• Artikel

Verbundsicherheit bei Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2011-07-17

,

  • Zulassen der automatischen Suche von Verbundpartnern. Dies ist die Standardoption bei der Erstkonfiguration eines Zugriffs-Edgediensts, da sie sowohl Sicherheit als auch Konfigurations- und Verwaltungskomfort bietet. Wenn Sie z. B. die automatische Suche von Verbundpartnern für Ihren Zugriffs-Edgedienst aktivieren, erlaubt Microsoft Lync Server 2010 den Verbunddomänen, mit Ihnen zu kommunizieren, wertet automatisch den eingehenden Datenverkehr von Verbundpartnern aus und begrenzt oder blockiert diesen Verkehr je nach Vertrauensstufe, dem Umfang des Datenverkehrs und den Administratoreinstellungen.

  • Zulassen der Suche von Verbundpartnern bei Gewährung einer höheren Vertrauensstufe für bestimmte Domänen oder Zugriffs-Edgeserver, die Sie in der Zulassungsliste angeben. Wenn Sie beispielsweise Partnern mit den SIP-Domänen contoso.com und fabrikam.com eine höhere Vertrauensstufe gewähren möchten, fügen Sie diese beiden Domänen in die Liste auf der Registerkarte Zulassen ein. Wenn Sie die Suche auf diese Weise einschränken, weisen Sie Verbindungen mit Domänen oder Zugriffs-Edgedienst, die auf der Zulassungsliste aufgeführt sind, eine höhere Vertrauensstufe zu. Auch eine Option zum Blockieren von Domänen ist verfügbar, um eine Filterung von SIP-Domänen zu ermöglichen.

  • Kein Zulassen der Suche von Verbundpartnern und Beschränkung des Zugriffs von Verbundpartnern auf die Domänen und Zugriffs-Edgeserver, für die Sie Verbindungen aktivieren möchten. Verbindungen mit Verbundpartnern sind nur für die Domänen oder Zugriffs-Edgedienste zulässig, die Sie in der Liste auf der Registerkarte Zulassen angegeben haben. Diese Methode bietet den höchsten Grad an Sicherheit, Sie müssen jedoch auf die bequeme Verwaltung verzichten. Wenn beispielsweise der FQDN eines Zugriffs-Edgediensts geändert wird, müssen Sie den FQDN des Servers in der Zulassungsliste manuell ändern.

Wie der Verbunddatenverkehr bei der automatischen Suche ausgewertet wird

Haben Sie sich für die Verwendung der automatischen Suche von Verbundpartnern entschieden, wertet der Zugriffs-Edgedienst den eingehenden Verbunddatenverkehr auf folgende Weise automatisch aus:

  • Wenn ein Verbundpartner Anforderungen an mehr als 1.000 (gültige oder ungültige) URIs in der lokalen Domäne sendet, wird die erste Verbindung in der Überwachungsliste zuerst bewertet. Alle weiteren Anforderungen werden vom Zugriffs-Edgedienst blockiert. Wenn der Zugriffs-Edgedienst verdächtigen Datenverkehr in der Verbindung erkennt, schränkt er die Übertragungsrate des Verbundpartners auf eine Nachricht pro Sekunde ein. Der Zugriffs-Edgedienst erkennt verdächtigen Datenverkehr, indem er das Verhältnis von erfolgreichen zu fehlgeschlagenen Antworten berechnet. Der Zugriffs-Edgedienst schränkt auch bei Verbindungen mit legitimen Verbundpartnern die Übertragungsrate auf 20 Nachrichten pro Sekunde ein (es sei denn, der Verbundpartner ist in der Zulassungsliste aufgeführt). Die Liste der verdächtigen Peer-Verbindungen wird in der Konsole "Computerverwaltung" für den Zugriffs-Edgedienst angezeigt.

  • Wenn Sie wissen, dass ein legitimer Verbundpartner mehr als 1.000 Anforderungen oder mehr als 20 Nachrichten pro Sekunde an Ihre Organisation senden wird, müssen Sie den Verbundpartner auf der Registerkarte Zulassen hinzufügen, damit ein Datenverkehr in diesem Umfang zulässig ist.

Die folgende Abbildung zeigt Beschränkungen für einen öffentlichen Verbund.

Verbindungsbeschränkungen für den erweiterten Verbund

fd05b5b5-be85-42e6-9140-9277e2a64182

Nach der Konfiguration des Verbunds können Sie mit den Verwaltungstools von Lync Server den Zugriff von Verbundpartnern regelmäßig verwalten. Ausführliche Informationen finden Sie in der Dokumentation zur Lync Server--Systemsteuerung.