了解 Exchange Server 2007 的命名空間規劃

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上次修改主題的時間: 2008-11-14

規劃 Microsoft Exchange Server 2007 組織時,必須做的其中一項最重要決定是如何安排組織的外部命名空間。命名空間是一種邏輯結構,通常會以 DNS 的網域名稱來表示。您在定義命名空間時,必須考慮用戶端和儲存其信箱的伺服器所在的各種位置。除了用戶端的實體位置之外,您還必須評估它們連線到 Exchange 2007 的方式。這些問題的答案將決定您必須有多少命名空間。命名空間一般都會與 DNS 組態一致。針對具有一或多個網際網路對向 Client Access Server 之區域中的每個 Active Directory 站台,建議要有一個唯一的命名空間。這通常在 DNS 中以 A 記錄來表示,例如 mail.contoso.com 或 mail.europe.contoso.com。

執行 Exchange 2007 組織之前,必須決定組織的設定方式和外部命名空間的定義方式。您所做的命名空間決定將會影響下列各項:

  • 如何設定 DNS。

  • 必須具備什麼憑證,才能對執行 Exchange 2007 的電腦與用戶端電腦和裝置之間的通訊進行加密。

  • 使用 Outlook 無所不在、Outlook Web Access 以及 POP3 和 IMAP4 用戶端時,用戶端如何存取它們的信箱。

此程序包含檢查您的實體與邏輯網路結構,以及選擇組織拓撲。本主題提供各種拓撲的概觀,並提供每種拓撲如何影響 Exchange 組織的相關資訊。

note附註:
本主題不會討論內部命名空間規劃,而此規劃是在 Active Directory 站台內部署負載平衡時的必要項目。如需內部部署負載平衡影響的詳細資料,請參閱了解 Proxy 與重新導向

本主題會檢查下列拓撲:

  • 合併資料中心模型   此模型包含單一的實體站台。所有伺服器都位於一個實體站台內,站台內有單一的命名空間,例如 mail.contoso.com。

  • 單一命名空間及 Proxy 站台   此模型包含多個實體站台。只有一個站台包含網際網路對向的 Client Access Server。其他的實體站台則不會接觸網際網路。在此模型中,站台只會有一個命名空間,例如 mail.contoso.com。

  • 單一命名空間及多個站台   此模型包含多個實體站台。每個站台都可以有一個網際網路對向的 Client Access Server,或是可能只有單一站台包含網際網路對向的 Client Access Server。在此模型中,站台只會有一個命名空間,例如 mail.contoso.com。

  • 地區命名空間   此模型包含多個實體站台與多個命名空間。例如,位於紐約市的站台會具有命名空間 mail.usa.contoso.com、位於多倫多的站台會具有命名空間 mail.canada.contoso.com,而位於倫敦的站台則會具有命名空間 mail.europe.contoso.com。

  • 多個樹系   此模型包含具有多個命名空間的多個樹系。使用此模型的組織可能是由兩家協力公司組成,例如 Contoso 和 ContosoOnline。命名空間可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

合併資料中心模型是本主題所考慮的模型中最簡單的一個。此模型包含單一實體站台。下圖說明此模型。

Exchange 2007 單一命名空間拓撲

合併資料中心模型的優點如下:

  • 比起多重命名空間模型,所要管理的 DNS 記錄較少。

  • 所要管理的憑證較少。Exchange Client Access Server 與用戶端之間的通訊可以用數種方式加密。建議方法是使用支援主體別名的單一憑證。如需支援主旨替代名稱之憑證的相關資訊,請參閱 Exchange 2007 及 Communications Server 2007 的整合通訊憑證協力廠商

    note附註:
    主體別名是數位憑證的屬性,允許站台系統管理員設定單一憑證,其中會列出需要伺服器憑證的所有命名空間。
    note附註:
    管理合併資料中心模型憑證的替代方法包括萬用字元憑證、多個憑證,以及適當地設定 SRV 記錄。如需這些方法的相關資訊,請參閱 White Paper:Exchange 2007 Autodiscover Service (英文)。
  • 使用者不須決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。

合併資料中心模型也有數種缺點。其中包含下列各項:

  • 此模型不支援多個資料中心。

  • 如果地區網際網路連結因為低頻寬、高延遲或高用量而速度緩慢,那些地區的使用者將會遭遇效能低落的情形。

此模型包含使用單一命名空間的多個實體站台。在 ISA Server 電腦或其他防火牆後的站台中,會有一個站台具有一或多台網際網路對向的 Client Access Server。其他站台則不會有網際網路對向的 Client Access Server。

important重要事項:
不支援在周邊網路安裝 Client Access Server。

下圖說明此模型。

單一命名空間 Proxy 站台
Caution請注意:
如果所有站台都具有網際網路連線,則不建議使用此模型。如果拓撲使用多個具有網際網路連線的 Active Directory 站台,而且不是在接近的位置,則建議使用地區命名空間模型。

