SIPDomainRename

Was müssen Sie alles anstellen, wenn die Firma die SIP-Domäne ändern will ?. Sicher kann man in Lync auch sekundäre SIP-Domänen angeben aber dann bleibt die primäre Adresse weiter vorhanden, wird von internen Diensten genutzt und auch die URLs für Meeting etc. sind vielleicht nicht genau das, was Sie noch haben sollen. Insbesondere, wenn sich der Namen im Rahmen einer Umfirmierung ändert, sind sogar verweise auf den alten Namen nicht nur unschön, sondern müssen möglichst ausgemerzt werden.

Zugegeben, eine Umbenennung des Active Directory ist fast nicht mehr möglich, zumindest wenn Exchange (wovon ich ausgehe) vorhanden ist. Aber auch einen Lync Server kann man nicht "umbenennen" ohne dass er beim Deployment dann seiner Lync Rollen entbunden wird. Bei Exchange kann es ja schon reichen die URLs und die SMTP-Domänen anzupassen. Die FQDN der Server wird man bei Exchange, anderen Servern und auch den Lync Servern gleich lassen. Wer hier "aufräumen" will, wird letztlich ein neues Active Directory parallel aufbauen und dann alle Dienste als "Cross Org Migration" umziehen. Aber wenn es "nur" um die nach außen sichtbaren SIP-Domänen und URLs geht, dann kann Lync relativ überschaubar und schnell auf diese neue Umgebung umgestellt werden.

Im Folgenden gehe ich davon aus, dass ALT.TLD ersatzlos durch NEU.TLD ersetzt werden soll, d.h. auch die primäre SIP-Domäne angepasst wird aber die Server selbst natürlich bestehen bleiben.

Planung

Auch wenn die gleich im technischen Abschnitt "Umstellung" beschriebenen Schritte recht überschaubar erscheinen, so sollten Sie das Thema nicht unterschätzen und den umstieg entsprechend Planen. Sie müssen auf jeden Fall die Anwender über die Veränderungen informieren. So werden sie ihre Buddy-Liste zwar behalten, aber nach dem Wechsel der SIP-Adresse müssen Sie diese auch in ihrem Communicator neu eingeben. Sie werden auch die "Federated Users" weiter behalten aber da sie nun eine andere "ID" sind, müssen die Kommunikationspartner natürlich den Kontakt mit der alten SIP-Adresse löschen und den neuen Kontakt addieren. Leider kennt Lync noch keine "Secondary SIP-Adresse" wie Exchange dies mit den ProxyAddresses elegant löst.

Auch Administrativ müssen Sie natürlich einige Abhängigkeiten klären, da sich durch den Wechsel auch die Namen in den Zertifikaten verändern. Das kann Auswirkungen auf UCMA-Anwendungen, SIP-Gateways, SCOM Monitoring Dienstkonten, Exchange UM etc. haben.

Aber selbst bei aller Planung wird es immer wieder passieren, dass das ein oder andere nicht sofort wieder funktioniert. Hier sind sie gut beraten vorab eine Liste von Funktionen und deren TestMöglichkeit aufzustellen, um schnell eine vollständige Überprüfung durchführen zu können.

Auswirkungen auf Anwender

Der Anwender wird die Umstellung auf jeden Fall merken. An vielen Orten kommt seine SIP-Adresse zum Einsatz und nicht immer kann diese automatisch geändert werden. Leider kennt Lync keine sekundären Adressen, wie Exchange dies mit den ProxyAddresses kennt.

  • Windows Client: Anwender muss Anmeldung im Lync Client abbrechen um die SIP-Adresse zu korrigieren
    Der Communicator erkennt nicht alleine, wenn sich die  SIP-Adresse geändert hat. Wenn Sie diese Einstellung also nicht per Anmeldeskript o.ä. anpassen, wird sich der Client nicht mehr anmelden. Der Anwender muss manuell aktiv werden
  • Buddyliste „intern“ bleiben erhalten
    Allerdings wird durch die SIP-Änderung bei allen Kollegen in der gleichen Lync Topologie die Buddyliste nicht ungültig. Lync speichert intern zwar die SIP-Adresse aber dies ist nicht der primäre Schlüssel für die Buddyliste
  • Federation Partner: Information über neue SIP-Adresse.
    Anders ist dies für Federation Partner. Die Partner in ihrer Liste bleiben natürlich gültig, da sich deren Adresse nicht geändert hat. Aber in der Buddyliste ihrer Partner ist der nun ungültige Kontakt nicht mehr verfügbar und der neue Kontakt nicht bekannt. Entweder meldet sich ihr Partner und fragt nach oder sie senden ihm eine Information. Leider kann Lync keine entsprechende Information an den Absender senden.
    Umgekehrt sehen vielleicht sie nicht den bisherigen Status der Partner, da angewendete Vertrauenslevel des Partner nun nicht mehr greifen.
  • Alte Meeting-URLs ungültig
    Wenn sie auch die Simple-URL im Rahmen des Namenswechsel geändert haben, sind natürlich die Meeting-URLs nun nicht mehr erreichbar. Das gilt für anstehende Meetings aber auch, wenn Sie einmal in ein vergangenes Meeting zurückkehren wollen, um z.B. Anlagen herunter zu laden.
  • Anmeldung
    Wenn durch die Änderung der SIP-Adresse nicht auch der UPN mit geändert wird, dann werden die Anwender bei der Anmeldung nach Anmeldedaten gefragt.

Sie sollten also vor der Umbenennung auch die Anwender entsprechend einweisen.

Umstellung

Die Umstellung wird nicht ganz ohne Betriebsunterbrechung möglich sein, da eine Änderung der primären SIP-Domäne und der URLs eine doch tiefgreifende Veränderung ist. Mit einer guten Vorbereitung kann die Unterbrechung aber sehr kurz gehalten werden.

Lesen und verstehen sie die einzelnen Schritte bitte ehe Sie die Umstellung angehen. Eventuell ist die Reihenfolge für ihre Umgebung nicht passend. Eventuell wollen Sie zur Reduzierung von Ausfallzeiten z.B.: doch einen Parallelbetrieb der alten und neuen SIP-Domäne umsetzen und erst im zweiten Schritt die alte Domäne entfernen, wenn die Funktion verifiziert wurde. Diese Beschreibung ist die "Kurzform" und erhebt keinen Anspruch auf Vollständigkeit.

Bereich Tätigkeit Status

DNS

Selbst wenn die neue SIP-Domäne noch gar nicht genutzt wird, können die DNS-Einträge schon komplett eingetragen werden und sich replizieren. Idealerweise erfolgt dies einige Tage vorab, so dass Sie sicher überall auflösbar sind.

DNS (intern): sip.neu.tld A xx.xx.xx
DNS (intern): _sipinternaltls._tcp.neu.tld 0 0 5061 sip.neu.tld
DNS (intern): poolname A ip-adresse
DNS (intern): lyncweb A ip-adresse
DNS (intern): lyndiscoverinternal A ip-adresse
DNS (intern): owcserver A ip-adresse

DNS (extern): DNS-Namen analog zu den bestehenden Namen umsetzen

 

Federation/PIC

Wenn Sie eine Lync Federation mit anderen Firmen haben und die Partner ihre alte Domäne explizit eingetragen hatten um z.B. das Throttling zu umgehen, dann sollten Sie den Firmen ankündigen, dass und wann sie die SIP-Domäne ändern und darum bitten, dass die Administratoren die neue Domäne schon mal in die Federation Liste aufnehmen.
Das gleiche gilt natürlich für die Federation zu MSN/Skype und anderen Diensten.

 

Zertifikate

Wer die Zertifikate mit dem Lync Deployment Wizard anfordert, kann diesen Schritt erst nach der Anpassung der Topologie machen. Wer aber eh weiß, welche Namen erforderlich sind, kann die Zertifikate auch schon vorab beantragen und im Computer anlegen aber eben einfach noch nicht binden. Nur wer mit SAN-Zertifikaten sowohl die alten also auch neuen Namen gleichzeitig bereitstellen kann (Kosten !) kann die neuen Zertifikate schon binden um die Ausfallzeit zu minimieren.

 

Topologie

Dann geht es erst richtig los, indem in der Topologie nun die Daten geändert werden:

  • ändern der primären SIP-Domäne
  • Anpassen der SimpleURLs
  • Anpassen der externen Edge-Namen
  • Publish Topologie
  • Kontrolle der Replikation

 

Deployment

Nun geht es darum, jedem Server die neuen Einstellungen zu verpassen. Da hierbei auch IIS-Rewrite-Regeln etc. angepasst werden, sollten Sie über den Deployment Wizard zwei Punkte durchführen:

  • Deploy Lync Server Roles
    Damit werden Serverrollen installiert/deinstalliert (Bootstrapper) und vor allem am Ende ein "Enable-CSComputer" durchgeführt.
  • Zertifikate
    Dann müssen Sie die neuen Zertifikate für die neuen Namen anfordern und binden oder vorab bereits vorbereitete Zertifikate an die Dienste binden.

Diese Aktionen müssen Sie auf allen Lync Servern durchführen.

 

TK-Kopplung

Nutzen Sie als Anbindung zu einem Gateway SIP/TCP statt SIP/TLS und IP-Adressen anstatt Namen . Bei der Umstellung ist dies nun natürlich ein Vorteil, da sie dann nichts machen müssen. Nur wenn die Verbindung zwischen Gateway und Mediation Server per TLS erfolgt, müssen Sie eventuell den "`NextHop" oder die Zertifikate anpassen. Prüfen Sie dies. Es kann auch sein, dass Sie gar nichts machen müssen, wenn die Namen wirklich gleich bleiben und der Geräte-FQDN weiterhin im Zertifikat enthalten bleibt.

 

OWC

Auch die Office Web Components nutzen eine "internal" und "external"-URL, die vermutlich den alten Domänennamen enthält und Extern von anonymen Meeting-Teilnehmern oder Federation-Partnern genutzt wird. Diese Daten ändern Sie mit der OWC PowerShell.

 

Firewall

Auch wenn durch die Änderungen keine Anpassungen der Firewall im Bezug auf Ports oder IP-Adressen erforderlich sind, sehe ich die "sichere Veröffentlichung einer Webseite" per Reverse Proxy als Teil einer Firewall-Lösung an. Hier sind auch die neuen Namen z.B. als Listener, PublicNames etc. einzutragen und das Zertifikat zu tauschen bzw. zu erweitern.

 

Exchange Autodiscover

Wenn mit der SIP-Adresse auch die Exchange Adresse geändert wird, dann benötigen sie auch neue "Autodiscover"-Zertifikate auf den Exchange Servern.

 

ExchangeUM

Im Bezug auf die Kopplung von Lync und Exchange ist hier nichts erforderlich. Sehr wohl aber müssen Sie bei den Clients noch einmal nachschauen, da die SIP-Adresse auch in den ProxyAddresses enthalten ist und entsprechend angepasst werden muss.

 

SIP-Adressen

Es reicht nicht, die BackendUmgebung umzustellen. Sie müssen natürlich auch die SIP-Adressen aller Lync Objekte entsprechend auf die neue Domäne anpassen. für wenige Anwender können Sie dies noch über das Control Panel (Browserbasiert) machen. Aber vergessen Sie dabei nicht all die anderen "besonderen" Applikationskontakte, z.B.

  • CSAnalogPhone
  • Responsegroup
  • CallPark
  • Lync Contacts
  • Audio Test Service
  • SCOM Testaccount
  • UCMA Applikationen

Speziell wenn die alte SIP-Domain komplett entfallen soll, sind hier eventuell Nacharbeiten erforderlich.

 

Cleanup

Auch alte Einträge sollten zeitnah und aus meiner Sicht am besten schon während der Umstellung bereinigt werden. Die Praxis zeigt, dass sich viel später keiner mehr ran traut, und die Einträge dann verbleiben. Niemand weiß dann, ob sie vielleicht doch nicht gebraucht werden. Das betrifft z.B. die alten DNS-Einträge für die entfallene SIP-Domäne.

 

Funktionstests

Idealerweise nutzen Sie natürlich schon während der Umstellung Lync weiter. Ich hoffe aber, dass Sie schon bei der damaligen Installation sich eine Lync Testmatrix erstellt haben, anhand derer sie nun schnell prüfen können, ob die geforderten Funktionen funktionieren.

Perfekt ist es natürlich, wenn diese Tests schon während der Umstellung mitlaufen und sie quasi einen "Realtime-Status "haben, wie weit sie sind oder was vielleicht noch nicht repliziert oder aktiviert ist.

 

 

Weitere Links