Descripción de la planeación del espacio de nombres para Exchange Server 2007
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Última modificación del tema: 2008-11-14
Cuando planifique la organización de Microsoft Exchange Server 2007, una de las decisiones más importantes que debe tomar es cómo ordenar el espacio de nombres externo de la organización. Un espacio de nombres es una estructura lógica que normalmente se representa con un nombre de dominio en DNS. Al definir el espacio de nombres, debe tener en cuenta las distintas ubicaciones de los clientes y de los servidores que hospedan sus buzones. Además de las ubicaciones físicas de los clientes, debe evaluar cómo se conectan a Exchange 2007. Las respuestas a estas cuestiones determinarán el número de espacios de nombres que debe tener. Normalmente, los espacios de nombres se alinean con la configuración DNS. Se recomienda que cada sitio de Active Directory que tenga uno o más servidores Acceso de cliente abiertos a Internet tenga un espacio de nombres único. Normalmente se representa en DNS con un registro A como mail.contoso.com o mail.europe.contoso.com.
Antes de implementar una organización de Exchange 2007, debe decidir cómo se configurarán y definirán los espacios de nombres externos. Las decisiones que tome acerca de los espacios de nombres afectarán a lo siguiente:
Cómo configurar el DNS.
Qué certificados que debe tener para cifrar las comunicaciones entre los equipos que ejecutan Exchange 2007 y los equipos y dispositivos de su cliente.
Cómo obtienen acceso los clientes a sus buzones cuando se utiliza Outlook Anywhere, Outlook Web Access y clientes POP3 y IMAP4.
Este proceso implica examinar la estructura lógica y física de su red, y elegir una topología de organización. En este tema se proporciona una introducción sobre las distintas topologías así como información acerca de cómo afecta cada topología a la organización de Exchange.
Nota
En este tema no se aborda el planeamiento de espacios de nombre internos, que pueden ser necesarios si implementa el equilibrio de carga en un sitio de Active Directory. Para obtener más información acerca del impacto de la implementación de equilibrio de carga internamente, consulte Descripción del uso de proxy y redirección.
Modelos organizativos de Exchange 2007
En este tema se examinan las siguientes topologías:
Modelo de centro de datos consolidado Este modelo consiste en un sólo sitio físico. Todos los servidores se ubican en un solo sitio físico y hay un solo espacio de nombres, como mail.contoso.com.
Espacio de nombres único con sitios proxy Este modelo consiste en varios sitios físicos. Sólo un sitio contiene un servidor de acceso de cliente expuesto a Internet. El resto de sitios físicos no están expuestos a Internet. Sólo hay un espacio de nombres para los sitios en este modelo, por ejemplo, mail.contoso.com.
Espacio de nombres único con varios sitios Este modelo consiste en varios sitios físicos. Cada sitio puede tener un servidor de acceso de cliente abierto a Internet o puede que sólo haya un sitio que contenga servidores de acceso de cliente expuestos a Internet. Sólo hay un espacio de nombres para los sitios en este modelo, por ejemplo, mail.contoso.com.
Espacios de nombres regionales Este modelo consiste en varios sitios físicos y varios espacios de nombres. Por ejemplo, un sitio ubicado en la ciudad de Nueva York tendría el espacio de nombres mail.usa.contoso.com, un sitio ubicado en Toronto tendría el espacio de nombres mail.canada.contoso.com y un sitio ubicado en Londres tendría el espacio de nombres mail.europe.contoso.com.
Varios bosques Este modelo consiste en varios bosques que tienen varios espacios de nombres. Una organización que use este modelo podría estar formada por dos empresas asociadas, por ejemplo, Contoso y ContosoOnline. Los espacios de nombres podrían incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com y mail.europe.contosoonline.com.
Modelo de centro de datos consolidado
El modelo de centro de datos consolidado es el más sencillo de los que se tratan en este tema. Consiste en un solo sitio físico. En la figura siguiente se ilustra este modelo.
Las ventajas del modelo del centro de datos consolidado son las siguientes:
Hay menos registros DNS para administrar que con varios modelos de espacio de nombres.
Hay menos certificados para administrar. Las comunicaciones entre el servidor de acceso de cliente de Exchange y los clientes se pueden cifrar de varias formas. El método recomendado es usar un solo certificado que admita Nombres alternativos del sujeto. Para obtener más información acerca de certificados que admitan Nombres alternativos del sujeto, consulte Empresas colaboradoras de certificados de comunicaciones unificadas para Exchange 2007 y para Communications Server 2007.
Nota
Un nombre alternativo del sujeto es un atributo de un certificado digital que permite al administrador del sitio configurar un solo certificado que enumere todos los espacios de nombres que necesitan un certificado de servidor.
Nota
Los métodos alternativos para administrar certificados de un modelo de centro de datos consolidado incluyen un certificado comodín, certificados múltiples y la configuración de registros SRV de forma adecuada. Para obtener más información acerca de estos métodos, consulte White Paper: Exchange 2007 Autodiscover Service (en inglés).
Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y la misma dirección URL para obtener acceso a Microsoft Exchange.
El modelo de centro de datos consolidado tiene algunos inconvenientes Entre ellos se incluyen los siguientes:
Este modelo no admite varios centros de datos.
Si los vínculos regionales a Internet son lentos debido a un ancho de banda bajo, una latencia muy alta o un uso elevado, los usuarios finales de estas regiones tendrán un rendimiento bajo.
Espacio de nombres único con sitios proxy
Este modelo consiste en varios sitios físicos que usan un solo espacio de nombres. Detrás de un equipo ISA Server u otro firewall, uno de los sitios tiene uno o más servidores de acceso de cliente abiertos a Internet. El resto de sitios no contienen servidores de acceso de cliente abiertos a Internet.
Importante
No se admite la instalación de un servidor de acceso de cliente en una red perimetral.
En la figura siguiente se ilustra este modelo.
Advertencia
Este modelo no se recomienda si todos los sitios tienen conectividad a Internet. Si la topología utiliza varios sitios de Active Directory con conectividad a Internet y no están muy próximos, se recomienda un modelo de espacios de nombre regional.
Las ventajas de este modelo son las siguientes:
Menos registros DNS para administrar que con varias topologías de espacio de nombres. De este modo, se reduce la complejidad operativa.
Hay menos certificados para administrar. Las comunicaciones entre el servidor de acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto.
Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y la misma dirección URL para obtener acceso a Microsoft Exchange.
La implantación de un solo espacio de nombres con sitios proxy también tiene varios inconvenientes. Entre ellos se incluyen los siguientes:
Un alto porcentaje de usuarios obtendrá acceso a su servidor de buzones mediante proxy. Si un usuario se conecta a un servidor de acceso de cliente que no esté en el mismo sitio físico que su servidor de buzones, se le redirigirá a un servidor de acceso de cliente que sí lo esté. Debido a las conexiones proxy adicionales, los costos asociados a WAN se incrementarán y el rendimiento no será óptimo. El efecto sobre el rendimiento dependerá de la distancia entre los dos centros de datos físicos y del número de conexiones proxy.
No será posible obtener acceso a las bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows cuando los usuarios se conecten a un servidor de acceso de cliente que no esté en el mismo sitio que su servidor de buzones. El error se produce porque el acceso a bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows requiere el nombre de usuario y la contraseña del usuario. En una situación de conexión proxy, la comunicación con las bibliotecas de Windows SharePoint Services y los recursos compartidos de archivos de Windows se establece a través de la cuenta del servidor Acceso de cliente. Esta cuenta no reconoce el nombre de usuario ni la contraseña del usuario.
Los clientes que utilizan los protocolos POP3 o IMAP4 no podrán obtener acceso a su buzón si el servidor Acceso de cliente al que se conectan no está en el mismo sitio que el servidor de buzones. Las conexiones POP3 y IMAP4 no se pueden establecer mediante proxy entre sitios.
Importante
Es necesario configurar los directorios virtuales de destino de cada servidor Acceso del cliente del sitio con conexión proxy para la autenticación de Windows integrada.
Espacio de nombres único con varios sitios
Este modelo consiste en varios sitios físicos que usan un solo espacio de nombres. Hay dos opciones de implementación para este modelo. Se puede usar un servidor ISA Server frente a uno o más sitios, o utilizar un sitio proxy de servidor Acceso de cliente. Puede haber uno o más servidores con acceso a través de Internet detrás de cada sitio. Este modelo también requiere una solución de equilibrio de carga que divida el tráfico de entrada por igual entre los sitios abiertos a Internet.
Importante
No se admite la instalación de un servidor de acceso de cliente en una red perimetral.