此模型的優點如下:

  • 比起多命名空間拓撲,所要管理的 DNS 記錄較少。如此可減少作業複雜度。

  • 所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。

  • 使用者不須決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。

部署單一命名空間及 Proxy 站台也有數個缺點。其中包含下列各項:

  • 高百分比的使用者將會透過 Proxy 作業存取其 Mailbox Server。如果使用者連線到與其 Mailbox Server 不在相同實體站台的 Client Access Server,系統會將其 Proxy 處理到與其 Mailbox Server 在相同實體站台的 Client Access Server。由於 Proxy 作業增加,WAN 連結成本將會增加,效能也將不會是最佳狀態。對效能的影響取決於兩個實體資料中心之間的距離以及 Proxy 處理連線的數目。

  • 當使用者連線到與其 Mailbox Server 不在相同站台內的 Client Access Server 時,會無法存取 Windows SharePoint Services 文件庫及 Windows 檔案共用。之所以會發生失敗是因為存取 Windows SharePoint Services 文件庫和 Windows 檔案共用需要有使用者的使用者名稱及密碼。在 Proxy 作業案例中,與 Windows SharePoint Services 文件庫和 Windows 檔案共用的通訊是透過 Client Access Server 系統帳戶來執行。這個帳戶並不知道使用者的使用者名稱及密碼。

  • 如果使用 POP3 或 IMAP4 通訊協定的用戶端所連線的 Client Access Server 與其 Mailbox Server 不在相同的站台中,則他們會無法存取自己的信箱。POP3 和 IMAP4 連線無法在站台之間進行 Proxy 處理。

    important重要事項:
    在進行 Proxy 處理的站台中,需要於每部 Client Access Server 上設定目標虛擬目錄以進行整合式 Windows 驗證。

此模型包含使用單一命名空間的多個實體站台。此模型有兩種部署選項。您可以在一或多個站台之前使用 ISA Server 伺服器,或使用 Client Access Server Proxy 站台。在每個站台後面可以有一或多個可透過網際網路存取的伺服器。此模型也需要負載平衡的解決方案,來將內送的流量平均地分散到網際網路對向的站台。

important重要事項:
不支援在周邊網路安裝 Client Access Server。

具有 ISA Server 的部署

下圖說明如何在 ISA Server 或其他防火牆後部署此模型。

部署具有多個站台的單一命名空間

在本圖顯示的組態中,ISA Server 會執行連線的預先驗證,以判斷用戶端的群組成員資格。接著會根據設定的發行規則將流量轉送至正確站台。

此模型的優點如下:

  • 比起多重命名空間模型,所要管理的 DNS 記錄較少。如此可減少作業複雜度。

  • 所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。ISA Server 伺服器可以設定成使用所辨識提供者的外部受信任憑證。ISA Server 伺服器與 Client Access Server 之間的流量可以使用內部產生的憑證進行保護。

  • 使用者不須決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。

  • 信箱可以在站台之間移動,而不需要進行外部命名空間變更。這可讓想要負載平衡站台之間流量而不想要變更用戶端組態的系統管理員具有彈性。

  • 必要時,可以在稍後的階段新增地區命名空間。您可以使用不同的外部 URL 在另一個位置中重複這個相同模型。

  • ISA Server 2006 表單型驗證可以自訂成符合組織的特定需求。

部署此模型的缺點如下:

  • 廣域網路 (WAN) 使用可能會增加。增加的數量則取決於 ISA Server 伺服器的實體位置。

  • 必須正確部署和設定 ISA Server。

  • 必須管理群組成員,以確定會將流量轉送至正確站台。收件者系統管理員預設無法建立安全性群組,因此必須設定 Active Directory 委派,專用 Exchange 系統管理員才能建立以及更新群組成員。使用群組會建立在建立或移動新信箱時必須列入考慮的額外作業負載。建議將通用類別目錄伺服器放到接近 ISA Server 伺服器處,避免不必要驗證要求在 WAN 上流動。

    important重要事項:
    我們不建議部署具有單一命名空間與多個 Active Directory 站台的拓撲。如果您的拓撲使用多個 Active Directory 站台,建議您使用地區命名空間模型。
    note附註:
       若要部署單一命名空間及多個站台,且要停用重新導向並強制執行 Proxy 作業,您必須在網際網路對向的 Client Access Server 上清除虛擬目錄的 ExternalURL 值。

