了解 Exchange Server 2007 的命名空间规划

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

上一次修改主题: 2008-11-14

在规划 Microsoft Exchange Server 2007 组织时,必须做出的最重要的一个决定是如何排列组织的外部命名空间。命名空间是通常由 DNS 中的域名代表的一个逻辑结构。在定义命名空间时,必须考虑客户端及其邮箱所在的服务器的不同位置。
除了客户端的物理位置之外,还必须评估客户端连接到 Exchange 2007 的方式。回答下列问题后将可确定您必须拥有的命名空间数。通常,命名空间将与 DNS 配置相对应。建议包含一个或多个面向 Internet 的客户端访问服务器的区域中每个 Active Directory 站点均使用唯一的命名空间。通常,该命名空间在 DNS 中由诸如 mail.contoso.com 或 mail.europe.contoso.com 之类的 A 记录表示。

在实现 Exchange 2007 组织之前,必须决定将如何配置组织以及将如何定义外部命名空间。针对命名空间做出的决定将影响下列事项:

  • 如何配置 DNS。

  • 要对运行 Exchange 2007 的计算机与客户端计算机和设备之间的通信进行加密所必须拥有的证书。

  • 客户端在使用 Outlook Anywhere、Outlook Web Access、POP3 和 IMAP4 客户端时如何访问其邮箱。

该过程包括检查物理网络结构和逻辑网络结构以及选择组织拓扑。本主题概述各种拓扑,并提供有关每种拓扑如何影响您的 Exchange 组织的信息。

note注意:
本主题未介绍规划内部命名空间,但您在 Active Directory 站点内部署负载平衡时需要了解此知识。有关内部部署负载平衡所产生的影响的详细信息,请参阅了解代理和重定向

Exchange 2007 组织模型

本主题检查下列拓扑:

  • 合并的数据中心模型 该模型由单个物理站点组成。所有服务器均位于一个物理站点中,并且只有一个命名空间,例如 mail.contoso.com。

  • 单命名空间和代理站点 该模型由多个物理站点组成。只有一个站点包含面向 Internet 的客户端访问服务器。其他物理站点不面向 Internet。该模型中的站点只有一个命名空间,例如 mail.contoso.com。

  • 单命名空间和多站点 该模型由多个物理站点组成。每个站点都可以使用面向 Internet 的客户端访问服务器,也可以只有一个包含面向 Internet 的客户端访问服务器的站点。该模型中的站点只有一个命名空间,例如 mail.contoso.com。

  • 区域命名空间 该模型由多个物理站点和多个命名空间组成。例如,位于纽约市的站点将使用命名空间 mail.usa.contoso.com,位于多伦多的站点将使用命名空间 mail.canada.contoso.com,位于伦敦的站点将使用命名空间 mail.europe.contoso.com。

  • 多个林 该模型由拥有多个命名空间的多个林组成。使用该模型的组织可能是由两个伙伴公司组成,例如 Contoso 和 ContosoOnline。命名空间可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

合并的数据中心模型

合并的数据中心模型是本主题中考虑的最简单的模型。该模型由单个物理站点组成。下图显示了该模型。

Exchange 2007 单命名空间拓扑

合并的数据中心模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。

  • 要管理的证书较少。可以通过多种方式对 Exchange 客户端访问服务器与客户端之间的通信进行加密。建议的方法是使用支持主题备用名称的单个证书。有关支持主题备用名称的证书的详细信息,请参阅 Exchange 2007 和 Communications Server 2007 的统一通信证书合作伙伴

    note注意:
    主题备用名称是数字证书的一个属性,使站点管理员可以配置单个证书,该证书可列出需要服务器证书的所有命名空间。
    note注意:
    管理合并的数据中心模型的证书的备用方法包括使用通配符证书、多个证书以及相应地配置 SRV 记录。有关这些方法的详细信息,请参阅 White Paper:Exchange 2007 Autodiscover Service(英文网页)。

  • 最终用户不必确定要使用的命名空间。所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

合并的数据中心模型也有几个缺点。其中包括:

  • 该模型不支持多个数据中心。

  • 如果区域 Internet 链接由于带宽不足、延迟时间长或占用率高而速度很慢,这些区域的最终用户将体验到较差的性能。

单命名空间和代理站点

该模型由使用单个命名空间的多个物理站点组成。在 ISA 服务器计算机或另一个防火墙的后面,其中一个站点包含一个或多个面向 Internet 的客户端访问服务器。其他站点不包含面向 Internet 的客户端访问服务器。

important要点:
不支持在外围网络中安装客户端访问服务器。

下图显示了该模型。

单命名空间代理站点

Caution警告:
如果所有站点均已与 Internet 连接,则不建议使用此模型。如果您的拓扑使用多个 Active Directory 站点,这些站点均与 Internet 连接且未互相靠近,则建议使用区域命名空间模型。

该模型的优点如下所述:

  • 与使用多命名空间拓扑相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。

  • 最终用户不必确定要使用的命名空间。所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

部署单命名空间和代理站点也有几个缺点。其中包括:

  • 大多数用户将通过代理访问其邮箱服务器。如果用户连接到与其邮箱服务器不在同一个物理站点的客户端访问服务器,则用户将被代理到与其邮箱服务器位于同一个物理站点的客户端访问服务器。因为增加了代理环节,所以,WAN 链接的开销将增加,并且将达不到最优性能。对性能的影响取决于两个物理数据中心之间的距离和代理连接数。

  • 在用户连接到与其邮箱服务器不在同一个站点的客户端访问服务器时,其将无法访问 Windows SharePoint Services 库和 Windows 文件共享。因为访问 Windows SharePoint Services 库和 Windows 文件共享要求提供用户的用户名和密码,所以会发生该失败。在代理方案中,通过客户端访问服务器的系统帐户执行对 Windows SharePoint Services 库和 Windows 文件共享的通信。该帐户不知道用户的用户名和密码。

  • 如果使用 POP3 或 IMAP4 协议的客户端连接的客户端访问服务器与其邮箱服务器没有位于同一站点中,则它们将无法访问其邮箱。站点之间的 POP3 和 IMAP4 连接无法代理。

    important要点:
    必须在代理到的每个客户端访问服务器上为集成 Windows 身份验证配置目录虚拟目录。

单命名空间和多站点

该模型由使用单个命名空间的多个物理站点组成。此模型具有两个部署选项。您可在一个或多个站点之前使用 ISA Server 服务器,也可使用客户端访问服务器的代理站点。每个站点之后都可以有一台或多台可从 Internet 访问的服务器。该模型还要求通过负载平衡解决方案来平均拆分面向 Internet 的站点之间的传入流量。

important要点:
不支持在外围网络中安装客户端访问服务器。

使用 ISA Server 进行部署

下图列出了在 ISA Server 或其他防火墙之后部署该模型的过程。

部署单命名空间和多站点

在如图所示的配置中,ISA Server 将预先对连接进行身份验证,以确定客户端的组成员身份。然后,根据配置的发布规则,将通信转发到正确的站点。

该模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。您可对 ISA Server 服务器进行配置,使它可使用公认提供商提供的外部受信任证书。使用内部生成的证书可保护 ISA Server 服务器和客户端访问服务器之间的通信。

  • 最终用户不必确定要使用的命名空间。所有用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。

  • 无需更改外部命名空间,即可在站点之间移动邮箱。对于那些希望不更改客户端配置即可实现通信负载平衡的管理员来说,这一功能提供了很大的灵活性。

  • 如需要,则可在后续阶段添加区域命名空间。使用另一不同的外部 URL,可在其他位置中重复此相同模型。

  • 您可根据组织的特定要求,自定义 ISA Server 2006 基于表单的身份验证。

部署此模型的不足之处在于:

  • 广域网 (WAN) 的使用率可能会增加。增加的数量取决于 ISA Server 服务器的物理位置。

  • 必须正确部署和配置 ISA Server。

  • 必须管理组成员身份,才可确保将通信转发到正确的站点。默认情况下,收件人管理员无法创建安全组,因此必须对 Active Directory 委派进行配置,以便专用的 Exchange 管理员可创建和更新组成员身份。创建或移动新邮箱时,必须考虑使用组将创建其他操作开销。建议将全局编录服务器放在接近 ISA Server 服务器的位置,避免通过 WAN 传递不必要的身份验证请求。

    important要点:
    建议不要部署包含单个命名空间和多个 Active Directory 站点的拓扑。如果您的拓扑使用多个 Active Directory 站点,建议使用区域命名空间模型。
    note注意:
       在部署单命名空间和多站点时,如果要禁用重定向并强制实施代理,则必须在面向 Internet 的客户端访问服务器上清除虚拟目录的 ExternalURL 值。

使用客户端访问服务器代理站点进行部署

下图显示了该模型。

具有客户端访问服务器代理站点的部署

在此模型中,所有来自外部的客户端连接都将转到 Active Directory 站点 C。然后,这些连接将通过站点 C 中的客户端访问服务器代理到包含用户邮箱的站点。

