Translate

mardi 28 octobre 2008

Construire son lab Unified Communications - 2nde partie - Installation des serveurs OCS

Suite à notre première partie, nous avons un lab initialisé, avec un environnement Active Directory, une "mini PKI" dans le but de générer des certificats, un DNS... bref tout va bien.

Dans cette seconde partie, nous allons donc installer une partie des composants du lab, à savoir:

  • Un pool OCS Standard
  • Un serveur OCS Mediation Server

Préparation de l'Autorité de Certification

N'effectuer cette étape que si vous avez installé l'autorité de certification sur un serveur Windows 2003. Dans le lab, celle-ci est normalement installée sur le contrôleur de domaine, à savoir SV-DC.

  • Se connecter sur SV-DC avec le compte administrateur du domaine, ouvrir une fenêtre de commandes (cmd)
  • Dans celle-ci, passez la commande certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
  • Puis redémarrez le service "Certification Authority" ou simplement passez successivement les commandes net stop certsvc et net start certsvc

Je vous dois une excplication, elle est simple: cette légère modification permet de générer des certificats avec l'attribut Subject Alternate Name, ce qui permet d'utiliser un certificat unique pour de multiples identités. C'est un pré-requis pour OCS, même si dans la version standard il serait thoériquement possible de s'en passer.