具有 Client Access Server Proxy 站台的部署

下圖說明此模型。

具有 Client Access Server Proxy 站台的部署

在此模型中,所有源自外部的用戶端連線都會前往 Active Directory 站台 C。然後會透過站台 C 的 Client Access Server,將連線 Proxy 處理至內含使用者信箱的站台。

此模型的優點如下:

  • 比起多重命名空間模型,所要管理的 DNS 記錄較少。如此可減少作業複雜度。

  • 所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。ISA Server 可以設定成使用所辨識提供者的外部受信任憑證,而且可以使用內部產生的憑證來保護 ISA Server 與 Client Access Server 之間的流量安全。

  • 使用者不需要決定要使用的命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。如果設定分割的 DNS,則也可以使用此模型來統一內部命名空間。如果未設定分割的 DNS,則會將所有內部用戶端要求送達防火牆,並適當地進行轉送。

  • 從外部使用者的觀點,信箱可以在站台之間移動,而不需要變更命名空間。這可讓想要在站台之間進行負載平衡的系統管理員具有彈性。因為不需要變更用戶端組態,所以發生嚴重損壞而必須在站台之間移動整個服務時,此模型也很有用。

  • 必要時,可以在稍後的階段新增地區命名空間。您可以使用不同的外部 URL 在另一個位置中重複這個相同模型。

此模型的缺點如下:

  • WAN 使用可能會增加,並取決於 Client Access Server 在網際網路對向站台中的實體位置。

  • 必須正確部署和設定額外的 Client Access Server。

  • 所有使用者都會透過 Proxy 存取他們的信箱。當使用者連線至站台 C 中的 Client Access Server 時,該 Client Access Server 不在與其 Mailbox Server 相同的 Active Directory 站台中。而會將使用者 Proxy 處理至與其 Mailbox Server 位在相同 Active Directory 站台中的 Client Access Server。因為需要進行額外 Proxy 處理,所以效能不會是最佳的。對效能的影響取決於兩個實體站台之間的距離。

  • 當使用者連線至與其 Mailbox Server 不在相同站台內的 Client Access Server 時,會無法存取 Windows SharePoint Services 文件庫和 Windows 檔案共用。原因是存取 Windows SharePoint Services 文件庫和 Windows 檔案共用需要有使用者的使用者名稱和密碼。在 Proxy 作業案例中,與 Windows SharePoint Services 文件庫和 Windows 檔案共用的通訊是透過 Exchange 系統帳戶來執行。這個帳戶並不知道使用者的使用者名稱及密碼。

  • 如果使用 POP3 或 IMAP4 通訊協定的用戶端所連線的 Client Access Server 與其 Mailbox Server 不在相同的站台中,則他們會無法存取自己的信箱。POP3 和 IMAP4 存取無法在站台之間進行 Proxy 處理。

    important重要事項:
    ExternalURL 內容 (位於內含使用者信箱之站台的每個虛擬目錄上) 必須設為 $null。
    important重要事項:
    Client Access Server 不支援多個層次的 Proxy 處理。專用 Proxy 站台的 Client Access Server 必須可以存取每個內含使用者信箱的站台。
    note附註:
    如果使用多個位置,則可能需要額外的網路組態。這可能包含設定硬體負載平衡器、多筆 DNS 記錄以及路由傳送備援。實體部署會根據組織的網路拓撲而不同。

針對每個站台使用不同命名空間的多站台模型,稱為地區命名空間模型。下圖說明地區命名空間模型。

Exchange 2007 多命名空間拓撲

此模型的優點如下:

  • Proxy 作業將會減少,因為將會有較大百分比的使用者能夠連線到與其 Mailbox Server 在相同 Active Directory 站台的 Client Access Server。這將可以改善使用者經驗與效能。對於在沒有網際網路對向之 Client Access Server 的站台中具有信箱的使用者,系統仍會對其進行 Proxy 處理。

此模型的缺點如下:

  • 必須管理多個 DNS 記錄。

  • 必須取得、設定及管理多個憑證。

  • 管理安全性較為複雜,因為每個網際網路對向的站台都需要有 ISA Server 電腦或其他防火牆。

  • 每個使用者都必須連線到他們自己的地區命名空間。這樣可能會造成需要額外的支援服務諮詢與訓練。

important重要事項:
在任何包含多個 Active Directory 站台 (具有專屬網際網路連線) 的拓撲中,建議使用地區命名空間模型。

此模型包含具有多個命名空間的多個樹系。使用此模型的組織可能是由兩家協力公司 Contoso 及 ContosoOnline 來組成。命名空間可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

建議您針對每個樹系執行地區命名空間,以為使用者提供最高的效能等級。因為每個樹系都必須管理多個憑證。

如需命名空間規劃及其對 Exchange Server 安全性之影響的相關資訊,請參閱下列主題:

 
顯示: