Federation mit MSN und Skype

Neue URL für PIC Antrag: https://pic.lync.com

Die Federation mit Skype ist im unterbau eine Federation mit MSN. Daher passt diese Seite auch für Skype. Bei Gelegenheit muss ich nur mal die OCS-Einstellungen ausmisten.

Neben der Federation mit anderen OCS-Servern von Partnern und anderen Firmen ist natürlich auch die Verbindung zu mehr oder weniger öffentlichen Diensten interessant. So kann eine Firma dann die Verwendung dieser Clients (und die damit verbundenen Sicherheitsprobleme) umgehen. MSN ist einer der müssenger Dienste, die mit OCS neben AOL und Yahoo verbunden werden können.

Lizenz
Seit Sommer 2009 enthält die OCS Standardlizenz auch das Recht, eine PIC Federation mit MSN einzurichten. für eine Verbindung zu AOL oder Yahoo sind weiterhin Lizenzen erforderlich.

Info
Diese Federation unterstützt NUR Kurzmitteilungen und Status. Audio/Video-Kommunikationen werden mit MSN unterstützt, wenn Sie den Zwang zur Verschlüsselung abstellen

The PIC Provisioning Guide
http://www.microsoft.com/downloads/details.aspx?FamilyID=9ccaac38-2da8-4a76-8193-96f4bbf04678&

Public IM Connectivity Provisioning Guide für Microsoft Lync Server, Office Communications Server, and Live Communications Server
http://www.microsoft.com/download/en/confirmation.aspx?id=14966 

Achtung: Federation-Adressen

Die Server, die Microsoft, Yahoo und anderen als Kommunikationspartner für OCS vorhalten

Vorarbeiten !!

Achtung:
Diese Vorarbeiten sind zwingend erforderlich.

Die Verbindung ihrer Firme mit MSN bedeutet, dass ihre komplette Domäne damit für "Federation" frei geschaltet wird. Es ist aber gar nicht mal unüblich, dass Mitarbeiter von ihnen schon früher sich einen "Passport-Account" angelegt haben und dazu eine Mailadresse aus ihrer Domäne verwendet haben, z.B. für MSDN oder TechNet Abonnements oder für die Zugänge zu Microsoft Foren oder die Volume License Webseite. Microsoft Partner benötigen ebenfalls einen Passport Account für den Zugriff auf das Partner Portal.

Ehe Sie daher eine Federation eingehen können, müssen all diese Passport-Accounts umgestellt werden. Jeder einzelne Passport-Inhaber muss sich also erst anmelden und die Schritte durchführen

Durch die Änderung ihres Anmeldenamens in MSN wird ihr Eintrag bei ihren Partnern in deren MSN müssenger automatisch umgestellt. Auch bleiben ihre Mails in Live Mail erhalten. Die Mailkommunikation wird dadurch nicht gestört, da die Mails an die Domäne ja schon immer in das Firmensystem gegangen sind.

Allerdings kann es einige Tage bis Wochen dauern, bis bei allen Kontakten die Einträge entsprechend umgestellt wird. Anmeldungen an Webseiten, die Passport/LiveID nutzen, funktionieren nach meiner Einschätzung sofort.

In der Zeit, in der die MSN/Passport-Accounts aber auf neue Namen umgestellt sind und die Federation noch nicht eingerichtet ist, sind die bisherigen müssenger-Kontakte noch nicht erreichbar. Zudem ist gar nicht sicher gestellt, dass der vordere Teil ihrer IM-Adresse mit dem früheren MSN-Namen übereinstimmt.

Einrichtungen auf dem eigenen Server

Ehe Sie den Antrag zu Microsoft stellen, muss ihre eigene Struktur natürlich erst mal "Federation-tauglich" werden. Dazu zählen gleich mehrere Faktoren.

  • Edge-Server (Siehe OCS Edge)
    Für die Verbindung zu MSN und anderen Diensten benötigen Sie zwingend einen EDGE-Server, welcher die Verbindung zwischen der internen Umgebung und dem Internet herstellt
  • Zertifikate
    Da die Server untereinander natürlich sicherstellen wollen, dass Sie auch den richtigen Partner erreicht haben und die Daten verschlüsselt über die Leitung gehen, werden Zertifikate eingesetzt.
    Die Server "finden" sich übrigens nicht über DNS-Einträge sondern sind statisch konfiguriert. Daher ist es besonders wichtig, dass Sie einen beständigen Namen (z.B.: sip.firma.tld o.ä.) mit einem passenden Zertifikat nutzen.
  • PICS-Konfiguration
    Dann müssen Sie natürlich auf dem Edge-Server die Unterstützung von MSN aktivieren.

    Configuring IM Provider Support on Edge Servers
    http://go.microsoft.com/fwlink/?LinkId=156059
    Enabling Federation and Public IM Connectivity and Configuring Routing of Inbound and Outbound SIP Traffic http://go.microsoft.com/fwlink/?LinkId=156057
    2483178- A user who is part of a domain that is not in the Allow list can send messages to an Office Communications Server 2007 R2 user
  • Benutzer für PICs aktivieren
    Zuletzt müssen Sie natürlich auch beim Benutzer noch aktivieren, dass er Federation nutzen darf:
    PIC beim Benutzer
    Configure users für Federation, Public IM Connectivity, and Remote user Access at http://go.microsoft.com/fwlink/?LinkId=156061

Damit ist die Einstellung auf der Firmenseite soweit erledigt.

Firewall öffnen

Wenn Sie zwischen dem Edge-Server und dem Internet eine Firewall haben, die Pakete blockiert und filtert. dann müssen Sie natürlich die Zugriffe auf die Server von MSN erlauben. Hier die IP-Adressen (Stand Feb 2010)

64.4.9.181
64.4.9.245
64.4.50.110
65.54.52.53
65.54.52.245
65.54.227.249

Manchmal werden weitere Server addiert. Beachten Sie daher auch das OCS Blog nud LBs auf Hinweise wie z.B.

Verbindung zu MSN

Der nächste Schritt ist, dass sie bei MSN beantragen, ihre Domäne für Federation zu nutzen. Im MSN-System muss also hinterlegt werden, dass ihre Domain über DNS zu ihrem Edge-Server geroutet wird. Dieser "Provisioning"-Prozess ist über Microsoft einzuleiten-

  1. Microsoft Account Manager
    Suchen Sie den Kontakt zu ihrem Microsoft Account Manager. Er prüft quasi ab, ob sie die entsprechenden Lizenzen haben und starten dann die Federation an.
  2. Formular URL
    Sie sollten dann von ihrem Manager eine URL auf einen Webserver bekommen, auf dem Sie die erforderlichen Daten eintragen, z.B. ihre Domäne und den FQDN des Edge-Servers
  3. Formular ausfüllen
    Nachdem Sie die erforderlichen Angaben gemacht haben, senden Sie das Formular ab. Offiziell kann die Verarbeitung aber bis zu 30 Tage dauern. Meistens funktioniert die Verbindung aber schon früher.

Über folgende URL können Sie PICS mit MSN aktivieren https://ocspic.livemeeting.com/provision/. Nach der Anmeldung per LiveID sollten Sie genau die Voraussetzungen lesen und dann ihre Volume License Nummer eintragen:

Seit Lync ist die URL und das Fenster etwas geändert

Im folgenden Fenster können Sie dann die Federation unter Angabe eines primären und sekundären Kontakts beantragen und dann ihren Edge-Server und die Domains hinterlegen

MSN Kontakte im Communicator addieren

Natürlich müssen die Anwender nun noch ihrerseits die gewünschten Kontakte addieren. Bei Kontakten aus anderen OCS-Umgebungen reicht die einfache SIP-Adresse, welche in den meisten Fällen auch die Mailadresse ist. Benutzer, die bei einem der öffentlichen Netze (z.B. MSN) erreicht werden wollen, haben ja nicht immer eine Adresse der jeweiligen Domain. Meine MSN-Adresse ist ja auch nicht frank.carius at msn.com, sondern endet mit @carius.de. (Mehr wird hier nicht verraten. Um so einen Benutzer per Federation zu erreichen muss eine besondere Schreibweise verwendet werden:

user(domain.com)@msn.com

Auf dem MSN müssenger bekommt ich dann die "Einladung"

Umgekehrt kann ein MSN-Benutzer natürlich einfach ihre Mailadresse (bzw. ihre SIP-Adresse, wenn diese abweichend sein sollte) in seinem MSN-Messenger eintragen und ihren OCS-Status einsehen. Zumindest wenn Sie als Anwender ihn in die entsprechende Zugriffsliste addiert haben. Nachdem die "Gegenseitigkeit" eingerichtet ist, kann der MSN Anwender sehr einfach den Lync Anwender sehen.


Statusanzeige im MSN-Messenger, wenn der Lync-Anwender sich anmeldet


Info im Lync Communicator bei einer eingehenden Nachricht aus MSN

Kontakte aus MSN nach Lync/OCS übertragen

Nun kann es ja sein, dass eine Firma schon mehrere Personen hat, die eine MSN-Adresse mit der eigenen Domäne verwenden. Das war bei mir auch so. Mein frühere PassportID war mal frank.carius@netatwork.de. Ehe hier die Einrichtung einer Federation möglich war, muss ich natürlich meine LiveID erst mal ändern, damit die Domain "netatwork.de" umgeschaltet werden konnte. Aber nachdem die Federation eingerichtet worden war, war der "Live müssenger" ja obsolet.

Allerdings wollte ich natürlich meine Kontakte aus MSN liebend gern in Lync addieren. Sicher, wer nur ein paar Kontakte hat, kann das einfach von Hand machen. Allerdings muss dabei ja auch die Schreibweise geändert werden. Aus einem user@liveid.tld wird dann ein user(liveid.tld)@msn.com, was schon etwas Arbeit ist.

Aber auch hier hat Microsoft im Ressource Kit ein passendes Tool schon bereit gestellt. Zuerst benötigen Sie also das OCS/Lync Ressource Kit (Download bei Microsoft)

Microsoft Lync Server 2010 Resource Kit Tools
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=80cc5ce7-970d-4fd2-8731-d5d7d0829266

Nach der Installation finden Sie das Programm leider nicht im Startmenü sondern nur als direkter Aufruf

C:\Program Files (x86)\Microsoft Office Communications Server 2007\ResKit\ImportContact

Die Funktion ist dann aber trivial: Einfach das Programm starten und den MSN Benutzernamen eingeben.

Der "Rest" erfolgt automatisch. Sie müssen natürlich ihren Office Communicator bereits gestartet haben und angemeldet sein.

Hinweis:
Mein letzter Versuch ist mal wieder gescheitert. Mit dem richtigen Kennwort meldete er, dass er die Kontakte nicht erreichen kann und mit falschen Anmeldedaten kommt ein "Authentication failed". Vielleicht baut MSN mal wieder an den Schnittstellen.

Audio und Video

Ein MSN-Anwender kann mit Lync sogar Audio und Video mit Lync verbinden.

Allerdings sind damit ein paar vorarbeiten erforderlich, weil MSN natürlich keine Verschlüsselung kann. Die muss also erst mal von "RequireEncryption" zurück gestellt werden.

Set-CsMediaConfiguration -EncryptionLevel supportencryption

Weiterhin muss natürlich wieder die Richtlinie angepasst werden. Hier ein Beispiel, um eine bestehende Richtlinie, die bei mir "alles" darf" auch die Videofunktion für MSN erlaubt.

Set-CsExternalAccessPolicy `
   -Identity "Allow Federation+Public+Outside Access" `
   -EnablePublicCloudAudioVideoAccess $true

Nun können Sie mir mir also auch per MSN in Bild und Ton in Kontakt treten.

Weitere Links