Informazioni sugli spazi dei nomi dei server Accesso client

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2011-11-08

Quando si pianifica l'organizzazione di Microsoft Exchange Server 2010, una delle decisioni più importanti da prendere è come organizzare lo spazio dei nomi esterno. Uno spazio dei nomi è una struttura logica generalmente rappresentata da un nome di dominio nel DNS. Quando si definisce lo spazio dei nomi, è necessario considerare le diverse ubicazioni dei client e dei server in cui sono si trovano le cassette postali. Oltre alle posizioni fisiche dei client, è necessario valutare la loro modalità di connessione a Exchange 2010. Le risposte a queste domande determineranno la quantità di spazi dei nomi necessaria. Gli spazi dei nomi saranno generalmente allineati alla configurazione DNS. È consigliabile che ogni sito di Active Directory in una regione che dispone di uno o più server Accesso client con connessione a Internet disponga di uno spazio dei nomi univoco. Generalmente, questo è rappresentato nel DNS da un record A, ad esempio mail.contoso.com o mail.europe.contoso.com.

Prima di creare un'organizzazione di Exchange 2010, è necessario decidere come verrà configurata e come verranno definiti gli spazi dei nomi. Le decisioni relative agli spazi dei nomi influiranno su quanto segue:

  • Modalità di configurazione del DNS.

  • Certificati necessari per crittografare le comunicazioni tra i computer in cui è in esecuzione Exchange 2010 e i computer e dispositivi client.

  • Modalità di accesso dei client alle cassette postali tramite Outlook Anywhere, Outlook Web App o client POP3 e IMAP4.

Per prendere queste decisioni è necessario esaminare la struttura di rete fisica e logica e scegliere una topologia per l'organizzazione. In questo argomento vengono illustrate le diverse topologie disponibili e vengono fornite informazioni sugli effetti di ogni topologia sull'organizzazione di Exchange.

Nota

In questo argomento non viene trattata la pianificazione dello spazio dei nomi interno, che potrebbe essere richiesta se si distribuisce il bilanciamento del carico all'interno di un sito di Active Directory. Per informazioni dettagliate sull'impatto interno del bilanciamento del carico, vedere Concetti relativi all'inoltro e al reinstradamento.

Modelli organizzativi di Exchange 2010

In questo argomento vengono esaminate i tipi di topologie seguenti:

  • Modello di datacenter consolidato   Questo modello è costituito da un unico sito fisico. Tutti i server si trovano tale sito ed esiste un unico spazio dei nomi, ad esempio mail.contoso.com.

  • Spazio dei nomi singolo con siti proxy   Questo modello si compone di più siti fisici. Un solo sito contiene un server Accesso client con connessione a Internet. Gli altri siti fisici non interfacciano con Internet. In questo modello esiste un solo spazio dei nomi per i siti, ad esempio, mail.contoso.com.

  • Spazio dei nomi singolo con più siti   Questo modello si compone di più siti fisici. Ciascun sito può avere un server Accesso client con connessione a Internet. In alternativa, potrebbe essere presente un solo sito che contiene i server Accesso client con connessione a Internet. In questo modello esiste un solo spazio dei nomi per i siti, ad esempio, mail.contoso.com.

  • Spazio dei nomi regionale   Questo modello si compone di più siti fisici e più spazi dei nomi. Ad esempio, un sito che si trova a New York utilizzerà lo spazio dei nomi mail.usa.contoso.com, un sito che si trova a Toronto utilizzerà lo spazio dei nomi mail.canada.contoso.com e un sito che si trova a Londra utilizzerà lo spazio dei nomi mail.europe.contoso.com.

  • Più foreste   Questo modello si compone di più foreste con più spazi dei nomi. Un'organizzazione che utilizza questo modello potrebbe essere composta di due società partner, ad esempio, Contoso e ContosoOnline. Gli spazi dei nomi potrebbero includere mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.

Modello di datacenter consolidato

Il nodello di datacenter consolidato è il più semplice tra quelli esaminati in questo argomento. e si compone di un unico sito.

I vantaggi del modello di data center consolidato sono i seguenti:

  • Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi.

  • Sono presenti meno certificati da gestire. Le comunicazioni tra il server Accesso client di Exchange e i client possono essere crittografate in diversi modi. Il metodo di crittografia consigliato prevede l'utilizzo di un unico certificato che supporti i nomi di soggetto alternativi.

    Nota

    Un nome soggetto alternativo è un attributo di un certificato digitale che consente all'amministratore del sito di configurare un singolo certificato in cui sono elencati tutti gli spazi dei nomi che richiedono un certificato server.

    Nota

    I metodi alternativi per la gestione dei certificati per un modello di data center consolidato includono un certificato jolly, certificati multipli e la configurazione appropriata dei record SRV.

  • Gli utenti finali non devono determinare lo spazio dei nomi da utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.

Il modello di data center consolidato presenta i seguenti svantaggi:

  • Il modello non supporta l'uso di più data center.

  • Se collegamenti Internet regionali sono lenti a causa di una larghezza di banda ridotta, una latenza elevata o un utilizzo elevato, le prestazioni per gli utenti finali in tali regioni saranno scarse.

Spazio dei nomi singolo con siti proxy

Questo modello si compone di più siti fisici che utilizzano un unico spazio dei nomi. Dietro un computer ISA Server o un altro firewall, uno dei siti dispone di uno o più server Accesso client con connessione a Internet. Gli altri siti non contengono server Accesso client con connessione a Internet.

Importante

Non è supportata l'installazione di un server Accesso client in una rete perimetrale.

Avviso

Questo modello non è consigliato se tutti i siti dispongono di connettività Internet. Se la topologia include più siti di Active Directory dotati di connettività Internet e lontani tra loro, è consigliabile utilizzare il modello di spazio dei nomi regionale.

Questo modello offre i vantaggi seguenti:

  • Sono presenti meno record DNS da gestire rispetto alle topologie con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.

  • Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi.

  • Gli utenti finali non devono determinare lo spazio dei nomi da utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.

La distribuzione di un singolo spazio dei nomi con siti proxy presenta i seguenti svantaggi:

  • Alcuni utenti accederanno al proprio server Cassette postali tramite proxy. Se un utente si connette a un server Accesso client che non si trova nello stesso sito fisico del proprio server Cassette postali, verrà reindirizzato a un server Accesso client che si trova nello stesso sito fisico di tale server Cassette postali. A causa del proxy aggiunto, i costi del collegamento WAN aumenteranno e le prestazioni non saranno ottimali. L'effetto sulle prestazioni dipende dalla distanza tra due data center fisici e sul numero di connessioni proxy.

    Importante

    Potrebbe essere necessario configurare le directory virtuali di destinazione in ogni server Accesso client presenti nel sito ai cui vengono reindirizzati gli utenti per l'autenticazione integrata di Windows. Per ulteriori informazioni, vedere Concetti relativi all'inoltro e al reinstradamento.

Spazio dei nomi singolo con più siti

Questo modello si compone di più siti fisici che utilizzano un unico spazio dei nomi. Esistono due opzioni di distribuzione per questo modello. È possibile collocare un computer ISA Server davanti a uno o più siti o utilizzare un sito proxy per il server Accesso client. Dietro a ogni sito possono esservi uno o più server accessibili tramite Internet. Questo modello richiede anche una soluzione di bilanciamento del carico che suddivida equamente il traffico in arrivo tra i siti con connessione a Internet.

Importante

Non è supportata l'installazione di un server Accesso client in una rete perimetrale.

Distribuzione con un computer ISA Server

In questa configurazione ISA Server esegue la preautenticazione della connessione per determinare il gruppo di appartenenza del client. Il traffico viene quindi inoltrato al sito corretto in base alle regole di pubblicazione configurate.

I vantaggi di questo modello sono i seguenti:

  • Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.

  • Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi. Il computer ISA Server deve essere configurato in modo da utilizzare un certificato esterno presente nell'elenco locale e fornito da un provider riconosciuto. Il traffico tra il computer ISA Server e i server Accesso client deve essere protetto utilizzando un certificato generato internamente.

  • Gli utenti finali non devono determinare lo spazio dei nomi da utilizzare. Tutti gli utenti utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.

  • Le cassette postali possono essere spostate tra i siti senza modifiche allo spazio dei nomi esterno. Questo offre flessibilità agli amministratori i quali desiderano bilanciare il carico del traffico tra i siti senza dover modificare la configurazione dei client.

  • Se necessario, è possibile aggiungere uno spazio dei nomi regionale in un secondo momento. Lo stesso modello può essere ripetuto in un'altra posizione utilizzando un URL esterno diverso.

  • L'autenticazione basata su moduli di ISA Server 2006 può essere personalizzata a seconda delle esigenze specifiche di un'organizzazione.

Gli svantaggi associati alla distribuzione di questo modello includono:

  • Probabilmente aumenterà l'utilizzo della Wide Area Network (WAN). L'aumento dell'utilizzo dipende dalla posizione fisica del computer ISA Server.

  • ISA Server deve essere distribuito e configurato correttamente.

  • È necessario gestire le appartenenze ai gruppi in modo da assicurare che il traffico venga inoltrato al sito corretto. Per impostazione predefinita, gli amministratori dei destinatari non possono creare gruppi di protezione, pertanto la delega di Active Directory deve essere configurata in modo che gli amministratori dedicati di Exchange possano creare e aggiornare l'appartenenza ai gruppi. L'utilizzo dei gruppi crea un ulteriore sovraccarico operativo, che deve essere tenuto in considerazione quando si creano nuove cassette postali o si spostano quelle esistenti. Per evitare il traffico generato dalle richieste di autenticazione superflue sulla rete WAN, è consigliabile collocare un server di catalogo globale vicino al computer ISA Server.

Distribuzione con un sito proxy per il server Accesso client

In questo modello, tutte le connessioni client con origine esterna raggiungono un sito di Active Directory che non contiene cassette postali degli utenti. Un server Accesso client in tale sito provvederà quindi a inoltrare le connessioni al sito che contiene la cassetta postale dell'utente.

I vantaggi di questo modello sono i seguenti:

  • Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.

  • Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi. È possibile configurare ISA Server in modo da utilizzare un certificato esterno attendibile fornito da un provider riconosciuto. Il traffico scambiato tra ISA Server e i server Accesso client può essere protetto utilizzando un certificato generato internamente.

  • Gli utenti finali non devono determinare lo spazio dei nomi da utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange. Se è configurato un DNS diviso, questo modello può anche essere utilizzato per unificare uno spazio dei nomi interno. Se non è configurato un DNS diviso, tutte le richieste dei client interni raggiungeranno il firewall e verranno inoltrate in modo appropriato.

  • È possibile spostare cassette postali tra i siti senza modificare lo spazio dei nomi dal punto di vista di un utente esterno. Questo offre flessibilità agli amministratori che desiderano bilanciare il carico tra i siti. È inoltre utile quando si verifica una situazione di emergenza e l'intero servizio deve essere spostato tra i siti, poiché non è necessario modificare la configurazione dei client.

  • Se necessario, è possibile aggiungere uno spazio dei nomi regionale in un secondo momento. Lo stesso modello può essere ripetuto in un'altra posizione utilizzando un URL esterno diverso.

Gli svantaggi di questo modello sono i seguenti:

  • Probabilmente aumenterà l'utilizzo della rete WAN a seconda della posizione fisica del server Accesso client che dispone della connessione a Internet.

  • Ulteriori server Accesso client devono essere distribuiti e configurati correttamente.

  • Tutti gli utenti accederanno alla propria cassetta postale tramite proxy. Quando un utente si connette a un server Accesso client nel sito proxy, quest'ultimo non si trova nello stesso sito di Active Directory del proprio server Cassette postali. L'utente verrà inoltrato a un server Accesso client che si trova nello stesso sito di Active Directory del proprio server Cassette postali. A causa di tale inoltro supplementare, le prestazioni non saranno ottimali. L'effetto sulle prestazioni dipende dalla distanza tra i due siti fisici.

  • Quando gli utenti si connettono a un server Accesso client che non si trova nello stesso sito del proprio server Cassette postali, non è possibile accedere a librerie di Windows SharePoint Services e condivisioni file di Windows, poiché per accedere alle librerie di Windows SharePoint Services e alle condivisioni file di Windows sono necessari nome utente e password. In uno scenario di inoltro, per comunicare con le librerie di Windows SharePoint Services e alle condivisioni file di Windows viene utilizzato l'account di sistema di Exchange, che non si basa sul nome e sulla password dell'utente.

    Importante

    La proprietà ExternalURL su ogni directory virtuale in un sito che contiene cassette postali degli utenti deve essere impostata su $null.

    Importante

    I server Accesso client non supportano più livelli di proxy. Ogni sito che contiene cassette postali degli utenti deve essere accessibile ai server Accesso client nel sito proxy dedicato.

    Nota

    Se vengono utilizzate più posizioni, potrebbe essere necessaria una configurazione di rete aggiuntiva. Ciò può includere la configurazione di sistemi di bilanciamento del carico hardware, di più record DNS e della ridondanza dei router. La distribuzione fisica varierà in base alla topologia della rete dell'organizzazione.

Spazi dei nomi regionali

Il modello a più siti che utilizza uno spazio dei nomi differente per ogni sito è definito modello dello spazio dei nomi regionale. I vantaggi di questo modello sono i seguenti:

  • L'inoltro verrà ridotto, poiché una percentuale maggiore di utenti sarà in grado di eseguire la connessione a un server Accesso client nello stesso sito di Active Directory in cui si trova il relativo server Cassette postali. In tal modo migliorano le prestazioni per l'utente finale. Per gli utenti con cassette postali in un sito che non dispone di un server Accesso client con connessione a Internet continuerà ad essere utilizzato l'inoltro tramite proxy.

Gli svantaggi di questo modello sono i seguenti:

  • È necessario gestire più record DNS.

  • È necessario richiedere, configurare e gestire più certificati.

  • La gestione della protezione è più complessa poiché un sito con connessione a Internet richiede un computer ISA Server o un altro firewall.

  • Ogni utente deve eseguire la connessione al proprio spazio dei nomi regionale. Ciò può causare più chiamata al supporto tecnico e rendere necessaria una maggiore formazione.

    Importante

    Il modello di spazio dei nomi regionale è in genere consigliato per tutte le topologie contenenti più siti di Active Directory che dispongono di connettività Internet.

Più foreste

Questo modello si compone di più foreste con più spazi dei nomi. Un'organizzazione che utilizza questo modello potrebbe essere composta di due società partner, ad esempio, Contoso e ContosoOnline. Gli spazi dei nomi potrebbero includere mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.

È consigliabile implementare un modello di spazio dei nomi regionale per ogni foresta, in modo da fornire agli utenti finali il massimo livello di prestazioni. È necessario gestire più certificati per ogni foresta.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.