Surface Hub devices and the Skype for Business Trust Model

I’m sure that most Lync or Skype for Business admins, users as well, are familiar with the Trust Model. The Trust Model is responsible for the ‘Skype for Business cannot verify that the server is trusted for your sign-in address’ warning. This warning is thrown when the clients tries to create a secure TLS connection with a server and the domain suffix of the server is different from the user’s SIP address, the server can be either a Skype for Business or Exchange server. This warning is very common in organizations that use more than one SIP domain and is often suppressed on managed computers with the TrustModelData registry value.

With a Surface Hub device the issue is a bit more complicated to determine, but very easy to work around. In this article I will explain how.

Let’s consider the following scenario. Contoso is an enterprise organization that uses many different SMTP and SIP domains across their divisions. The AD domain name is contoso.com and this is also the DNS domain suffix for most servers. Skype for Business is hosted with a 3rd party named Fabrikam, their servers have a fqdn with the fabrikam.com suffix.

The Northwind Traders division of Contoso has purchased a Microsoft Surface Hub device and created a device account with a SMTP, UPN and SIP address with a nwtraders.com suffix.

The issue

An admin was able to configure the Surface Hub with this computer account, however users are not able to start a meeting.

It’s important to understand that although the device boots successfully, the built-in Skype for Business client is not immediately connecting to Skype for Business (Online) but starting a meeting does trigger this process.

The investigation

Surface Hub devices run on Windows 10 Team edition which does not offer a regular interface that allows to access the file system to collect log files. Instead we need to boot the device, let it run for 5 minutes, then reproduce the issue and tell the Surface Hub to collect the log files.

To do this, connect a USB disk to the device and open the Settings app. Then navigate to Update and Security, Recovery, Collect logs. The log files are now written to the USB disk.

When analyzing the log files, be aware that the Surface Hub’s Skype for Business client is very similar to the Lync 2010 Windows Store app and behaves as a mobile client.

2757 TL_WARN() [2]10B0.1394::02/28/2017-12:38:54.103.00000a8c (NONE,NModel::CTrustModelManager::LookupTrustModel:CTrustModelManager_cpp124)<O_TRC><ADR>0x00000243A9F16EB0</ADR>Trust model for server rp.contoso.com not found. hr=0x80ee0058</O_TRC>
2758 TL_WARN() [2]10B0.1394::02/28/2017-12:38:54.103.00000a8d (NONE,NModel::CTrustModelManager::QueryTrustModel:CTrustModelManager_cpp171)<O_TRC><ADR>0x00000243A9F16EB0</ADR>Server: rp.contoso.com cert=0000000000000000, blockAndWait=0</O_TRC>
2759 TL_INFO() [2]10B0.1394::02/28/2017-12:38:54.103.00000a8e (NONE,NModel::CTrustModelManager::QueryTrustModel:CTrustModelManager_cpp230)<O_TRC><ADR>0x00000243A9F16EB0</ADR>Not able to get SAN from cert. Continue query TrustModel.</O_TRC>

Here we clearly see the issue. The DNS domain suffix of the reverse proxy server is contoso.com and the user’s SIP address suffix is nwtraders.com. This triggers the Trust Model warning and because the Surface Hub interface does not present the familiar warning, it simply prevents the device from connecting with Skype for Business.

The solution

As I mentioned earlier, this is a very common issue for most organizations. The Surface Hub device offers an interface to add domains to the Trusted Domain list. Open the Settings app and navigate to This device, Calling. Here click the Configure domain name and enter a comma separated list of the additional domain names that exist on your Skype for Business and Exchange servers.

In this scenario we would need to enter the DNS suffix of the reverse proxy, but that’s not sufficient. While this will allow us to connect to the reverse proxy this will throw another warning in the logs because the DNS suffix of the front-end server is different from the user’s SIP address suffix too. In this example we would need to enter the following:

contoso.com, fabrikam.com

A reboot of the device is required to activate the new settings. If you’re still not able to connect, export and analyze the logs again. There may be additional issues that prevent the device from connecting to Skype for Business.

Summary

Instead of showing a warning popup the Surface Hub simply does not allow to connect when the domain name of a servers is different from the SIP domain. If you know that this scenario applies in your organizations, add the additional domains in the Settings app.

For more information please see:

• Lync cannot verify that the server is trusted for your sign-in address" message during client sign-in
• Surface Hub administrator guide: Configure domain name for Skype for Business

Fix for the Skype for Business hangs

The latest update for Office 2016 in Current Channel contains a fix for Skype for Business issue where the interface stops responding when the user has multiple IM windows open.

The build number is 7668.2074, my Office 365 ProPlus was still on a slightly older build so I had to start the update process manually.

For more information about the latest updates for Current, Deferred and First Release for Deferred, see Office 365 client update channel releases.

Microsoft about to release new Skype for Business IP Phone firmware for Polycom VVX devices

LCS/OCS/Lync/Skype has a long history when it comes to management of IP phone firmware updates. OCS 2007 R2 introduced the Device Update Service and greatly simplified the process and the required infrastructure. In the Lync 2010 timeframe the 3rd party IP phone (3PIP) certification added support for non-Microsoft firmware such as Polycom UC Software.

In Lync Server 2010 for instance, an admin uses the Import-CsDeviceUpdate cmdlet to import a .cab file and approves the update in the LSCP. The client device will periodically query the Device Update Web service and download and install the new firmware.

The same principle applies to Skype for Business Online with Cloud PBX today. Technically speaking the title of this article is incorrect, Microsoft is not releasing the software but merely distributing the Polycom firmware through it’s infrastructure.

Enabling or disabling this feature is a tenant-wide setting and can be done by modifying the CsIPPhonePolicy. By default EnableDeviceUpdate is True.

For more information about this feature, read Jeff Schertz’s post about this topic: Device Updates with Skype for Business Online.

The major difference with Skype for Business on-premises is that customers cannot upload a firmware version. Microsoft has an internal process to certify 3rd party firmware updates. At the moment of writing the only version that has been approved is Polycom UCS for the VVX line of devices, version 5.4.1.17653. Specifically the following devices are supported:

• VVX 201
• VVX 3xx
• VVX 44xx
• VVX 5xx
• VVX 6xx

The issue is that the most recent version of Polycom UCS is currently 5.5.1. That doesn’t sound much newer than 5.4.1 but in reality Polycom has released many interim versions and each version added important new features and fixes. That’s why it’s good to know that Microsoft is currently qualifying UCS version 5.5.1.11344.

If you consider using Skype for Business Online device updates, be aware that the capabilities currently are extremely limited. The device update feature cannot be enabled for a specific set of users or devices and the other management features are limited as well:

(note: EnableBetterTogetherOverEthernet by default is False)

Most of the configuration items are pretty self-explanatory but if you want to know more, the help page of  Set-CsIPPhonePolicy is very informative.

Microsoft did not communicate a release date for 5.5.1.11344 but my sources say that it shouldn’t take long. For more information, read: New features in the firmware update for Polycom VVX IP phones.

Note

I’m working with Polycom and Microsoft to investigate an issue where Polycom VVX devices receive a ‘400 bad request’ when they query the Skype for Business Online Update Service. If you’re encountering the same, let me know in the comments.

Lync 2010 client voor Windows Phone beschikbaar

Met ingang van vandaag, 12 december 2011, is de Lync 2010 client voor Windows Phone te downloaden in de Marketplace. Je vindt hem hier (Nederlandse Marketplace) of hier (Verenigde Staten). Binnenkort volgen ook Lync versies voor onder andere Android besturingssystemen en Apple producten.

Om Lync 2010 voor Windows Phone te kunnen gebruiken heb je wel een Lync Server nodig of een account in Lync Online/Office 365. Serverbeheerders moeten wel het één en ander configureren om hun omgeving geschikt te maken voor Lync mobile clients. Je leest hier alles over in het volgende whitepaper: Microsoft Lync Server 2010 Mobility Service and Microsoft Lync Server 2010 Autodiscover Service.

Lync 2010 beheren met een GPO (Lync.adm of Communicator.adm)

Eén van de vernieuwingen van Lync 2010 is dat het beheer van de client nu ‘in-band’ is. Dat wil zeggen dat de client zijn instellingen van de Lync server ontvangt op het moment dat hij contact maakt met de server. Toch zijn er een aantal instellingen die we nog met een GPO kunnen managen, dat zijn met name instellingen over de wijze waarop Lync verbinding maakt met de server.

Op het Microsoft Download Center is nu een Excel sheet te downloaden waar alle mogelijke GPO settings in beschreven staan, evenals een .adm bestand waarmee je je eigen Lync GPO kunt maken. Te downloaden hier: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=27217

Let op: het bestand heet Communicator.adm maar is wel degelijk de juiste versie voor Lync.

Lync gebruiker enablen: Active Directory operation failed <DC>. You cannot retry this operation…

Eén keer in de zoveel tijd krijg ik de vraag waarom een gebruiker in Lync Controle Panel niet Lync enabled kan worden. Er verschijnt een AD foutmeldingen die duidt op te weinig rechten, terwijl de beheerder wel degelijk de CsUserAdministrator of CsAdministrator rol heeft.

Bovendien blijkt het wel te werken in Lync Management Shell:

De oorzaak van dit probleem is dat deze gebruiker lid is (of op een bepaald moment was) van een zogenaamde protected group. Protected groups zijn bijvoorbeeld Domain Admins en Enterprise Admins. In Active Directory loopt namelijk een proces wat bij leden van deze groepen het vinkje voor Include inheritable permissions from this object’s parent verwijdert. Hierdoor beschikt Lync Control Panel niet over rechten om de eigenschappen van het object bij te werken. Doordat er verschil zit in de manier waarop Lync Control Panel en Lync Management Shell werken treedt de foutmelding niet op als je de user inschakelt in de Lync Management Shell.

We kunnen dit zien door in Active Directory Users and Computers (ADUC) eerst Advanced Features aan te zetten, deze vind je onder View. Vervolgens zoeken we onze probleemgebruiker op en klikken we op Security, Advanced. Hier zien we dat het vinkje ontbreekt:

Het plaatsen van het vinkje alleen is geen oplossing, zo lang de gebruiker lid is van deze groepen zal het vinkje vanzelf weer weggehaald worden. De echte vraag is natuurlijk waarom een gewone gebruiker lid moet zijn van deze groepen. Het is toch zeker een best practice om beheerwerkzaamheden en “normaal” werk met verschillende accounts te doen, zo voorkom je dat risico’s die je als downloader en internetter loopt verstrekkende gevolgen hebben, om nog maar te zwijgen van het bekend worden van je gebruikersnaam en wachtwoord wat je her en der gebruikt.

Bovendien leidt het ontbrekende vinkje tot problemen met andere applicaties, bijvoorbeeld ActiveSync wat voor deze gebruikers niet werkt in Exchange 2010. De beste oplossing is dus om een gescheiden (maar wel persoonlijk) account te gebruiken voor beheerwerkzaamheden en je eigen account niet lid te maken van deze speciale groepen. Mocht dit echt niet lukken dan kun je het vinkje tijdelijk terugplaatsen of de gebruiker enablen met Lync Management Shell.

Juli 2011: Nieuwe KB artikelen voor Exchange, Lync en Outlook

Hieronder vind je het overzicht van de nieuwe en bijgewerkte Microsoft knowledge-base artikelen over Exchange, Lync en Outlook.

Exchange

Microsoft Exchange Server 2007 Service Pack 2: Messages to a Distribution List are delayed in an Exchange Server 2007 environment

http://support.microsoft.com/kb/951000/en-US

Microsoft Exchange Server 2010 Enterprise: You cannot install Exchange Server 2010 SP1 if the NetBIOS domain name of the domain controller contains an ampersand (&) character

http://support.microsoft.com/kb/2491951/en-US

Lync, Office Communication Server & LiveMeeting

Microsoft Office Communications Server 2007 Enterprise Edition: After you prepare the Active Directory forest for the installation of  Live Communications Server, the Prep Forest command is available in the Live Communications Server Deployment Tool

http://support.microsoft.com/kb/898516/en-US

Microsoft Office Communications Server 2007 R2 Enterprise Edition: An update is available that increases the maximum number of allowed access proxies in an access proxy array in Office Communications Server 2007 R2

http://support.microsoft.com/kb/2544768/en-US

Microsoft Office Communications Server 2007 R2 Enterprise Edition: Description of cumulative update for Office Communications Server 2007 R2: June, 2011

http://support.microsoft.com/kb/2549046/en-US

Microsoft Office Communications Server 2007 R2 Group Chat client: An Office Communications Server 2007 R2, Group Chat client crashes when two instances are started at the same time

http://support.microsoft.com/kb/2545864/en-US

Microsoft Office Communications Server 2007 R2 Group Chat client: Posted files that have the same file name do not open correctly in an Office Communications Server 2007 R2, Group Chat client

http://support.microsoft.com/kb/2549047/en-US

Microsoft Office Communications Server 2007 R2 Group Chat client: You cannot receive a chat room invitation in an Office Communications Server 2007 R2 Group Chat client

http://support.microsoft.com/kb/2549051/en-US

Microsoft Office Communications Server 2007 R2 Group Chat server: Update package for the Office Communications Server 2007 R2 Group Chat server: June, 2011

http://support.microsoft.com/kb/2549044/en-US

Microsoft Office Communications Server 2007 R2 Group Chat server: Event ID 5377 is logged on an Office Communications Server 2007 R2, Group Chat server

http://support.microsoft.com/kb/2549052/en-US

Microsoft Office Communicator 2007 R2: An update is available to disable the extra presence information of a user  in Office Communicator 2007 R2

http://support.microsoft.com/kb/2545288/en-US

Microsoft Office Communicator 2007 R2: Description of the cumulative update package for Communicator 2007 R2: June, 2011

http://support.microsoft.com/kb/2549042/en-US

Microsoft Office Communicator 2007 R2: An Office Communicator 2007 R2 user cannot share applications in a Lync 2010 conference

http://support.microsoft.com/kb/2549053/en-US

Outlook

Microsoft Office Outlook 2003: Description of the Office Outlook 2003 Junk Email Filter update: June 14, 2011

http://support.microsoft.com/kb/2553971/en-US

Microsoft Office Outlook 2003: Office 2003 and 2007 Office documents open read-only in Internet Explorer

http://support.microsoft.com/kb/870853/en-US

Microsoft Office Outlook 2003: When you print an e-mail message in either Office Outlook 2003 or Outlook Express, the printed message is so small that it is unreadable

http://support.microsoft.com/kb/932538/en-US

Microsoft Office Outlook 2007: Files that have the .eml file name extension do not open in Outlook 2007

http://support.microsoft.com/kb/956693/en-US

Microsoft Office Outlook 2007 with Business Contact Manager: How to disable Business Contact Manager in Outlook with Business Contact Manager

http://support.microsoft.com/kb/903094/en-US

Microsoft Outlook 2010: Known issues in Outlook 2010 when you use the object model

http://support.microsoft.com/kb/2265515/en-US

Microsoft Outlook 2010: Known issues in Outlook 2010 when you use Outlook 97-2003 custom forms

http://support.microsoft.com/kb/2265542/en-US

Microsoft Outlook 2010: Known issues in Outlook 2010 when you develop custom solutions

http://support.microsoft.com/kb/2265568/en-US

Microsoft Outlook 2010: Known issues in Outlook 2010 when you try to develop form regions

http://support.microsoft.com/kb/2265572/en-US

Microsoft Outlook 2010: Outlook 2010 missing features after it is installed as a stand-alone application

http://support.microsoft.com/kb/2491363/en-US

Microsoft Outlook 2010: Direct Booking does not successfully book a resource in Outlook 2010

http://support.microsoft.com/kb/982774/en-US

Exchange en Lync op Windows Server 2008 R2 SP1

Organisaties die Service Pack 1 voor Windows Server 2008 R2 uit willen rollen zullen per applicatie moeten controleren of SP1 ondersteund wordt en of er eventuele issues zijn. Het zelfde geldt voor het uitrollen van nieuwe servers, het ligt voor de hand om die gelijk te voorzien van Windows Server 2008 R2 SP1. Niet omdat SP1 nu nieuwe features brengt, naast Dynamic Memory en RemoteFX blijft alles bij het oude, maar wel omdat deze alle updates en fixes bevatten die tot nu toe uitgekomen zijn.

Exchange

Windows Server 2008 R2 SP1 wordt door Microsoft ondersteund als operating systeem voor de volgende edities van Exchange:

• Exchange 2007 SP3
• Exchange 2010 RTM
• Exchange 2010 SP1

Voor Exchange 2010 SP1 is er nog een prettige verassing: alle Windows hotfixes die nodig zijn voor Exchange 2010 SP1 zitten al ingebakken. Dat scheelt weer wat werk.