Implementación con un servidor ISA Server
En la figura siguiente se muestra la implementación de este modelo detrás de un servidor ISA Server u otro firewall.
En la configuración que se muestra en la figura, el servidor ISA Server realiza la autenticación previa de la conexión para determinar la pertenencia al grupo cliente. El tráfico se reenvía al sitio correcto de acuerdo con las reglas de publicación configuradas.
Las ventajas de este modelo son las siguientes:
Hay menos registros DNS para administrar que con varios modelos de espacio de nombres. De este modo, se reduce la complejidad operativa.
Hay menos certificados para administrar. Las comunicaciones entre el servidor de acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto. El servidor ISA Server se puede configurar para utilizar un certificado externo de confianza desde un proveedor reconocido. El tráfico entre el servidor ISA Server y los servidores Acceso de cliente se puede proteger utilizando certificados generados internamente.
Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios usan el mismo espacio de nombres y dirección URL para obtener acceso a Microsoft Exchange.
Los buzones se pueden mover entre sitios sin cambios de espacio de nombres externos. Con ello se proporciona flexibilidad a los administradores que desean equilibrar la carga de tráfico entre sitios sin cambiar la configuración del cliente.
En caso necesario, puede agregarse más tarde un espacio de nombres regional. Este modelo se puede repetir en otra ubicación utilizando una dirección URL externa distinta.
La autenticación basada en formularios de ISA Server 2006 puede personalizarse para adaptarse a los requisitos específicos de la organización.
Entre los inconvenientes para implementar este modelo están los siguientes:
Es probable que se incremente el uso de red de área extensa (WAN). Cuánto se incremente depende de la ubicación física del servidor ISA Server.
ISA Server se debe implementar y configurar adecuadamente.
Se deben administrar las pertenencias a grupos, de modo que se asegure que el tráfico se reenvía al sitio correcto. De forma predeterminada, el Administrador de destinatarios no puede crear grupos de seguridad, por lo que la delegación de Active Directory debe configurarse para que los administradores de Exchange puedan crear y actualizar las pertenencias a grupos. El uso de grupos crea una sobrecarga operativa adicional que se debe tener en cuenta a la hora de crear buzones nuevos o moverlos. Se recomienda colocar un servidor de catálogo global cerca del servidor ISA Server para evitar tener solicitudes innecesarias de autenticación viajando por WAN.
Importante
No se recomienda la implementación de una topología que tenga un solo espacio de nombres y varios sitios de Active Directory. Si su topología usa varios sitios de Active Directory, se recomienda usar un modelo de espacio de nombres regional.
Nota
Para implementar un solo espacio de nombres con varios sitios, debe borrar los valores ExternalURL de los directorios virtuales en los servidores de acceso de cliente expuestos a Internet si desea deshabilitar el redireccionamiento y aplicar el envío mediante proxy.
Implementación con un sitio proxy de servidor Acceso de cliente
En la figura siguiente se ilustra este modelo.
En este modelo, todas las conexiones del cliente originadas externamente van al sitio C de Active Directory. Entonces, el servidor Acceso de cliente del sitio C se conecta en proxy al sitio que contiene el buzón del usuario.
Las ventajas de este modelo son las siguientes:
Hay menos registros DNS para administrar que con varios modelos de espacio de nombres. De este modo, se reduce la complejidad operativa.
Hay menos certificados que administrar. Las comunicaciones entre el servidor Acceso de cliente y los clientes se pueden cifrar mediante un solo certificado que admite nombres alternativos del sujeto. ISA Server se puede configurar para utilizar un certificado externo de confianza de un proveedor reconocido y el tráfico entre los servidores ISA Server y Acceso de cliente se puede proteger utilizando un certificado generado internamente.
Los usuarios finales no tienen que determinar el espacio de nombres que se va a usar. Todos los usuarios finales usan el mismo espacio de nombres y dirección URL para obtener acceso a Microsoft Exchange. Si está configurada la división de DNS, este modelo se puede utilizar para unificar un nombre de espacio interno. Si no lo está, todas las solicitudes de clientes internos llegan al firewall y se reenvían como corresponde.
Los buzones se pueden mover entre sitios sin cambiar los espacios de nombre desde la perspectiva del usuario externo. Con ello se proporciona flexibilidad a los administradores que desean equilibrar la carga entre sitios. Es también útil cuando se produce un desastre y debe moverse la totalidad del servicio entre sitios, porque no se necesita cambiar la configuración del cliente.
