Lync Federation mit anderen IM-Systemen

Hinweis:
Für die Federation mit Office 365 Lync Online sind weitere Einträge erforderlich.

Lizenzierung
Für die Federation mit Live Messenger ist seit Juli 2009 keine weitere Lizenz erforderlich. für die Anbindung an AOL und Yahoo hingegen benötigen die Anwender eine entsprechende Lizenz.
Federation mit MSN siehe MSN PIC

8 Jun 2013: Microsoft ersetzt das Zertifikat auf den Edge Servern durch welche einer anderen CA
http://blogs.technet.com/b/nexthop/archive/2013/05/09/lync-server-federation-with-microsoft-com-root-certificate-change.aspx

18 Mrz 2011: Microsoft aktualisiert ihre Edge Server und ändert dabei auch die IP-Adresse.
Firmen, die Federation mit Microsoft haben und die Kommunikation zusätzlich per Firewall filtern, müssen die Ziel-IP-Adresse anpassen:
Alt: 131.107.115.72  Neu:  65.55.130.30
http://blogs.technet.com/b/nexthop/archive/2011/03/08/microsoft-federated-edge-server-ip-address-change-march-11-2011.aspx

Auch wenn die meisten Firmen mit OCS primär die interne Kommunikation verbessern wollen, so lohnt es sich durchaus, auch mit Partnern eine Partnerschaft für Präsenz und mehr einzugehen. Das ganze läuft unter dem Namen "Federation" oder auch PIC. Dazu sind zwei Richtungen zu betrachten:

  • Ausgehend
    d.h. Interne Anwender addieren z.B. einen Kontakt einer anderen Firma oder MSN, AOL, Yahoo in ihre Kontaktliste ein. Der OCS Client erfragt den Status über den OCS-Server und den OCS Edge-Server von der anderen Seite. Es müssen ein paar Voraussetzungen erfüllt sein, dass der Edge-Server auch wirklich die andere Seite findet.
  • Eingehend
    Wenn Sie ihre Struktur für andere Zugriffe öffnen wollen, dann müssen Sie ihrerseits einen Server aus dem Internet erreichbar und über DNS für die anderen Firmen auflösbar machen.

Es aber bei weitem um mehr als "nur" der Status. Wenn eine Firma mit einer anderen Firma eine Federation eingerichtet hat, kann können Sie über diesen Link nicht nur der Status austauschen., sondern auch Audio und Video-Konferenzen und 1:1 Telefonate abhalten. Sie umgehen dann komplett das klassische Telefonnetz.

Arten der Federation

Es gibt insgesamt vier unterschiedliche Konstellationen einer Federation:

Art Beschreibung Limit

Dynamisch

Dies ist die "freizügigstes" Funktion, bei der Sie Kontakte zu allen anderen Firmen zulassen und ihren Edge per SRV-Record auffindbar machen bzw. andere Server so ausfindig machen.

Das Problem bei dieser "freien" Federation ist die eingebaute Beschränkung:

  • 20 SIP-Messages/Sec
  • Max 1000 Kontakte
  • Zertifikatnamen muss zur SIP-Domain passen

Enhanced

Diese Modell entspricht dem dynamischen Modell. Allerdings pflegen Sie den SIP-Domainnamen des Partners in der Liste. Aber sie pflegen keinen Access Edge FQDN

Die Beschränkungen sind gefallen, aber der Zertifikatname ist übrig

  • Zertifikatnamen muss zur SIP-Domain passen

Direkt

Sie können aber auch direkt den Access Edge FQDN pflegen. Damit entfällt z.B.: die Abhängigkeit von SRV-Records

Das Zertifikat muss nun nur noch den Namen enthalten, den Sie hinterlegt haben.

  • Zertifikatnamen muss zum FQDN passen

Hosting/Cloud

Eine besondere Form dieser Federation ist die Konfiguration, das der FQDN des Access Edge des Anbieters damit quasi als "vertrauenswürdig" addiert wird und damit SRV-Records von Kunden auf diese Anbieter ohne Warnung angenommen werden.

Ohne der expliziten Angabe der Domain löst diese Einstellung die
Zertifikatnamen muss zur SIP-Domain passen

Public Federation (PIC)

Verbindung zu öffentlichen IM Diensten wie MSN, AOC, ICQ

Meist beschränkt auf wenige Statusunterschiede (Frei, Belegt, Abwesend)
bei MSN auch mit Audio/Video

XAMPP Federation

Mit einem passenden Gateway können auch andere Statusdienste (z.B. Google, Cisco etc.) angebunden werden.

