Protections de la fédération pour Office Communications Server 2007 R2

Dernière rubrique modifiée : 2009-05-22

La fédération permet à votre organisation de communiquer avec les serveurs Edge d'accès d'autres organisations en vue de partager la messagerie instantanée et les informations de présence. Vous pouvez également opérer une fédération avec un fournisseur de services d'audioconférence à l'aide d'une des deux méthodes décrites dans cette section. Le processus de configuration de la fédération avec une organisation est identique à celui de la configuration avec un fournisseur de services d'audioconférence. Pour obtenir une liste des fournisseurs de services d'audioconférence pris en charge, consultez la liste des fournisseurs de services d'audioconféreence Office Communications Server 2007 R2 à l'adresse : https://go.microsoft.com/fwlink/?LinkId=145230.

Si vous avez activé la fédération sur le service Edge d'accès, l'accès des partenaires fédérés, notamment des fournisseurs de services d'audioconférence (ACP), sera contrôlé au moyen de l'une des méthodes suivantes :

• Autoriser la détection automatique de partenaires fédérés. Il s'agit de l'option par défaut lors de la configuration initiale d'un service Edge d'accès, car elle allie sécurité et facilité de configuration et de gestion. Par exemple, si vous autorisez la détection automatique des partenaires fédérés sur votre service Edge d'accès, Office Communications Server 2007 R2 permet à n'importe quel domaine fédéré de vous envoyer des communications. Par ailleurs, il évalue automatiquement le trafic entrant provenant des partenaires de la fédération, et il limite ou bloque le trafic en fonction des niveaux de confiance, du volume de trafic et des paramètres de l'administrateur.
• Autoriser la détection des partenaires de la fédération, mais accorder un niveau de confiance élevé à des domaines ou à des serveurs Edge d'accès spécifiques figurant sur la liste verte. Par exemple, si vous souhaitez accorder un niveau élevé de confiance à des partenaires utilisant le domaine SIP contoso.com et fabrikam.com, ajoutez ces deux domaines sous l'onglet Autoriser. L'utilisation de ce procédé pour limiter la détection permet d'établir un niveau de confiance plus élevé pour les connexions avec les domaines ou le service Edge d'accès de votre liste verte. Vous continuez également à profiter de la facilité de gestion offerte par la détection d'autres partenaires de la fédération ne figurant pas sous l'onglet Autoriser. Une option Domaine bloqué permet également de filtrer les domaines SIP.
• Ne pas autoriser la détection des partenaires de la fédération et limiter l'accès des partenaires fédérés aux seuls domaines ou aux seuls serveurs Edge d'accès pour lesquels vous voulez activer les connexions. Les connexions avec les partenaires fédérés sont autorisées uniquement avec les domaines ou avec les services Edge d'accès spécifiques ajoutés sous l'onglet Autoriser. Cette méthode offre un niveau de sécurité optimal, mais sans facilité de gestion. Par exemple, si le nom de domaine complet d'un service Edge d'accès change, vous devez modifier manuellement le nom de domaine complet du serveur dans la liste verte.

Comment le trafic fédéré est évalué lorsque la détection automatique est activée

Si vous choisissez d'utiliser la détection automatique des partenaires fédérés, le service Edge d'accès évalue automatiquement le trafic fédéré entrant de la manière suivante :

• Si un partenaire fédéré envoie des requêtes à plus de 1 000 URI (valides ou non) du domaine local, la première connexion placée dans la liste de suivi est évaluée la première. Toutes les requêtes suivantes sont bloquées par le service Edge d'accès. Si le service Edge d'accès détecte un trafic suspect sur une connexion, il limite le taux de messages du partenaire fédéré à 1 message par seconde. Le trafic suspect est détecté en calculant le taux de réponses abouties par rapport au nombre de réponses en échec. Le service Edge d'accès limite également les connexions des partenaires fédérés légitimes (sauf s'ils ont été ajoutés à la liste verte) à 20 messages par seconde. La liste des connexions homologues suspectes s'affiche sur la console de gestion de l'ordinateur du service Edge d'accès.
• Si vous savez à l'avance que vous allez recevoir plus de 1 000 demandes envoyées par un partenaire fédéré légitime ou que votre organisation va recevoir un volume supérieur à 20 messages par seconde, vous devez ajouter ce partenaire fédéré sous l'onglet Autoriser pour autoriser de tels volumes.

La figure ci-après présente les limites applicables pour la fédération ouverte.

Figure 1. Limites applicables aux connexions pour la fédération étendue

Après avoir configuré la fédération, vous pouvez utiliser les outils d'administration Office Communications Server 2007 R2 pour surveiller et gérer de manière continue l'accès des partenaires fédérés. Pour plus d'informations, consultez Office Communications Server 2007 R2 Administration Guide.