此模型的优点如下所述:

  • 与使用多命名空间模型相比,要管理的 DNS 记录较少。这样可以降低操作的复杂性。

  • 要管理的证书较少。可以使用支持主题备用名称的单个证书对客户端访问服务器与客户端之间的通信进行加密。ISA Server 可配置为使用公认提供商提供的外部受信任证书。此外,使用内部生成的证书可保护 ISA Server 服务器和客户端访问服务器之间的通信。

  • 最终用户不必确定要使用的命名空间。所有最终用户均使用相同的命名空间和 URL 来访问 Microsoft Exchange。如果已配置拆分 DNS,则此模型还可用来统一内部命名空间。如果未配置拆分 DNS,则所有内部客户端请求将到达防火墙并相应进行转发。

  • 从外部用户角度来看,无需更改命名空间即可在站点之间移动邮箱。对于那些希望在站点之间实现负载平衡的管理员来说,这一功能提供了很大的灵活性。由于无需更改客户端配置,因此这一功能在发生灾难且必须在站点之间移动整个服务时也十分有用。

  • 如需要,则可在后续阶段添加区域命名空间。使用另一不同的外部 URL,可在其他位置中重复此相同模型。

此模型的缺点如下所示:

  • WAN 使用率可能会增加,并且该使用率取决于客户端访问服务器在面向 Internet 站点中的物理位置。

  • 必须正确部署和配置其他客户端访问服务器。

  • 所有用户都将通过执行代理访问其邮箱。当用户连接到站点 C 中的客户端访问服务器时,用户没有与其邮箱服务器位于同一个 Active Directory 站点中。他们将代理到与其邮箱服务器位于同一个 Active Directory 站点中的客户端访问服务器中。由于这种额外代理,结果导致性能无法达到最佳状态。对性能的影响取决于两个物理站点之间的距离。

  • 在用户连接到与其邮箱服务器没有位于同一个站点的客户端访问服务器时,其将无法访问 Windows SharePoint Services 库和 Windows 文件共享。这是因为访问 Windows SharePoint Services 库和 Windows 文件共享需要用户的用户名和密码。在代理方案中,通过 Exchange 系统帐户执行对 Windows SharePoint Services 库和 Windows 文件共享的通信。该帐户不知道用户的用户名和密码。

  • 如果使用 POP3 或 IMAP4 协议的客户端连接的客户端访问服务器与其邮箱服务器没有位于同一站点中,则它们将无法访问其邮箱。站点之间的 POP3 和 IMAP4 访问无法代理。

    important要点:
    包含用户邮箱的站点中每个虚拟目录上的 ExternalURL 属性必须设置为 $null。
    important要点:
    客户端访问服务器不支持多个级别的代理。在专用的代理站点中,客户端访问服务器必须可访问每个包含用户邮箱的站点。
    note注意:
    如果使用多个位置,则可能需要其他的网络配置。这包括配置硬件负载平衡器、多个 DNS 记录和路由冗余。物理部署将根据组织网络拓扑的不同而有所不同。

区域命名空间

每个站点使用不同命名空间的多站点模型称为区域命名空间模型。下图显示了区域命名空间模型。

Exchange 2007 多命名空间拓扑

该模型的优点如下所述:

  • 因为更多的用户将可以连接到与其邮箱服务器位于同一个 Active Directory 站点的客户端访问服务器,所以,代理操作将减少。这样将改善最终用户的体验和使用性能。如果用户的邮箱位于没有面向 Internet 的客户端访问服务器的站点中,则仍将使用代理连接。

该模型的缺点如下所述:

  • 必须管理多个 DNS 记录。

  • 必须获取、配置并管理多个证书。

  • 管理安全性比较复杂,因为每个面向 Internet 的站点都需要 ISA 服务器计算机或其他防火墙。

  • 每个用户必须连接到自己的区域命名空间。这样可能会增加向技术支持求助的次数和培训的次数。

important要点:
对于任何包含多个自身具有 Internet 连接 Active Directory 站点的拓扑,建议使用区域命名空间模型。

多个林

该模型由拥有多个命名空间的多个林组成。使用该模型的组织可能是由两个伙伴公司组成,Contoso 和 ContosoOnline。命名空间可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。

建议对每个林实施区域命名空间模型,以便为最终用户提供最高级别的性能。必须为每个林管理多个证书。

详细信息

有关命名空间规划及其对 Exchange Server 安全性的影响的详细信息,请参阅下列主题: