Общие сведения о пространствах имен сервера клиентского доступа

Статья
05/13/2016

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2011-11-08

При планировании организации Microsoft Exchange Server 2010 одним из важнейших решений является определение того, как будут использоваться внешние пространства имен. Пространство имен — это логическая структура, которая обычно представлена именем домена в DNS. При определении пространства имен необходимо учесть различные расположения клиентов и серверов, на которых находятся их почтовые ящики. Кроме того, необходимо оценить, как клиенты подключаются к Exchange 2010. Ответы на такие вопросы позволяют определить требуемое количество пространств имен. Пространства имен обычно соответствуют конфигурации DNS. Рекомендуется создать уникальное пространство имен для каждого сайта Служба каталогов Active Directory в регионе, в котором есть один или несколько серверов клиентского доступа с выходом в Интернет. В службе DNS это обычно представлено в виде A-записи, например mail.contoso.com или mail.europe.contoso.com.

Перед созданием организации Exchange 2010 необходимо решить, как будет настроена организация и как будут определены внешние пространства имен. Решения относительно пространств имен будут влиять на следующее:

как будет настроена DNS;
какие сертификаты потребуются для шифрования взаимодействия серверами Exchange 2010 и клиентскими компьютерами и устройствами;
как будет организован доступ клиентов к почтовым ящикам при использовании мобильного Outlook, Outlook Web App и клиентов, работающих по протоколам POP3 и IMAP4.

Принятие подобных решений подразумевает анализ физической и логической структуры сети и выбор топологии организации. В этом разделе обсуждаются различные топологии и приводятся сведения о том, как каждая из них влияет на организацию Exchange.

Примечание.
В разделе не рассматривается планирование реализации внутреннего пространства имен, что может потребоваться при развертывании балансировки нагрузки в сайте Служба каталогов Active Directory. Подробные сведения о влиянии внутреннего развертывания балансировки нагрузки см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

В разделе не рассматривается планирование реализации внутреннего пространства имен, что может потребоваться при развертывании балансировки нагрузки в сайте Служба каталогов Active Directory. Подробные сведения о влиянии внутреннего развертывания балансировки нагрузки см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

Модели организации Exchange Server 2010

В этом разделе рассматриваются указанные ниже топологии.

Модель объединенного центра обработки данных. Эта модель состоит из одного физического сайта. Все серверы расположены в пределах сайта, и присутствует одно пространство имен, например mail.contoso.com.
Одно пространство имен с прокси-сайтами. Эта модель состоит из нескольких физических сайтов. Только один сайт содержит сервер клиентского доступа, доступный из Интернета. Другие площадки не доступны через Интернет. Для сайтов в модели существует только одно пространство имен, например mail.contoso.com.
Одно пространство имен и несколько сайтов. Эта модель состоит из нескольких физических сайтов. Каждая площадка может содержать сервер клиентского доступа с выходом в Интернет. Также возможна ситуация, когда присутствует только один сайт, на котором размещены серверы клиентского доступа с выходом в Интернет. Для сайтов в модели существует только одно пространство имен, например mail.contoso.com.
Региональные пространства имен. Эта модель состоит из нескольких физических сайтов и нескольких пространств имен. Например, сайт, расположенный в Нью-Йорке, имеет пространство имен mail.usa.contoso.com, расположенный в Торонто, — mail.canada.contoso.com, а в Лондоне — mail.europe.contoso.com.
Несколько лесов. Эта модель состоит из нескольких лесов и нескольких пространств имен. Организация, применяющая эту модель, может состоять из двух партнерских компаний (например, Contoso и ContosoOnline). При этом могут использоваться пространства имен mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com и mail.europe.contosoonline.com.

Модель объединенного центра обработки данных

Модель объединенного центра обработки данных — это наиболее простая модель из рассматриваемых в этом разделе. Она состоит из одного физического сайта.

Ниже перечислены преимущества этой модели.

Требуется управлять меньшим количеством записей DNS, чем в моделях с несколькими пространствами имен.

Требуется управлять меньшим количеством сертификатов. Существует несколько способов шифрования связи между сервером клиентского доступа Exchange и клиентами. Для шифрования рекомендуется использовать один сертификат, который поддерживает дополнительные имена субъекта.

Примечание.
Дополнительное имя субъекта — это атрибут цифрового сертификата, с помощью которого администратор сайта может настроить один сертификат, в котором указаны все пространства имен, требующие сертификата сервера.

Примечание.
Для управления сертификатами в модели объединенного центра обработки данных можно также использовать групповой сертификат, несколько сертификатов и записи SRV, настроенные соответствующим образом.

Пользователям не потребуется выбирать используемое пространство имен. Все пользователи применяют одно и то же пространство имен и URL-адрес для доступа к Microsoft Exchange.

Ниже перечислены недостатки модели объединенного центра обработки данных.

Эта модель не поддерживает несколько центров обработки данных.
Если интернет-связь с регионами медленная из-за низкой пропускной способности, значительных задержек или высокой загрузки, пользователи в регионах столкнутся с низкой производительностью.

Одно пространство имен с прокси-сайтами

Эта модель состоит из нескольких физических сайтов, которые используют одно пространство имен. На одном из сайтов, расположенном за ISA Server или другим брандмауэром, находится один или несколько серверов клиентского доступа, доступных из Интернета. На других сайтах нет серверов клиентского доступа, доступных из Интернета.

Важно!
Установка сервера клиентского доступа в сети периметра не поддерживается.

Внимание!
Если на всех сайтах имеется возможность подключения к Интернету, использовать эту модель не рекомендуется. Если топология состоит из нескольких сайтов Служба каталогов Active Directory, подключенных к Интернету и расположенных на удалении друг от друга, рассмотрите возможность использования модели региональных пространств имен.

Если на всех сайтах имеется возможность подключения к Интернету, использовать эту модель не рекомендуется. Если топология состоит из нескольких сайтов Служба каталогов Active Directory, подключенных к Интернету и расположенных на удалении друг от друга, рассмотрите возможность использования модели региональных пространств имен.

Эта модель имеет следующие преимущества.

Требуется управлять меньшим количеством записей DNS, чем в топологиях с несколькими пространствами имен. Это позволяет упростить работу.
Требуется управлять меньшим количеством сертификатов. Обмен данными между сервером клиентского доступа и клиентами можно шифровать с помощью одного сертификата, который поддерживает дополнительные имена субъекта.
Пользователям не потребуется выбирать используемое пространство имен. Все пользователи применяют одно и то же пространство имен и URL-адрес для доступа к Microsoft Exchange.

Ниже приведены недостатки, связанные с развертыванием единого пространства имен с прокси-сайтами.

Некоторые пользователи будут получать доступ к своим почтовым ящикам через прокси. Если пользователь подключается к серверу клиентского доступа, который не находится на том же физическом сайте, что и его сервер почтовых ящиков, запрос будет передан на сервер клиентского доступа на том же физическом сайте, что и сервер почтовых ящиков. Из-за дополнительного перенаправления возрастет стоимость связи в глобальной сети, а производительность снизится. Влияние на производительность зависит от расстояния между двумя физическими центрами обработки данных и числа прокси-подключений.

Важно!
На каждом сервере клиентского доступа на сайте, к которому осуществляется перенаправление через прокси, необходимо настроить целевые виртуальные каталоги для встроенной проверки подлинности Windows. Дополнительные сведения см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

На каждом сервере клиентского доступа на сайте, к которому осуществляется перенаправление через прокси, необходимо настроить целевые виртуальные каталоги для встроенной проверки подлинности Windows. Дополнительные сведения см. в разделе Общие сведения по передаче данных через прокси-соединения и перенаправление.

Одно пространство имен с несколькими сайтами

Эта модель состоит из нескольких физических сайтов, которые используют одно пространство имен. Для данной модели возможны два варианта развертывания. Можно использовать компьютер с ISA Server, расположенный перед одним или несколькими сайтами, или сайт прокси-сервера клиентского доступа. За каждым из сайтов могут находиться один или несколько серверов, доступных из Интернета. Для этой модели также требуется решение для балансировки нагрузки, которое равномерно распределяет входящий трафик между сайтами, доступными из Интернета.

Важно!
Установка сервера клиентского доступа в сети периметра не поддерживается.

Развертывание с использованием компьютера с ISA Server

В этой конфигурации сервер ISA Server выполняет предварительную проверку подлинности подключения для определения членства клиента в группах. После этого трафик перенаправляется на нужный сайт на основе настроенных правил публикации.

Ниже описаны преимущества модели.

Требуется управлять меньшим количеством записей DNS, чем в моделях с несколькими пространствами имен. Это позволяет упростить работу.
Требуется управлять меньшим количеством сертификатов. Обмен данными между сервером клиентского доступа и клиентами можно шифровать с помощью одного сертификата, который поддерживает дополнительные имена субъекта. Компьютер с ISA Server можно настроить для использования внешнего доверенного сертификата от надежного поставщика. Безопасность трафика между ISA Server и серверами клиентского доступа можно обеспечить с помощью внутреннего сертификата.
Пользователям не потребуется выбирать используемое пространство имен. Все пользователи используют для доступа к серверу Microsoft Exchange одно и то же пространство имен и URL-адрес.
Почтовые ящики можно перемещать с одного сайта на другой без изменения внешнего пространства имен. Это обеспечивает гибкость для администраторов, которым требуется выполнять балансировку нагрузки для трафика между сайтами без изменения конфигурации клиентов.
При необходимости позднее можно добавить региональное пространство имен. Эту же модель можно воспроизвести в другом местоположении с использованием другого внешнего URL-адреса.
Проверку подлинности на основе форм сервера ISA Server 2006 можно настроить в соответствии с конкретными требованиями организации.

Ниже указаны некоторые из недостатков развертывания этой модели.

Вероятно, повысится степень использования глобальной сети. Степень повышения зависит от физического расположения ISA Server.
Необходимо правильно развернуть и настроить сервер ISA.
Чтобы обеспечить перенаправление трафика на нужный сайт, необходимо управлять членством в группах. По умолчанию администраторы получателей не могут создавать группы безопасности, поэтому делегирование Служба каталогов Active Directory необходимо настроить так, чтобы администраторы, занимающиеся Exchange, могли создавать и обновлять членство в группах. Использование групп требует дополнительных действий, которые необходимо принимать во внимание при создании или перемещении почтовых ящиков. Чтобы избежать передачи ненужных запросов проверки подлинности через глобальную сеть, рекомендуется размещать сервер глобального каталога рядом с ISA Server.

Развертывание с сайтом прокси для сервера клиентского доступа

В этой модели все клиентские подключения извне переводятся на сайт Служба каталогов Active Directory, который не содержит почтовых ящиков пользователей. После этого подключения перенаправляются сервером клиентского доступа этого сайта на сайт, в котором находится почтовый ящик пользователя.

Ниже описаны преимущества модели.

Требуется управлять меньшим количеством записей DNS, чем в моделях с несколькими пространствами имен. Это позволяет упростить работу.
Требуется управлять меньшим количеством сертификатов. Обмен данными между сервером клиентского доступа и клиентами можно шифровать с помощью одного сертификата, который поддерживает дополнительные имена субъекта. ISA Server можно настроить для использования внешнего доверенного сертификата от надежного поставщика. А трафик между ISA Server и серверами клиентского доступа могут быть защищены с помощью внутреннего сертификата.
Пользователям не потребуется выбирать используемое пространство имен. Всеми пользователями используется одно и то же пространство имен и URL-адреса для доступа к Microsoft Exchange. В случае настройки разделения DNS эту модель можно также использовать для унификации внутреннего пространства имен. Если разделение DNS не настроено, все внутренние запросы клиентов будут достигать брандмауэра и перенаправляться соответствующим образом.
Почтовые ящики можно переносить с одного сайта на другой без изменения пространства имен с точки зрения внешнего пользователя. Это обеспечивает гибкость для администраторов, которым требуется выполнять балансировку нагрузки между сайтами. Кроме того, это полезно на случай чрезвычайных ситуаций, когда всю службу необходимо переместить с одного сайта на другой, поскольку изменять конфигурацию клиентов при этом не требуется.
При необходимости позднее можно добавить региональное пространство имен. Эту же модель можно воспроизвести в другом местоположении с использованием другого внешнего URL-адреса.

Ниже приведены недостатки этой модели.

Вероятно, повысится степень использования глобальной сети. Это будет зависеть от физического размещения серверов клиентского доступа на сайте с выходом в Интернет.
Требуется правильно развернуть и настроить дополнительные серверы клиентского доступа.
Все пользователи будут получать доступ к своим почтовым ящикам через прокси. Когда пользователь подключается к серверу клиентского доступа на сайте прокси, то этот сервер не находится в том же сайте Служба каталогов Active Directory, что и сервер почтовых ящиков. Запрос пользователя будет перенаправлен на сервер клиентского доступа, который находится в одном сайте Служба каталогов Active Directory с сервером почтовых ящиков. Производительность не будет оптимальной из-за дополнительный операций перенаправления. Изменение производительности зависит от расстояния между двумя физическими сайтами.

Доступ к библиотекам Windows SharePoint Services и общим папкам Windows невозможен при подключении пользователей к серверу клиентского доступа, который не находится в том же физическом сайте, что и их сервер почтовых ящиков. Это связано с тем, что для доступа к библиотекам Windows SharePoint Services и общим папкам Windows требуются имя пользователя и пароль. При использовании прокси связь с библиотеками Windows SharePoint Services и общими папками Windows выполняется через системную учетную запись Exchange. Этой учетной записи недоступны имя и пароль пользователя.

Важно!
Свойству ExternalURL каждого виртуального каталога в сайте, содержащем почтовые ящики пользователей, должно быть присвоено значение $null.

Важно!
Серверы клиентского доступа не поддерживают несколько уровней перенаправления через прокси. Каждый сайт, в котором находятся почтовые ящики пользователей, должен быть доступен серверам клиентского доступа в выделенном сайте прокси.

Серверы клиентского доступа не поддерживают несколько уровней перенаправления через прокси. Каждый сайт, в котором находятся почтовые ящики пользователей, должен быть доступен серверам клиентского доступа в выделенном сайте прокси.

Примечание.
При использовании нескольких расположений может потребоваться дополнительная настройка сети. Это может быть настройка оборудования для балансировки нагрузки, нескольких записей DNS и избыточности маршрутов. Физический способ развертывания будет зависеть от топологии сети организации.

При использовании нескольких расположений может потребоваться дополнительная настройка сети. Это может быть настройка оборудования для балансировки нагрузки, нескольких записей DNS и избыточности маршрутов. Физический способ развертывания будет зависеть от топологии сети организации.

Региональные пространства имен

Моделью региональных пространств имен называется модель, в которой для каждого сайта используется свое пространство имен. Ниже описаны преимущества модели.

Прокси буду использоваться реже, так как большее количество пользователей смогут подключаться к серверу клиентского доступа на том же сайте Служба каталогов Active Directory, что и их сервер почтовых ящиков. Это улучшит работу пользователей и производительность. Для пользователей, почтовые ящики которых находятся на площадке без сервера клиентского доступа с выходом в Интернет, будет выполняться передача.

Ниже описаны недостатки модели.

Требуется управлять несколькими записями DNS.
Требуется получить и настроить несколько сертификатов, а также управлять ими.
Усложняется управлением безопасностью, так как для каждого сайта, доступного из Интернета, требуется ISA Server или другой брандмауэр.

Каждый пользователь должен подключаться к собственному региональному пространству имен. Это может привести к необходимости обучения и повысить количество обращений в службу поддержки.

Важно!
Во всех топологиях с несколькими сайтами Служба каталогов Active Directory, подключенными к Интернету, как правило, рекомендуется применять модель региональных пространств имен.

Несколько лесов

Эта модель состоит из нескольких лесов и нескольких пространств имен. Организация, применяющая эту модель, может состоять из двух партнерских компаний (например, Contoso и ContosoOnline). При этом могут использоваться пространства имен mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com и mail.europe.contosoonline.com.

Для каждого леса рекомендуется реализовать модель региональных пространств имен для максимального повышения производительности (с точки зрения конечных пользователей). Потребуется управлять несколькими сертификатами в каждом лесу.