Concetti relativi alla pianificazione dello spazio dei nomi per Exchange Server 2007
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Ultima modifica dell'argomento: 2008-11-14
Quando si pianifica l'organizzazione di Microsoft Exchange Server 2007, una delle decisioni più importanti da prendere è come organizzare lo spazio dei nomi esterno. Uno spazio dei nomi è una struttura logica generalmente rappresentata da un nome di dominio nel DNS. Quando si definisce lo spazio dei nomi, è necessario considerare le diverse posizioni dei client e dei server in cui sono ospitate le cassette postali. Oltre alle posizioni fisiche dei client, è necessario valutare la loro modalità di connessione a Exchange 2007. Le risposte a queste domande determineranno la quantità di spazi dei nomi necessaria. Gli spazi dei nomi saranno generalmente allineati alla configurazione DNS. È consigliabile che ogni sito di Active Directory in una regione che dispone di uno o più server Accesso client con connessione a Internet disponga di uno spazio dei nomi univoco. Quest'ultimo è normalmente rappresentato nel DNS da un record A quale mail.contoso.com o mail.europe.contoso.com.
Prima di implementare un'organizzazione di Exchange 2007, è necessario decidere come essa sarà configurata e come verranno definiti gli spazi dei nomi. Le decisioni relative agli spazi dei nomi influiranno su quanto segue:
Modalità di configurazione del DNS.
Certificati necessari per crittografare le comunicazioni tra i computer in cui è in esecuzione Exchange 2007 e i computer e dispositivi client.
La modalità di accesso dei client alle cassette postali utilizzando client Outlook via Internet, Outlook Web Access, POP3 e IMAP4.
Questo processo prevede l'esame della struttura di rete fisica e logica e la scelta di una topologia dell'organizzazione. In questo argomento vengono fornite una panoramica delle diverse topologie e informazioni sul modo in cui ciascuna topologia influenza l'organizzazione di Exchange.
Nota
In questo argomento non viene trattata la pianificazione dello spazio dei nomi interno, che potrebbe essere richiesta se si distribuisce il bilanciamento del carico all'interno di un sito Active Directory. Per informazioni dettagliate sull'impatto interno del bilanciamento del carico, vedere Concetti relativi all'inoltro e al reinstradamento.
Modelli organizzativi di Exchange 2007
In questo argomento vengono esaminate le seguenti topologie:
Modello con centro dati consolidato Questo modello si compone di un unico sito fisico. Tutti i server si trovano in un unico sito fisico ed esiste un unico spazio dei nomi, quale mail.contoso.com.
Spazio dei nomi singolo con siti proxy Questo modello si compone di più siti fisici. Un solo sito contiene un server Accesso client con connessione a Internet. Gli altri siti fisici non sono esposti a Internet. In questo modello esiste un solo spazio dei nomi per i siti, ad esempio, mail.contoso.com.
Spazio dei nomi singolo con più siti Questo modello si compone di più siti fisici. Ogni sito può disporre di un server Accesso client con connessione a Internet oppure può essere presente un solo sito che contiene più server Accesso client con connessione a Internet. In questo modello esiste un solo spazio dei nomi per i siti, ad esempio, mail.contoso.com.
Spazio dei nomi regionale Questo modello si compone di più siti fisici e più spazi dei nomi. Ad esempio, un sito che si trova a New York avrà lo spazio dei nomi mail.usa.contoso.com, un sito che si trova a Toronto avrà lo spazio dei nomi mail.canada.contoso.com e un sito che si trova a Londra avrà lo spazio dei nomi mail.europe.contoso.com.
Più foreste Questo modello si compone di più foreste con più spazi dei nomi. Un'organizzazione che utilizza questo modello potrebbe essere composta di due società partner, ad esempio, Contoso e ContosoOnline. Gli spazi dei nomi potrebbero includere mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.
Modello con centro dati consolidato
Il modello con centro dati consolidato è il più semplice tra quelli presi in considerazione in questo argomento e si compone di un unico sito. Il modello è illustrato nella seguente figura.
I vantaggi del modello con centro dati consolidato sono i seguenti:
Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi.
Sono presenti meno certificati da gestire. Le comunicazioni tra il server Accesso client di Exchange e i client possono essere crittografate in diversi modi. Il metodo consigliato prevede l'utilizzo di un unico certificato che supporti i nomi soggetto alternativi. Per ulteriori informazioni relative ai certificati che supportano i nomi soggetto alternativi, vedere Partner dei certificati di Unified Communications per Exchange 2007 e per Communications Server 2007.
Nota
Un nome soggetto alternativo è un attributo di un certificato digitale che consente all'amministratore del sito di configurare un singolo certificato in cui sono elencati tutti gli spazi dei nomi che richiedono un certificato server.
Nota
Tra i metodi alternativi per la gestione dei certificati per un modello con centro dati consolidato sono inclusi un certificato jolly, certificati multipli e la configurazione appropriata dei record di risorse servizi (SRV). Per ulteriori informazioni su questi metodi, vedere White paper: Exchange 2007 Autodiscover Service (informazioni in lingua inglese).
Gli utenti finali non devono determinare quale spazio dei nomi utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.
Il modello con centro dati consolidato presenta anche alcuni svantaggi. Ad esempio:
Il modello non supporta più centri dati.
Se collegamenti Internet regionali sono lenti a causa di una larghezza di banda ridotta, una latenza elevata o un utilizzo elevato, le prestazioni per gli utenti finali in tali regioni saranno scarse.
Spazio dei nomi singolo con siti proxy
Questo modello si compone di più siti fisici che utilizzano un unico spazio dei nomi. Dietro un computer ISA Server o un altro firewall, uno dei siti dispone di uno o più server Accesso client con connessione a Internet. Gli altri siti non contengono server Accesso client con connessione a Internet.
Importante
Non è supportata l'installazione di un server Accesso client in una rete perimetrale.
Il modello è illustrato nella seguente figura.
Avviso
Questo modello non è consigliato se tutti i siti dispongono della connettività a Internet. Se la topologia utilizza più siti Active Directory che dispongono di connettività a Internet e che non sono vicinissimi, è consigliabile adottare un modello di spazio dei nomi regionale.
I vantaggi di questo modello sono i seguenti:
Sono presenti meno record DNS da gestire rispetto alle topologie con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.
Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi.
Gli utenti finali non devono determinare quale spazio dei nomi utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.
La distribuzione di un singolo spazio dei nomi con siti proxy presenta anche diversi svantaggi. Ad esempio:
Un'elevata percentuale di utenti avrà accesso al proprio server Cassette postali tramite l'inoltro. Se un utente si connette a un server Accesso client che non si trova nello stesso sito fisico del relativo server Cassette postali, verrà inoltrato a un server Accesso client che si trova nello stesso sito fisico del relativo server Cassette postali. A causa dell'inoltro aggiunto, i costi del collegamento WAN aumenteranno e le prestazioni non saranno ottimali. L'effetto sulle prestazioni dipende dalla distanza tra due centri dati fisici e sul numero di connessioni proxy.
L'accesso a librerie di Windows SharePoint Services e condivisioni di file di Windows non è possibile quando gli utenti si connettono a un server Accesso client che non si trova nello stesso sito del relativo server Cassette postali. L'errore si verifica perché per l'accesso a librerie di Windows SharePoint Services e condivisioni di file di Windows sono richiesti il nome utente e la password dell'utente. In uno scenario di inoltro, la comunicazione alle librerie di Windows SharePoint Services e alle condivisioni di file di Windows viene eseguita tramite l'account di sistema del server Accesso client. e tale account non si basa sul nome utente e sulla password dell'utente.
I client che non utilizzano il protocollo POP3 o IMAP4 non saranno in grado di accedere alla propria cassetta postale se il server Accesso client al quale si connettono non si trova nello stesso sito del server Cassette postali. Non è possibile eseguire l'inoltro delle connessioni POP3 e IMAP4 tra siti.
Importante
È necessario configurare le directory virtuali di destinazione su ogni server Accesso client presenti nel sito verso i quali viene eseguito l'inoltro per l'autenticazione integrata di Windows.
Spazio dei nomi singolo con più siti
Questo modello si compone di più siti fisici che utilizzano un unico spazio dei nomi. Esistono due opzioni di distribuzione per questo modello. È possibile utilizzare un server ISA Server davanti a uno o più siti o utilizzare un sito proxy per il server Accesso client. Dietro a ogni sito possono esservi uno o più server accessibili tramite Internet. Questo modello richiede anche una soluzione di bilanciamento del carico che suddivida equamente il traffico in arrivo tra i siti con connessione a Internet.
Importante
Non è supportata l'installazione di un server Accesso client in una rete perimetrale.
Distribuzione con un server ISA
La seguente figura illustra la distribuzione di questo modello dietro a un server ISA o a un altro firewall.
Nella configurazione illustrata nella figura, ISA Server esegue la preautenticazione al fine di determinare l'appartenenza del client a un gruppo. Il traffico viene quindi inoltrato al sito corretto in base alle regole di pubblicazione configurate.
I vantaggi di questo modello sono i seguenti:
Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.
Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi. Il server ISA Server deve essere configurato per utilizzare un certificato esterno presente nell'elenco locale e fornito da un provider riconosciuto. Il traffico tra il server ISA Server e i server Accesso client deve essere protetto utilizzando un certificato generato internamente.
Gli utenti finali non devono determinare quale spazio dei nomi utilizzare. Tutti gli utenti utilizzano lo stesso spazio dei nomi e lo stesso URL per accedere a Microsoft Exchange.
Le cassette postali possono essere spostate tra i siti senza modifiche allo spazio dei nomi esterno. Questo offre flessibilità agli amministratori i quali desiderano bilanciare il carico del traffico tra i siti senza dover modificare la configurazione dei client.
Se necessario, è possibile aggiungere uno spazio dei nomi regionale in un secondo momento. Lo stesso modello può essere ripetuto in un'altra posizione utilizzando un URL esterno diverso.
L'autenticazione basata su moduli di ISA Server 2006 può essere personalizzata in base alle esigenze specifiche di un'organizzazione.
Gli svantaggi associati alla distribuzione di questo modello includono:
Probabilmente aumenterà l'utilizzo della Wide Area Network (WAN). L'entità dell'aumento dipende dalla posizione fisica del server ISA Server.
ISA Server deve essere distribuito e configurato correttamente.
È necessario gestire le appartenenze ai gruppi in modo da assicurare che il traffico venga inoltrato al sito corretto. Per impostazione predefinita, gli amministratori dei destinatari non possono creare gruppi di protezione, pertanto la delega Active Directory deve essere configurata in modo che gli amministratori dedicati di Exchange possano creare e aggiornare l'appartenenza ai gruppi. L'utilizzo di gruppi crea un sovraccarico operativo aggiuntivo, che deve essere tenuto in considerazione quando si creano nuove cassette postali o quando le cassette postali vengono spostate. Il metodo consigliato per evitare un traffico dovuto a richieste di autenticazione superflue sulla rete WAN è quello di posizionare un server di catalogo globale vicino al server ISA Server.
Importante
Non è consigliabile distribuire una topologia con uno spazio dei nomi unico e più siti di Active Directory. Se la topologia dell'organizzazione utilizza più siti di Active Directory, è consigliabile utilizzare un modello dello spazio dei nomi regionale.
Nota
Per distribuire uno spazio dei nomi unico con più siti, è necessario eliminare i valori di ExternalURL per le directory virtuali nei server Accesso client con connessione a Internet, se si desidera disabilitare il reindirizzamento e imporre l'inoltro.
Distribuzione con un sito proxy per il server Accesso client
Il modello è illustrato nella seguente figura.
In questo modello, tutte le connessioni client che hanno origine esternamente passano al sito Active Directory C. Le connessioni vengono quindi inoltrate al sito che contiene la cassetta postale dell'utente dal server Accesso cliente presente nel sito C.
I vantaggi di questo modello sono i seguenti:
Sono presenti meno record DNS da gestire rispetto ai modelli con più spazi dei nomi. In tal modo si riduce la complessità delle operazioni.
Sono presenti meno certificati da gestire. È possibile crittografare le comunicazioni tra il server Accesso client e i client mediante un unico certificato che supporta i nomi soggetto alternativi. ISA Server può essere configurato per utilizzare un certificato esterno disponibile nell'elenco locale, fornito da un provider riconosciuto, e il traffico tra i server ISA Server e Accesso client può essere protetto utilizzando un certificato generato internamente.
Gli utenti finali non devono determinare quale spazio dei nomi utilizzare. Tutti gli utenti finali utilizzano lo stesso spazio dei nomi e gli stessi URL per accedere a Microsoft Exchange. Se è configurato un DNS diviso, questo modello può anche essere utilizzato per unificare uno spazio dei nomi interno. Se non è configurato un DNS diviso, tutte le richieste dei client interni raggiungeranno il firewall e verranno appropriatamente inoltrate.
È possibile spostare cassette postali tra i siti senza modificare lo spazio dei nomi dal punto di vista di un utente esterno. Questo offre flessibilità agli amministratori che desiderano bilanciare il carico tra i siti. Inoltre, è utile se si verifica una situazione di emergenza e l'intero servizio deve essere spostato tra i siti, in quanto non è necessario modificare la configurazione dei client.