En caso necesario, puede agregarse más tarde un espacio de nombres regional. Este mismo modelo se puede repetir en otra ubicación utilizando una dirección URL externa diferente.
Los inconvenientes de este modelo son los siguientes:
Probablemente se incremente la utilización WAN. Dicha utilización depende de la ubicación física de los servidores Acceso de cliente en el sitio expuesto a Internet.
Los servidores Acceso de cliente adicionales deben implementarse y configurarse correctamente.
Todos los usuarios obtendrán acceso a sus buzones a través de proxy. Cuando el usuario se conecta al servidor Acceso de cliente del sitio C, no está en el mismo sitio de Active Directory que su servidor de buzones. Se conectarán en proxy a un servidor Acceso de cliente que esté en el mismo sitio de Active Directory que el servidor de buzones. El rendimiento no será el óptimo debido a la conexión proxy adicional. El efecto sobre el rendimiento dependerá de la distancia entre los dos sitios físicos.
No será posible obtener acceso a las bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows cuando los usuarios se conecten a un servidor de acceso de cliente que no esté en el mismo sitio que su servidor de buzones. Ello es debido a que el acceso a bibliotecas de Windows SharePoint Services y a los recursos compartidos de archivos de Windows requiere el nombre de usuario y la contraseña. En una situación de conexión mediante proxy, la comunicación con las bibliotecas de Windows SharePoint Services y los recursos compartidos de archivos de Windows se realiza a través de la cuenta de sistema de Exchange. Esta cuenta no reconoce el nombre de usuario ni la contraseña del usuario.
Los clientes que utilizan los protocolos POP3 o IMAP4 no podrán obtener acceso a su buzón si el servidor Acceso de cliente al que se conectan no está en el mismo sitio que el servidor de buzones. Las conexiones POP3 y IMAP4 no se pueden establecer mediante proxy entre sitios.
Importante
La propiedad ExternalURL de cada directorio virtual de un sitio que contiene buzones de correo de usuarios debe establecerse en $null.
Importante
Los servidores Acceso de cliente no admiten varios niveles de proxy. Los servidores Acceso de cliente deben tener acceso a los sitios que contienen buzones de usuario en el sitio proxy dedicado.
Nota
Puede ser necesaria la configuración adicional de la red si se utilizan varias ubicaciones. Dicha configuración puede incluir el equilibrio de carga del hardware, varios registros DNS y la redundancia de ruta. La implementación física variará en función de la topología de red de la organización.
Espacios de nombres regionales
El modelo de varios sitios que usa un espacio de nombres diferente para cada sitio se conoce como modelo de espacio de nombres regional. En la figura siguiente se ilustra el modelo de espacio de nombres regional.
Las ventajas de este modelo son las siguientes:
- Los envíos mediante proxy se reducirán, ya que un porcentaje más alto de usuarios se podrá conectar a un servidor de acceso de cliente en el mismo sitio de Active Directory que su servidor de buzones. Esto mejorará la experiencia y el rendimiento del usuario final. Los usuarios que tienen buzones de correo en un sitio que no tiene un servidor de acceso de cliente abierto a Internet se continuarán procesando mediante proxy.
Los inconvenientes de este modelo son los siguientes:
Se deben administrar varios registros DNS.
Se deben obtener, configurar y administrar varios certificados.
La administración de la seguridad es más compleja, ya que cada sitio abierto a Internet requiere un equipo con ISA Server u otro firewall.
Cada usuario se debe conectar a su propio espacio de nombres regional. Esto puede generar llamadas al servicio de asistencia técnica y aprendizaje adicional.
Importante
Se recomienda el modelo de espacio de nombres regional para cualquier topología que incluya varios sitios de Active Directory que tengan su propia conectividad a Internet.
Varios bosques
Este modelo consiste en varios bosques con varios espacios de nombres. Una organización que use este modelo podría estar formada por dos empresas asociadas, Contoso y ContosoOnline. Los espacios de nombres podrían incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com y mail.europe.contosoonline.com.
Se recomienda la implementación de un modelo de espacio de nombres regional para cada bosque para proporcionar el máximo nivel de rendimiento a los usuarios finales. Se deben administrar varios certificados para cada bosque.
Para obtener más información
Para obtener más información acerca de la planeación del espacio de nombres y sus efectos en la seguridad de Exchange Server, consulte los siguientes temas: