Descripción de los espacios de nombres de servidores de acceso de clientes

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2011-11-08

Cuando planifique la organización de Microsoft Exchange Server 2010, una de las decisiones más importantes que debe tomar es cómo ordenar el espacio de nombres externo de la organización. Un espacio de nombres es una estructura lógica que normalmente se representa con un nombre de dominio en DNS. Al definir el espacio de nombres, se deben tener en cuenta las diferentes ubicaciones de los clientes y los servidores que hospedan sus buzones. Además de las ubicaciones físicas de los clientes, se debe evaluar cómo se conectan a Exchange 2010. Las respuestas a estas cuestiones determinarán el número de espacios de nombres que debe tener. Normalmente, los espacios de nombres se alinean con la configuración DNS Se recomienda que cada sitio de Active Directory que tenga uno o más servidores Acceso de cliente abiertos a Internet tenga un espacio de nombres único. Esto normalmente se representa en DNS con un registro A; por ejemplo, mail.contoso.com o mail.europe.contoso.com.

Antes de crear una organización de Exchange 2010, debe decidir cómo se configurará y cómo se definirán los espacios de nombres externos. Las decisiones que tome acerca de los espacios de nombres afectarán a lo siguiente:

  • La configuración del DNS.

  • Los certificados que debe tener para cifrar las comunicaciones entre los equipos que ejecutan Exchange 2010 y los equipos y dispositivos de su cliente.

  • Cómo obtienen acceso los clientes a sus buzones cuando se utiliza Outlook Anywhere, Outlook Web App y los clientes POP3 e IMAP4.

La toma de estas decisiones requiere examinar la estructura física y lógica de la red, y elegir una topología para la organización. En este tema se explican las diversas topologías y se ofrece información sobre el modo en el que cada una de ellas afecta a una organización de Exchange.

Nota

En este tema no se aborda la planificación de espacios de nombre internos, que pueden ser necesarios si implementa el equilibrio de carga en un sitio de Active Directory. Para obtener más información acerca del impacto de la implementación de equilibrio de carga internamente, vea Descripción del uso de proxy y redirección.

Modelos organizativos de Exchange 2010

En este tema se examinan los siguientes tipos de topología:

  • Modelo de centro de datos consolidado   Este modelo consiste en un único sitio físico. Todos los servidores se ubican dentro del sitio y hay un solo espacio de nombres; por ejemplo, mail.contoso.com.

  • Espacio de nombres único con sitios proxy   Este modelo consta de varios sitios físicos. Sólo un sitio contiene un servidor de acceso de cliente abierto a Internet; Los demás sitios no están expuestos a Internet. Sólo hay un espacio de nombres para los sitios en este modelo, por ejemplo, mail.contoso.com.

  • Espacio de nombres único con varios sitios   Este modelo consta de varios sitios físicos. Cada sitio puede tener un servidor de acceso de cliente con conexión a Internet. Como alternativa, puede haber únicamente un solo sitio que incluya servidores de acceso de cliente con conexión a Internet. Sólo hay un espacio de nombres para los sitios en este modelo, por ejemplo, mail.contoso.com.

  • Espacios de nombres regionales   Este modelo consta de varios sitios físicos y varios espacios de nombres. Por ejemplo, un sitio ubicado en la ciudad de Nueva York tendría el espacio de nombres mail.usa.contoso.com, un sitio ubicado en Toronto tendría el espacio de nombres mail.canada.contoso.com y un sitio ubicado en Londres tendría el espacio de nombres mail.europe.contoso.com.

  • Varios bosques   Este modelo consta de varios bosques que tienen varios espacios de nombres. Una organización que use este modelo podría estar formada por dos empresas asociadas, por ejemplo, Contoso y ContosoOnline. Los espacios de nombres podrían incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com y mail.europe.contosoonline.com.

Modelo de centro de datos consolidado

El modelo de centro de datos consolidado es el más sencillo de los que se tratan en este tema. Consiste en un solo sitio físico.

Las ventajas del modelo del centro de datos consolidado son las siguientes:

  • Hay menos registros DNS para administrar que con varios modelos de espacios de nombres.

  • Hay menos certificados que administrar. Las comunicaciones entre el servidor de acceso de cliente de Exchange y los clientes se pueden cifrar de varias formas. El método de cifrado recomendado consiste en usar un solo certificado que admita nombres alternativos del sujeto.

    Nota

    Un nombre alternativo del sujeto es un atributo de un certificado digital que permite al administrador del sitio configurar un solo certificado que enumere todos los espacios de nombres que necesitan un certificado de servidor.

    Nota

    Entre los métodos alternativos para administrar certificados de un modelo de centro de datos consolidado se incluyen un certificado comodín, certificados múltiples y la configuración de registros SRV de forma adecuada.

  • Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y la misma dirección URL para obtener acceso a Microsoft Exchange.

Entre los inconvenientes del modelo de centro de datos consolidados se incluyen:

  • Este modelo no es compatible con varios centros de datos.

  • Si los vínculos regionales a Internet son lentos debido a un ancho de banda bajo, una latencia muy alta o un uso elevado, los usuarios finales de estas regiones tendrán un rendimiento bajo.

Espacio de nombres único con sitios proxy

Este modelo consiste en varios sitios físicos que usan un solo espacio de nombres. Detrás de un equipo ISA Server u otro firewall, uno de los sitios tiene uno o más servidores de acceso de cliente abiertos a Internet. El resto de sitios no contienen servidores de acceso de clientes con conexión a Internet.

Importante

No se admite la instalación de un servidor de acceso de clientes en una red perimetral.

Advertencia

Este modelo no se recomienda si todos los sitios tienen conectividad a Internet. Si en su topología se usan varios sitios de Active Directory con conectividad a Internet pero alejados unos de otros, considere la implementación de un modelo de espacio de nombres regional.

Este modelo ofrece las siguientes ventajas:

  • Menos registros DNS para administrar que con varias topologías de espacio de nombres. De este modo, se reduce la complejidad operativa.

  • Hay menos certificados que administrar. Las comunicaciones entre el servidor de acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto.

  • Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y la misma dirección URL para obtener acceso a Microsoft Exchange.

Entre los inconvenientes de la implementación de un único espacio de nombres con sitios proxy se incluyen:

  • Algunos usuarios obtendrán acceso a su servidor de buzones de correo a través de proxy. Si un usuario se conecta a un servidor de acceso de clientes que no está en el mismo sitio físico que su servidor de buzones, se le redirigirá a un servidor de acceso de clientes que sí lo está. Debido a las conexiones proxy adicionales, los costos asociados a WAN se incrementarán y el rendimiento no será óptimo. El efecto sobre el rendimiento dependerá de la distancia entre los dos centros de datos físicos y del número de conexiones proxy.

    Importante

    Es necesario configurar los directorios virtuales de destino de cada servidor de acceso de clientes del sitio con conexión proxy para la autenticación de Windows integrada. Para obtener más información, vea Descripción del uso de proxy y redirección.

Espacio de nombres único con varios sitios

Este modelo consiste en varios sitios físicos que usan un solo espacio de nombres. Hay dos opciones de implementación para este modelo. Se puede usar un equipo servidor ISA frente a uno o más sitios, o utilizar un sitio proxy de servidor de acceso de clientes. Puede haber uno o más servidores con acceso a través de Internet detrás de cada sitio. Este modelo también requiere una solución de equilibrio de carga que divida el tráfico de entrada por igual entre los sitios abiertos a Internet.

Importante

No se admite la instalación de un servidor de acceso de clientes en una red perimetral.

Implementación con un equipo servidor ISA

En esta configuración, el servidor ISA lleva a cabo una autenticación previa de la conexión para determinar la pertenencia a grupos del cliente. El tráfico se reenvía al sitio correcto de acuerdo con las reglas de publicación configuradas.

Las ventajas de este modelo son las siguientes:

  • Hay menos registros DNS para administrar que con varios modelos de espacios de nombres. De este modo, se reduce la complejidad operativa.

  • Hay menos certificados que administrar. Las comunicaciones entre el servidor de acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto. El equipo servidor ISA se puede configurar para utilizar un certificado externo de confianza desde un proveedor reconocido. El tráfico entre el equipo servidor ISA y los servidores de acceso de clientes se puede proteger mediante certificados generados internamente.

  • Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios usan el mismo espacio de nombres y dirección URL para obtener acceso a Microsoft Exchange.

  • Los buzones se pueden mover entre sitios sin cambios de espacio de nombres externos. Con ello se proporciona flexibilidad a los administradores que desean equilibrar la carga de tráfico entre sitios sin cambiar la configuración del cliente.

  • En caso necesario, posteriormente se puede agregar un espacio de nombres regional. Este modelo se puede repetir en otra ubicación utilizando una dirección URL externa distinta.

  • La autenticación basada en formularios de ISA Server 2006 se puede personalizar para adaptarse a los requisitos específicos de la organización.

Entre los inconvenientes para implementar este modelo se pueden citar los siguientes:

  • Es probable que se incremente el uso de red de área extensa (WAN). El nivel de aumento dependerá de la ubicación física del equipo servidor ISA.

  • ISA Server se debe implementar y configurar adecuadamente.

  • Se deben administrar las pertenencias a grupos, de modo que se asegure que el tráfico se reenvía al sitio correcto. De forma predeterminada, el Administrador de destinatarios no puede crear grupos de seguridad, por lo que se debe configurar la delegación de Active Directory para que los administradores de Exchange puedan crear y actualizar las pertenencias a grupos. El uso de grupos crea una sobrecarga operativa adicional que se debe tener en cuenta a la hora de crear o mover buzones nuevos. Se recomienda colocar un servidor de catálogo global cerca del equipo servidor ISA para evitar que las solicitudes de autenticación innecesarias viajen por WAN.

Implementación con un sitio proxy de servidor Acceso de cliente

En este modelo, todas las conexiones de clientes que se originan de manera externa van a un sitio de Active Directory que no tiene buzones de usuario. A continuación, las conexiones se redirigen mediante proxy a través de un servidor de acceso de clientes de ese sitio al sitio que contiene el buzón del usuario.