Se necessario, è possibile aggiungere uno spazio dei nomi regionale in un secondo momento. Lo stesso modello può essere ripetuto in un'altra posizione utilizzando un URL esterno diverso.
Gli svantaggi di questo modello sono i seguenti:
Probabilmente aumenterà l'utilizzo della rete WAN a seconda della posizione fisica del server Accesso client che dispone della connessione a Internet.
Ulteriori server Accesso client devono essere distribuiti e configurati correttamente.
Tutti gli utenti accederanno alla propria cassetta postale tramite proxy. Quando un utente si connette a un server Accesso client nel sito C, questo non si trova nello stesso sito Active Directory del rispettivo server Cassette postali. Verrà effettuato l'inoltro a un server Accesso client che si trova nello stesso sito Active Directory del rispettivo server Cassette postali. Le prestazioni non saranno ottimali a causa delle operazioni di inoltro aggiuntive. L'effetto sulle prestazioni dipende dalla distanza tra i due siti fisici.
L'accesso a librerie di Windows SharePoint Services e alle condivisioni file di Windows non sono possibili quando gli utenti si connettono a un server Accesso client che non si trova nello stesso sito del relativo server Cassette postali. Ciò è dovuto al fatto che per l'accesso alle librerie di Windows SharePoint Services e alle condivisioni file di Windows sono richiesti il nome e la password dell'utente. In uno scenario proxy, la comunicazione con le librerie di Windows SharePoint Services e le condivisioni di file di Windows viene eseguita tramite l'account di sistema Exchange e tale account non si basa sul nome utente e sulla password dell'utente.
I client che non utilizzano il protocollo POP3 o IMAP4 non saranno in grado di accedere alla propria cassetta postale se il server Accesso client al quale si connettono non si trova nello stesso sito del server Cassette postali. Non è possibile eseguire il proxy dell'accesso POP3 e IMAP4 tra siti.
Importante
La proprietà ExternalURL su ogni directory virtuale in un sito che contiene cassette postali degli utenti deve essere impostata su $null.
Importante
I server Accesso client non supportano più livelli di proxy. Ogni sito che contiene cassette postali degli utenti deve essere accessibile ai server Accesso client nel sito proxy dedicato.
Nota
Se vengono utilizzate più posizioni, potrebbe essere necessaria una configurazione di rete aggiuntiva. Ciò può includere la configurazione di sistemi di bilanciamento del carico hardware, di più record DNS e della ridondanza dei router. La distribuzione fisica varierà in base alla topologia della rete dell'organizzazione.
Spazi dei nomi regionali
Il modello a più siti che utilizza uno spazio dei nomi differente per ogni sito è definito modello dello spazio dei nomi regionale. Nella seguente figura è illustrato il modello dello spazio dei nomi regionale.
I vantaggi di questo modello sono i seguenti:
- L'inoltro verrà ridotto, poiché una percentuale maggiore di utenti sarà in grado di eseguire la connessione a un server Accesso client nello stesso sito di Active Directory in cui si trova il relativo server Cassette postali. In tal modo migliorano le prestazioni per l'utente finale. Per gli utenti con cassette postali in un sito che non dispone di un server Accesso client con connessione a Internet sarà ancora eseguito l'inoltro.
Gli svantaggi di questo modello sono i seguenti:
È necessario gestire più record DNS.
È necessario richiedere, configurare e gestire più certificati.
La gestione della protezione è più complessa poiché un sito con connessione a Internet richiede un computer ISA Server o un altro firewall.
Ogni utente deve eseguire la connessione al proprio spazio dei nomi regionale. Ciò può causare più chiamate al servizio di assistenza e richiedere una maggiore formazione.
Importante
Il modello di spazio dei nomi regionale è consigliato per qualsiasi topologia contenente più siti Active Directory che dispongono di una connettività Internet propria.
Più foreste
Questo modello si compone di più foreste con più spazi dei nomi. Un'organizzazione che utilizza questo modello potrebbe essere composta di due società partner, ad esempio, Contoso e ContosoOnline. Gli spazi dei nomi potrebbero includere mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.
È consigliabile implementare un modello dello spazio dei nomi regionale per ogni foresta, in modo da fornire agli utenti finali il massimo livello di prestazioni. È necessario gestire più certificati per ogni foresta.
Ulteriori informazioni
Per ulteriori informazioni sulla pianificazione dello spazio dei nomi e i relativi effetti sulla protezione di Exchange Server, vedere i seguenti argomenti: