Share via

  • Article

Protections de la fédération pour Lync Server 2010

 

Dernière rubrique modifiée : 2011-07-17

La fédération permet à votre organisation de communiquer avec les serveurs Edge d’accès d’autres organisations en vue de partager la messagerie instantanée et les informations de présence. Si vous avez activé la fédération sur le service Edge d’accès, l’accès des partenaires fédérés sera contrôlé au moyen de l’une des méthodes suivantes :

  • Autoriser la détection automatique de partenaires fédérés. Il s’agit de l’option par défaut lors de la configuration initiale d’un service Edge d’accès, car elle allie sécurité et facilité de configuration et de gestion. Par exemple, si vous autorisez la détection automatique des partenaires fédérés sur votre service Edge d’accès, Microsoft Lync Server 2010 permet à n’importe quel domaine fédéré de vous envoyer des communications. Par ailleurs, il évalue automatiquement le trafic entrant provenant des partenaires de la fédération, et il limite ou bloque le trafic en fonction des niveaux de confiance, du volume de trafic et des paramètres de l’administrateur.

  • Autoriser la détection des partenaires de la fédération, mais accorder un niveau de confiance élevé à des domaines ou à des serveurs Edge d’accès spécifiques figurant sur la liste verte. Par exemple, si vous souhaitez accorder un niveau élevé de confiance à des partenaires utilisant le domaine SIP contoso.com et fabrikam.com, ajoutez ces deux domaines sous l’onglet Autoriser. L’utilisation de ce procédé pour limiter la détection permet d’établir un niveau de confiance plus élevé pour les connexions avec les domaines ou le service Edge d’accès de votre liste verte, tout en assurant une facilité de gestion qui est possible en découvrant d’autres partenaires de fédération qui ne sont listés sous l’onglet Autoriser. Une option Domaine bloqué permet également de filtrer les domaines SIP.

  • Ne pas autoriser la détection des partenaires de la fédération et limiter l’accès des partenaires fédérés aux seuls domaines ou aux seuls serveurs Edge d’accès pour lesquels vous voulez activer les connexions. Les connexions avec les partenaires fédérés sont autorisées uniquement avec les domaines ou avec les services Edge d’accès spécifiques ajoutés sous l’onglet Autoriser. Cette méthode offre un niveau de sécurité optimal, mais sans facilité de gestion. Par exemple, si le nom de domaine complet d’un service Edge d’accès change, vous devez modifier manuellement le nom de domaine complet du serveur dans la liste verte.

Comment le trafic fédéré est évalué si la détection automatique est activée

Si vous choisissez d’utiliser la détection automatique des partenaires fédérés, le service Edge d’accès évalue automatiquement le trafic fédéré entrant de la manière suivante :

  • Si un partenaire fédéré envoie des requêtes à plus de 1 000 URI (valides ou non) du domaine local, la première connexion placée dans la liste de suivi est évaluée la première. Toutes les requêtes suivantes sont bloquées par le service Edge d’accès. Si le service Edge d’accès détecte un trafic suspect sur une connexion, il limite le taux de messages du partenaire fédéré à 1 message par seconde. Le trafic suspect est détecté en calculant le taux de réponses abouties par rapport au nombre de réponses en échec. Le service Edge d’accès limite également les connexions des partenaires fédérés légitimes (sauf s’ils ont été ajoutés à la liste verte) à 20 messages par seconde. La liste des connexions homologues suspectes s’affiche sur la console de gestion de l’ordinateur du service Edge d’accès.

  • Si vous savez à l’avance que vous allez recevoir plus de 1 000 demandes envoyées par un partenaire fédéré légitime ou que votre organisation va recevoir un volume supérieur à 20 messages par seconde, vous devez ajouter ce partenaire fédéré sous l’onglet Autoriser pour autoriser de tels volumes.

La figure ci-après présente les limites applicables pour la fédération ouverte.

Limiter les connexions pour une meilleure fédération

fd05b5b5-be85-42e6-9140-9277e2a64182

Après avoir configuré la fédération, vous pouvez utiliser les outils d’administration Lync Server pour gérer l’accès des partenaires fédérés au fur et à mesure. Pour plus d’informations, voir la documentation Panneau de configuration Lync Server.