Lync

Ook voor Lync Server 2010 wordt Windows Server 2008 R2 SP1 ondersteund als besturingssysteem. Maar tijdens de installatie kun je wel tegen een klein schoonheidsfoutje aan lopen, tijdens de stap ‘Setup or Remove Component’ probeert Lync om de prerequisit Windows Media Format te installeren maar kan die niet vinden. De reden is dat de naam van dit bestand veranderd is in SP1. Een work-around is om deze vooraf handmatig te installeren met de volgende opdrachtregel:

%systemroot%\system32\dism.exe /online /add-package /packagepath:%windir%\servicing\Packages\Microsoft-Windows-Media-Format-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.mum /ignorecheck

Het is dus niet nodig om de hele Desktop Experience feature te installeren. Meer informatie hierover vind je in het volgende kb-artikel: Lync Server 2010 Setup or Remove Lync Components fails on Windows Server 2008 R2 SP1.

Met die kleine kanttekening voor Lync, draaien beide applicaties dus prima op Windows Server 2008 R2 SP1.

Lync updates voor januari 2011

Beheerders van OCS zijn bekend met het verschijnsel, periodieke verzamelupdates die alle beschikbare updates bevatten die op dat moment beschikbaar zijn. In principe geldt het uitgangspunt dat het aan te bevelen is om deze updates te installeren op server en client, de updates verhelpen allerlei beveiligingsproblemen of issues met bepaalde functionaliteit. Aan de andere kant kan het soms verstandig zijn om een weekje af te wachten en de bekende blogs in de gaten te houden. Er zijn wel eens voorbeelden geweest van verzamelupdates die niet alleen oplossingen brachten maar ook een nieuw probleem.

De januari release voor de Lync cumulative update is nu beschikbaar. Het versienummer voor de Lync componenten wordt na installatie 4.0.7577.108, voor de Phone Editions wordt dit 4.0.7577.107. Zie onderstaande tabel voor de links naar de downloads en de bijbehorende Knowledge Base artikelen:

Product	KB article	Download
Lync 2010 (64bit)	2467763	MS download
Lync 2010 (32bit)	2467763	MS download
Lync Server 2010	2493736	MS download
Lync 2010 Phone Edition (Tanjay)	2493722	MS download
Lync 2010 Phone Edition (Aries-Aastra)	2493724	MS download
Lync 2010 Phone Edition (Aries-Polycom)	2493723	MS download
Lync 2010 Attendee (Admin Install)	2467762	MS download
Lync 2010 Attendee (User mode install)	2467761	MS download
Lync 2010 Attendant (32 & 64 bit)	2467760	MS download
Lync 2010 Group Chat Client	2467765	MS download
Lync 2010 Group Chat Admin	2467764	MS download

Het kan zijn dat nog niet alle downloads en artikelen beschikbaar zijn voor download, probeer het dan later gewoon opnieuw. In de loop van februari zullen deze updates ook via Microsoft Update aangeboden worden.

Documentatie: Lync Server 2010 Client and Device Deployment Guide

Het uitrollen van Lync Server 2010 is een stuk verbeterd ten opzichte van Office Communication Server, dat zal iedereen die het inmiddels gedaan heeft kunnen beamen. Maar dat geldt ook voor de diverse clients, niet onbelangrijk om met Lync te kunnen werken. Microsoft heeft een whitepaper uitgebracht met de titel “Lync Server 2010 Client and Device Deployment Guide” en deze gaat precies over dat onderwerp: het uitrollen van de diverse clients voor Lync 2010.

Downloaden van het 701 kB grote bestand doe je hier: Documentatie: Lync Server 2010 Client and Device Deployment Guide

Let op: In het document wordt een aantal keer verwezen naar het bestand lync.adm welke je zou moeten vinden op de Lync client installatie cd. In werkelijkheid heet dit bestand communicator.adm maar kun je het niet vinden in de Lync client download van Technet of MSDN. Wel op de Skydrive van Ruben Nauwelaers.

Documentatie van Lync is nu beschikbaar

Voor wie het nog niet weet, de opvolger van Office Communications Server heet Lync Server 2010. En inmiddels staat de documentatie voor Lync op Technet, goed niews voor iedereen die er snel mee aan de slag wil. Het startpunt op de Technet Library is hier: Microsoft Lync Server 2010.

Voor wie de documentatie graag offline wil kunnen raadplegen is er ook een downloadbaar CHM-bestand: Microsoft Lync Server 2010 Documentation Help File.