Agenda Composants d’un déploiement LCS 2005 Cycle projet LCS 2005 PlanBuildDeployOperateQ&A

Composants déploiement ABS CWA Archiving Director Access Proxy HTTP Reverse Proxy PBX IP-PSTN Gateway SIP/CSTA Gateway LCS 2005 EESQL 200x CoMoMOC/CWA LCS 2005 SP1 EE Pool LCS 2005 SP1 SE Corporate NetworkDMZExternal Remote Users Federated Users PIC Users Telephony Users Proxy

Plan Les serveurs Comprenez les besoins clients Déterminez les rôles serveurs à mettre en place: : un cluster SQL 200x, un “Pool Enterprise”, RAID et load balancers HW niv 4-7 Pour la haute disponibilité: un cluster SQL 200x, un “Pool Enterprise”, RAID et load balancers HW niv 4-7 Pour le trafic interne: utilisez Director comme point d’entrée Pour les accès distants: utilisez des Directors externes et internes pour séparer le trafic Pour le PSTN: Utilisez LCS SE, EE ou Director Pour l’archivage: Utilisez un modèle “two-tier” Pour sécuriser les flux: Utilisez l’encryption TLS Utilisez les recommandations et restez dans une architecture supportée Commencez simple avec SIP (Présence/IM) DMZ Access Proxy PoolDirector MTLS TLS AD Access Proxy Pool MTLS AD Enterprise A Enterprise B MTLS DNS Pool Access Proxy MTLS AD

Windows XP SP2 / Office 2003 SP2 sur les clients Communicator, CWA et CoMo Validez une adresse primaire SMTP identique à l’adresse SIP URI pour l’utilisateur Contrôle de la présence: blocage total ou non Les GPO permettent de contrôler Communicator (Allow/Block functionality, Override, Set, BW, conf, appels…) Plan Les clients Les listes de contacts : Trop importantes ne sont pas recommandées Difficiles à administrer et peuvent créer une surcharge inutile sur les serveurs Utilisez plutôt la recherche de contact ABS sur les clients Peuvent être pré-chargées via scripts (voir ressource kit) Les contacts fédérés peuvent aussi avoir accès au même niveau d’info que les internes

Plan Active Directory Accès rapide au Global Catalog du domaine racine pour LCS 2005 Pour le démarrage des Services Pour accéder à la console d’administration MMC LCS 2005 Pour la recherche du GC racine Requête sur tous les GC de la forêt Recherche circulaire jusqu’à l’obtention GC contenant « root domain naming context » LCS2005 ne peut pas utiliser un GC spécifiquement configuré Optimisation possible Déployer une forêt de ressource Synchroniser les identités et « Address Book » via MS Identity Integration Feature Pack Anticipez l’évolution du fichier « ntds.dit » Conséquence des ACE sur les « containers » et les objets Moins d’impacte sur les contrôleurs Windows 2003 Validez les droits dans AD sécurisée:

Plan Securité Pensez “Defense-in-Depth strategy”: Activation de Windows Firewall fournit avec Windows XP SP2 Vous serez averti de bloquer ou pas le trafic pour Communicator Prévoyez un anti-virus sur le client Prévoyez un anti-SPIM/anti-virus sur les servers Microsoft Antigen Prévoyez une mise à niveau de définition le plus à jour possible Pensez au filtre “Intelligent IM Filter”: BA5D-C880359A40F5&displaylang=en BA5D-C880359A40F5&displaylang=en BA5D-C880359A40F5&displaylang=en

Plan Securité Validez un Certificat Racine « offline » et un certificat issue de cette autorité TLS plutôt que TCP entre les clients et LCS LCS 2005 Utilise Kerberos et NTLM pour les authentifications NTLM est forcé pour les utilisateurs distants M-TLS est obligatoire pour les communications Serveur-Serveur Les serveurs autorisés doivent avoir le FQDN et non IP listé Seuls les serveurs authentifiés peuvent communiquer (par défaut) N’ajoutez que des serveur sécurisés Activez LCS 2005 Flat File Logging Level 1 sur tous les serveurs Ne représente pas une grosse charge serveur Meilleure détection des risques potentiels Sécurité