Installation du pool OCS Standard

  • Installation des pré-requis sur le serveur SV-OCS: installer IIS (Application Server --> Web Server) puis le Framework .NET 2.0 SP1 (aussi disponible via Windows update) -- n'oubliez pas d'effectuer une petite mise à jour via Windows Update après tout ça !
  • Après un petit reboot, connectez vous avec le compte administreur de la forêt (et donc du domaine). Nous avons besoin de ce compte afin de préparer Active Directory, à savoir: faire les modifications du schéma, créer les objets de configuration, créer les groupes universels de securité, préparer le(s) domaine(s). A l'avenir, dans un souci de simplification, nous utiliserons toujours ce compte =°)
  • Mettez les binaires d'installation à disposition de votre VM. J'utilise une version MSDN dans mon lab, je peux donc monter l'image ISO sur mon lecteur CDROM virtuel. Si vous disposez des binaires sous une forme différente, assurez vous que vous avec décompressé l'archive et les avez copiés sur un répertoire de votre disque virtuel (par exemple, C:\Install\OCS_Eval)
  • Depuis le répertoire \setup\i386, lancez le programme nommé setupse.exe ("se" pour Standard Edition). Il s'agit de l'assistant de déploiement d'OCS. La première fois, l'outil installera automatiquement les bibliothèques Visual C++ 2005 SP1.
  • Une fois l'assistant initialisé, il faut maintenant préparer Active Directory.
  • Première phase: préparez le schéma, cela se fait automatiquement - ici, nul besoin de vérifier la réplication puisque nous n'avons qu'un seul contrôleur de domaine, nous pouvons donc passer à la suite.
  • Seconde phase: préparez la forêt. Nous avons ici à effectuer des choix, qui sont déterminant dans un environnement complexe, mais n'auront que peu d'impact sur un petit lab. L'emplacement de la configuration d'OCS se désigne soit au niveau du domaine racine, soit au niveau de la partition Configuration d'Active Directory. Ce choix n'existera plus dans OCS R2, imposant la seconde option, qui était à mon sens la meilleure ;). Ensuite vient l'emplacement des groupes universels de securité, ici nous ne disposons que d'un seul domaine, le choix est donc vite fait mais dans un environnement de production multi-domaine, il convient de choisir le bon. Enfin, vient le choix du domaine SIP par défaut, il est requis afin de permettre à l'assistant de créer la configuration d'OCS dans Active Directory. Afin de coller un peu à la réalité, nous allons donc choisir un domaine SIP qui ne correspond pas au nom de domaine Active Directory. Ici, nous choisirons donc uc-lab.com. Une fois l'assistant terminé, les objets sont crées, et nous allons enfin pouvoir installer OCS !
  • De retour dans l'assistant de déploiement, revenez sur la page principale (nous n'utiliserons pas ici les possibilité de délégation d'installation). Foncez sur "Deploy Standard Edition" =°)
  • Ici commencent "les choses sérieuses", l'assistant d'installation étant bien fait, la procédure est triviale. C'est moins vrai dans la version Enterprise qui requiert plus d'étapes de plus de pratique =P !
  • Commencez par créer les comptes de service utilisés par OCS: RTCService (utilisé par les services Windows d'OCS, et l'accès à la base SQL) et RTCComponentService (utilisé en tant qu'identité pour l'application ASP.NET d'OCS).
  • Sélectionnez ensuite les noms internes et externe du pool. En édition standard, le nom du pool est nécessairement le nom complet qualifié du serveur OCS (aka le FQDN), ici sv-ocs.corp.uc-lab.net. Nous n'utiliserons pas de nom externe, celui-ci étant requis lorsque l'on souhaite connecter OCS au monde extérieur (rôles "Edge") et pouvant de toute façon être défini ultérieurement.
  • Après cette étape, l'assistant installera automatiquement SQL Server 2005 Express Edition (spécifiez les répertoires à votre convenance) puis installera les binaires d'OCS et les bibliothèques Visual J#.
  • De retour dans l'assistant de déploiement, il va maintenant falloir configurer d'éventuels autres domaines SIP, le support pour la connexion automatique (et les domaines configurés pour...) et enfin un accès externe éventuel. Dans notre contexte, inutile d'ajouter de domaines SIP, et "pour le fun" (mais aussi parce que cela constitue un des atouts d'OCS), activez la configuration automatique pour tous les domaines. En revanche, inutile de configurer l'accès externe à ce point.
  • Vient enfin la dernière partie: la génération du certificat et son installation ! La bonne nouvelle est que grâce à notre Autorité de Certification intégrée à Active Directory, cela va être facile =°)
  • Depuis l'assistant de déploiement, lancez l'assistant de génération de certificat, en spécifiant "créer un nouveau certificat" et "envoyer la requête à une autorité de certification en ligne". Le reste est plus ou moins à votre convenance:
  • Nom du certificat: Il s'agit d'un champ "libre" décrivant le certificat. Ici, j'utilise "OCS Standard Pool".
  • Laissez les autres valeurs par défaut. La possibilité d'exporter le certificat permet d'en faire une sauvegarde, dans un environnement utilisant l'édition Enterprise, à installer le certificat sur d'autres serveurs. Une taille de clef de 1024 bits sera largement suffisante.
  • Renseignez ensuite le Sujet et les Noms Secondaires, il n'agit du FQDN du serveurs OCS, à savoir sv-ocs.corp.uc-lab.net. Les noms secondaires correspondent aux Subject Alternate Names mentionnés au début de cet article. Ici nous utiliserons "sip.uc-lab.com,cwa.uc-lab.com,im.uc-lab.com" - Les deux derniers noms sont de ma pure fantaisie et me permettront de personnaliser un peu plus mon lab sans générer d'autres certificats. Utilisez ce que vous voulez, mais "sip.uc-lab.com" est un minima car utilisé en dernier recours lors de la configuration automatique par les clients.
  • Spécifiez ensuite le Pays, Région/Departement et Localité, puis envoyez la requête immédiatement à l'autorité de certification.
  • Une fois le certificat généré et importé sur le serveur, assignez le directement puis revenez dans l'assistant de déploiement du rôle. Tout en laissant celui-ci ouvert, allez dans les outils d'administration et installez le certificat sur le Site Web par Défaut (onglet securité), utilisez le port 443 comme port SSL.
  • Revenez dans l'assistant, et démarrez les services OCS. Voilà, c'est presque fini !
  • Quittez l'assistant, et effectuez l'utime opération, plus important qu'il n'y paraît: une mise à jour Windows Update, qui installera les dernières mises à jour publiques qui corrigeront un certain nombre de bugs.
  • Une fois terminé, redémarrez le serveur, examinez les journaux d'évènement et assurez vous que tout va bien.

Installation du Mediation Server

Après cet échauffement, nous allons nous attaquer au rôle Mediation Server. Pour rappel, ce rôle est optionnel dans un déploiement "de base" d'OCS. Il nous permettra de nous interconnecter à notre IP-PBX virtuel (ou a une passerelle supportant le SIP/TCP et OCS) afin d'activer la téléphonie.

La bonne nouvelle est que ce rôle est moins long à installer, ne serait-ce que parce qu'il ne requiert par l'installation d'IIS ni de SQL Server (déjà installé pour le pool). Il faudra néanmoins installer le Framework 2.0 SP1 et effectuer un petit Windows Update, je zappe les explications, vous êtes bien rodés maintenant... ;)

  • Lancez l'assistant de déploiement, et séléctionnez "Déployer d'autres rôles". Selectionnez le rôle "Mediation Server".
  • Utilisez le bouton "Installer", c'est automatique ! Une fois l'installation terminée, utilisez le bouton "Activer" et spécifiez le compte RTCComponentService crée lors de l'installation du pool. Et oui, c'était rapide !
  • Une fois ces opérations simplissimes terminées, ouvrez la console d'administration d'OCS (dans "Outils d'aministration"), ouvrez le conteneur "Serveurs de médiation", vous y trouverez sv-ocsms.corp.uc-lab.net. Avec une petit "clic droit", séléctionnez "Propriétés". Il va maintenant falloir configurer toutes les valeurs dans les onglets "Général" et "Connexion suivante".
  • Dans l'onglet Général, spécifiez les adresses IP utilisées par le serveur de médiation. L'adresse d'écoute OCS est celle correspondant au nom du serveur, donc dans ma configuration: 10.0.2.102. L'adresse d'écoute de la passerelle peut être la même, ce sera d'ailleurs le cas dans notre lab. Dans un environnement "réel" il s'agira d'une adresse IP liée à une autre carte réseau, beaucoup de sociétés utilisant un réseau séparé pour les communications VoIP/ToIP et évite surtout, dans le cas d'un vrai serveur de médiation, de faire passer les flux audio sur une seule et même interface.
  • En ce qui concerne le serveur de périphérie A/V et la localisation, laissez les valeurs par défaut, à savoir "aucun". Nous configurerons la localisation ultérieurement car sans elle, nous ne seront pas à même de passer des appels.
  • Dans l'onglet "Connexion suivante", spécifiez le pool interne OCS, utilisez le port part défaut, à savoir 5061. Puis, spécifiez l'adresse IP de l'IP-PBX ou de la passerelle ToIP, dans notre lab il s'agira de 10.0.2.110 et utilisant le port SIP standard, 5060.
  • Une fois terminé, revenez dans l'assistant de déploiement et configurez le certificat. La procédure est similaire à la génération du certificat pour le pool OCS, mais plus simple car il ne sera pas utile de spécifier de noms alternatifs (Subject Alternate Names). Le sujet du certificat sera donc simplement le FQDN du serveur de médiation: sv-ocsms.corp.uc-lab.net, n'oubliez pas de l'assigner avant de démarrer les services !
  • Comme toujours, n'oubliez pas les mises à jour via Windows Update, les dernières mises à jour en date (après Août 2008) nous permettront quelques fantaisies au niveau du format des numéros de téléphone à destination de notre IP-PBX (format E.164) - nous verrons cela plus tard ;)

Voilà ! C'est terminé pour la partie "installation" pure et dure. Dans notre prochain épisode nous verrons comment configurer les zones DNS afon de supporter la connexion automatique des clients, de préparer aussi les enregistrements DNS pour SipX.

Enfin, nous verrons l'installation de SipX et la configuation de la partie voix dans OCS.

A bientôt ! ;)

1 commentaire: