Présentation des espaces de noms de serveur d’accès au client
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2011-11-08
Lors de la planification de votre organisation Microsoft Exchange Server 2010, l'une des décisions les plus importantes à prendre a trait à la manière dont vous souhaitez organiser l'espace de noms externe de votre organisation. Un espace de noms est une structure logique généralement représentée par un nom de domaine dans le DNS. Lorsque vous définissez votre espace de noms, vous devez tenir compte des différents emplacements de vos clients et des serveurs qui hébergent leurs boîtes aux lettres. Outre l'emplacement physique des clients, vous devez évaluer leur mode de connexion à Exchange 2010. Les réponses à ces questions permettront de déterminer le nombre d'espaces de noms dont vous avez besoin. Vos espaces de noms sont généralement adaptés à votre configuration DNS. Il est recommandé que chaque site Active Directory dans une région comportant un ou plusieurs serveurs d'accès au client connectés à Internet dispose d'un espace de noms unique. Cela est généralement représenté dans le DNS par un enregistrement de type A, par exemple mail.contoso.com ou mail.europe.contoso.com.
Avant de créer une organisation Exchange 2010, vous devez déterminer la manière dont votre organisation sera configurée et dont vos espaces de noms externes seront définis. Vos décisions relatives aux espaces de noms ont une influence sur les aspects suivants :
mode de configuration du DNS ;
Les certificats requis pour chiffrer les communications entre vos ordinateurs exécutant Exchange 2010 et vos ordinateurs et périphériques clients.
La manière dont vos clients accèdent à leur boîtes à lettres lorsqu'ils utilisent Outlook Anywhere, Outlook Web App ainsi que des clients POP3 et IMAP4.
La prise de ces décisions implique la vérification de votre structure de réseau physique et logique, ainsi que le choix d'une topologie organisationnelle. Cette rubrique traite les différentes topologies et donne des informations relatives à la manière dont chaque topologie affecte votre organisation Exchange.
.gif "Remarque") Remarque : |
|---|
| Cette rubrique ne traite pas la planification de l'espace de noms interne, qui peut être requise si vous déployez l'équilibrage de charge dans un site Active Directory. Pour obtenir des détails concernant l'impact du déploiement interne de l'équilibrage de charge, consultez la rubrique Présentation de la transmission par proxy et de la redirection. |
Modèles d'organisation Exchange 2010
Cette rubrique examine les topologies suivantes :
Modèle de centre de données consolidées Ce modèle est composé d’un seul site physique. Tous les serveurs sont situés sur le site et il n’y a qu’un seul espace de noms, par exemple mail.contoso.com.
Espace de noms unique avec sites proxy Ce modèle consiste en plusieurs sites physiques. Seul un site contient un serveur d'accès au client connecté à Internet. Les autres sites ne sont pas connectés à Internet. Il n'existe qu'un espace de noms pour les sites de ce modèle, par exemple mail.contoso.com.
Espace de noms unique avec plusieurs sites Ce modèle consiste en plusieurs sites physiques. Chaque site peut contenir un serveur d’accès au client connecté à Internet. Il peut également n'y avoir qu'un seul site contenant les serveurs d’accès au client connectés à Internet. Il n'existe qu'un espace de noms pour les sites de ce modèle, par exemple mail.contoso.com.
Espaces de noms par pays Ce modèle consiste en plusieurs sites physiques et plusieurs espaces de noms. Par exemple, un site situé à New York possède l'espace de noms mail.usa.contoso.com, un site situé à Toronto possède l'espace de noms mail.canada.contoso.com et un site situé à Londres possède l'espace de noms mail.europe.contoso.com.
Plusieurs forêts Ce modèle consiste en plusieurs forêts avec plusieurs espaces de noms. Une organisation utilisant ce modèle peut être constituée de deux entreprises partenaires, par exemple Contoso et ContosoOnline. Les espaces de noms peuvent inclure mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com et mail.europe.contosoonline.com.
Modèle de centre de données consolidées
Le modèle de centre de données consolidées est le modèle le plus simple de cette rubrique. Il consiste en un site physique unique.
Le modèle de centre de données consolidées présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client Exchange et les clients peuvent être chiffrées de plusieurs manières. Pour le chiffrement, il est recommandé d'utiliser un certificat unique prenant en charge l'attribut Autres noms de l'objet.
Remarque :Autre nom de l'objet est un attribut d'un certificat numérique permettant à l'administrateur de configurer un certificat unique qui répertorie tous les espaces de noms requérant un certificat de serveur. Remarque :Parmi les autres méthodes de gestion de certificats pour un modèle de centre de données consolidées, on compte l'utilisation d'un certificat avec caractères génériques, l'utilisation de plusieurs certificats et la configuration appropriée d'enregistrements SRV. Les utilisateurs finaux n'ont pas besoin de déterminer l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Les inconvénients du modèle de centre de données consolidées sont les suivants :
Ce modèle ne prend pas en charge les centres de données multiples.
Si la redirection vers des liens Internet de certains pays est lente en raison d'une faible bande passante, d'une latence importante ou d'un trop grand nombre d'utilisateurs, les utilisateurs finaux de ces pays seront confrontés à des performances médiocres.
Espace de noms unique avec sites proxy
Ce modèle consiste en plusieurs sites physiques utilisant un espace de noms unique. Derrière un ordinateur ISA Server ou un autre pare-feu, l'un des sites dispose d'un ou plusieurs serveurs d'accès au client connectés à Internet. Les autres sites ne contiennent pas de serveurs d'accès au client connectés à Internet.
.gif "Important") Important : |
|---|
| L'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge. |
.gif "Attention") Attention : |
|---|
| Ce modèle n'est pas recommandé si tous les sites disposent de la connectivité Internet. Si votre topologie utilise plusieurs sites Active Directory dotés d'une connectivité Internet qui ne sont pas à proximité les uns des autres, envisagez un modèle d'espace de noms régional. |
Ce modèle offre les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs topologies d'espace de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet.
Les utilisateurs finaux n'ont pas besoin de déterminer l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Les inconvénients du déploiement d'un espace de noms unique avec des sites proxy sont les suivants :
Tous les utilisateurs accéderont à leur serveur de boîte aux lettres via la transmission proxy. Si un utilisateur se connecte à un serveur d'accès au client ne se trouvant pas sur le même site physique que son serveur de boîte aux lettres, il sera redirigé par proxy vers un serveur d'accès au client du même site physique que son serveur de boîtes aux lettres. En raison de l'ajout de la transmission proxy, les coûts de la liaison réseau étendu augmenteront et la performance ne sera pas optimale. L'influence sur la performance dépend de la distance entre les deux centres de données physiques et du nombre de connexions transmises par proxy.
Important :Il peut être nécessaire de configurer les répertoires virtuels cibles sur chaque serveur d'accès au client sur le site vers lequel la transmission proxy a lieu pour l'authentification Windows intégrée. Pour plus d'informations, consultez la rubrique Présentation de la transmission par proxy et de la redirection.
Espace de noms unique avec plusieurs sites
Ce modèle consiste en plusieurs sites physiques utilisant un espace de noms unique. Ce modèle offre deux options de déploiement. Vous pouvez utiliser un ordinateur ISA Server devant un ou plusieurs sites ou utiliser un site proxy de serveur d'accès au client. Un ou plusieurs serveurs accessibles par Internet peuvent exister derrière chaque site. Ce modèle requiert également une solution d'équilibrage de charge répartissant le trafic entrant de manière équitable entre les sites connectés à Internet.
| Important : |
|---|
| L'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge. |
Déploiement avec un ordinateur ISA Server
Dans cette configuration, l'ordinateur ISA Serveur se charge de la pré-authentification de la connexion pour déterminer l'appartenance au groupe du client. Le trafic est alors transmis au site approprié sur la base des règles de publication configurées.
Ce modèle présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet. L'ordinateur ISA Server doit être configuré pour utiliser un certificat approuvé externe provenant d'un fournisseur reconnu. Le trafic entre l'ordinateur ISA Server et les serveurs d'accès au client peut être sécurisé à l'aide d'un certificat généré en interne.
Les utilisateurs finaux n'ont pas besoin de déterminer l'espace de noms à utiliser. Tous les utilisateurs utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Il est possible de déplacer les boîtes aux lettres entre plusieurs sites sans modification de l'espace de noms externe. Ceci offre de la flexibilité aux administrateurs qui souhaitent équilibrer la charge du trafic entre les sites sans modifier la configuration cliente.
Le cas échéant, un espace de noms régional peut être ajouté à un stade ultérieur. Ce même modèle peut être répété dans un autre emplacement à l'aide d'une URL externe différente.
L'authentification basée sur les formulaires ISA Server 2006 peut être personnalisée pour répondre aux exigences spécifiques de votre organisation.
Le déploiement de ce modèle présente les inconvénients suivants :
L'utilisation du réseau étendu (WAN) augmentera probablement. L'utilisation accrue dépend de l'emplacement physique de l'ordinateur ISA Server.
Le serveur ISA Server doit être déployé et configuré correctement.
L'appartenance aux groupes doit être gérée de manière à s'assurer que le trafic est transféré vers le site approprié. Par défaut, les administrateurs des destinataires ne peuvent pas créer de groupes de sécurité. La délégation Active Directory doit donc être configurée de manière que des administrateurs Exchange dédiés puissent créer et mettre à jour l'appartenance au groupe. L'utilisation de groupes crée des coûts fixes d'exploitation supplémentaires, qui doivent être pris en compte lors de la création ou du déplacement de boîtes aux lettres. Il est recommandé de placer un serveur de catalogue global à proximité de l'ordinateur ISA Server pour éviter que des demandes d'authentification inutiles circulent sur le réseau étendu.
Déploiement avec un site proxy de serveur d'accès au client
Dans ce modèle, toutes les connexions client d'origine externe vont vers un site Active Directory ne contenant pas de boîtes aux lettres d'utilisateurs. Les connexions sont alors transmises par proxy par un serveur d'accès au client de ce site au site contenant la boîte aux lettres de l'utilisateur.
Ce modèle présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet. L'ordinateur ISA Server peut être configuré pour utiliser un certificat approuvé externe provenant d'un fournisseur reconnu. Et le trafic entre l'ordinateur ISA Server et les serveurs d'accès aux clients peut être sécurisé à l'aide d'un certificat généré en interne.
Les utilisateurs finaux n'ont pas besoin de déterminer l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange. Si un DNS réparti est configuré, ce modèle peut également permettre d'unifier un espace de noms interne. Si aucun DNS réparti n'est configuré, toutes les demandes provenant de clients internes atteindront le pare-feu et seront transférées de manière appropriée.
Il est possible de déplacer les boîtes aux lettres entre plusieurs sites sans modification de l'espace de noms du point de vue d'un utilisateur externe. Ceci offre de la flexibilité aux administrateurs qui souhaitent équilibrer la charge entre les sites. Ceci est également utile lorsqu'un incident survient et que tout le service doit être déplacé entre les sites, car il n'est pas nécessaire de modifier la configuration client.
Un espace de noms régional peut être ajouté lors d'une phase ultérieure, le cas échéant. Ce même modèle peut être répété dans un autre emplacement à l'aide d'une URL externe différente.
Ce modèle présente les inconvénients suivants :
L'utilisation du réseau étendu augmentera probablement et dépend de l'emplacement physique des serveurs d'accès au client sur le site connecté à Internet.
Les serveurs d'accès au client supplémentaires doivent être déployés et configurés correctement.
Tous les utilisateurs accéderont à leur boîte aux lettres via la transmission par proxy. Lorsque l'utilisateur se connecte au serveur d'accès au client sur le site proxy, il n'est pas situé sur le même site Active Directory que son serveur de boîte aux lettres. Il sera redirigé par proxy vers un serveur d'accès au client situé sur le même site Active Directory que son serveur de boîte aux lettres. La performance ne sera pas optimale en raison de l'utilisation de la transmission proxy supplémentaire. L'influence sur les performances dépend de la distance entre les deux sites physiques.
Il n'est pas possible d'accéder aux bibliothèques Windows SharePoint Services et aux partages de fichiers Windows lorsque des utilisateurs se connectent à un serveur d'accès au client ne se trouvant pas sur le même site que leur serveur de boîte aux lettres. Le problème est lié au fait que l'accès aux bibliothèques Windows SharePoint Services et aux partages de fichiers Windows requiert le nom et le mot de passe de l'utilisateur. Dans un scénario de transmission par proxy, la communication vers les bibliothèques Windows SharePoint Services et les partages de fichiers Windows est assurée via le compte système Exchange. Celui-ci ne tient pas compte des nom et mot de passe de l'utilisateur.
Important :La propriété ExternalURL sur chaque répertoire virtuel d'un site contenant des boîtes aux lettres d'utilisateurs doit être définie sur $null. Important :Les serveurs d'accès au client ne prennent pas en charge plusieurs niveaux de transmission par proxy. Chaque site contenant des boîtes aux lettres d'utilisateurs doit être accessible aux serveurs d'accès au client dans le site proxy dédié. Remarque :Une configuration réseau supplémentaire peut être requise si plusieurs emplacements sont utilisés. Ceci peut inclure la configuration des dispositifs d'équilibrage de charge, les enregistrements DNS multiples et la redondance d'itinéraire. Le déploiement physique varie en fonction de la topologie réseau de votre organisation.
Espaces de noms par pays
Le modèle à plusieurs sites utilisant un espace de noms différent pour chaque site est appelé modèle d'espaces de noms par pays. Ce modèle présente les avantages suivants :
- La transmission par proxy est réduite car un pourcentage plus élevé d'utilisateurs peut se connecter au serveur d'accès au client sur le même site Active Directory que son serveur de boîte aux lettres. Cela améliore l'expérience de l'utilisateur final, ainsi que les performances. Les utilisateurs dont les boîtes aux lettres sont sur un site ne disposant pas d'un serveur d'accès au client connecté à Internet sont quand même transférés par proxy.
Ce modèle présente les inconvénients suivants :
Il est nécessaire de gérer plusieurs enregistrements DNS.
Il est nécessaire d'obtenir, configurer et gérer plusieurs certificats.
La gestion de la sécurité est plus complexe car chaque site connecté à Internet requiert un ordinateur ISA Server ou un autre pare-feu.
Chaque utilisateur doit se connecter à l'espace de noms de son propre pays. Ceci peut entraîner un nombre plus élevé d'appels au service d'assistance utilisateur et de formations.
Important :Le modèle d'espace de noms régional est généralement recommandé pour toute topologie impliquant plusieurs sites Active Directory disposant de leur propre connectivité Internet.
Plusieurs forêts
Ce modèle consiste en plusieurs forêts contenant plusieurs espaces de noms. Une organisation utilisant ce modèle peut être constituée de deux entreprises partenaires, par exemple Contoso et ContosoOnline. Les espaces de noms peuvent inclure mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com et mail.europe.contosoonline.com.
Il faut envisager d'implémenter un modèle d'espaces de noms régional pour chaque forêt afin de fournir le plus haut niveau de performance aux utilisateurs finaux. Il est nécessaire de gérer plusieurs certificats pour chaque forêt.
© 2010 Microsoft Corporation. Tous droits réservés.