Plan Securité Utilisez “split DNS” Nom DNS différent pour suffixes internes et externes Conservez votre suffixe interne comme enregistrement privé Simplifie le déploiement de l’accès externe Installez l’Access Proxy Avec une patte IP interne et un patte IP externe Mise en place d’un firewall de chaque coté (entreprise et externe) Laissez l’AP dans un workgroup Utilisez plusieurs proxy si vous souhaitez isoler les trafics (accès distants, partenaire et PIC par exemple) Utilisez un certificat issu d’une autorité publique pour la fédération entreprise Corporate Network InternetFirewall Firewall Load balancer

Plan Accès distant/Fédération/PIC Accès distant CWA Configurer TCP/443 Fédération IM et Présence Domaines SIP et Address Book ne sont pas échangés Voix et Vidéo ne passeront que très rarement du fait des firewall/NAT (Possibilité de boitiers partenaires) Utilise le « Subject Name » des certificats, pas Subject Altenate Names Utilise le « Subject Name » des certificats, pas Subject Altenate Names PIC (Public IM Connectivity) Nécessite des certificats publics (pas de certificat de tests) AOL nécessite une authentification EKU (client/serveur) La plupart des fournisseurs de certificats supporte SAN PIC troubleshooting: Access Proxy Pool MTLS AD Enterprise A Enterprise B MTLS DNS Pool Access Proxy MTLS AD Enterprise A LCS Client LCS 2005 Access Proxy SIP Proxy LCS 2005 Access Proxy LCS Client LCS 2005 Access Proxy LCS Client

Plan ”Address Book Service” La planification d’ABS nécessite d’étudier Les transferts de fichier dans les scenarios distants Les plans de numérotation de Telephonie La mise en œuvre d’ABS: Un Reverse Proxy pour l’ABS des users distants Comprendre les délais de synchronisation AD->UR->SQL->ABS->File Share->MOC ivecomm/library/abs/lcsabs_2.mspx ivecomm/library/abs/lcsabs_2.mspx ivecomm/library/abs/lcsabs_2.mspx Localiser les fichiers sur les serveurs et Communicator Telephone number normalization Format normalisé E.164: « » Comprendre les syntaxes des « regular expression » Gestion d’un plan de numérotation

Plan Téléphonie Quelle intégration de Communicator et la Téléphonie? Remote Call Control (CTI) PC2PhonePhone2PCPC2PC Quelle marque de PABX? LCS2005 supporte TCP, pas UDP Démarrez par une intégration simple (passerelle voip) Activez serveur/client logging Contactez votre intégrateur réseaux & télécoms LCS 2005 “Server” SIP-PSTN gateway PBX RCC Gateway (CSTA over SIP) ‘Alice’ ‘Bob’ (external party) Conferenci ng MCU PSTN Conferenci ng bridge

Plan Telephonie Créez une route statique pointant vers la passerelle (PSTN) FQDN est nécessaire pour TLS Pas possible de router sur ”user”, seulement sur le domaine Utilisez le FQDN pour une route RCC pbx1.contoso.com est meilleur que contoso.com Suffixe des utilisateurs RCC SIP URI doit matcher le FQDN (e.g. FQDN peut aussi être utilisé pour l’autorisation sur le système CTI LCS 2005 SP1 Supporte plusieurs routes statiques pour le RCC Supporte une seule route pour PC2Phone (1 passerelle) N’oubliez pas d’autoriser la passerelle ou le serveur CTI sur LCS

Plan Règles de dimensionnement Toujours prendre en compte une valeur maximum de charge Utilisez l’outil de planification LCS: CB91BF8F2191&displaylang=en CB91BF8F2191&displaylang=en CB91BF8F2191&displaylang=en Positionnez les utilisateurs communicants souvent sur le même pool Disques serveurs Utilisez plusieurs disques physiques RAID SAN dans le cadre de grosse capacité Séparation des transactions logs et fichiers de DB (meilleure tolérence de panne) Planifiez suffisamment de stockage MSMQ (perte de lien avec archivage) CPU Windows Server 2003 SP1 (réduit charge CPU pour TLS et Kerberos) Activez « Affinity Mask » sur SQL Server (réduit charge CPU ) La compression serveur/client crée une charge CPU et mémoire

Plan Règles de dimensionnement Réseaux Configuration Full Duplex SIP est “léger” (1,6kbps par utilisateur) G kHz 64 Kbps G kHz 24 Kbps G kHz 6.4 Kbps GSM 8 kHz 13 Kbps DVI4 8 kHz 32 Kbps SIREN 16 kHz 16 Kbps H to 125 Kbps(dépend des conditions réseaux) QCIF (176 x 144) CIF (352 x 288)

Plan Sauvegarde/Restauration/PRA Sauvegarde Contacts, ACLs, groupes, configuration server/pool, etc… Full backup quotidien de RTC et RTCCONFIG SQL DB Utiliser dbbackup sur LCS 2005 Standard Edition Uniquement pendant les périodes bases Restauration Vérifiez régulièrement l’intégrité de vos sauvegardes Garder une sauvegarde sur un autre site Plan de retour à l’activité (PRA) Le SLA doit dicter le PRA formez, documentez, et implémentez le PRA Simulez une perte d’activités LCS2005 n’est pas une « boite » noire. Pensez à tout l’environnement… (AD, FW, Réseaux,…)

Build Création d’un environnement de test: Représentatif de votre infrastructure de production Commencez simple et évoluez par la suite Testez TOUTES les fonctionnalités en production Testez les performances (prédictions, load,...) Mettez en place un pilote Pour une population limitée Testez de nouveau la cible

Deploy Basics Après la mise en place de LCS 2005 Configurer une outbound route au niveau forêt Superieure à la configuration du Pool DNS Enregistrement SRV pour les Pools ou Directors Enregistrement A pour les SE/EE et EE pool Utile pour la configuration automatique de Communicator MTLS Obligatoire pour server-to-server communication Ne pas oublier les certificats sur chaque serveur MOM Déployez MOM 2005 Installez LCS 2005 Management Pack Mémoire: configurez /3GB dans boot.ini pour BE (4GB+) RAID: 80% read et 20% write

Deploy Securité Firewall Mise en place d’une tierce partie pour passage de A/V ISA 2006 pour segmentation Ouvrir que ce qu’il faut… DNS Nom DNS différent interne/externe Certificat différent interne/externe sur AP Implémentez 2 cartes réseaux physiques et non dual-home N’utilisez pas de certificat de type « * » (wildcard) Hotfixes: mise à jour de tous les clients et serveurs Durcissement: sur tous les clients et serveurs, OS et applications Group Policy: lockdowns des comptes Lockdowns des comptes Forcer l’encryption pour Audio/video/Application sharing sur les clients PKI: Implementez une PKI et les certificates pour TLS et MTLS Externe: configurez les utilisateurs pour les accès distants, la fédération et PIC (désactivé par defaut) Sécurité

Deploy Accès distant/Fédération/PIC Access Proxy Obligatoire pour Accès distant/Fédération/PIC Mise en place de hardware load balancer Déployez des AP par destination Firewall Utilisez vos FW existants pour publier les ressources LCS2005 Address Book and CWA on TCP/443 SIP on TCP/5061 Fédération/PIC Utilisez « Enhanced Federation » avec partenaires PIC nécessite du provisionning opérateur (prévoyez du temps) Configurez les 3 PIC (MSN, Yahoo, AOL)

Deploy Address Book Service Déployez ABS Installez ABS sur tous les FE servers dans le pool EE Stockez tous les fichiers Address Book sur un espace dédié Limitez le nombre d’utilisateurs en download ABS sur IIS

Operate Basics Utilisez Windows XP SP2 ou Windows Vista et Communicator 2005 Mettez en place l’archivage pour les statistiques et le reporting Déployez MOM 2005 w/ LCS 2005 SP1 Management Pack Déployez SMS 2003 Pensez aux scripts et outils WMI pour l’administration Désactivez les serveurs LCS 2005 avant de les mettre hors service Réduisez le nombre de contacts pour réduire l’utilisation BW/CPU Exclure les fichiers *.mdf and *.ldf files du scan anti-virus Configurez les « load balancers » pour contrôler les serveurs sur les ports 5060/5061

Operate Securité Utilisez les pratiques concernant les mots de passe complexes Augmentez le reporting sur les comptes sensibles (ex. RTC*) Vérifiez régulièrement les mises à jour de sécurité Utilisez TLS! Ne laissez tourner que les services nécessaires Utilisez le “template” communicator.adm: _10.mspx _10.mspx _10.mspxSécurité

Operate Supervision Surveillez tous les dépendances LCS 2005 Active Directory DNSRéseaux Etablissez des bases de mesures Utilisation CPU, mémoire, I/O disques, I/O réseaux Comprenez les modèles d’utilisation Surveillez pro-activement les alertes et comportements bizarres Pensez à la surcharge qu’engendrerait 1000 nouveaux utilisateurs sur votre environnement

Operate Supervision Surveillez la taille des files d’attentes sur les BE Doit être proche de 0 Les transitions doivent être expliquées: messages perdus, mauvaise authentification Ayez un SQL Server dédié Mémorisez l’état des « deadlocks » avec Query Analyzer Doit être proche de 0 Les goulots d’étranglement augmenteront en cas de deadlocks

Operate Troubleshooting Téléchargez LCS2005 SP1 Ressource Kit Utilisez LCSDIAG pour identifier les problèmes de configuration et de connectivité Utilisez DBANALYZE pour obtenir les statistiques de SQL Server Les outils ne testent pas MTLS mais les connexions TLS Activez les traces serveurs Utilisez FFL Level 1 pour commencer Vérifiez que les comptes de services ont les droits en écriture sur le dossier logs Utilisez FFL Search ou SPIView pour lire les traces Activez les traces clients HKEY_CURRENT_USER\Software\Microsoft\Tracing\LCAPI\EnableFileTracing = 1 Les traces seront stockées sur %userprofile%\Tracing by default Utilisez RTCMon pour lire ces traces

Operate Troubleshooting Utilisez votre analyseur réseau habituel Utilisez vos outils de gestion de fichier et de registry habituel Utilisez des outils d’accès bas niveau de l’Active Directory (ldp/ADSIEdit) avec précaution (attention au ACL) Utilisez les outils SQL Server avec attention LCS 2005 ne démarre pas / la MMC ne répond pas ? LCS 2005 n’a pas d’accès rapide au Root GC

Operate Sauvegarde/Restauration Pensez aux dépendances que les sauvegardes et les restaurations peuvent engendrer Active Directory DNS Certificate Authority SQL Faites une sauvegarde complète tous les jours Sauvegardez avant tout évenement important Service Pack/hotfix Déplacement massif d’utilisateurs Migration d’utilisateurs Mettez votre documentation à jour Utilisez dbimpexp.exe pour sauvegarder/restorer les contacts et les ACLs Tester régulièrement votre capacité DRP

Summary/Call to Action LCS 2005 fait parti de la stratégie Unified Communications de Microsoft Familiarisez-vous avec cette technologie pour vous préparer au futur Microsoft Office Communications Server 2007 apportera beaucoup de nouvelles fonctionnalités et donc de nouveaux besoins: Call Server Conferencing Server Changement de schéma Nouveaux serveurs de rôles Architecture centralisée (LCS2005) vs architecture décentralisée (OCS2007) Réseaux et télécoms

S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions d’éval + 2 incidents support

© 2007 Microsoft France Votre potentiel, notre passion TM