Meist nur "einfache" Präsenzinformationen.

Auch wenn eine "Open Federation" mit einem passenden Zertifikate und SRV-Eintrag als "Königsweg" erscheint, so ist es doch nur eine "Ad Hoc"-Lösung. Die meisten Firmen fahren besser, wenn Sie zumindest zusätzlich die Kommunikationspartner auch noch statisch eintragen, um die "Drosselung" abzuschalten.

Wer dann noch auf SRV-Records verzichten will, muss dann intern einen entsprechenden Prozess etablieren, damit Mitarbeiter die Partnerschadten entsprechend beantragen können.

Mein Tipp:
Wen Sie eh nur wenige SIP-Domains betreiben und sich alle Optionen offen halten wollen, sollte im Access-Edge Zertifikat alle SIP-Domains aufführen. Wer seine Mitarbeiter jedoch vor allzu nervigem "SPIM - Spam via IM" schützen will, sollte den Default auf "Block" setzen und die gewünschten Partner explizit erlauben.

Einstellungen des Administrators

Aber vor dem Erfolg steht der Schweiß und die Arbeit. Bei Federation müssen einige Dinge zusammen passen:

  • Edge Server
    Sie benötigen mindestens einen OCS Edge-Server welcher zwischen dem "unsicheren Internet" und der internen OCS-Farm vermittelt. Ohne Edge keine Federation. Siehe auch OCS Edge
  • IP-Adressen und Firewall
    Der Edge-Server muss aus dem Internet erreichbar sein. Seit OCS2007 R2 ist es möglich, den Edge-Server hinter einer NAT-Firewall zu verbergen, d.h. er muss keine öffentliche IP-Adresse mehr haben. Aber er muss auf einer ganzen Menge Ports weiter erreichbar sein.
    Siehe auch OCS Edge

NAT ist nicht mit einem Portfilter zu verwechseln. NAT ist kein Sicherheitsgewinn, wenn Sie alle Ports eingehend umsetzen !

  • DNS (optional)
    Die Erreichbarkeit des Servers muss natürlich den Kommunikationspartnern bekannt gegeben werden. Wenn Sie nicht nur direkte Peerings einrichten, sondern "open Federation" nutzen, dann sind entsprechende DNS-Einträge erforderlich. Sie können über eine Abfrage mit NSLOOKUP einer DNS-Zone natürlich auch ermitteln, ob eine Domäne OCS mit Federation einsetzt.

_sipfederationtls._tcp.netatwork.de  SRV 0 0 5061  sip.netatwork.de

  • Zertifikate
    Da OCS am liebsten verschlüsselt, sollten Sie auch entsprechende Zertifikate für die verschiedenen Funktionen einsetzen. Damit auch andere Firmen diesem Zertifikat vertrauen, sollten Sie natürlich öffentliche Zertifikate verwenden, welche auch auf den entsprechenden Namen "passen". für Open Federation ist es sowieso erforderlich. Wenn Sie nur eine gegenseitige Federation mit einer anderen Firma einrichten, dann können private Zertifikate ausreichend sein, weil dann die ausstellende CA auf der Gegenseite als vertrauenswürdig addiert werden könnte.

Finger weg von Selbstzertifikaten und privaten Zertifikaten
Für Federation ist ein richtiges offizielles Zertifikat dringend angeraten. Alles andere ist nur Stückwerk und Bastelei und lohnt der Mühe nicht

  • Serverberechtigungen (Global/Allow/Block)
    Auf dem OCS-Server können Sie einmal Federation als "offen" (also jeder darf) oder eben nicht offen eintragen. Das wird im Edge-Server eingestellt.
     Federation auf Edge einschalten
    Bei Lync wird diese Einstellung zentral vorgenommen

    Die Einstellungen des Assistenten verteilen sich später auf mehrere Karteikarten der Edge-Eigenschaften:

    Passend dazu gibt es dann eine ALLOW und eine BLOCK-Liste, mit der Sie bestimmte Domains blocken können.
    OCS Federation AllowDomains
    OCS Federation Block Domains
    Diese globalen Einstellungen können durch Anwender auch nicht überstimmt werden.
  • Manuell gepflegte Federation Partner
    Die in OCS voreingestellten Partner Yahoo, AOL und MSN sind im Edge Server schon vorgegeben. Hier können natürlich weitere Ziele manuell addiert werden.
    OCS Federation Partnerrouten
  • Abweichende Leitwege
    In den meisten Fällen bleibt dieses Feld leer, da nur wenige Firmen eigene Edge oder Access-Server für Federation aufbauen dürften:
    OCS Federation alternate Route

Wenn dann noch Einstellungen der Firewall und die passenden Partnerschaftslizenzen und Einträge auf der Gegenseite durchgeführt werden sind, steht einer Federation "fast" nichts mehr im Wege.

Federation in Office 365/Skype for Business Online

Auf wer Skype for Business in Office 365 betreibt, kann steuern, mit wem die Mitarbeiter federieren dürfen. Über das Adminportal können Sie eine der drei Einstellungen wählen.

Entsprechend wir dann die Liste der Domäne darunter ignoriert, als Blocklist oder als Allowlist berücksichtigt.

Grenzen bei Federation

Aber es gibt auch noch innerhalb des Systems einige Grenze, die gegen Überlastung schützen sollen. So verhindert z.B. der Edge Server, dass von einer Gegenstelle zu viele Anfragen pro Zeiteinheit kommen. Auch auf dem Server selbst sind nur eine bestimmte Anzahl an "Followers" möglich. Aufgefallen ist mir dies z.B.: bei Jochen Kunert, dessen Status ich per Federation sehen oder eben auch nicht sehen kann.

Ein "Maximum Follwers Reached" sagt wohl, dass zu viele Personen den Status von Jochen Kunert zur gleichen Zeit sehen wollen. Seit OCS2007 ist der Standardwert "1000". Dies kann zum einen per Gruppenrichtlinien für den Client eingestellt werden, d.h. wie viele Kontakte ich bei mir addieren kann.

Auf dem Server kann ich über die Wert für "MaxPromptedSubscriber" (Default = 200) und "MaxCategorySubscription" (Default = 1000) dieses Verhalten steuern. Bei Lync geht dies über die CsPresencePolicy, die sowohl global, pro Site oder pro User (Usertag aktiv und dem User zugewiesen)

Firmen mit Federation

Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit und garantiert nicht, dass diese Firmen wirklich OCS mit Federation betreiben. Jede Firma kann selbst entscheiden, ob Sie eine "Open-Federation" nutzen. Sie sehen hier also nur Domains, in welches es einen öffentlichen "sipfederationtls"-Eintrag gibt. Interessant, dass alle namhaften TK-Anlagen-Anbieter schon entsprechende Einträge publizieren. Ich weiß allerdings nicht, ob sich dahinter immer ein OCS-Edge-Server verbirgt oder andere Plattformen auf Kompatibilität getestet werden.

Domain Branche Prio Weight Port Host Addiert

Microsoft

Hersteller

0

0

5061

sipfed.microsoft.com

Jun 2010

Ferrari Electronic

OCS Gateways

10

0

5061

ocs.ferrari-Electronic.de

Jun 2010

Dialogic

OCS Gateways

0

0

5061

ocsedge.dialogic.com

Jun 2010

Audiocodes

OCS Gateways

1

1

5061

 sip.audiocodes.com

Jun 2010

Polycom

OCS Endgeräte

0

0

5061

plcmlcsap.polycom.com

Jun 2010

Aastra

OCS Endgeräte

0

0

5061

aeedge.aastra.com

Okt 2010

Jabra

OCS Endgeräte

0

0

5061

sip.jabra.com

Jun 2010

Estos

OCS RCC Gateways

0

0

5061

sip.estos.com

Jun 2010

Dell.com

Serverhardware

0

0

5061

federation.dell.com

Jun 2010

HP

Serverhardware

0

0

5061

sip-external.hp.com

Jun 2010

Net at Work

Systemhaus

0

0

5061

sip.netatwork.de

Jun 2010

Damovo

Systemhaus

0

100

5061

sip.damovo.de

Jun 2010

Vodafone

TK-Anbieter

0

0

5061

im.vodafone.com

Jun 2010

Siemens

TK Systeme

0

0

5061

sip.siemens.com

Jun 2010

Avaya

TK Systeme

10

10

5061

sip.avaya.com

Jun 2010

Snom

TK Endgeräte

0

0

5061

sip.Snom.com

Jun 2010

Nortel

TK Systeme

0

0

5061

rtcfederation.nortel.com

Jun 2010

Disney

Medien/Verlag

0

5

5061

ocim.disney.com

Jun 2010

Bertelsmann

Medien/Verlag

0

0

5061

ocac.bertelsmann.de

Jun 2010

Heraeus

Medien/Verlag

10

0

5061

sip.heraeus.com

Jul 2010

PC-Ware

Systemhaus

0

0

5061

sip.pc-ware.com

Jul 2010

Eurovia

Verkehrswegebau

0

5

5061

sip.eurovia.de

Sep 2010

BP

Energie

0

0

5061

acp.bp.com

Aug 2010

Aral

Tankstellen

0

0

5061

sip.aral.com

Aug 2010

Shell

Tankstellen

0

0

5061

sip.shell.com

Aug 2010

EON

Energie

0

0

5061

sip.eon.com

Aug 2010

RWE

Energie

0

0

5061

sip.rwe.com

Nov 2010

Quest

Software

0

0

5061

lcs.quest.com

Nov 2010

Accenture

Dienstleistung

0

0

5061

ocsamrae.accenture.com

Okt 2011

Heineken

Nahrungsmittel

0

0

5061

sip.heiway.net

Jun 2012

Kemptechnologies.com

Loadbalancer

100

1

5061

sipfed.online.lync.com

Feb 2013

cisco.com

Netzwerkkomponenten

0

1

5061

sip.oscar.aol.com

Feb 2013

juniper.net

Netzwerk/Firewal

5

0

5061

lyncsipsvl.juniper.net

Feb 2015

... Und die Liste ist sicher nicht vollständig. Interessant ist es auch einfach mal die "Subject Alternate Names" der jeweiligen Edge-Zertifikate zu lesen.

Die Spalte "Zuerst gesehen" listet nur auf, wann ich den Eintrag addiert habe aber nicht, seit wann Federation möglich ist. Und ich bin mir sicher, dass es noch sehr viele Firmen gibt, die OCS mit Edge verwenden, ohne im DNS einen öffentlichen Eintrag zu veröffentlichen. Man kann nämlich auch manuell zwischen Partnern statisch entsprechende Einträge vornehmen.

Wenn Sie z.B. mit Microsoft eine Federation einrichten wollen, dann muss Sie ein entsprechend privilegierter Account bei Microsoft für die OCS-Federation "anmelden". Das kann für Microsoft Partner der Partnerbetreuer sein. für Firmen könnte es vielleicht der Technical Account Manager (TAM) machen. Die Microsoft-Interne URL für die Beantragung lautet übrigens http://fedreq, nur für den Fall dass ihr Ansprechpartner einen Tipp braucht.

Soweit es meine Zeit erlaubt, erweitere ich die Liste erweitern. Interessant ist hier natürlich ein automatisierter Einsatz von Skripten, die z.B.: ihre Kunden-Domains, Korrespondenzpartner aus E-Mails oder andere Quelle heranzieht und damit die Möglichkeiten für eine bessere Kommunikation eröffnen. Die Abfrage ist in einer DOS-Box ganz einfach:

nslookup -q=SRV _sipfederationtls._tcp.netatwork.de

Es ist also nicht besonders schwer, eine Liste von Domains per FOR-Schleife einem NSLOOKUP vorzuwerfen. Es gibt auch schon

Federation Check auf Windows Phone 7.5

Mat Landis hat ein kleines Programm "Lync WCF" für Windows Phone 7.5 im Marketplace veröffentlich, welches die Kontakte ihres Mobiltelefons heran zieht um die Domains auf mögliche Federationpartner zu prüfen und am Ende anzuzeigen.

Federation mit Microsoft (nicht Office 365)

Firmen, die bestimmte Qualifizierungsmerkmale erfüllen, können auch eine Federation mit Microsoft einrichten. Wer also schon immer den Status von SteveB sehen möchte, könnte dies mit seiner Zustimmung natürlich tun. Aber auch ohne Kontakt zu Steve hat eine Federation mit Microsoft durchaus Vorteile. Gerade im Projektgeschäft mit Microsoft Consultants, die auch Lync nutzen, ist die kurze Kommunikation per Lync durchaus vorteilhaft. Ich nutze diesen Weg natürlich auch für intensive Kontakte mit Mitgliedern der Produktgruppe.

Allerdings hat Microsoft eine "geschlossene Federation", d.h. ihre Domain muss erst "zugelassen" werden. Dafür ist ihr "Partner Account Manager" (PAM) oder Firmenkundenbetreuer zuständig. Er kann als Microsoft Mitarbeiter über eine intern erreichbare Webseite (angeblich http://fedreq) die Federation beantragen.

Und dann heißt es warten, bis die Eintragungen bei Microsoft durch den Prozess gelaufen und durchgeführt wurden.

Federation mit Office 365 (und Kunden auf Office 365)

Office 365 ist ein großer Lync Hoster, der sehr viele Domains unter einem Dach vereint. Nun wissen Sie, dass "normalerweise" der DNS-Eintrag zum AccessEdge in der gleichen DNS-Domain sein und das Zertifikat den Namen enthalten muss. Das sind natürlich schlechte Voraussetzungen für einen Anbieter. Der SAN-Eintrag kann nicht endlos viele Einträge enthalten und auch das Ausstellen solcher Zertifikate ist ja unmöglich. Daher kennt Lync auch die Konfigurationen von "Providern um diese Einschränkung zu umgehen.

Genau dies ist auch der Weg, wie Office 365 als Provider in Lync einzurichten ist.

Vielleicht wird Microsoft irgendwann Office 365 per Default schon als "Provider" eintragen.

Federation Fun mit Audio

So schön Federation ist, so kann es mit Audio und Video schon Effekte geben. Das Problem habe ich immer dann, wenn ich mich intern bei einem Kunden anschließe. Ich kann über den Internetzugang von "intern" natürlich mit meinem Edge-Server bei Net at Work weiterhin mit dem Kunden am Nachbartisch kommunizieren (Status, Kurzmitteilungen, Desktop Sharing etc.) allerdings funktioniert Audio/Video meist nicht, weil die Firewalls die Verbindung von "intern" auf den Edge-Server des Kunden blockieren.

Federation rausfinden

Mit dem Wissen um die DNS-Einträge können Sie nun einfach ihre Kontakte ablaufen und sehen, wer schon Lync hat. Das funktioniert natürlich nur, wenn die SIP-Domäne und Maildomäne identisch sind und der Partner seine Edge-Zugänge per DNS publiziert. Dann können Sie aber durch die SMTP-Adressen laufen und per DNS nach Lync fragen. Drei Quellen kommen dazu in Frage

  • Persönliche Kontakte
    Jeder Anwender könnte per Skript z.B. seine Outlook Kontakte abfragen. Wenn eine externe DNS-Auflösung gegeben ist, dann funktioniert das sogar auf dem Client ohne besondere rechte
  • ERM/CRM
    Für Firmen ist es eventuell auch interessant, die Kontaktdaten aus der Buchhaltung oder einem Adressbuch entsprechend zu proben.
  • Messagetracking

Das schöne dabei ist, dass Sie sogar schon vor dem Deployment von Lync herausfinden können, welche Kunden Kandidaten sind.

Federation und Throttling

Auch wenn "Open Federation" etwas nettes ist, so laufen Sie vielleicht doch mal auf ein paar eingebaute Grenzwerte, die im Edge dann unschöne Fehler mit sich bringen:

Zudem gibt es noch ein Limit der Anzahl an SIP-Messages/Sekunde

Log Name:      Lync Server
Source:        LS Protocol Stack
Date:          04.25.2015 23:23:41
Event ID:      14607
Task Category: (1001)
Level:         Warning
Keywords:      Classic
Description:

Denn 20 SIP-Messages/Sekunde ist schon ein Limit, was Partnerfirmen erreichen können. Auch das folgende Limit kann zuschlagen:

Oder in Textform, damit Google auch etwas findet:

Log Name:      Lync Server
Source:        LS Protocol Stack
Date:          26.12.2011 23:23:41
Event ID:      14603
Task Category: (1001)
Level:         Error
Keywords:      Classic
Description:
The following discovered partners are sending frequent invalid SIP requests to the
Access Edge Server.
Traffic from these partners is restricted to 1 message per second as a security measure.
Certificate Subject: "sipfed.microsoft.com"; Issuer: "com, microsoft, corp, redmond,
Microsoft Secure Server Authority"; Serial Number: 37A8DC8E000800021046

Cause: Federated partners that were discovered through DNS SRV are sending frequent 
SIP requests that cause an error response from the local Lync Server deployment.
Resolution:
It is recommended that connections from these partners be blocked at the firewall.

Die Lösung ist ganz einfach: Addieren Sie die Partner, mit denen Sie "enger" federieren einfach in die Liste:

Das kann zwar etwas mehr Pflegeaufwand bedeuten, aber informiert den Lync-Edge Server, dass es sich hierbei um "gute" Domains handelt.

Weitere Links