Lors de l’installation de Lync Server 2010, plusieurs groupes de sécurité CS* sont créés dans Active Directory. Ils permettent par défaut de segmenter les rôles des administrateurs Lync. De plus, il est possible de créer des rôles personnalisés : cela permet de modifier le périmètre d’application du rôle mais ne permet pas d’ajouter, modifier ou supprimer des commandes PowerShell. Plus d’informations sur la personnalisation sont disponibles sur http://technet.microsoft.com/en-us/library/gg425917.aspx.

Lors de la validation du fonctionnement de RBAC, il se peut que le résultat ne soit pas celui attendu : autrement dit, l’utilisateur aura peut-être des erreurs de droits suite à l’exécution de certaines commandes. L’explication est la suivante : RBAC ne fonctionne que lorsqu’on réalise une session Remote PowerShell. RBAC est appliqué dans Lync Server Control Panel mais pas lorsqu’on exécute Lync Server Management Shell. Ce dernier exécute une session PowerShell classique.

Pour pouvoir réaliser des scripts et utiliser Remote PowerShell, il convient d’ouvrir une session en utilisant les commandes New-PSSession et Import-PSSession. Le site suivant propose un script permettant de faire la connexion simplement : http://blogs.technet.com/b/csps/archive/2010/08/03/scriptremotedesktopicon.aspx

Si pour certains tests audio/vidéo vous n’avez pas la possibilité de disposer des fonctions audio/vidéo, il est possible d’utiliser ces 2 outils gratuits:

• Audio : Virtual Audio Cable (http://software.muzychenko.net/eng/vac.htm). Prendre la version d’évaluation, qui n’est pas limitée dans le temps mais qui d’après les notes du site Web ajoute une voix indiquant que c’est une version d’évaluation périodiquement.
• Vidéo : Manycam (http://manycam.com). Cela permet de disposer d’un driver vidéo dans une machine, donc bien pratique pour simuler de la vidéo dans une machine virtuelle par exemple.

L’objectif avec ces outils n’est pas de tester tous les scénarios audio/vidéo, mais au minimum de pouvoir lancer un appel audio ou audio/vidéo depuis Lync, même si le son ne sera pas entendu.

RGS Agent Live est un outil du Resource Kit de Lync Server 2010. Il permet de lister les Response Groups et de voir le nombre d’appels dans la file d’attente.

Pour faire fonctionner cet outil, il faut respecter les conditions suivantes:

• Avoir Lync d’installé sur le poste de travail et avec sa session Lync d’ouverte
• Etre membre du ou des Response Groups à superviser
• Exécuter l’exécutable RgsAgentLive.exe depuis la machine locale, et non pas depuis un partage réseau

Dans la configuration de l’outil, il est demandé de renseigner l’adresse de l’hôte : il doit s’agir de l’URL Web Services pour le pool, à savoir :

• Dans le cas d’un pool Enterprise Edition, spécifier l’URL Web Services du pool, cela étant soit l’interne ou l’externe en fonction du lieu où se trouve le poste de travail
• Dans le cas d’un pool Standard Edition, spéficier l’URL Web Services du serveur, cela étant soit le FQDN du serveur Lync soit l’URL externe pour les Web Services associée à ce serveur

Si RGS Agent Live est exécuté depuis une machine 32-bit, on observe que l’application crashe au démarrage. L’explication est toute simple : la DLL CommunicatorAPI.dll a été compilée pour un environnement 64-bit, ce qui fait que lorsque RGSAgentLive.exe tente de la charger, ça ne fonctionne pas.

Il faut donc utiliser RGS Agent Live depuis une machine 64-bit.

Lync Server 2010 propose des commandes PowerShell pour créer les CSR pour les certificats. Cependant, ces commandes ne peuvent être utilisées que créer des CSR pour les serveurs ayant des rôles Lync.

Pour créer un CSR pour le reverse proxy, la méthode suivante peut être utilisée :

1. Renseigner les informations du certificat dans un fichier INF, y compris les entrées SAN
2. Utiliser CertReq pour créer le CSR
3. Utiliser CertReq pour importer le certificat émis

L’exemple ci-dessous donne le contenu du fichier Cert.inf :

[NewRequest]
Subject = "CN=join.contoso.com,OU=IT,O=Contoso,L=Paris,S=IDF,C=FR"
Exportable = TRUE
KeySpec = 1
MachineKeySet = True
KeyLength = 2048

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=join.contoso.com&"
_continue_ = "dns=dialin.contoso.com&"
_continue_ = "dns=meet.contoso.com&"
_continue_ = "dns=lyncpoolws.contoso.com&"

[RequestAttributes]
CertificateTemplate =WebServer

Les éléments à modifier sont :

Pour créer le CSR, il faut exécuter la commande suivante sur une machine Windows Server 2008, Windows Server 2008 R2, Windows Vista ou Windows 7 :

CertReq -New Cert.inf Cert.txt

Le fichier Cert.txt est le résultat de la commande, c’est-à-dire le CSR à fournir à l’autorité de certification pour obtenir le certificat.

Une fois le certificat généré par l’autorité de certification (fichier ayant le nom Cert.cer par exemple), il faut lance la commande suivante sur la même machine qui a servi à créer le CSR :

CertReq -Accept Cert.cer

Le certificat avec sa clé privée apparaitra ensuite dans le magasin personnel du conteneur de la machine et pourra être exporté en PFX si besoin.

La méthode est présentée ici pour le reverse proxy pour Lync Server 2010 mais peut être utilisée pour créer des CSR pour d’autres usages.