Las ventajas de este modelo son las siguientes:

  • Hay menos registros DNS para administrar que con varios modelos de espacios de nombres. De este modo, se reduce la complejidad operativa.

  • Hay menos certificados que administrar. Las comunicaciones entre el servidor de acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto. El servidor ISA se puede configurar para utilizar un certificado externo de confianza desde un proveedor reconocido. El tráfico entre el servidor ISA y los servidores de acceso de clientes se puede proteger mediante un certificado generado de manera interna.

  • Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y las mismas direcciones URL para obtener acceso a Microsoft Exchange. Si está configurada la división de DNS, este modelo se puede utilizar para unificar un nombre de espacio interno. Si no lo está, todas las solicitudes de clientes internos llegan al firewall y se reenvían como corresponde.

  • Los buzones se pueden mover entre sitios sin cambiar los espacios de nombre desde la perspectiva del usuario externo. Con ello se proporciona flexibilidad a los administradores que desean equilibrar la carga entre sitios. Resulta también útil cuando se produce un desastre y se debe mover la totalidad del servicio entre sitios, porque no es necesario cambiar la configuración del cliente.

  • En caso necesario, posteriormente se puede agregar un espacio de nombres regional. Este mismo modelo se puede repetir en otra ubicación utilizando una dirección URL externa diferente.

Los inconvenientes de este modelo son los siguientes:

  • Probablemente se incremente el uso de WAN. Dicho uso depende de la ubicación física de los servidores de acceso de clientes en el sitio con conexión a Internet.

  • Los servidores Acceso de cliente adicionales se deben implementar y configurar correctamente.

  • Todos los usuarios obtendrán acceso a sus buzones a través de proxy. Cuando el usuario se conecta al servidor de acceso de clientes del sitio del proxy, no está en el mismo sitio de Active Directory que su servidor de buzones. Se le redirigirá mediante proxy a un servidor de acceso de clientes que esté en el mismo sitio de Active Directory que el servidor de buzones. El rendimiento no será óptimo debido a las conexiones proxy adicionales. El efecto sobre el rendimiento dependerá de la distancia entre los dos sitios físicos.

  • No será posible obtener acceso a las bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows cuando los usuarios se conecten a un servidor de acceso de clientes que no esté en el mismo sitio que su servidor de buzones. Esto se debe a que el acceso a las bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows requiere el nombre de usuario y la contraseña del usuario. En un escenario de envíos mediante proxy, la comunicación con las bibliotecas de Windows SharePoint Services y los recursos compartidos de archivos de Windows se realiza a través de la cuenta del sistema de Exchange. Esta cuenta no reconoce el nombre ni la contraseña del usuario.

    Importante

    La propiedad ExternalURL de cada directorio virtual de un sitio que contiene buzones de correo de usuarios debe establecerse en $null.

    Importante

    Los servidores de acceso de clientes no admiten varios niveles de proxy. Los servidores de acceso de clientes deben tener acceso a los sitios que contienen buzones de usuario en el sitio proxy dedicado.

    Nota

    Puede ser necesaria la configuración adicional de la red si se utilizan varias ubicaciones. Dicha configuración puede incluir el equilibrio de carga del hardware, varios registros DNS y la redundancia de ruta. La implementación física variará en función de la topología de red de la organización.

Espacios de nombres regionales

El modelo de varios sitios que usa un espacio de nombres diferente para cada sitio se conoce como modelo de espacio de nombres regional. Las ventajas de este modelo son las siguientes:

  • Los envíos mediante proxy se reducirán, ya que un porcentaje más alto de usuarios se podrá conectar a un servidor de acceso de clientes en el mismo sitio de Active Directory que su servidor de buzones. Esto mejorará la experiencia y el rendimiento del usuario final. Los usuarios que tienen buzones en un sitio que no tiene un servidor de acceso de cliente con conexión a Internet continuarán procesándose mediante proxy.

Los inconvenientes de este modelo son los siguientes:

  • Se deben administrar varios registros DNS.

  • Se deben obtener, configurar y administrar varios certificados.

  • La administración de la seguridad es más compleja, ya que cada sitio abierto a Internet requiere un equipo con ISA Server u otro firewall.

  • Cada usuario se debe conectar a su propio espacio de nombres regional. Esto puede generar más llamadas al departamento de soporte técnico y formación.

    Importante

    En general, se recomienda el modelo de espacio de nombres regional para cualquier topología que incluya varios sitios de Active Directory que tengan su propia conectividad a Internet.

Varios bosques

Este modelo consiste en varios bosques con varios espacios de nombres. Una organización que use este modelo podría estar formada por dos empresas asociadas, Contoso y ContosoOnline. Los espacios de nombres podrían incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com y mail.europe.contosoonline.com.

Considere la implementación de un modelo de espacio de nombres regional para cada bosque con el fin de proporcionar el máximo nivel de rendimiento a los usuarios finales. Se deben administrar varios certificados para cada bosque.

 © 2010 Microsoft Corporation. Reservados todos los derechos.