Configuração do Server-to-Server authentication (S2SOAuth) Entre Exchange 2013 e Lync 2013
Fernando Lugão Veltem
Maio, 2014
Visão Geral
Nesse artigo vou mostrar os passos para integração entre o Lync 2013 e Exchange 2013 ativando as seguintes features:
- Archiving Integration, integra as funções do Lync Archiving com o Exchange Litigation Hold e permite aos administradores pesquisar o histórico do Lync com o eDiscovery e compliances do Exchange;
- Unified Contact Store (UCS), permite utilizar a mailbox do usuário para armazenar as informações de contatos compartilhando com os silos de colaboração Lync 2013, Outlook 2013;
- Fotos de alta resolução, permite utilizar a mailbox do usuário para armazenar fotos com resolução de 648x648 pixels. A foto pode ser compartilhada com os clientes do Lync 2013, Outlook 2013 e Outlook Web App
Para integração entre o Lync Server 2013, Exchange Server 2013 e o SharePoint Server 2013 tenho três servidores virtuais todos executando o Windows Server 2012. Um servidor chamado Hm01 que é um controlador de domínio e certificadora enterprise, o Hm02 executando Lync Server 2013 e o Hm03 executando o Exchange Server 2013.
O FQDN do domínio Active Directory Domain é home.intranet e o domínio sip criado no Lync Server e no Exchange Server chamado home.com.br.
Foram criados três usuários: user01, user02 e user03. Todos eles foram habilitados no Exchange e no Lync.
Active Directory Domain
Na zona do DNS home.intranet
Na zona do DNS home.com.br foram criados os seguintes registros:
Exchange Server
Os server roles MailBox Server e Client Access do Exchange Server 2013 foram instalados no mesmo servidor. O Accepted Domain home.com.br foi criado com a devida Address Policy.
O serviço de Autodiscover foi configurado no host https://autodiscover.home.com.br/autodiscover/autodiscover.xml
Set-ClientAccessServer -Identity Hm03 -AutoDiscoverServiceInternalUri https://autodiscover.home.com.br/autodiscover/autodiscover.xml
Foi instalado no servidor dois certificados digitais. Um certificado foi configurado os serviços do Exchange, o outro será utilizado para autenticação e autorização entre os servidores.
O certificado utilizado para os serviços foi configurado com todos os nome fqdn's do servidor Exchange.
No console todos os serviços foram configurados para utilizar este certificado
O certificado OAuth foi criado com o nome CN=home.com.br
No console o certificado foi associado ao serviço SMTP
E foi configurado no serviço de autorização, utilize o cmdlet para verificar o certificado utilizado
Get-AuthConfig
Para listar os certificados instalados no servidor, identifique o certificado gerado para autorização entre os servidores e copie o Thumbprint.
Get-ExchangeCertificate
Utilize cmdlet para alterar o certificado do serviço
Set-AuthConfig -CertificateThumbprint <thumbprint>
Para remover todas as referências do certificado removido execute
Set-AuthConfig –ClearPreviousCertificate
Após configurar o certificado reinicie o serviço do Web Server com o IISReset
Verificando Acesso
Para verificar as configurações acesse a URL https://AutoDiscover.<External Domain>/autodiscover/metadata/json/1
O conteúdo metadata do autodiscover deve ser exibido
Lync Server
O Lync Server foi instalado de acordo com os artigos Pré-Requisitos para Instalação do Lync Server 2013 e Instalação do Lync Server 2013
Os certificados instalados no servidor foram criados usando o mesmo servidor de certificação.
Verifique as permissões no certificado de OAuth, adicione o Snap-In de certificado da maquina localize o certificado instalado para autenticação do Lync. Clique com o botão direito sobre o certificado, selecione All Tasks e clique em Manage Private Keys...
Adicione o Network Service na lista de segurança com permissão de leitura
Verificando Acesso
Para verificar o acesso aos dados do metadata acesse a URL https://<Lync Pool>/metadata/json/1, deve iniciar o download do arquivo chamado 1. O conteúdo do aquivo deve ser semelhante à imgem abaixo.
Partner Application
O Partner Application são objetos que representam a integração entre os servidores.
No Exchange 2013 o Partner Application é associado à um usuário desabilitado e integrante do Management Roles
No Lync 2013 o Partner Application é associado à um UserApplication e ArchiveApplication ManagementRoles e é armazenada no Central Management Store.
Criação do Partner Application no Exchange Server
No Exchange 2013 possui script para a criação do Partner Application, para executar o script acesse a pasta c:\'Program Files'\Microsoft\'Exchange Server'\V15\Scripts
.\Configure-EnterprisePartnerApplication.ps1 -AuthMetadataUrl https://<FQDN do Lync Pool>/metadata/json/1 -ApplicationType Lync
A variável $ApplicationType pode tomar os seguintes valores
- "lync"
- "sharepoint"
- "generic"
Criação do Partner Application no Lync Server
Para criar o Partner Application utilize o cmdlet New-CsPartnerApplication
New-CsPartnerApplication -Identity <String> -ApplicationTrustLevel Full -MetadataUrl https://<FQDN do Exchange Server>/autodiscover/metadata/json/1
Testando a comunicação
Para testar a comunicação entre os servidores utilize o cmdlet Test-CsExStorageConnectivity.
Test-CsExStorageConnectivity -SipUri <sip do usuário> -Binding NetTCP –DeleteItem -HostNameStorageService <FQDN Lync Server>
Você pode melhorar este artigo? Acesse e contribua no Microsoft Technet Wiki e contribua:
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem