了解客户端访问服务器命名空间

Exchange 2010
 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2011-11-08

在规划 Microsoft Exchange Server 2010 组织时,必须做出的最重要的一个决定是如何排列组织的外部命名空间。 命名空间是通常由 DNS 中的域名代表的一个逻辑结构。在定义命名空间时,必须考虑客户端及其邮箱所在的服务器的不同位置。除了客户端的物理位置之外,还必须评估客户端连接 Exchange 2010 的方式。回答下列问题后将可确定您必须拥有的命名空间数。通常,命名空间将与 DNS 配置相对应。建议包含一个或多个面向 Internet 的客户端访问服务器的区域中每个 Active Directory 站点均使用唯一的命名空间。通常,该命名空间在 DNS 中由 A 记录(例如 mail.contoso.com 或 mail.europe.contoso.com)表示。

在创建 Exchange 2010 组织之前,必须决定将如何配置组织以及将如何定义外部命名空间。针对命名空间做出的决定将影响下列事项:

  • 如何配置 DNS。

  • 要对运行 Exchange 2010 的计算机与客户端计算机和设备之间的通信进行加密所必须拥有的证书。

  • 客户端在使用 Outlook Anywhere、Outlook Web App 以及 POP3 和 IMAP4 客户端时如何访问其邮箱。

做出这些决定时需要检查物理网络结构和逻辑网络结构以及选择组织拓扑。 本主题讨论不同的拓扑,并提供有关每种拓扑对 Exchange 组织的影响的信息。

注释注意:
本主题未介绍规划内部命名空间,但您在 Active Directory 站点内部署负载平衡时需要了解此知识。 有关内部部署负载平衡所产生的影响的详细信息,请参阅了解代理和重定向

本主题检查下列拓扑类型:

  • 合并数据中心模型   此模型由单个物理站点组成。 所有服务器均位于该站点中,并且只有一个命名空间,例如 mail.contoso.com。

  • 单命名空间和代理站点  该模型由多个物理站点组成。只有一个站点包含面向 Internet 的客户端访问服务器。其他站点不面向 Internet。 该模型中的站点只有一个命名空间,例如 mail.contoso.com。

  • 单命名空间和多站点 该模型由多个物理站点组成。每个站点都可以具有面向 Internet 的客户端访问服务器。 或者,只有一个站点包含面向 Internet 的客户端访问服务器。 该模型中的站点只有一个命名空间,例如 mail.contoso.com。

  • 区域命名空间 该模型由多个物理站点和多个命名空间组成。 例如,位于纽约市的站点将使用命名空间 mail.usa.contoso.com,位于多伦多的站点将使用命名空间 mail.canada.contoso.com,位于伦敦的站点将使用命名空间 mail.europe.contoso.com。

  • 多个林 该模型由拥有多个命名空间的多个林组成。使用该模型的组织可能是由两个伙伴公司组成,例如 Contoso 和 ContosoOnline。命名空间可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

合并的数据中心模型是本主题中考虑的最简单的模型。该模型由单个物理站点组成。

合并的数据中心模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。

  • 要管理的证书较少。可以通过多种方式对 Exchange 客户端访问服务器与客户端之间的通信进行加密。 建议的加密方法是使用支持主题备用名称的单个证书。

    注释注意:
    主题备用名称是数字证书的一个属性,使站点管理员可以配置单个证书,该证书可列出需要服务器证书的所有命名空间。
    注释注意:
    管理合并的数据中心模型的证书的备用方法包括使用通配符证书、多个证书以及相应地配置 SRV 记录。
  • 最终用户不必确定要使用的命名空间。所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

合并数据中心模型的缺点包括:

  • 此模型不支持多个数据中心。

  • 如果区域 Internet 链接由于带宽不足、延迟时间长或占用率高而速度很慢,这些区域的最终用户将体验到较差的性能。

该模型由使用单个命名空间的多个物理站点组成。在 ISA 服务器计算机或另一个防火墙的后面,其中一个站点包含一个或多个面向 Internet 的客户端访问服务器。 其他站点不包含面向 Internet 的客户端访问服务器。

重要重要说明:
不支持在外围网络中安装客户端访问服务器。
小心警告:
如果所有站点均已与 Internet 连接,则不建议使用此模型。 如果您的拓扑使用多个具有 Internet 连接的 Active Directory 站点,并且互相不靠近,请考虑区域命名空间模型。

此模型具有以下优点:

  • 与使用多命名空间拓扑相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。

  • 最终用户不必确定要使用的命名空间。所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

使用代理站点部署单个命名空间的缺点包括:

  • 有些用户都将通过执行代理访问其邮箱服务器。 如果用户连接到与其邮箱服务器不在同一个物理站点的客户端访问服务器,则用户将被代理到与其邮箱服务器位于同一个物理站点的客户端访问服务器。 因为增加了代理环节,所以,WAN 链接的开销将增加,并且将达不到最优性能。 对性能的影响取决于两个物理数据中心之间的距离和代理连接数。

    重要重要说明:
    可能必须在代理到的每个客户端访问服务器上为集成 Windows 身份验证配置目录虚拟目录。有关详细信息,请参阅了解代理和重定向

该模型由使用单个命名空间的多个物理站点组成。此模型具有两个部署选项。 您可在一个或多个站点之前使用 ISA Server 计算机,也可使用客户端访问服务器的代理站点。每个站点之后都可以有一台或多台可从 Internet 访问的服务器。该模型还要求通过负载平衡解决方案来平均拆分面向 Internet 的站点之间的传入流量。

重要重要说明:
不支持在外围网络中安装客户端访问服务器。

使用 ISA Server 计算机进行部署

在此配置中,ISA Server 对连接进行预身份验证以确定客户端的组成员资格。然后,根据配置的发布规则,将通信转发到正确的站点。

该模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。 您可对 ISA Server 计算机进行配置,使它可使用公认提供商提供的外部受信任证书。 使用内部生成的证书可保护 ISA Server 计算机和客户端访问服务器之间的通信。

  • 最终用户不必确定要使用的命名空间。所有用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

  • 无需更改外部命名空间,即可在站点之间移动邮箱。对于那些希望不更改客户端配置即可实现通信负载平衡的管理员来说,这一功能提供了很大的灵活性。

  • 如有需要,则可在后续阶段添加区域命名空间。使用另一不同的外部 URL,可在其他位置中重复此相同模型。

  • 您可根据组织的特定要求,自定义 ISA Server 2006 基于表单的身份验证。

部署此模型的不足之处在于:

  • 广域网 (WAN) 的使用率可能会增加。 增加的使用量取决于 ISA Server 计算机的物理位置。

  • 必须正确部署和配置 ISA Server。

  • 必须管理组成员身份,才可确保将通信转发到正确的站点。 默认情况下,收件人管理员无法创建安全组,因此必须对 Active Directory 委派进行配置,以便专用的 Exchange 管理员可创建和更新组成员身份。 创建或移动新邮箱时,必须考虑使用组将创建其他操作开销。 建议将全局编录服务器放在接近 ISA Server 计算机的位置,避免通过 WAN 传递不必要的身份验证请求。

使用客户端访问服务器代理站点进行部署

在此模型中,所有来自外部的客户端连接都将转到不包含用户邮箱的 Active Directory 站点。 然后,连接由该站点中的客户端访问服务器代理转发到包含用户邮箱的站点。

该模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。 可以配置 ISA Server 以便使用知名提供商提供的外部受信任证书。 使用内部生成的证书可保护 ISA Server 和客户端访问服务器之间的通信。

  • 最终用户不必确定要使用的命名空间。 所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。如果已配置拆分 DNS,则此模型还可用来统一内部命名空间。 如果未配置拆分 DNS,则所有内部客户端请求将到达防火墙并相应进行转发。

  • 从外部用户角度来看,无需更改命名空间即可在站点之间移动邮箱。对于那些希望在站点之间实现负载平衡的管理员来说,这一功能提供了很大的灵活性。 由于无需更改客户端配置,因此这一功能在发生灾难且必须在站点之间移动整个服务时也十分有用。

  • 如需要,则可在后续阶段添加区域命名空间。使用另一不同的外部 URL,可在其他位置中重复此相同模型。

此模型的缺点如下所示:

  • WAN 使用率可能会增加,并且该使用率取决于客户端访问服务器在面向 Internet 站点中的物理位置。

  • 必须正确部署和配置其他客户端访问服务器。

  • 所有用户都将通过执行代理访问其邮箱。 当用户连接到代理站点中的客户端访问服务器时,用户没有与其邮箱服务器位于同一个 Active Directory 站点中。 他们将代理到与其邮箱服务器位于同一个 Active Directory 站点中的客户端访问服务器中。因为增加了代理,因此性能不会是最佳的。对性能的影响取决于两个物理站点之间的距离。

  • 在用户连接到与其邮箱服务器不在同一个站点的客户端访问服务器时,将无法访问 Windows SharePoint Services 库和 Windows 文件共享。 这是因为访问 Windows SharePoint Services 库和 Windows 文件共享需要用户的用户名和密码。 在代理方案中,通过 Exchange 系统帐户执行对 Windows SharePoint Services 库和 Windows 文件共享的通信。 该帐户不知道用户的用户名和密码。

    重要重要说明:
    包含用户邮箱的站点中每个虚拟目录上的 ExternalURL 属性必须设置为 $null。
    重要重要说明:
    客户端访问服务器不支持多个级别的代理。 在专用的代理站点中,客户端访问服务器必须可访问每个包含用户邮箱的站点。
    注释注意:
    如果使用多个位置,则可能需要其他的网络配置。这包括配置硬件负载平衡器、多个 DNS 记录和路由冗余。物理部署将根据组织网络拓扑的不同而有所不同。

每个站点使用不同命名空间的多站点模型称为区域命名空间模型。该模型的优点如下所述:

  • 因为更多的用户将可以连接到与其邮箱服务器位于同一个 Active Directory 站点的客户端访问服务器,所以,代理操作将减少。这样将改善最终用户的体验和使用性能。如果用户的邮箱位于没有面向 Internet 的客户端访问服务器的站点中,则仍将使用代理连接。

该模型的缺点如下所述:

  • 必须管理多个 DNS 记录。

  • 必须获取、配置并管理多个证书。

  • 管理安全性比较复杂,因为每个面向 Internet 的站点都需要 ISA 服务器计算机或其他防火墙。

  • 每个用户必须连接到自己的区域命名空间。 这样可能会增加向技术支持求助的次数和培训的次数。

    重要重要说明:
    对于任何包含多个自身具有 Internet 连接 Active Directory 站点的拓扑,一般建议使用区域命名空间模型。

该模型由拥有多个命名空间的多个林组成。使用该模型的组织可能是由两个伙伴公司组成,Contoso 和 ContosoOnline。命名空间可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

请考虑对每个林实施区域命名空间模型,以便为最终用户提供最高级别的性能。必须为每个林管理多个证书。

 © 2010 Microsoft Corporation。保留所有权利。
显示: