Translate

vendredi 30 janvier 2009

OCS R2, Exchange UM et la securité

Au travers des mes différents tests dans mon lab, j'ai pu éprouver certaines différences d'OCS R2 avec OCS 2007.

Au début, j'ai simplement pensé avoir oublié quelque chose, ou m'être trompé quelque part. Et bien non, il est important de savoir qu'OCS R2 et MOC R2 restreignent un peu plus la securité sur le trafic crypté des protocoles de voix sur IP.

Je m'explique:
  1. L'intégration d'OCS 2007 et d'Exchange UM se faisait traditionnellement en "SIP Secured", à savoir utiliser le MTLS pour le protocole SIP entre OCS et Exchange, mais utilisant le RTP/RTCP non chiffré pour la voix (dans ce cas, en RTAudio)

  2. MOC 2007 autorise par défaut les communications RTP/RTCP non chiffrées, ce qui ne posait aucun souci. MOC 2007 R2 quant à lui, force par défaut l'utilisation du trafic en SRTP, ce qui cause une erreur de type "Incompatible security settings" lors d'un appel aux contacts Exchange UM (Voicemail ou AutoAttendant).

  3. Il existe deux solutions, elles doivent être étudiées en fonction de ce qui vous semble le plus approprié pour votre environnement:

  4. Solution 1: passer le Dial Plan OCS R2 en "Secured", ce qui aura pour effet d'activer le SRTP entre Exchange UM et le client. Ce precepte est d'autant plus important si vous planifiez d'utiliser des téléphones Tanjay. C'est la solution recommandée.

  5. Solution 2: laisser les communications en SIP Secured et RTP et utiliser MOC 2007 ou configurer MOC 2007 R2 afin de ne pas forcer le SRTP. Cela peut s'effectuer par le biais d'une Stratégie de Groupe (locale ou depuis AD) au niveau de la partie machine (HKLM) ou utilisateur (HKCU) dans \Software\Policies\Microsoft\Communicator - Il suffit de créer une valeur de type REG_DWORD nommée "PC2PCAVEncryption" et de la positionner à 0 (zéro). Les valeurs possibles étant 0 (accepte l'encryption mais ne la force pas), 1 (force l'encryption) ou 2 (force la non encryption, une communication cryptée échouera).

Ayant refait mon lab, je me suis retrouvé bêtement béa devant un détail que j'avais oublié vis à vis des SRV:

Toujours selon la tradition des déploiements OCS 2007, on voit souvent les implémentations basées sur un ou plusieurs nom de pool (ou de pool de Directors) ayant comme nom complet qualifié (FQDN) quelque chose du style nomdupool.domaine.local. Or, le nom du domaine SIP est typiquement domaine.com. En quoi est-ce un problème ?

Si le domaine SIP est domaine.com, alors les enregistrements SRV _sip._tls.domaine.com et _sipinternaltls._tcp.domaine.com doivent pointer vers un nom de Pool nomdupool.domaine.com et plus précisément (idéalement) sip.domaine.com. Les certificats mis en oeuvre sur les frontaux et/ou Directors doivent donc avoir en SAN les noms nécessaires à la bonne vérification du nom DNS VS nom du Pool.

Si tel n'est pas le cas, MOC ignorera ces SRV et tentera en dernier recours (ou s'il ne peut résoudre les SRV pour une raison X ou Y) d'utiliser sip.domaine.com pour se connecter. Il est donc d'autant plus important de ne pas oublier ce nom lors de la création du certificat !

En l'occurence, si vous avez défini les SRV, que vous pouvez les résoudre à coup de nslookup, et que vous voyez ceci dans le journal d'évènement "Applications" (n'oubliez pas d'activer le logging dans MOC):

Communicator was unable to locate the login server. The DNS SRV record that exist for domain domain.com point to an invalid server nomdupool.domaine.local which is not trusted to provide support for the domain because the server's domain is not an exact match.
Resolution:
The network administrator will need to double-check the DNS SRV record configuration to make sure that the SRV record for the domain points to a server name that conforms to the DNS naming convention in the server deployment guide.

En fait, la vérification du nom de domaine VS le nom du pool constitue une barrière de protection primaire contre les attaques du type "man in the middle" et s'assurer que le nom du pool est en fait dans la même zone DNS que les enregistrements utilisés pour la découverte.

Voilà, c'est tout pour aujourd'hui, amusez-vous bien !

Mise à jour: un lab complet UC (ou presque)...


Votre serviteur a reconstruit un environnement de test depuis zéro afin de mettre en oeuvre les dernières technologies disponibles (hors beta :)) pour les infrastructures collaboratives Microsoft.

Dans mon lab, j'ai donc intégré les produits suivants:
  • Windows Server 2008 x64 pour Active Directory et une autorité de certification privée
  • Windows Server 2008 x64 pour un serveur Exchange 2007 SP1 HR5 ayant tous les rôles
  • Windows Server 2008 x64 pour un serveur SQL 2008 desservant les instances suivantes: OCS, SharePoint et SharePoint Search (à défaut de MOSS, il s'agit d'un SharePoint à base de Search Server 2008 (intégrant WSS 3.0 SP1))
  • Windows Server 2008 x64 pour un pool OCS R2 Enterprise consolidé (sur un serveur, c'est simplement pour le sport ;)) et consolidant en plus Communicator Web Access R2
  • Windows Server 2008 x64 pour un Mediation Server OCS R2
  • Windows Server 2008 x64 pour une ferme Search Server 2008/WSS
  • Windows Server 2003 x86 pour ISA 2006 SP1 publiant tous les services
  • Windows XP SP3 et Office 2007 SP1 + Communicator R2 afin de simuler un client typique d'Enterprise... Vista à venir mais non urgent
  • L'appliance SipX sur CentOS afin d'intégrer OCS R2, Exchange UM et une téléphonie sur IP simpliste

Voilà, nul besoin de dire qu'il faut beaucoup d'espace disque et des disques rapide, de mémoire et un bon processeur (cependant, loin d'être le plus critique).

L'environnement de virtualisation utilisé est une machine toute récente (merci Avanade) à base de Core i7 920, 12Go de RAM en PC12800 et des disques SATA-2 Velociraptor 10K RPM + Caviar à 7.2K RPM, tous en RAID. Les machines requérrant de la puissance disque (typiquement Exchange et SQL) sont mise en oeuvre sur les 10K et les autres, plus "frontales" sont mises en oeuvre sur les disques 7.2K (tout de même très confortables !).

Histoire de me faire mousser, voici une capture de l'environnement (presque) complet vu par le client:

  • Outlook 2007 connecté à Exchange
  • Utilisateur activé UM
  • Connecté via MOC R2 et une conversation avec un contact connecté via CWA R2


Bons tests à tous !!! ;)

jeudi 15 janvier 2009

Avanade au TechDays 2009

Avanade, en qualité de partenaire "Platinum", sera présent sur le stand CUC 6 pour rencontrer ses clients, ses partenaires, et des étudiants passionnés par les technologies Microsoft. Nous participerons à plusieurs sessions durant ces 3 jours , 2 sessions orchestrées par Avanade et 2 sessions en tant qu’expert au côté de Microsoft :

  • Philippe Pushman - Session Microsoft - Le Mardi 10 de 13h à 14h - Session "Les bénéfices de la mise en oeuvre d'une usine logicielle"
  • Olivier Lepeltier - Session Microsoft - Le Mercredi 11 de 11h à 12h - Session "Sharepoint et les réseaux sociaux"
  • Ronald Bainey & Pierre-Antoine Falaux Bachelot - Session Avanade - Le Mercredi 11 de 17h30 à 18h30 - Session "Next Generation Identity Management"
  • Régis Ravant & Damien Nanquette - Session Avanade - Le Jeudi 12 de 11h à 12h - Session "Next generation E-Commerce"

Site des TechDays Microsoft 2009: https://www.microsoft.com/france/mstechdays/default.aspx (l'inscription est rapide et gratuite)

Venez nombreux les 10, 11 et 12 Février prochains ! ;)

mercredi 14 janvier 2009

Liste des mises à jour pour OCS 2007 (serveurs, clients et outils) chez Damien Caro

Damien Caro (Microsoft France) a publié dans son blog la liste complète à jour des versions et mises à jour en cours sur la plate-forme OCS 2007 et ses clients natifs.

Certes, nous sommes aoujourd'hui dans l'ère naissante OCS 2007 R2, mais il est important de maintenir une plate-forme OCS 2007 existante à jour, ne serait-ce que pour se donner les moyens de migrer dès que possible vers une nouvelle infrastructure OCS 2007 R2 :).

Liste des mises à jour pour OCS 2007 (serveurs, clients et outils) chez Damien:
http://blogs.technet.com/dcaro/archive/2008/11/26/liste-des-mises-jour-pour-ocs-2007-serveurs-clients-et-outils.aspx

vendredi 9 janvier 2009

Mises à jour de la console et de l'Add-in Outlook pour Live Meeting 2007

En plus des mises à jour Communicator que je mentionnais précédemment, Microsoft a publié il y a deux semaines une mise à jour du client LiveMeeting. Au programme, quelques de nouveautés...
  1. Amélioration de la connection à une infrastructure OCS 2007 R2. Même motif que MOC, même punition ;) à savoir que Microsoft annonce ces mises à jour comme un pré-requis pour utiliser les fonctionnalités de conférences sur OCS 2007 R2.
  2. De nouvelles possibilités pour les administrateurs autorisant la pré-configuration de la console Live Meeting (inclue depuis la mise à jour de Juin 2008) et sur le verrouillage de qui peut, ou pas, autoriser le contrôle d'une session Live Meeting ou de partage du bureau via Live Meeting.
  3. Amélioration de la connectivité externe, qu'il s'agisse de participants fédérés ou de participants passant au travers un proxy HTTP requérant un authentification.
  4. Amélioration de la gestion vidéo, en particulier concernant la RoundTable.

Bonnes mises à jour :)