瞭解用戶端存取伺服器命名空間
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2011-11-08
規劃 Microsoft Exchange Server 2010 組織時,必須做的其中一項最重要決定是如何安排組織的外部命名空間。 命名空間是一種邏輯結構,通常會以 DNS 的網域名稱來表示。您在定義命名空間時,必須考慮用戶端和儲存其信箱的伺服器所在的不同位置。除了用戶端的實體位置之外,您還必須評估它們連線至 Exchange 2010 的方式。這些問題的答案將決定您必須有多少命名空間。命名空間一般都會與 DNS 組態一致。針對具有一或多個網際網路對向 Client Access Server 之區域中的每個 Active Directory 站台,建議要有一個唯一的命名空間。這個命名空間通常在 DNS 中以 A 記錄來表示,例如 mail.contoso.com 或 mail.europe.contoso.com。
建立 Exchange 2010 組織之前,必須決定組織的設定方式和外部命名空間的定義方式。您所做的命名空間決定將會影響下列各項:
如何設定 DNS。
您必須具備的憑證,才能對執行 Exchange 2010 的電腦與用戶端電腦和裝置之間的通訊進行加密。
使用 Outlook Anywhere、Outlook Web App,以及 POP3 和 IMAP4 用戶端時,用戶端如何存取它們的信箱。
做出這些決策包含檢查實體與邏輯網路結構,以及選擇組織拓撲。 本主題討論不同的拓撲,並提供每種拓撲如何影響 Exchange 組織的相關資訊。
附註: |
---|
本主題不會討論內部命名空間規劃,而此規劃是在 Active Directory 站台內部署負載平衡時的必要項目。 如需內部部署負載平衡影響的詳細資料,請參閱 了解 Proxy 與重新導向。 |
Exchange 2010 組織模型
本主題會檢查下列類型的拓撲:
合併資料中心模型 此模型是由單一實體站台組成。 所有伺服器都位於這個站台內,而且有單一命名空間,例如 mail.contoso.com。
單一命名空間及 Proxy 站台 此模型包含多個實體站台。只有一個站台包含網際網路對向的 Client Access Server。其他站台則不會公開至網際網路。 在此模型中,站台只會有一個命名空間,例如 mail.contoso.com。
單一命名空間及多個站台 此模型包含多個實體站台。每個站台可以有一部網際網路對向的 Client Access Server。 或者,只有一個包含網際網路對向用戶端存取伺服器的站台。 在此模型中,站台只會有一個命名空間,例如 mail.contoso.com。
地區命名空間 此模型包含多個實體站台與多個命名空間。 例如,位於紐約市的站台會具有命名空間 mail.usa.contoso.com、位於多倫多的站台會具有命名空間 mail.canada.contoso.com,而位於倫敦的站台則會具有命名空間 mail.europe.contoso.com。
多個樹系 此模型包含具有多個命名空間的多個樹系。使用此模型的組織可能是由兩家協力公司組成,例如 Contoso 和 ContosoOnline。命名空間可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。
合併資料中心模型
合併資料中心模型是本主題所考慮的模型中最簡單的一個。此模型包含單一實體站台。
合併資料中心模型的優點如下:
比起多重命名空間模型,所要管理的 DNS 記錄較少。
所要管理的憑證較少。Exchange Client Access Server 與用戶端之間的通訊可以用數種方式加密。 建議的加密方法是使用支援主體別名的單一憑證。
附註: 主體別名是數位憑證的屬性,允許站台系統管理員設定單一憑證,其中會列出需要伺服器憑證的所有命名空間。 附註: 管理合併資料中心模型憑證的替代方法包括萬用字元憑證、多個憑證,以及適當地設定 SRV 記錄。 使用者不需決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。
合併資料中心模型的缺點包含:
此模型不支援多個資料中心。
如果地區網際網路連結因為低頻寬、高延遲或高用量而速度緩慢,那些地區的使用者將會遭遇效能低落的情形。
單一命名空間及 Proxy 站台
此模型包含使用單一命名空間的多個實體站台。在 ISA Server 電腦或其他防火牆後的站台中,會有一個站台具有一或多台網際網路對向的 Client Access Server。 其他站台則不會有網際網路對向的用戶端存取伺服器。
重要事項: |
---|
不支援在周邊網路安裝用戶端存取伺服器。 |
注意: |
---|
如果所有站台都具有網際網路連線,則不建議使用此模型。 如果您的拓撲使用多個具有網際網路連線的 Active Directory 站台,且彼此相距甚遠,請考慮使用地區命名空間模型。 |
此模型提供下列優點:
比起多命名空間拓撲,所要管理的 DNS 記錄較少。如此可減少作業複雜度。
所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。
使用者不需決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。
部署單一命名空間及 Proxy 站台的缺點包含:
有些使用者會透過 Proxy 存取他們的信箱伺服器。 如果使用者連線到與其信箱伺服器不在相同實體站台的用戶端存取伺服器,系統會將其 Proxy 處理到與其信箱伺服器在相同實體站台的用戶端存取伺服器。 由於 Proxy 作業增加,WAN 連結成本將會增加,效能也將不會是最佳狀態。 對效能的影響取決於兩個實體資料中心之間的距離以及 Proxy 處理連線的數目。
重要事項: 在進行 Proxy 處理的站台中,可能需要於每部用戶端存取伺服器上設定目標虛擬目錄以進行整合式 Windows 驗證。如需詳細資訊,請參閱了解 Proxy 與重新導向。
單一命名空間及多個站台
此模型包含使用單一命名空間的多個實體站台。此模型有兩種部署選項。 您可以在一或多個站台之前使用 ISA Server 電腦,或使用用戶端存取伺服器 Proxy 站台。在每個站台後面可以有一或多個可透過網際網路存取的伺服器。此模型也需要負載平衡的解決方案,來將內送的流量平均地分散到網際網路對向的站台。
重要事項: |
---|
不支援在周邊網路安裝用戶端存取伺服器。 |
使用 ISA Server 電腦進行部署
在此組態中,ISA Server 會執行連線的預先驗證,以判斷用戶端的群組成員資格。接著會根據設定的發行規則將流量轉送至正確站台。
此模型的優點如下:
比起多重命名空間模型,所要管理的 DNS 記錄較少。如此可減少作業複雜度。
所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。 ISA Server 電腦可以設定成使用所辨識提供者的外部受信任憑證。 ISA Server 電腦與用戶端存取伺服器之間的流量可以使用內部產生的憑證進行保護。
使用者不需決定要使用哪個命名空間。所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。
信箱可以在站台之間移動,而不需要進行外部命名空間變更。這可讓想要負載平衡站台之間流量而不想要變更用戶端組態的系統管理員具有彈性。
必要時,可以在稍後的階段新增地區命名空間。您可以使用不同的外部 URL 在另一個位置中重複這個相同模型。
ISA Server 2006 表單型驗證可以自訂成符合組織的特定需求。
部署此模型的缺點如下:
廣域網路 (WAN) 使用可能會增加。 增加的使用量則取決於 ISA Server 電腦的實體位置。
必須正確部署和設定 ISA Server。
必須管理群組成員,以確定會將流量轉送至正確站台。 收件者系統管理員預設無法建立安全性群組,因此必須設定 Active Directory 委派,專用 Exchange 系統管理員才能建立以及更新群組成員。 使用群組會建立在建立或移動新信箱時必須列入考慮的額外作業負載。 建議將通用類別目錄伺服器放到接近 ISA Server 電腦處,避免不必要的驗證要求在 WAN 上流動。
具有 Client Access Server Proxy 站台的部署
在此模型中,所有源自外部的用戶端連線都會前往未包含使用者信箱的 Active Directory 站台。 該站台內的用戶端存取伺服器會以 Proxy 處理連線到含有使用者信箱的站台。
此模型的優點如下:
比起多重命名空間模型,所要管理的 DNS 記錄較少。如此可減少作業複雜度。
所要管理的憑證較少。Client Access Server 與用戶端之間的通訊可以使用支援主體別名的單一憑證來進行加密。 ISA Server 可以設定成使用所辨識提供者的外部受信任憑證。 而且 ISA Server 與用戶端存取伺服器之間的流量可以使用內部產生的憑證進行保護。
使用者不需決定要使用哪個命名空間。 所有使用者都會使用相同的命名空間和 URL 來存取 Microsoft Exchange。如果設定分割的 DNS,則也可以使用此模型來統一內部命名空間。 如果未設定分割的 DNS,則會將所有內部用戶端要求送達防火牆,並適當地進行轉送。
從外部使用者的觀點,信箱可以在站台之間移動,而不需要變更命名空間。這可讓想要在站台之間進行負載平衡的系統管理員具有彈性。 因為不需要變更用戶端組態,所以發生嚴重損壞而必須在站台之間移動整個服務時,此模型也很有用。
必要時,可以在稍後的階段新增地區命名空間。您可以使用不同的外部 URL 在另一個位置中重複這個相同模型。
此模型的缺點如下:
WAN 使用可能會增加,並取決於用戶端存取伺服器在網際網路對向站台中的實體位置。
必須正確部署和設定額外的 Client Access Server。
所有使用者都會透過 Proxy 存取他們的信箱。 當使用者連線到 Proxy 站台中的用戶端存取伺服器時,該伺服器並非與其信箱伺服器位於相同的 Active Directory 站台。 而會將使用者 Proxy 處理至與其信箱伺服器位在相同 Active Directory 站台中的用戶端存取伺服器。因為需要進行額外 Proxy 處理,所以效能不會是最佳的。對效能的影響取決於兩個實體站台之間的距離。
當使用者連線到與其信箱伺服器不在相同站台內的用戶端存取伺服器時,會無法存取 Windows SharePoint Services 文件庫及 Windows 檔案共用。 原因是存取 Windows SharePoint Services 文件庫和 Windows 檔案共用需要有使用者的使用者名稱和密碼。 在 Proxy 作業案例中,與 Windows SharePoint Services 文件庫和 Windows 檔案共用的通訊是透過 Exchange 系統帳戶來執行。 這個帳戶並不知道使用者的使用者名稱及密碼。
重要事項: ExternalURL 內容 (位於內含使用者信箱之站台的每個虛擬目錄上) 必須設為 $null。 重要事項: 用戶端存取伺服器不支援多個層次的 Proxy 處理。 專用 Proxy 站台的用戶端存取伺服器必須可以存取每個內含使用者信箱的站台。 附註: 如果使用多個位置,則可能需要額外的網路組態。這可能包含設定硬體負載平衡器、多筆 DNS 記錄以及路由傳送備援。實體部署會根據組織的網路拓撲而不同。
地區命名空間
針對每個站台使用不同命名空間的多站台模型,稱為地區命名空間模型。此模型的優點如下:
- Proxy 作業會減少,因為將會有較大百分比的使用者能夠連線到與其信箱伺服器在相同 Active Directory 站台的用戶端存取伺服器。這將可以改善使用者經驗與效能。對於在沒有網際網路對向之 Client Access Server 的站台中具有信箱的使用者,系統仍會對其進行 Proxy 處理。
此模型的缺點如下:
必須管理多個 DNS 記錄。
必須取得、設定及管理多個憑證。
管理安全性較為複雜,因為每個網際網路對向的站台都需要有 ISA Server 電腦或其他防火牆。
每個使用者都必須連線到他們自己的地區命名空間。 這樣可能會造成需要額外的支援服務諮詢與訓練。
重要事項: 在任何包含多個 Active Directory 站台 (具有專屬網際網路連線) 的拓撲中,通常建議使用地區命名空間模型。
多個樹系
此模型包含具有多個命名空間的多個樹系。使用此模型的組織可能是由兩家協力公司 Contoso 及 ContosoOnline 來組成。命名空間可能包括 mail.usa.contoso.com、mail.europe.contoso.com、mail.asia.contosoonline.com 和 mail.europe.contosoonline.com。
請考慮針對每個樹系執行地區命名空間,以為使用者提供最高的效能等級。因為每個樹系都必須管理多個憑證。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。