Installation d'Office Communications Server (OCS) 2007 R2 Standard

Avant de commencer l'installation, il y a des composants de Windows à installer. Pour une installation simple, ouvrez PowerShell puis lancez les deux commandes suivantes :

Import-Module ServerManager
Add-WindowsFeature -restart Web-WebServer,Web-Asp-Net,Web-Windows-Auth,Web-Mgmt-Tools,Web-Mgmt-Compat,NET-Framework-Core,MSMQ-Server,RSAT-ADDS,Desktop-Experience

La première ligne ajoute le module de gestion du serveur dans Powershell. Grâce à celui-ci, vous pouvez lancer la deuxième ligne qui ajoute différents composants de Windows (Rôle, Service de rôle et Fonctionnalités). Lorsque vous lancerez la deuxième commande, le serveur redémarrera automatiquement grâce au paramètre -restart. Les composants suivants seront installés :

• Web-WebServer : Serveur Web ;
• Web-Asp-Net : ASP.NET ;
• Web-Windows-Auth : Authentification Windows ;
• Web-Mgmt-Tools : Outils de gestion ;
• Web-Mgmt-Compat : IIS 6 Management Compatibility ;
• NET-Framework-Core : .NET Framework 3.5.1 ;
• MSMQ-Server : Serveur Message Queuing ;
• RSAT-ADDS : Outils AD DS ;
• Desktop-Experience : Expérience utilisateur.

OCS requiert Visual C++ 2008 Redistributable x64. Ce package est disponible sur le DVD dans \Setup\amd64\vcredist_x64.exe.

Sous Windows 2008 R2, vous devrez installer le KB 975858. Pour obtenir ce patch, vous devrez faire la demande en ligne. Je vous conseille de faire une mise à jour complète de votre serveur avant de commencer à installer OCS. Veillez à ne pas installer le KB 974571 immédiatement. Si vous l'avez installé, supprimez-le. Cette mise à jour pose en effet des problèmes avec OCS. Vous devrez installer OCS puis patcher l'installation et installer le KB. Je reviendrai sur ce point après l'installation d'OCS.

Redémarrez votre serveur pour finir la configuration des mises à jour. Vous pourrez commencer à préparer votre Active Directory pendant la mise à jour de votre serveur OCS pour ne pas perdre de temps.

La préparation peut se faire indépendamment de l'installation de votre serveur OCS. Il suffit d'insérer le DVD sur votre AD. Vous pourrez lancer les mêmes commandes à partir de votre serveur OCS, l'important étant d'avoir le DVD.

Commencez par aller sur le DVD dans le répertoire setup\amd64.

e:\
cd setup\amd64

Vous devrez commencer par préparer le schéma. Le nom précisé après /forest est le nom de votre forêt.

lcscmd /forest:todorovic.adds /action:schemaprep

Si vous avez plusieurs contrôleurs de domaines, contrôlez que la réplication a eu lieu ou forcez-la.

Ensuite, préparez votre forêt. Placez les informations dans la partition de configuration d'Active Directory. Enfin, si vous êtes dans une configuration split-DNS, précisez le domaine SIP. Je vous conseille de préciser le domaine externe même si vous ne voulez pas l'utiliser tout de suite. Reconfigurer votre domaine SIP vous prendra beaucoup de temps. Si vous utilisez un domaine public comme domaine AD, vous n'avez pas besoin de préciser de domaine SIP : par défaut, OCS prendra votre domaine AD comme domaine SIP.

Le domaine SIP est le domaine auquel appartiennent vos utilisateurs OCS : leur adresse SIP (sous forme d'adresse email) contiendra le domaine SIP. Il est quasiment certain que chaque utilisateur possède une adresse email. Je vous conseille donc de prendre le même domaine SIP que votre domaine email. Il ne restera plus qu'à prendre l'adresse email de l'utilisateur comme adresse SIP lors de la création des comptes OCS. Cela va simplifier les communications d'adresses dans la mesure où vos utilisateurs n'auront qu'une seule adresse à retenir : leur adresse email.

lcscmd /forest:todorovic.adds /action:forestprep /global:configuration /SipDomain:todorovic.fr

Si vous avez plusieurs contrôleurs de domaines, vérifiez que la réplication a eu lieu ou forcez-la.

Enfin, vous devrez préparer votre domaine.

lcscmd /domain:todorovic.adds /action:domainprep

Si vous avez plusieurs contrôleurs de domaines, assurez-vous que la réplication a eu lieu ou forcez-la.

Vous pouvez maintenant commencer à déployer votre serveur OCS.

Le DVD d'OCS embarque deux versions : entreprise et standard. Ce tutoriel concerne la version standard. Lancez donc l'installation de la version standard depuis la fenêtre qui va s'ouvrir ou allez ouvrir \Setup\amd64\setupse.exe sur le DVD. Vous arriverez alors sur l'assistant d'installation. Cliquez sur Déployer un serveur.

Le déploiement du serveur comprend plusieurs étapes : déploiement, configuration, certificats, lancement des services. Commençons par l'étape 1 : déployer un serveur. Cliquez sur Exécuter.

L'assistant déploiement démarre : acceptez les termes du contrat de licence puis spécifiez l'emplacement d'installation des fichiers. Comme d'habitude, il est conseillé d'installer ces fichiers sur un disque non système. Je l'installe ici sur le disque D.

OCS contient par défaut plusieurs applications. Installez celles dont vous avez besoin.

• Intendant conférence : cette application va permettre à des personnes de joindre une conférence audio/vidéo grâce à leur téléphone classique.
• Service d'annonce de conférence : ce service annonce l'arrivée ou le départ des utilisateurs avec un téléphone classique ainsi que les actions faites par l'organisateur sur les téléphones comme la mise en silence par exemple.
• Service Response Group : ce service permet la création de files d'attente et de routage. Cela permet de créer des centres d'appel, de help-desk, etc
• Contrôle vocal extérieur : ce service permet de mettre à disposition la voix à vos clients mobiles (via Communicator Mobile).

OCS 2007 R2 a besoin de deux comptes pour lancer ses services. Vous devrez créer ces comptes ou alors utiliser l'assistant d'OCS. Par défaut, ces comptes sont nommés RTCService et RTCComponentService. Ces comptes ne sont pas des comptes de service : leur mot de passe est soumis à la politique de mots de passe de l'entreprise. Ils vont donc expirer. Pour éviter tout souci, je vous conseille de modifier ces comptes pour mettre un mot de passe qui n'expire jamais.

Dans la version standard d'OCS, vous ne pouvez pas créer plusieurs pools. Un pool est un regroupement de serveurs OCS. L'assistant va créer le nom de votre pool interne à partir du nom de serveur et du domaine Active Directory. Si vous prévoyez une utilisation externe de votre serveur OCS, spécifiez le nom de pool externe.

L'assistant va ensuite vous demander l'emplacement des fichiers de log et de base de données. Encore une fois, il est conseillé de les installer sur un disque non système.

Un résumé des paramètres d'installation sera affiché puis vous pourrez procéder au déploiement du serveur.

Normalement tout se passe correctement. Si vous avez une erreur lors de l'activation de votre serveur, contrôlez que vous n'avez pas le KB 974571 d'installé.

Le serveur a été déployé, mais il reste deux étapes très importantes : la configuration du serveur et la configuration des certificats. Nous allons commencer par l'étape 2 à savoir la configuration du serveur.

Il faut commencer par préciser le pool que l'on souhaite configurer. Dans le cadre de l'installation d'une édition Standard, vous n'aurez guère le choix : une édition Standard ne peut gérer qu'un seul pool.

Vous devrez ensuite indiquer les domaines SIP de votre environnement. Si vous avez plusieurs domaines SIP, cela sera utile pour le routage.

Comme dans Exchange avec Autodiscover (configuration automatique du client), OCS dispose d'un mécanisme de connexion automatique. Cette connexion ne peut se faire qu'avec une configuration DNS adéquate. Je vais expliquer comment configurer le DNS après que l'installation d'OCS soit finie.

Si vous choisissez la configuration manuelle des clients, vous devrez indiquer sur chaque client où se connecter, l'identifiant et le mot de passe de l'utilisateur.

Vous devrez ensuite sélectionner les domaines SIP pris en charge par votre pool pour l'authentification. Sélectionnez votre domaine afin que vos utilisateurs puissent se connecter sur ce pool.

Il est possible de configurer l'accès des utilisateurs externes via l'assistant. Cela va principalement consister en la configuration d'un serveur de périmètre nommé Edge. Pour le moment, nous n'allons pas configurer cet accès externe.

Un résumé de la configuration du serveur sera affiché. Cette configuration sera appliquée en cliquant sur Suivant.

Si la préparation de l'Active Directory indique un domaine SIP différent que le domaine SIP pris en charge par le pool, vous aurez une erreur. Vous devrez donc désintaller intégralement OCS puis recommencer en précisant le même domaine SIP pris en charge.

S'il n'y a pas eu d'erreur de préparation, la configuration se passera bien et l'étape 2 sera finie.

Voici la partie que je préfère. Elle peut rapidement devenir un vrai cauchemar si vous n'avez pas précisément identifié les différents noms de votre serveur ou si vous ne distribuez pas le certificat racine de votre autorité de certification. Cette étape peut également être compliquée si votre autorité dispose d'une CRL (Certificate Revocation List) non fonctionnelle. Commençons donc l'étape 3 : configuration des certificats.

En cliquant sur Exécuter, vous lancerez l'assistant certificat d'OCS. Sélectionnez Créer un certificat puis cliquez sur suivant.

Selon la configuration de votre autorité de certification, vous pourrez lui envoyer la demande en ligne ou non. Mon autorité d'entreprise permet l'inscription de certificat en ligne donc j'enverrai directement la requête à l'autorité. Vous pourrez enregistrer la demande dans un fichier pour la soumettre à l'autorité ultérieurement.

Vous devrez indiquer le nom convivial du certificat : attention, ce n'est pas le nom commun du certificat (=nom du serveur), mais un nom qui permet de distinguer ce certificat dans le magasin de certificats. La longueur de clé est modifiable, mais attention à l'impact sur les performances de votre serveur OCS. Plus la clé est longue et plus les communications seront sécurisées, mais le chiffrement prendra également plus de temps. Cela ne pose pas vraiment de problème lorsque vous utiliserez la messagerie instantanée. Lorsque vous aurez besoin de communication rapide pour l'audio ou la vidéo, la taille de la clé de cryptage aura une forte influence sur la qualité de la communication.

Il sera nécessaire d'inclure l'EKU (Extended Key Usage) dans la demande de certificat si vous utilisez plusieurs serveurs OCS (front-end, mediation gateway, etc). Vos serveurs vont en effet utiliser MTLS (Mutual-TLS) afin de s'identifier mutuellement et garantir une sécurité optimale.

Vous devrez ensuite indiquer les noms de votre organisation et unité d'organisation.

Voici venue l'étape la plus importante de l'assistant : la configuration des noms du certificat. L'assistant remplit les champs de manière automatique. Contrôlez que le nom de sujet est égal au nom complet de votre serveur. Dans les autres noms de sujet, il y a sip.nom_du_domaine_SIP. J'ai ajouté cwa.nom_du_domaine_SIP pour Communicator Web Access.

Vous devrez ensuite préciser quelques informations géographiques pour la création du certificat.

Si vous avez choisi l'inscription en ligne de votre certificat, l'assistant vous proposera les autorités de certification disponibles en se basant sur les informations de l'Active Directory. Si vous souhaitez utiliser une autre autorité, vous pourrez la spécifier.

Un résumé de la demande de certificat sera affiché. En cliquant sur Suivant, vous inscrirez votre certificat.

Une fois le certificat créé, vous pourrez l'assigner immédiatement à votre serveur OCS. Vous pourrez également afficher le certificat pour contrôler que les informations sont correctes.

Encore un petit résumé avant d'effectuer l'assignation du certificat.

Le certificat est maintenant assigné à votre serveur, l'assistant est donc terminé.

Il reste cependant un peu de travail. OCS possède en effet quelques services web et les applications OCS fonctionnent par service Web. Il faut donc configurer les liaisons du site IIS configuré sur le serveur OCS.

Pour configurer l'accès sécurisé, il est nécessaire d'ajouter une nouvelle liaison. Pour cela, ouvrez la console de gestion de IIS puis déployez l'arborescence pour arriver jusqu'au site par défaut. Faites un clic droit sur le site par défaut puis allez sur Modifier les liaisons.

Les liaisons du site sont alors affichées. Il n'existe pas de liaison pour HTTPS, il faut donc en créer une en cliquant sur Ajouter.

Le type de la liaison est https sur le port 443 (par défaut). N'entrez pas de nom d'hôte, mais sélectionnez le certificat OCS créé précédemment. Le certificat s'affichera avec le nom convivial que vous avez choisi. Si vous avez un doute, vous pouvez afficher le certificat.

Fermez tout puis relancez IIS en lançant la commande suivante :

iisreset

Votre serveur IIS est maintenant configuré, vous pouvez démarrer les services OCS.

Plusieurs services vont être démarrés, l'assistant vous indique lesquels.

Le démarrage prend quelques instants. Si tout se passe bien, l'assistant se terminera et cela veut dire que votre serveur OCS est correctement configuré. Sinon, l'assistant vous signalera l'échec du lancement des services. Vous pourrez alors voir la log du lancement des services afin de diagnostiquer le problème.

Une fois les services démarrés, revenez sur la première page de l'assistant d'installation (ou relancez l'installation) afin d'installer les outils d'administration. Ces outils d'administration sont indispensables pour créer des comptes SIP et des droits d'accès pour vos utilisateurs.

Relancez Microsoft Update : le serveur SQL devrait être mis à jour. Le KB 974571 devrait également être installé. Vous pouvez maintenant l'installer puisque OCS est installé. Vous devrez cependant exécuter un petit programme afin de résoudre l'incompatibilité avec OCS : ocsasnfix.exe.

Exécutez ocsasnfix depuis une invite de commandes afin de voir son comportement. Vous devriez voir une ligne contenant Fixing registry data confirmant que le programme a bien fait son travail.

C:\Users\administrateur\Downloads>ocsasnfix.exe
Checking OCS/LCS Server installation...Fixing registry data
Checking Office Communicator 2007 Eval installation...not installed.
Checking Office Communicator 2005 Eval installation...not installed.

OCS n'est pas mis à jour via Windows/Microsoft Update. OCS est mis à jour tous les trimestres à travers les Cumulative Update. Allez sur la page Microsoft Office Communications Server 2007 R2 Hotfix KB 968802. Sur une version d'OCS Standard, téléchargez ServerUpdateInstaller.exe et OCS2009-DBUpgrade.msi. ServerUpdateInstaller contient toutes les mises à jour apportées par la Cumulative Update courante. OCS2009-DBUpgrade va mettre à jour la base de données SQL du serveur OCS.

Avant de commencer la mise à jour, il est conseillé d'arrêter tous les services OCS. Avec PowerShell, lancez ceci :

Stop-Service -force RTCACD,RTCACPMCU,RTCASMCU,RTCAVMCU,RTCCAA,RTCCAS,RTCCCS,RTCDATAMCU,RTCIMMCU,RtcQmsAgent,RtcSrv,RTCAPPSRV

Lancez OCS2009-DBUpgrade.msi puis ServerUpdateInstaller.exe. ServerUpdateInstaller va contrôler l'état des mises à jour OCS et indiquer si une mise à jour est nécessaire ou non. Dans notre cas, aucune mise à jour n’a été installée, il va donc falloir toutes les installer en cliquant sur Install Updates.

Une fois les mises à jour effectuées, vous devrez redémarrer. Notez que l'état des mises à jour a été changé.

Je vous conseille de déployer la mise à jour CU5 du client Communicator chez vos utilisateurs. La mise à jour est indépendante de la langue : vous ne trouverez donc pas ce hotfix dans votre langue.

Votre serveur OCS est enfin installé et mis à jour. On peut donc configurer le DNS pour que vos utilisateurs puissent se connecter automatiquement. Il faudra ensuite activer ces utilisateurs pour OCS.

Afin que vos utilisateurs puissent s'authentifier sur le bon serveur juste en ouvrant leur client Communicator, il faut ajouter des enregistrements dans votre serveur DNS. Le premier correspond au nom alternatif de votre serveur. Il faut donc créer un CNAME nommé sip.domaine_sip vers votre serveur. Dans mon cas, j'ai une zone publique sur mon DNS d'Active Directory (split-dns). Cela permet aux utilisateurs de se connecter avec toujours la même adresse, qu'ils soient à l'intérieur ou à l'extérieur de l'entreprise.

Vous devrez avoir une zone correspondant à votre domaine SIP dans votre DNS. Allez dans cette zone et créez un enregistrement CNAME.

Le second enregistrement est de type SRV. Les clients Communicator ou Communicator Phone Edition (client embarqué sur un téléphone IP) vont par défaut demander la localisation du serveur OCS via un enregistrement standard. Le même principe se retrouve dans Active Directory avec la localisation des serveurs AD via l'enregistrement SRV _ldap._tcp.domaine_AD. Dans OCS, l'enregistrement est nommé _sip._tls.domaine_SIP. Créez un enregistrement SRV dans votre zone domaine_SIP. Le protocole est _tls, le service est _sip. Le numéro de port sur lequel se trouve le service _sip._tls est le 5061 : il s'agit des connexions sécurisées. Enfin, il faut indiquer le serveur auquel on doit s'adresser : sip.domaine_SIP.

Les clients Communicator peuvent maintenant trouver le serveur OCS automatiquement et s'y connecter. Il reste cependant une chose importante à faire pour que vos utilisateurs puissent se connecter à OCS : il faut activer leur compte OCS.

Lors de l'installation des outils d'administration, l'utilitaire « Utilisateurs et ordinateurs Active Directory » (installé par RSAT-ADDS) a reçu des plugins OCS. Vous pouvez y accéder en lançant dsa.msc. Si vous voulez gérer vos utilisateurs OCS depuis un autre serveur, vous devrez y installer les outils d'administration OCS.

Je souhaite créer un compte OCS à un utilisateur qui ne possède pas d'adresse email. Mon utilisateur est nommé No Mail. Il est possible de créer plusieurs comptes OCS à la fois en sélectionnant tout simplement plusieurs utilisateurs. Faites un clic droit sur l'utilisateur voulu puis Activer les utilisateurs pour Communications Server.

Vous pourrez sélectionner le pool auquel vous souhaitez affecter votre utilisateur. Dans une édition standard, vous n'aurez qu'un seul pool.

C'est là où le fait que l'utilisateur ne possède pas d'adresse email est important. Vous pouvez créer des comptes OCS avec l'URI SIP basée sur l'adresse email ou en la créant à partir des informations de l'utilisateur. L'adresse email peut être renseignée à la main dans l'attribut prévu à cet effet dans Active Directory ou directement grâce à un serveur de messagerie comme Exchange.

Le résumé vous affiche le pool auquel seront affectés les utilisateurs ainsi que le format de leur URI SIP.

La création des comptes prend quelques secondes. Vous pourrez savoir quels comptes ont été créés avec succès ou non. Vous pourrez également exporter la liste de ces comptes.

Ouvrez une session Windows avec votre utilisateur activé pour OCS puis ouvrez Communicator.

Cliquez sur Connexion. Si vous avez un message d'erreur, vous pouvez avoir une version explicite dans l'observateur d'événements (eventvwr.msc). Les problèmes fréquents sont un problème de certificat sur le serveur (nom présenté différent du nom du certificat) ou un problème de validation de chaine de certification (autorité racine qui n'est pas dans le magasin autorités racine de confiance de l'ordinateur, révocation non fonctionnelle ou certificat révoqué). Si vous n'avez pas de message, vous devriez alors être connecté.