Cerrar
InicioComunicaciones unificadasEliminar Skype for Business On-Premises forzosamente y habilitar usuarios en Skype for Business OnLine

Eliminar Skype for Business On-Premises forzosamente y habilitar usuarios en Skype for Business OnLine

En ocasiones (las que menos, o eso espero), algunas empresas se plantean la desinstalación de Skype For Business. Las razones por las que se toma la decisión de quitar Skype For Business son múltiples, yo destacaría dos como las más comunes:

  • Desconocimiento del producto
    • Usuarios sin conocimiento más allá de utilizar la IM, Envío de Ficheros, Compartir Escritorio y LLamadas (si tienen VoIP)
    • Administradores sin conocimiento técnico que les ayude a poner en valor SkypefB dentro de la compañía
  • Implementaciones sin las recomendaciones del fabricante
    • Pool con menos de 3 servidores
    • Front-END con 8GB de RAM
    • Certificados Públicos no implementados en los servicios externos (EDGE, Reverse-Proxy)

Tengo muchos más argumentos del porqué algunas empresas deciden prescindir de Skype For Business On-Premises, pero bueno, creo que no es el momento ni lugar de debatir este tipo de cuestiones. Por ello, únicamente me voy a centrar en comentaros un escenario poco común pero que puede que os encontréis en este tipo de procesos. Una empresa que “ha eliminado” Skype For Business sin más, vamos, que ha eliminado las máquinas virtuales de Skype For Business y ahora no tiene más que un Directorio Activo lleno de “suciedad”. Además, se tiene el directorio Activo federado con Office 365 y quieren ahora utilizar Skype For Business Online, pero que previamente tenían un entorno híbrido y conectado con Exchange Online utilizando la integración de la Mensajería Unificada. Para los que no tengan claro este tipo de integraciones, aquí os dejo dos artículos que os pueden ser de interés:

Ahora que ya tenemos identificado lo que queremos, que es limpiar el Directorio Activo de objetos de Skype For Business y habilitar a los usuarios en Skype For Business Online cuando tenemos un dominio federado. He creado un pequeño esquema de procesos en Visio para esta ocasión, en donde se puede apreciar de forma rápida las tareas que tenemos que realizar para llegar el objetivo deseado:

El orden puede variar en algunas tareas, o se pueden realizar de forma paralela sin problema. Yo he decidido dividirlo por bloques en función del servicio que vaya configurando, pero básicamente tenemos que higienizar el Directorio Activo On-Premises para que no tengamos objetos (cuentas de usuario, cuentas de equipos, etc..) y permisos que ya no necesitemos. Esto también es muy común, ver Directorios Activos llenos de grupos de seguridad, usuarios y permisos en el dominio que ya no son necesarios y que “molestan” por razones de organización y/o seguridad.

Ahora que ya tenemos toda la información sobre lo que tenemos que hacer, las tareas a realizar y el objetivo claro, vamos a ir completando paso a paso cada punto del diagrama:

Como previamente teníamos una instalación de Skype For Business, los usuarios tiene una serie de atributos cubiertos con la instalación de On-Premises. Toda la información sobre los atributos, clases, etc… que se han creado con la instalación de Skype For Business los tenéis aquí muy bien documentados: https://technet.microsoft.com/es-es/library/gg398379.aspx Ahora, únicamente necesitamos restablecer a valores nulos todos los atributos de los usuarios, porque sino no podremos habilitar Skype for Business Online (si, ya veis que al final en lo “único” que se fija Office 365 son en los atributos del usuario para saber si puede o no habilitar los diferentes servicios para los usuarios). Los atributos que tenemos que restablecer son los siguientes:

msRTCSIP-PrimaryUserAddress
msRTCSIP-PrimaryHomeServer
msRTCSIP-UserEnabled
msRTCSIP-OptionFlags
msRTCSIP-UserPolicies
msRTCSIP-DeploymentLocator
msRTCSIP-FederationEnabled
msRTCSIP-InternetAccessEnabled

Esto lo podemos hacer muy fácil vía PowerShell, aquí os dejo el cmdlet que tenéis que ejecutar en un Controlador de Dominio (no un RODC claramente):

Get-aduser -filter {msRTCSIP-PrimaryUserAddress -like “*”} | Set-aduser -clear msRTCSIP-PrimaryUserAddress,msRTCSIP-PrimaryHomeServer,msRTCSIP-UserEnabled,msRTCSIP-OptionFlags,msRTCSIP-UserPolicies, msRTCSIP-DeploymentLocator, msRTCSIP-FederationEnabled, msRTCSIP-InternetAccessEnabled

Aquí os dejo un enlace de Microsoft con la descripción de cada atributo: https://technet.microsoft.com/en-us/library/gg412841.aspx

Con esto limpiaremos todos los atributos de Skype For Business de todos los usuarios, de tal forma que luego con la sincronización del Directorio Activo con Office 365 y la asignación de licencias de Skype For Business Online se complete sin problema. Como en nuestro caso tenemos que habilitar Skype For Business Online sin el procedimiento de mover los usuarios de On-Premises a On-Line, no podremos ver establecidos los siguientes atributos una vez que estén en On-Line: Get-CsUser | fl DisplayName,HostingProvider,SipAddress,Enabled

 Si ese fuese vuestro caso, vamos, que tengáis un híbrido pero queréis mover a los usuarios del pool de On-Premises a On-Line, aquí os dejo un articulo que os puede ayudar:

Hecho este inciso, seguimos con nuestra tarea que sigue siendo habilitar a los usuarios en Skype For Business On-Line sin tener el Skype For Business On-Premises retirado ejecutando un proceso de buenas prácticas para ello. Bien, ahora tenemos ya a los usuarios con los atributos msRTCSIP-* ya restablecidos, ahora podría seguir con la higiene del Directorio Activo On-Premises, pero prefiero seguir el orden del diagrama anterior, de tal forma que no nos olvidemos de nada. Ahora vamos a quitar la configuración del espacio de dominio SIP compartido:

El proceso es sencillo, lo haremos desde un equipo que esté preparado para conectarse via PowerShell a Skype for Business On-Line, lo primero ses que tengamos el Módulo de Windows Powershell para Skype Empresarial Online instalado: https://www.microsoft.com/es-ES/download/details.aspx?id=39366

Una vez que lo tengamos instalado, lo primero  es establecer una sesión remota, para ello tenemos que ejecutar los siguientes cmdlets:

Import-Module LyncOnlineConnector
$credential = Get-Credential “nombre_cuenta_admin_skypefB_online”
$session = New-CsOnlineSession -Credential $credential
Import-PSSession $session

Por último nos queda ejecutar el siguiente cmldlet:

Set-CsTenantFederationConfiguration –SharedSipAddressSpace $false

Ahora debemos continuar con el proceso de higienizar nuestro Directorio Activo, los siguientes pasos son muy importantes y debemos hacerlo con mucho cuidado porque si cometemos algún error podemos tener un problema serio. Como siempre, os recomiendo hacer un backup del Directorio Activo y también habilitar la papelera de reciclaje. Aquí os dejo un vídeo de como habilitar la papelera de reciclaje:

Una vez que tengamos nuestro backup y la papelera de reciclaje habilitada, podemos empezar con más “tranquilidad” la siguiente tarea, pues vamos a ello. Lo primero que haremos será quitar los permisos aplicados en el dominio en el proceso de instalación de Skype For Business, para ello a nivel de dominio y contenedor USERS desde la consola de Usuarios y Equipos de Directorio Activo nos vamos a las propiedades de ambos contenedores y a la pestaña seguridad, debemos eliminar todas la ACE que hace referencia a grupos de Skype For Business:

Os dejo varios enlaces sobre los permisos establecidos en el dominio en el proceso de instalación:

Ahora toca borrar los grupos de seguridad creados en el comentado proceso de instalación de Skype For Business, aquí tenéis el listado de grupos de seguridad creados: https://technet.microsoft.com/en-us/library/gg425791.aspx

Por último, debemos borrar el objeto RTC Service desde el editor ADSI. Os dejo un texto de Microsoft con respecto a la ubicación del almacén de la configuraciones, que será siempre más exacta que mi explicación:

If you store global settings in the Configuration container (as is the case for all new Skype Empresarial Server deployments), forest preparation uses the existing Services container and adds an RTC Service object under the Configuration\Services object. Under the RTC Service object, forest preparation adds a Global Settings object of type msRTCSIP-GlobalContainer. The global settings object holds all the settings that apply to the Skype Empresarial Server deployment. If you store global settings in the System container, forest preparation uses a Microsoft container under the root domain System container and an RTC Service object under the System\Microsoft object.

En función de vuestra configuración, así debéis configurar la conexión del ADSI:

Configuration\Services

El objeto RTC Service está localizado en Services\RTC Service

System\Microsoft

El objeto RTC Service está localizado en System\Microsoft\RTC Service

Ahora tenemos que pulsar con el botón secundario del ratón encima de RTC Service y pulsamos en Eliminar, esto en ambos caso en función del tipo de configuración que tengáis.

Por último a nivel de Directorio Activo, nos quedaría eliminar las cuentas de equipo de los servidores de Skype For Business, pero entiendo que esto no hay que documentarlo, es cuestión de que se eliminen.

Habiendo higienizado el Directorio Activo, vamos ahora a eliminar los registros DNS internos utilizados en Skype for Business. Básicamente lo que tenemos que hacer, es es eliminar los registros DNS que hayáis configurados, aquí os dejo los más comunes:

  • sip.dominio.com
  • lyncdiscoverinternal.dominio.com
  • admin.dominio.com
  • dialin.dominio.com
  • meet.dominio.com
  • _sipinternaltls._tcp.dominio.com
  • _sipinternal._tcp.dominio.com
  • pool.dominio.com

Estos son las básicos para la resolución de nombres en interno, tanto para que los clientes encuentren de forma automática los servidores de Skype For Business y hacer login, como para entrar en las reuniones en línea, etc…  Esto es en cuanto a los registros DNS internos, ahora tenemos que eliminar o actualizar los registros DNS públicos para que no apunten a los servidores de On-Premises y si a los de On-line (recordad que queremos habilitar a lo usuarios en Skype for Business On-Line). Para este proceso, os dejo un artículo que había publicado hace un tiempo:

¿Qué registros DNS debemos configurar para utilizar nuestro dominio SIP en Lync On-Line?

DNS Externos para Lync On-Line.jpg

En ese artículo explico como configurar los registro DNS en un proveedor público (Arys en mi caso) y en un Windows Server cuando tenemos un entorno con split-DNS (o se quiere tener)

Para acelerar el proceso de sincronización de los usuarios de On-Premises con Office 365 ya con los atributos actualizados, lo mejor es que forcemos la replicación. Aquí os dejo un artículo de cómo podéis forzar la sincronización:  Sincronización de Azure AD Connect

Otra de la tareas que se tienen que hacer por higiene, eliminar las reglas de publicación de los servicios Web de Skype For Business. Las URL que tenemos que publicar son las siguientes:

  • lyncdiscover.dominio.com
  • pool.dominio.com

Como cada uno puede tener un Reverse-Proxy diferente, no puedo mostrar capturas de todos, por lo que os dejaré algunos artículos de como configurar la publicación de Skype For Business y más servicios en distintas plataformas de Reverse-Proxy (IIS-ARR, Web Application Proxy, TMG, KEMP) y de ahí sacaréis la información de las reglas que debéis eliminar:

Siempre que estamos sincronizando el Directorio Activo On-Premises con Office 365, es bueno comprobar si todo va bien. Esto podemos hacerlo desde el Panel de Administración de Office 365, por lo que una vez que hemos forzado la replicación, veamos si todo ha ido bien (y sino .. toca revisar y corregir hasta que está todo OK):

Ahora que ya tenemos todo listo, sólo nos queda habilitar la licencia de Skype For Business On-Line a los usuarios, este proceso es el de siempre y creo que no hay mucho que comentar:

En el caso de que los usuarios ya tuviesen activa la licencia de Skype For Business Online, quitarla, guardar los cambios y volver a aplicársela. Luego veréis que poco a poco van aumentando el número de usuarios habilitados en Skype For Business Online desde la consola de administración:

Este proceso puede ser de los primeros que realicemos, básicamente es configurar los registros DNS públicos para la configuración de Skype For Business Online para nuestro dominio. Los registros que debemos crear son los siguientes:

Tipo Nombre Destino TTL
CNAME sip.dominio.com sipdir.online.lync.com 1 hour
CNAME lyncdiscover.dominio.com webdir.online.lync.com 1 hour
Tipo Servicio Protocol  Puerto Peso Prioridad TTL Nombre Destino
SRV _sip _tls 443 1 100 1 hour dominio.com sipdir.online.lync.com
SRV _sipfederationtls _tcp 5061 1 100 1 hour dominio.com sipfed.online.lync.com
Si queremos conectarnos desde dentro de la red de la empresa y nuestro firewall no permite las consultas DNS de tipo SRV fuera del  su ámbito de seguridad, debemos crear los siguientes registros DNS en el servidor DNS interno (si lo tenemos):
Tipo Nombre Destino TTL
CNAME sip.dominio.com sipdir.online.lync.com 1 hour
CNAME lyncdiscoverinternal.dominio.com webdir.online.lync.com 1 hour
Tipo Servicio  Protocolo Puerto Peso  Prioridad TTL Nombre Destino
SRV _sip _tls 443 1  100 1 hour dominio.com sipdir.online.lync.com
Como vemos lo único que debemos hacer es configurar una serie de registros DNS que apunten a los servidores de  Skype For Business OnLine, ahora el cliente de Skype For Business encontrará de forma automática los servidores de Skype.

Por último, lo único que queda es que los usuarios inicien sesión en Skype For Business y esperar a que inicien sus sesiones. Si alguien quiere saber en donde está iniciando sesión simplemente tiene que ver la pantalla de Información de Configuración que vemos desde la sesión desde un cliente de Skype For Business:

Lo que marco en verde se corresponde con los servicios de Skype For Business, lo que marco en naranja es la integración de Skype For Business Online con Exchange Online.

Con esto ya tenemos el proceso finalizado, creo que es bastante sencillo y de esta forma no dejaremos mucho rastro (los atributos de Skype For Business no los hemos borrado, sólo restablecido sus valores) en el Directorio Activo ni plataforma necesaria para ejecutarse. Eso sí, comentar que al no migrar los usuarios a Skype For Business Online, todo lo que con contactos y grupos creados en el cliente Skype se tienen que volverse a crear por parte de los usuarios.  Por el resto, no veo mayor complicación si se quiere migrar a Skype for Business sin tener ya disponible el Skype For Business On-Premises.

Ahora sí, doy por finalizado este artículo y espero que os sirva de ayuda si algún cliente vuestro se decide por retirar su Skype For Business On-Premises.

Figuras para crear e
Aprovechando que est
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies