Office Communications Server 2007 R2 的同盟保護措施

上次修改主題的時間： 2009-05-22

同盟為您的組織提供與其他組織的 Access Edge Server 通訊的能力以共用 IM 和顯示狀態。您也可以使用本節說明的兩種方法來與音訊會議提供者 (ACP) 同盟。與組織或與音訊會議提供者同盟的設定程序是相同的。如需支援的 ACP 清單，請參閱＜Office Communications Server 2007 R2 音訊會議提供者＞(英文)，網址為 https://go.microsoft.com/fwlink/?LinkId=145230。

如果您已在 Access Edge Service 上啟用同盟，就可以使用下列方式之一來控制同盟協力廠商 (包括 ACP) 的存取：

• 允許同盟協力廠商的自動探索：因為這樣可以兼顧到安全性和設定與管理上的便利性，所以也是初始設定 Access Edge Service 時的預設選項。例如，當您在 Access Edge Service 上啟用自動探索同盟協力廠商時，Office Communications Server 2007 R2 會允許任何同盟網域傳送與您的通訊，而且會自動評估來自同盟協力廠商的傳入流量，並根據信任層級、流量和系統管理員設定來限制或封鎖該流量。
• 允許探索同盟協力廠商，但是對於您在 [允許] 清單中指定的特定網域或 Access Edge Server，授與較高的信任層級：例如，如果要針對使用 SIP 網域 contoso.com 和 fabrikam.com 的協力廠商授與較高的信任層級，請在 [允許] 索引標籤上新增這兩個網域。以此方式來限制探索，會為加入 [允許] 清單的網域連線或 Access Edge Service 連線建立較高的信任層級，同時仍提供管理上的簡便，也就是可探索未列在 [允許] 索引標籤上的其他同盟協力廠商。您也可以使用 [封鎖網域] 選項來篩選 SIP 網域。
• 不允許探索同盟協力廠商，並將同盟協力廠商的存取限制為您要啟用連線的網域或 Access Edge Server：僅會允許同盟協力廠商與加入 [允許] 索引標籤的特定網域或 Access Edge Service 連線。此方法提供最高的安全性層級，但沒有提供管理上的簡便。例如，如果 Access Edge Service 的 FQDN 變更，您必須手動在 [允許] 清單中變更伺服器的 FQDN。

當使用自動探索時如何評估同盟流量

如果您選擇使用自動探索同盟協力廠商，Access Edge Service 會自動以下列方式評估傳入的同盟流量：

• 如果某家同盟協力廠商向本機網域中 1,000 個以上的 URI (包含有效和無效) 傳送要求，則會先評估最先置入 [監看] 清單中的連線。Access Edge Service 會封鎖任何其他的要求。如果 Access Edge Service 偵測到連線上有可疑的流量，它會將同盟協力廠商限制為每秒 1 個訊息的低訊息率。Access Edge Service 透過計算成功與失敗的回應比率來偵測可疑的流量。Access Edge Service 也會將合法的同盟協力廠商連線 (除非是已新增至 [允許] 清單者) 限制為每秒 20 則訊息。可疑的對等連線清單會顯示在 Access Edge Service [電腦管理] 主控台中。
• 如果您知道某個合法的同盟協力廠商會傳送超過 1,000 個的要求或是每秒會有超過 20 則的訊息量傳送到組織，您必須將該同盟協力廠商新增至 [允許] 索引標籤來允許這些數量。

下圖顯示開啟同盟上的訊息率限制。

圖 1. 限制增強型同盟的連線

在設定同盟之後，您可以使用 Office Communications Server 2007 R2 系統管理工具來持續監視和管理同盟協力廠商的存取。如需詳細資訊，請參閱Office Communications Server 2007 R2 Administration Guide。