Verbundsicherheit bei Office Communications Server 2007 R2

Letztes Änderungsdatum des Themas: 2009-05-22

Ein Verbund bietet Ihrer Organisation die Möglichkeit, über die Zugriffs-Edgeserver anderer Organisationen zu kommunizieren, um Sofortnachrichten und Anwesenheitsinformationen auszutauschen. Sie können mit einer der beiden in diesem Abschnitt beschriebenen Methoden einen Verbund auch mit einem ACP (Audio Conferencing Provider, Audiokonferenzanbieter) konfigurieren. Ein Verbund mit einem Audiokonferenzanbieter wird wie ein Verbund mit einer anderen Organisation konfiguriert. Eine Liste der unterstützten ACPs finden Sie auf der Seite für die Audiokonferenzanbieter von Office Communications Server 2007 R2 unter https://go.microsoft.com/fwlink/?LinkId=145230.

Wenn Sie den Verbund für den Zugriffs-Edgedienst aktiviert haben, wird der Zugriff durch Verbundpartner (einschließlich der ACPs) mithilfe einer der folgenden Methoden gesteuert:

• Zulassen der automatischen Suche von Verbundpartnern. Dies ist die Standardoption bei der Erstkonfiguration eines Zugriffs-Edgediensts, da sie sowohl Sicherheit als auch Konfigurations- und Verwaltungskomfort bietet. Wenn Sie z. B. die automatische Suche von Verbundpartnern für Ihren Zugriffs-Edgedienst aktivieren, erlaubt Office Communications Server 2007 R2 den Verbunddomänen, mit Ihnen zu kommunizieren, wertet automatisch den eingehenden Datenverkehr von Verbundpartnern aus und begrenzt oder blockiert diesen Verkehr je nach Vertrauensstufe, dem Umfang des Datenverkehrs und den Administratoreinstellungen.
• Zulassen der Suche von Verbundpartnern bei Gewährung einer höheren Vertrauensstufe für bestimmte Domänen oder Zugriffs-Edgeserver, die Sie in der Zulassungsliste angeben. Wenn Sie beispielsweise Partnern mit den SIP-Domänen contoso.com und fabrikam.com eine höhere Vertrauensstufe gewähren möchten, fügen Sie diese beiden Domänen in die Liste auf der Registerkarte Zulassen ein. Wenn Sie die Suche auf diese Weise einschränken, weisen Sie Verbindungen mit Domänen oder Zugriffs-Edgedienst, die auf der Zulassungsliste aufgeführt sind, eine höhere Vertrauensstufe zu. Dabei behalten Sie aber die einfache Verwaltung bei, die mit der Suche anderer Verbundpartner einhergeht, die nicht auf der Registerkarte Zulassen aufgeführt sind. Auch eine Option zum Blockieren von Domänen ist verfügbar, um eine Filterung von SIP-Domänen zu ermöglichen.
• Kein Zulassen der Suche von Verbundpartnern und Beschränkung des Zugriffs von Verbundpartnern auf die Domänen und Zugriffs-Edgeserver, für die Sie Verbindungen aktivieren möchten. Verbindungen mit Verbundpartnern sind nur für die Domänen oder Zugriffs-Edgedienste zulässig, die Sie in der Liste auf der Registerkarte Zulassen angegeben haben. Diese Methode bietet den höchsten Grad an Sicherheit, Sie müssen jedoch auf die bequeme Verwaltung verzichten. Wenn beispielsweise der FQDN eines Zugriffs-Edgediensts geändert wird, müssen Sie den FQDN des Servers in der Zulassungsliste manuell ändern.

Wie der Verbunddatenverkehr bei der automatischen Suche ausgewertet wird

Haben Sie sich für die Verwendung der automatischen Suche von Verbundpartnern entschieden, wertet der Zugriffs-Edgedienst den eingehenden Verbunddatenverkehr auf folgende Weise automatisch aus:

• Wenn ein Verbundpartner Anforderungen an mehr als 1.000 (gültige oder ungültige) URIs in der lokalen Domäne sendet, wird die erste Verbindung in der Überwachungsliste zuerst bewertet. Alle weiteren Anforderungen werden vom Zugriffs-Edgedienst blockiert. Wenn der Zugriffs-Edgedienst verdächtigen Datenverkehr in der Verbindung erkennt, schränkt er die Übertragungsrate des Verbundpartners auf eine Nachricht pro Sekunde ein. Der Zugriffs-Edgedienst erkennt verdächtigen Datenverkehr, indem er das Verhältnis von erfolgreichen zu fehlgeschlagenen Antworten berechnet. Der Zugriffs-Edgedienst schränkt auch bei Verbindungen mit legitimen Verbundpartnern die Übertragungsrate auf 20 Nachrichten pro Sekunde ein (es sei denn, der Verbundpartner ist in der Zulassungsliste aufgeführt). Die Liste der verdächtigen Peer-Verbindungen wird in der Konsole Computerverwaltung für den Zugriffs-Edgedienst angezeigt.
• Wenn Sie wissen, dass ein legitimer Verbundpartner mehr als 1.000 Anforderungen oder mehr als 20 Nachrichten pro Sekunde an Ihre Organisation senden wird, müssen Sie den Verbundpartner auf der Registerkarte Zulassen hinzufügen, damit ein Datenverkehr in diesem Umfang zulässig ist.

Die folgende Abbildung zeigt Beschränkungen für einen öffentlichen Verbund.

Abbildung 1. Verbindungsbeschränkungen für den erweiterten Verbund

Nach der Konfiguration des Verbunds können Sie mit den Verwaltungstools von Office Communications Server 2007 R2 den Zugriff von Verbundpartnern regelmäßig verwalten und überwachen. Weitere Informationen finden Sie unter Office Communications Server 2007 R2 Administration Guide.