Polycom HDX7000

Am Beispiel einer HDX 7000 eines Kunden konnte ich die Installation und Konfiguration mit Lync 2010 dokumentieren. Auch wenn ich hier einige Bilder und Tipps habe, so sollten Sie sich unbedingt die aktuelle Anleitung von Polycom herunter laden und durchlesen:

UC Deployment Guide
http://support.polycom.com/global/documents/support/setup_maintenance/products/video/UC_Deploy_Guide_MS.pdf

Voraussetzungen

Wenn ihre HDX erst mal "Lync-kompatibel" ist, dann müssen Sie dennoch ein paar Voraussetzungen erfüllen:

  • Firmware-Stand 3.0.0.2
    Für die Verbindung mit Lync muss Firmware 3.0.0.2 oder höher installiert sein. Irritieren ist, dass manchmal von 3.0.2 und dann wieder von 3.0.0.2 gesprochen wird. Im SIP-Trace erscheint sie aber als 3.0.0.2
  • NTLM Security
    Die Polycom kann per Default sich per NTLM oder NTLM2 anmelden. Sollten Sie jedoch schon Windows 2008 R2 DCs neu installiert haben, dann ist die Standardverschlüsselung auf hoch gesetzt. Das kann die Polycom noch nicht. Sie müssen dann die Windows Anmeldesicherheit wieder etwas herunter stellen.
  • TCP statt TLS
    Per Default hört Lync nicht au dem Port 5060, so dass Sie TLS einstellen sollten. Allerdings muss dann die Polycom der Zertifizierungsstelle vertrauen. Sie können relativ einfach das Stammzertifikat auf die Polycom hochladen. Alternativ auf dem Lync Port 5060 zu öffnen geht auch, aber dann können Sie später nicht das Adressbuch verwenden.
  • Media Encryption
    Eine Verschlüsselung des Medienkanals ist noch nicht möglich. Per Default steht bei Lync diese Einstellung auf "RequireEncryption" und muss daher auf "SupportEncryption" zurück gestellt werden.
  • Richtige Anmeldedaten
    Und dann benötigen Sie natürlich einen Active Directory Benutzer, der optional ein Exchange Postfach bekommt und die korrekten Anmeldedaten in den richtigen Feldern

Aber das sind alles "lösbare" Aufgaben.

Lync Einstellungen

Gerade wenn man die erste HDX installiert und nicht genau sicher ist, was da passiert, kann man für eine einfachere Analyse auf dem Lync Server auch den Port 5060 (SIP over TCP) öffnen.

Info:
Sie müssen den Port 5060 nicht aufmachen. Wenn Sie die Stamm-CA ihres Lync Zertifikats auf dem Konferenz-System importieren, dann sollte es auch TLS machen können.

PS C:\> Set-CsRegistrar 'registrar:poolname.msxfaq.de' -sipservertcpport 5060

Dann kann bei der Einrichtung auf der Polycom auf den Einsatz von TLS erst mal verzichtet werden und sie umgehen damit erst mal Probleme mit Zertifikaten, CRLs, StammCAs etc. Allerdings sollten Sie sich merken, dass Sie später doch wieder SSL aktivieren und auf dem Server stoppen.

Eine zweite Einstellung auf dem Server betrifft die Verschlüsselung der Mediadaten. Per Default erzwingt Lync die Verschlüsselung:

PS C:\> Get-CsMediaConfiguration

Identity : Global
EnableQoS : False
EncryptionLevel : RequireEncryption
EnableSiren : False
MaxVideoRateAllowed : VGA600K

Das ist an sich gut, aber verhindert, dass die Polycom mit den Lync Clients eine Audio/Video-Verbindung aufbauen kann. Bis dies Polycom löst, müssen Sie also aus dem Zwang eine Option machen.

PS C:\> Set-CsMediaConfiguration "global" -EncryptionLevel SupportEncryption

Danach ist der Lync Server und die Client Policy für die Integration der Polycom vorbereitet.

Konferenzraumbenutzer anlegen

Die Polycom muss sich als Client am Lync anmelden. Das bedeutet, dass Sie einen Active Directory Benutzer anlegen, der für Lync aktiviert wird. Bei dem Benutzer sollten sie ein längeres Kennwort vergeben (Siehe auch Security) und dann aber den Zwang zur regelmäßigen Änderung deaktivieren. Sonst sind Sie wieder alle Wochen gefordert, auf allen Konferenzsystemen ein neues Kennwort einzutragen.

Mit einem kleinen Trick können Sie diesen Benutzer sogar als "Deaktiviertes Konto", ähnlich zu Exchange betreiben.

Der Benutzer bekommt eine SIP-Adresse und optional sogar eine Telefonnummer. Wenn Sie Exchange nutzen, dann können Sie diesem Benutzer auch ein Ressourcen-Postfach zuweisen, um den Konferenzraum einfach über Outlook zu "buchen".

Anmeldedaten

Die Verwaltung der HDX erfolgt über das LAN mit einem Webbrowser. Ich hole mir am Gerät per Fernbedienung und Monitor die IP-Adresse, die Firmware-Version und die Seriennummer und konfiguriere dann von einem PC aus.

Ale Anmeldung ist per Default "admin" und als Kennwort die Seriennummer des Geräts zu nutzen. Ich hoffe aber, dass ihr Installateur dies schon geändert hat.

Über die Einstellungen unter "Netzwerk - IP Netzwerk" müssen Sie unter SIP-Einstellungen die SIP-Daten des Active Directory Benutzers eintragen, den Sie dem Konferenzsystem zugewiesen haben.

TCP-Ports für RTC

Für den Aufbau von Audio und Video-Verbindungen werden per RTP weitere Ports benötigt. Wie überall in der Lync-Dokumentation zu lesen ist, nutzt Lync eigentlich die Port 50000-59999. Auch in der Dokumentation zum Lync Edge steht diese Portrange drin. Ich habe aber schon auf Lync Edge geschrieben, dass diese Einschränkungen mit den ein oder anderen Clients zu Problemen führen können. Und genau so ist das auch mit einer HDX passiert, welcher per Default "dynamische Ports" verwendet, die aber keineswegs zwischen 50000 und 59999 liegen.

Wer mag, kann hier feste Ports definieren, wobei auch hier die Angabe der Range nicht frei wählbar ist. Es ist z.B. nicht möglich, 500000 als Startwert zu nutzen.

DDie Polycom nutzt auch immer genau 6 aufsteigende TCP-Ports und 24 UDP-Ports. In dem Beispiel habe ich 49000 genutzt und in der Firewall zwischen internem LAN und Edge eben diese Ports auch noch freigeben lassen. Das fixieren der Ports hat nebenbei noch den Vorteil, dass z.B. QoS-Regeln auf dem Switch oder Verkehrsauswertungen anhand der festen Ports etwas einfacher werden.

Adressbuch

Die Polycom kann auch die Lync Buddy-Liste nutzen. Allerdings können Sie diese scheinbar nicht über die HDX selbst pflegen. Hier geht nur der Umweg über einen Lync Client. Sie starten also einen Lync-Client auf einem beliebigen PC und melden sich damit mit dem Konferenzraumbenutzer an. Hier sehen Sie dann erst einen "leeren Communicator", in dem Sie aber nun über das Adressbuch bevorzugte Kontakte in die Buddyliste aufnehmen können. Dann melden Sie sich einfach wieder ab.

Diese Kontakte kann die Polycom von Lync abrufen und dann als bevorzugte Ziele nutzen. Auch dies muss natürlich konfiguriert werden.

Achtung:
Der Download des Adressbuchs lässt die HDX nur über eine SSL-Verbindung zu, d.h. die Anmeldung am Lync per SIP/TLS auf Port 5061. Wenn Sie die Anmeldung per TCP nutzen, um mit Netmon oder anderen Tools eine Fehlersuche zu betreiben, dann ist hier schon Schluss.

Kalenderdienst

Wenn der Konferenzraumbenutzer auch ein Postfach hat, z.B.: für die Bereitstellung eines Konferenzraumkalenders, dann können Sie auch den Kalenderdienst einrichten, welcher per HTTPS/OWA vom Exchange Server den Kalender ausliest und anzeigt.

Status

Ob all ihre Konfigurationsarbeit von Erfolg gekrönt ist, können Sie natürlich einfach über einen Anruf feststellen. Aber Polycom hat in ihre Plattform auch eine "Diagnose"-Funktion eingebaut, die zu den Komponenten einen Systemstatus anzeigt. Einer davon bezieht sich auf den SIP-Registrierungsserver.

In dem Zuge sei erwähnt, das Sie unter dem Punkt "Systemprotokoll" ein ausführlicheres Log einschalten können. Dieses können Sie dann direkt im Browser als Textdatei herunterladen oder durch Angabe eines Syslog-Servers auch remote ablegen.

Verbindung

Über die Funktion "Anruf tätigen" können Sie direkt per Browser die Polycom anweisen, einen Ruf aufzubauen. Auch hier können Sie natürlich eine SIP-Adresse eingeben.

Interessant sind hier auch die statistischen Daten, wenn eine Verbindung besteht.

Weitere Links