Configuração do Server-to-Server authentication (S2SOAuth) Entre Exchange 2013 e Lync 2013

Fernando Lugão Veltem

Dn743845.060DE5057573180CEC6D227C6D3E2207(pt-br,TechNet.10).png

Maio, 2014

Visão Geral

Nesse artigo vou mostrar os passos para integração entre o Lync 2013 e Exchange 2013 ativando as seguintes features:

  • Archiving Integration, integra as funções do Lync Archiving com o Exchange Litigation Hold e permite aos administradores pesquisar o histórico do Lync com o eDiscovery e compliances do Exchange;
  • Unified Contact Store (UCS), permite utilizar a mailbox do usuário para armazenar as informações de contatos compartilhando com os silos de colaboração Lync 2013, Outlook 2013;
  • Fotos de alta resolução, permite utilizar a mailbox do usuário para armazenar fotos com resolução de 648x648 pixels. A foto pode ser compartilhada com os clientes do Lync 2013, Outlook 2013 e Outlook Web App

Para integração entre o Lync Server 2013, Exchange Server 2013 e o SharePoint Server 2013 tenho três servidores virtuais todos executando o Windows Server 2012. Um servidor chamado Hm01 que é um controlador de domínio e certificadora enterprise, o Hm02 executando Lync Server 2013 e o Hm03 executando o Exchange Server 2013.

Dn743845.85E22315407EA029E77E0B139BEF70C0(pt-br,TechNet.10).png

O FQDN do domínio Active Directory Domain é home.intranet e o domínio sip criado no Lync Server e no Exchange Server chamado home.com.br.

Foram criados três usuários: user01, user02 e user03. Todos eles foram habilitados no Exchange e no Lync.

Active Directory Domain

Na zona do DNS home.intranet

Dn743845.1C771D3C75A6962EDD1AA962FFBB63F0(pt-br,TechNet.10).png

Dn743845.863F0E7C9200120B232C0202F9C48E26(pt-br,TechNet.10).png

Na zona do DNS home.com.br foram criados os seguintes registros:

Dn743845.5C801003C96295300B1EF2203B4F33D8(pt-br,TechNet.10).png

Dn743845.7E6FA8D19B031E6A4C6ED0F18751FC43(pt-br,TechNet.10).png

Exchange Server

Os server roles MailBox Server e Client Access do Exchange Server 2013 foram instalados no mesmo servidor. O Accepted Domain home.com.br foi criado com a devida Address Policy.

O serviço de Autodiscover foi configurado no host https://autodiscover.home.com.br/autodiscover/autodiscover.xml

Set-ClientAccessServer -Identity Hm03 -AutoDiscoverServiceInternalUri https://autodiscover.home.com.br/autodiscover/autodiscover.xml

Dn743845.4689C8CEC6C1FF736349C518D1289A7F(pt-br,TechNet.10).png

Foi instalado no servidor dois certificados digitais. Um certificado foi configurado os serviços do Exchange, o outro será utilizado para autenticação e autorização entre os servidores.

O certificado utilizado para os serviços foi configurado com todos os nome fqdn's do servidor Exchange.

Dn743845.65441C9F3E82A73D9C88E93A22E856C3(pt-br,TechNet.10).png

Dn743845.A8B253974AD64F08B5283AD703A71990(pt-br,TechNet.10).png

No console todos os serviços foram configurados para utilizar este certificado

Dn743845.41737F384FC216335070823F231E359A(pt-br,TechNet.10).png

Dn743845.22BE692E0F978AB0AD768D2A903C4D60(pt-br,TechNet.10).png

O certificado OAuth foi criado com o nome CN=home.com.br

Dn743845.13879AE8E9021C8ACA91A137DE5EB601(pt-br,TechNet.10).png

Dn743845.EC40DDE600A5ABACD576755D27BE52CB(pt-br,TechNet.10).png

No console o certificado foi associado ao serviço SMTP

Dn743845.79A534B6AF05E117299A03D950553B5B(pt-br,TechNet.10).png

Dn743845.A6BBAC3D13C7C1C45718ECCADD320B35(pt-br,TechNet.10).png

E foi configurado no serviço de autorização, utilize o cmdlet para verificar o certificado utilizado

Get-AuthConfig

Dn743845.8849FF014F0D2F72A9C2706346012192(pt-br,TechNet.10).png

Para listar os certificados instalados no servidor, identifique o certificado gerado para autorização entre os servidores e copie o Thumbprint.

Get-ExchangeCertificate

Dn743845.05E2C587641A870DCFF419BD10510DE9(pt-br,TechNet.10).png

Utilize cmdlet para alterar o certificado do serviço

Set-AuthConfig -CertificateThumbprint <thumbprint>

Dn743845.D0098164058BFA0588C2585F12765CC1(pt-br,TechNet.10).png

Para remover todas as referências do certificado removido execute

Set-AuthConfig –ClearPreviousCertificate

Dn743845.4704065FEC92761FABE518E8D4AE5FA7(pt-br,TechNet.10).png

Após configurar o certificado reinicie o serviço do Web Server com o IISReset

Dn743845.34B2744F08A5E3939D2AFE6F801350B5(pt-br,TechNet.10).png

Verificando Acesso

Para verificar as configurações acesse a URL https://AutoDiscover.<External Domain>/autodiscover/metadata/json/1

O conteúdo metadata do autodiscover deve ser exibido

Dn743845.C0FC8A7AAFE343886519D2CFAFD537AA(pt-br,TechNet.10).png

Lync Server

O Lync Server foi instalado de acordo com os artigos Pré-Requisitos para Instalação do Lync Server 2013 e Instalação do Lync Server 2013

Os certificados instalados no servidor foram criados usando o mesmo servidor de certificação.

Dn743845.EC3F1341DC69B958745B4EE68DD71A6B(pt-br,TechNet.10).png

Dn743845.B87856EA47BD1379A886BB24FA33693E(pt-br,TechNet.10).png

Verifique as permissões no certificado de OAuth, adicione o Snap-In de certificado da maquina localize o certificado instalado para autenticação do Lync. Clique com o botão direito sobre o certificado, selecione All Tasks e clique em Manage Private Keys...

Dn743845.8D528C783BCFC402282C134207DEEBF7(pt-br,TechNet.10).png

Adicione o Network Service na lista de segurança com permissão de leitura

Dn743845.92DE238DA2552D5A0720B67C434F8A60(pt-br,TechNet.10).png

Verificando Acesso

Para verificar o acesso aos dados do metadata acesse a URL https://<Lync Pool>/metadata/json/1, deve iniciar o download do arquivo chamado 1. O conteúdo do aquivo deve ser semelhante à imgem abaixo.

Dn743845.B99154FB76022CBB502CCEE3F55742C3(pt-br,TechNet.10).png

Partner Application

O Partner Application são objetos que representam a integração entre os servidores.

No Exchange 2013 o Partner Application é associado à um usuário desabilitado e integrante do Management Roles

No Lync 2013 o Partner Application é associado à um UserApplication e ArchiveApplication ManagementRoles e é armazenada no Central Management Store.

Criação do Partner Application no Exchange Server

No Exchange 2013 possui script para a criação do Partner Application, para executar o script acesse a pasta c:\'Program Files'\Microsoft\'Exchange Server'\V15\Scripts

.\Configure-EnterprisePartnerApplication.ps1 -AuthMetadataUrl https://<FQDN do Lync Pool>/metadata/json/1 -ApplicationType Lync

A variável $ApplicationType pode tomar os seguintes valores

  • "lync"
  • "sharepoint"
  • "generic"

Dn743845.B3998880D3E8F20DC73683DCDBF6EA75(pt-br,TechNet.10).png

Criação do Partner Application no Lync Server

Para criar o Partner Application utilize o cmdlet New-CsPartnerApplication

New-CsPartnerApplication -Identity <String> -ApplicationTrustLevel Full -MetadataUrl https://<FQDN do Exchange Server>/autodiscover/metadata/json/1

Dn743845.9E55563ED01EBD4280A69B758FA231AC(pt-br,TechNet.10).png

Testando a comunicação

Para testar a comunicação entre os servidores utilize o cmdlet Test-CsExStorageConnectivity.

Test-CsExStorageConnectivity -SipUri <sip do usuário> -Binding NetTCP –DeleteItem -HostNameStorageService <FQDN Lync Server>

Você pode melhorar este artigo? Acesse e contribua no Microsoft Technet Wiki e contribua:

https://social.technet.microsoft.com/wiki/pt-br/contents/articles/12779.configuracao-do-server-to-server-authentication-s2soauth-entre-exchange-2013-e-lync-2013.aspx

Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com 
twitter: @flugaoveltem

| Home | Artigos Técnicos | Comunidade