@domaine.com | Grant-CsClientPolicy –PolicyName Police

Contexte

Lync Server 2013 propose différents statuts par défaut pour son client (disponible, occupé(e), de retour dans quelques minutes…). Afin d’améliorer l’expérience utilisateur, il est possible d’ajouter des statuts personnalisés.

Ces statuts se basent sur un fichier XML. Il est possible d’ajouter au maximum quatre statuts personnalisés, d’une longueur maximale de 64 caractères.

Création et syntaxe du fichier XML

Le fichier XML doit se trouver à l’emplacement : https://nomdupool.domaine.fr/ClientConfigFolder/CustomPresence.xml

Ce chemin correspond à deux dossiers (site interne et externe) qui sont par défaut :

C:\Program Files\Microsoft Lync Server 2013\Web Components\Internal Website\ClientConfigFolder

C:\Program Files\Microsoft Lync Server 2013\Web Components\External Website\ClientConfigFolder

Le fichier se présente ainsi :

   1: <?xml version="1.0"?>

   2: <customStates xmlns="http://schemas.microsoft.com/09/2009/communicator/customStates">

   3: <customState ID="1" availability="online">

   4: <activity LCID="1036">En client&#232;le</activity>

   5: </customState>

   6: <customState ID="2" availability="busy">

   7: <activity LCID="1036">En conversation t&#233;l&#233;phonique</activity>

   8: </customState>

   9: <customState ID="3" availability="do-not-disturb">

  10: <activity LCID="1036">En r&#233;union</activity>

  11: </customState>

  12: </customStates>

Les trois indicateurs de présence possible sont online (Disponible), busy (Occupé(e)) et do-not-disturb (Ne pas déranger).

Le code LCID correspond à la localisation du pays et donc à sa langue. Le code 1336 correspond à la France. Tous les codes sont disponibles sur le site de Microsoft http://msdn.microsoft.com/fr-fr/goglobal/bb964664.aspx.

Les caractères spéciaux doivent être spécifiés selon la norme ISO-8859-1.La liste des différents caractères est disponible via le lien http://www.w3schools.com/tags/ref_entities.asp.

Ajout des statuts à une règle utilisateur

Pour que le client Lync prenne en compte les statuts personnalisés, il faut ajouter le paramètre CustomStateURL à une règle utilisateur. Pour cela utiliser la commande suivante :

Set-CsClientPolicy –Identity <Nom de la règle> –CustomStateURL https://nomdupool.domaine.fr/ClientConfigFolder/CustomPresence.xml

Remarque : Il est possible de faire deux fichiers XML afin d’avoir des statuts personnalisés différents en fonction de la connexion (réseau interne ou réseau externe).

Problématique

Dans Lync Server 2013 lorsque le rôle Persistent Chat est activé, il est possible que les utilisateurs rencontrent l’erreur « User is not sip-enabled » lorsqu’ils tentent de se connecter à l’interface d’administration (Ajout / Modification des salles de chat).

Cause

L’erreur se produit généralement avec les navigateurs tiers, en raison d’une mauvaise configuration de l’authentification NTLM.

Résolution

Il est recommandé d’utiliser Internet Explorer pour se connecter à l’interface d’administration. Vérifier que la version d’Internet Explorer est bien à jour.

Pour les aficionados de Firefox, il est possible de modifier sa configuration. Pour cela, dans la barre d’URL taper about:config et cliquer sur Je ferai attention, promis !

Rechercher le terme NTLM, puis modifier l’option network.automatic-ntlm-auth.trusted-uris. Insérer l’URL du pool Lync Server https://nomdupool.domaine.fr, valider avec OK.

Redémarrer Firefox. L’accès à l’interface d’administration est alors disponible.

Lors de la création d’un meeting Lync (via Outlook), le contenu de la demande peut paraitre très simpliste. Surtout quand l’intégration à la téléphonie n’est pas réalisée:

Dans lync 2013, de nouvelles options sont disponibles pour rendre la demande de meeting plus personnalisé et adapté via des “meeting configuration” particulière. Voici les 4 nouveaux paramètres:

• Logo URL
• Help URL
• Legal Text URL
• Custom Footer Text

Pour configurer ses élément il suffit d’éditer la configuration des meeting par default ou encore de certaines politiques appliquer a un partie des utilisateurs:


Il est aussi possible d’utiliser le Lync Management Shell via la commande:

set-CsmeetingConfiguration avec les paramètres –LogoURL –Legalurl –helpURL –CustomFooterText.
Une fois la configuration réaliser, les champs sont appliquer et les demandes de meeting prennent en compte les paramètres fixés:
Vous pouvez stocker les images directement sur le server FrontEnd Lync Server.

Problématique

Lors du déploiement d’une nouvelle infrastructure Lync Server 2013 (sur un socle Windows Server 2012), le problème suivant peut apparaître sur les clients Lync :

Can’t sign in to Lync
We’re having trouble connecting to the server. If this continue, please contact your support team.

En lançant une analyse du composant SIPStack sur les serveurs front-End Lync via les outils Lync Server Diagnostic Tool et Snooper pendant la connexion d’un client, on observe l’erreur suivante :

0x80090331 SEC_E_ALGORITHM_MISMATCH

Remarque : Dans Lync Server 2013, l’outil de logging n’est plus intégré au déploiement. Pour l’installer, il faut déployer le pack d’outil Lync Server 2013 Debugging Tools disponible à l’adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=35453

Explication

L’erreur SEC_E_ALGORITHM_MISMATCH se produit durant la phase de négociation du protocole TLS (le flux client –> serveur étant sécurisé en SIP over TLS).

Il semble que le service Lync Server Front-End ou bien le client Lync 2013 ne gère pas correctement les certificats signés numériquement en SHA512.

Résolution

Dans ce cas la résolution a consisté à déployer sur les serveurs Lync 2013 front-end un nouveau certificat signé avec les algorithmes SHA1/RSA en remplacement de l’ancien certificat signé en SHA512/RSA.

Ce comportement est assez étrange car le protocole SHA512 est intégré au système depuis Windows Vista pour les postes de travail et Windows Server 2008 pour les serveurs.