Compreendendo Namespaces de Servidor de Acesso para Cliente

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2011-11-08

Quando você planeja a organização do Microsoft Exchange Server 2010, uma das decisões mais importante que deve tomar é como organizar o namespace externo da organização. Um namespace é uma estrutura lógica normalmente representada por um nome de domínio DNS. Ao definir seu namespace, é preciso considerar os diversos locais de seus clientes e os servidores que hospedam as caixas de correio deles. Além dos locais físicos dos clientes, é preciso avaliar como eles se conectam ao Exchange 2010. As respostas a essas perguntas determinarão quantos namespaces serão necessário. Seus namespaces normalmente se alinharão a sua configuração DNS. Recomendamos que cada site do Active Directory em uma região que tem um ou mais servidores de Acesso para o Cliente voltados para a Internet tenha um namespace exclusivo. Ele normalmente é representado no DNS por um registro A, como por exemplo, mail.contoso.com ou mail.europe.contoso.com.

Antes de criar uma organização do Exchange 2010, você deve decidir como sua organização será configurada e como seus namespaces externos serão definidos. As decisões tomadas sobre os namespaces afetarão o seguinte:

  • A configuração de DNS.

  • Os certificados serão necessários para criptografar as comunicações entre seu computadores que executam o Exchange 2010 e os computadores ou dispositivos clientes.

  • Como seus clientes acessam as caixas de mensagens ao usar o Outlook Anywhere,Outlook Web App e clientes POP3 e IMAP4.

Tomar essas decisões envolve o exame de sua estrutura de rede lógica e física e a escolha de uma topologia organizacional. Este tópico discute as diferentes topologias e oferece informações sobre como cada uma delas afeta sua organização do Exchange.

Dica

Este tópico não discute o planejamento do namespace interno, que pode ser necessário para implantar o balanceamento de carga dentro de um site do Active Directory. Para obter detalhes sobre o impacto da implantação interna do balanceamento de carga, consulte Noções básicas de proxy e redirecionamento.

Modelos organizacionais do Exchange 2010

Este tópico examina os seguintes tipos de topologia:

  • Modelo de Datacenter Consolidado Este modelo consiste em um único local físico. Todos os servidores se localizam no site e há um único namespace, como por exemplo, mail.contoso.com.

  • Namespace único com sites proxy   Este modelo consiste em vários sites físicos. Apenas um site contém um servidor de Acesso para Cliente voltado para a Internet. Os outros sites não estão expostos à Internet. Há apenas um namespace para os sites desse modelo, por exemplo, mail.contoso.com.

  • Namespace único e vários sites   Este modelo consiste em vários sites físicos. Cada site pode ter um servidor de Acesso para Cliente voltado para a Internet. Ou, pode haver apenas um site com servidores de Acesso para Cliente voltados para a Internet. Há apenas um namespace para os sites desse modelo, por exemplo, mail.contoso.com.

  • Namespaces regionais   Este modelo consiste em vários sites físicos e vários namespaces. Por exemplo, um site localizado na cidade de Nova York teria o namespace mail.usa.contoso.com, um site localizado em Toronto teria o namespace mail.canada.contoso.com e um site localizado em Londres teria o namespace mail.europe.contoso.com.

  • Várias florestas   Este modelo consiste em várias florestas com vários namespaces. Uma organização com este modelo poderia ser formada por duas empresas parceiras, como a Contoso e a ContosoOnline. Os namespaces podem incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.

Modelo de Datacenter consolidado

O modelo de datacenter consolidado é o modelo mais simples analisado neste tópico. Ele consiste em um único site físico.

As vantagens do modelo de datacenter consolidado são as seguintes:

  • Há menos registros DNS a serem gerenciados do que com vários modelos de namespace.

  • Há menos certificados a serem gerenciados. A comunicação entre o servidor de Acesso para Cliente do Exchange e os clientes pode ser criptografada de diversas maneiras. O método recomendado para criptografia é usar um único certificado com suporte para Nomes Alternativos de Assunto.

    Dica

    Um Nome Alternativo para o Requerente é um atributo de um certificado digital que permite que o administrador do site configure um único certificado que lista todos os namespaces que exijam um certificado de servidor.

    Dica

    Outros métodos de gerenciamento de certificados em um modelo de datacenter consolidado são um certificado curinga, vários certificados e configuração adequada de registros SRV.

  • Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.

Desvantagens para o modelo de datacenter consolidado incluem:

  • Este modelo não suporta vários datacenters.

  • Se o links regionais da Internet forem lentos devido a baixa largura de banda, alta latência ou uso intensivo, os usuários finais de outra regiões terão problemas de desempenho.

Namespace único com sites proxy

Esse modelo consiste em várias localidades físicas que usam um único namespace. Por trás de um computador do ISA Server ou outro firewall, um dos sites possui um ou mais servidores de Acesso para Cliente voltados para a Internet. Os outros sites não contêm servidores de Acesso para Cliente voltados para a Internet.

Importante

Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro.

Aviso

Este modelo não é recomendado se todos os sites tiverem conectividade com a Internet. Se sua topologia usa vários sites Active Directory que possuem conectividade com a Internet e que não são próximos uns dos outros, considere um modelo de namespace regional.

Este modelo oferece as seguintes vantagens:

  • Há menos registros DNS a serem gerenciados do que com várias topologias de namespace. Isso reduz a complexidade operacional.

  • Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente.

  • Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.

Desvantagens para implantação de um único namespace com sites de proxy incluem:

  • Alguns usuários acessarão seu servidor de Caixas de Correio por meio de proxy. Se um usuário se conectar a um servidor de Acesso para Cliente que não esteja na mesma localidade física que o servidor de Caixas de Correio, ele será conectado por proxy a um servidor de Acesso para Cliente que esteja na mesma localidade física que seu servidor de Caixas de Correio. Devido ao proxy adicional, os custos com link WAN aumentarão e o desempenho não será o ideal. O efeito sobre o desempenho depende da distância entre os dois datacenters físicos e o número de conexões de proxy.

    Importante

    Pode ser necessário configurar os diretórios virtuais de destino em cada servidor de Acesso para Cliente do site em proxy para a autenticação do Windows Integrada. Para obter mais informações, consulte Noções básicas de proxy e redirecionamento.

Namespace único com vários sites

Esse modelo consiste em várias localidades físicas que usam um único namespace. Há duas opções de implantação para esse modelo. Você pode usar um computador com ISA Server em frente a um ou mais sites ou usar um site proxy de servidor de Acesso para Cliente. Pode haver um ou mais servidores acessíveis pela Internet por trás de cada site. Esse modelo também requer uma solução de balanceamento de carga que divida o tráfego de entrada igualmente entre os sites voltados para a Internet.

Importante

Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro.

Implantação com um computador com ISA Server

Nesta configuração, o ISA Server realiza a pré-autenticação da conexão para determinar a associação de grupo do cliente. O tráfego é encaminhado para o site correto com base nas regras de publicação configuradas.

Estas são as vantagens do modelo:

  • Há menos registros DNS a serem gerenciados do que com vários modelos de namespace. Isso reduz a complexidade operacional.

  • Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente. O computador com ISA Server pode ser configurado para usar um certificado externo confiável de um provedor reconhecido. O tráfego entre o computador com ISA Server e os servidores de Acesso para Cliente pode ser protegido usando um certificado gerado internamente.

  • Os usuários finais não precisam determinar que namespace usar. Todos os usuários usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.

  • As caixas de correio podem ser movidas entre sites sem alterações de namespace externas. Isso fornece flexibilidade a administradores que desejam balancear a carga de tráfego entre sites sem alterar a configuração do cliente.

  • Se necessário, um namespace regional pode ser adicionado posteriormente. Esse mesmo modelo pode ser repetido em outro local usando uma URL externa diferente.

  • A autenticação baseada em formulários do ISA Server 2006 pode ser personalizada para se adequar aos requisitos específicos de uma organização.

As desvantagens de implantar este modelo são as seguintes:

  • O uso da rede de longa distância (WAN) provavelmente aumentará. O aumento do uso depende da localização física do computador com ISA Server.

  • O ISA Server deve ser implantado e configurado corretamente.

  • As associações de grupo devem ser gerenciadas para garantir que o tráfego é encaminhado para o site correto. Por padrão, Administradores de Destinatário não podem criar grupos de segurança, por isso a delegação do Active Directory deve ser configurada para que os Administradores do Exchange dedicados possam criar e atualizar a associação de grupo de atualização. O uso de grupos cria uma sobrecarga operacional adicional que deve ser considerada quando novas caixas de correio forem criadas ou movidas. Posicionar um servidor de catálogo global próximo a um computador com ISA Server é a forma recomendada para evitar que solicitações de autenticação desnecessárias percorram a WAN.

Implantação com um site de proxy do servidor de Acesso para Cliente

Neste modelo, todas as conexões de cliente que se originam externamente vão para um site do Active Directory que não contenha caixas de correio de usuário. As conexões são encaminhadas por proxy por um servidor de Acesso para Cliente nesse site para o site que contém a caixa de correio do usuário.

Estas são as vantagens do modelo:

  • Há menos registros DNS a serem gerenciados do que com vários modelos de namespace. Isso reduz a complexidade operacional.

  • Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente. O ISA Server pode ser configurado para usar um certificado externo confiável de um provedor reconhecido. E o tráfego entre o ISA Server e os servidores de Acesso para Cliente pode ser protegido usando um certificado que é gerado internamente.

  • Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e URLs para acessar o Microsoft Exchange. Se o DNS dividido estiver configurado, esse modelo também pode ser usado para unificar um namespace interno. Se o DNS dividido não estiver configurado, todas as solicitações de cliente internas chegarão ao firewall e serão encaminhadas adequadamente.

  • As caixas de correio podem ser movidas entre sites sem alterar o namespace de uma perspectiva do usuário externo. Isso oferece flexibilidade para os administradores que desejam fazer o balanceamento de carga entre sites. Também é útil quando um desastre ocorre e o serviço inteiro deve ser movido entre sites, porque a configuração do cliente não precisa ser alterada.

  • Um namespace regional pode ser adicionado posteriormente, se for necessário. Esse mesmo modelo pode ser repetido em outro local, usando uma URL externa diferente.

As desvantagens desse modelo são os seguintes:

  • A utilização do Wan provavelmente aumentará e depende da localização física dos servidores de Acesso para Cliente no site voltado para a Internet.

  • Os servidores de Acesso para Cliente adicionais devem ser implantados e configurados corretamente.

  • Todos os usuários acessarão suas caixas de correio por meio de proxy. Quando um usuário se conecta a um servidor de Acesso para Cliente no site proxy, não é o mesmo site do Active Directory que o servidor de Caixa de Correio. Eles serão transmitidos por proxy a um servidor de Acesso para Cliente que é o mesmo site do Active Directory que o servidor de Caixa de Correio. O desempenho não vai ser ideal por causa do proxy adicional. O efeito sobre o desempenho dependerá da distância entre os dois locais físicos.

  • Acessar as bibliotecas do Windows SharePoint Services e compartilhar arquivo no Windows não é possível quando os usuários se conectam a um servidor de Acesso para Cliente que não fica no mesmo site que seu servidor de Caixa de Correio. Isso ocorre porque o acesso a bibliotecas do Windows SharePoint Services e compartilhamentos de arquivos do Windows exigem o nome e a senha do usuário. Em um cenário de proxy, a comunicação com compartilhamentos de arquivos do Windows e bibliotecas do Windows SharePoint Services é executada por meio da conta do sistema do Exchange. Essa conta não sabe o nome e a senha do usuário.

    Importante

    A propriedade ExternalURL em cada diretório virtual em um site que contenha caixas de correio do usuário deve ser definido como $null.

    Importante

    Os servidores de Acesso para Cliente não oferecem suporte a vários níveis de proxy. Cada site que contém caixas de correio de usuário deve ser acessado por servidores de Acesso para Cliente no site proxy dedicado.

    Dica

    A configuração de rede adicional pode ser necessária se vários locais forem usados. Isso pode incluir a configuração de balanceadores de carga de hardware, vários registros de DNS e redundância de rota. A implantação física variará com base na topologia de rede da organização.

Namespaces regionais

O modelo com vários sites que usa um namespace diferente para cada site é chamado de modelo com namespaces regionais. Estas são as vantagens do modelo:

  • O proxy é reduzido porque uma porcentagem maior dos usuários poderão se conectar a um servidor de Acesso para Cliente no mesmo site do Active Directory que seu servidor de Caixa de Correio. Isso melhorará a experiência do usuário final e o desempenho. Usuários que possuam caixas de correio em um site sem um servidor de Acesso para Cliente voltado para a Internet usarão proxy.

As desvantagens desse modelo são as seguintes:

  • É necessário gerenciar vários registros DNS.

  • É necessário obter, configurar e gerenciar vários certificados.

  • O gerenciamento da segurança é mas complexo, porque cada site voltado para a Internet requer um computador do ISA Server ou outro firewall.

  • Cada usuário precisa se conectar ao seu próprio namespace regional. Isso pode resultar em mais chamados de suporte e treinamento.

    Importante

    O modelo de namespace regional é geralmente recomendado para qualquer topologia que envolve vários sites do Active Directory que têm sua própria conectividade com a Internet.

Várias florestas

Este modelo consiste em várias florestas com vários namespaces. Uma organização com este modelo poderia ser formada por duas empresas parceiras, como a Contoso e a ContosoOnline. Os namespaces podem incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.

Considere implementar um modelo de namespace regional para cada floresta para oferecer o melhor nível de desempenho para os usuários finais. É necessário gerenciar vários certificados em cada floresta.

 © 2010 Microsoft Corporation. Todos os direitos reservados.