Planification de l'espace de noms pour Exchange Server 2007
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Dernière rubrique modifiée : 2008-11-14
Lors de la planification de votre organisation Microsoft Exchange Server 2007, l'une des décisions les plus importantes à prendre a trait à la manière dont vous souhaitez organiser l'espace de noms externe de votre organisation. Un espace de noms est une structure logique généralement représentée par un nom de domaine dans le DNS. Lorsque vous définissez votre espace de noms, vous devez prendre en compte les divers emplacements de vos clients, ainsi que les serveurs qui hébergent leurs boîtes aux lettres. Outre l'emplacement physique des clients, vous devez évaluer leur mode de connexion à Exchange 2007. Les réponses à ces questions permettront de déterminer le nombre d'espaces de noms dont vous avez besoin. Vos espaces de noms sont généralement adaptés à votre configuration DNS. Il est recommandé que chaque site Active Directory dans une région comportant un ou plusieurs serveurs d'accès au client connectés à Internet dispose d'un espace de noms unique. Cela est généralement représenté dans le DNS par un enregistrement de type A tel que mail.contoso.com ou mail.europe.contoso.com.
Avant d'implémenter une organisation Exchange 2007, vous devez déterminer la manière dont votre organisation sera configurée et dont vos espaces de noms externes seront définis. Vos décisions relatives aux espaces de noms ont une influence sur les aspects suivants :
mode de configuration du DNS ;
certificats requis pour chiffrer les communications entre vos ordinateurs exécutant Exchange 2007 et vos ordinateurs et périphériques clients ;
mode d'accès de vos clients à leurs boîtes aux lettres lors de l'utilisation d'Outlook Anywhere, d'Outlook Web Access et des clients POP3 et IMAP4 ;
Ce processus implique la vérification de votre structure de réseau physique et logique, ainsi que le choix d'une topologie organisationnelle. Cette rubrique présente les diverses topologies et décrit les effets de chaque topologie sur votre organisation Exchange.
Notes
Cette rubrique ne décrit pas la planification de l'espace de noms interne, qui peut être requise si vous déployez l'équilibrage de charge dans un site Active Directory. Pour obtenir des informations détaillées sur l'impact du déploiement interne de l'équilibrage de charge, consultez la rubrique Présentation de la transmission par proxy et de la redirection.
Modèles d'organisation Exchange 2007
Cette rubrique examine les topologies suivantes :
Modèle de centre de données consolidées Ce modèle consiste en un site physique unique. Tous les serveurs sont situés dans un seul site physique et un seul espace de noms existe, tel que mail.contoso.com.
Espace de noms unique avec sites proxy Ce modèle consiste en plusieurs sites physiques. Seul un site contient un serveur d'accès au client connecté à Internet. Les autres sites physiques ne sont pas exposés à Internet. Il n'existe qu'un espace de noms pour les sites de ce modèle, par exemple mail.contoso.com.
Espace de noms unique avec plusieurs sites Ce modèle consiste en plusieurs sites physiques. Chaque site peut contenir un serveur d'accès au client connecté à Internet ou un site unique peut contenir plusieurs serveurs d'accès au client connectés à Internet. Il n'existe qu'un espace de noms pour les sites de ce modèle, par exemple mail.contoso.com.
Espaces de noms par pays Ce modèle consiste en plusieurs sites physiques et plusieurs espaces de noms. Par exemple, un site situé à New York possède l'espace de noms mail.usa.contoso.com, un site situé à Toronto possède l'espace de noms mail.canada.contoso.com et un site situé à Londres possède l'espace de noms mail.europe.contoso.com.
Plusieurs forêts Ce modèle consiste en plusieurs forêts avec plusieurs espaces de noms. Une organisation utilisant ce modèle peut être constituée de deux entreprises partenaires, par exemple Contoso et ContosoOnline. Les espaces de noms peuvent inclure mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com et mail.europe.contosoonline.com.
Modèle de centre de données consolidées
Le modèle de centre de données consolidées constitue le modèle le plus simple de cette rubrique. Il consiste en un site physique unique. La figure suivante illustre ce modèle.
Le modèle de centre de données consolidées présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client Exchange et les clients peuvent être chiffrées de plusieurs manières. Il est recommandé d'utiliser un certificat unique prenant en charge l'attribut Autres noms de l'objet. Pour plus d'informations sur les certificats prenant en charge l'attribut Autres noms de l'objet, consultez la rubrique Partenaires de certification des communications unifiées pour Exchange 2007 et Communications Server 2007.
Notes
Autre nom de l'objet est un attribut d'un certificat numérique permettant à l'administrateur de configurer un certificat unique qui répertorie tous les espaces de noms requérant un certificat de serveur.
Notes
Parmi les autres méthodes de gestion de certificats pour un modèle de centre de données consolidées, on compte l'utilisation d'un certificat avec caractère générique, l'utilisation de plusieurs certificats et la configuration appropriée d'enregistrements SRV. Pour plus d'informations sur ces méthodes, consultez la page White Paper: Exchange 2007 Autodiscover Service (en anglais).
Les utilisateurs finaux n'ont pas besoin d'identifier l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Le modèle de centre de données consolidées présente également plusieurs inconvénients, notamment :
Ce modèle ne peut pas prendre en charge plusieurs centres de données.
Si la redirection vers des liens Internet de certains pays est lente en raison d'une faible bande passante, d'une latence importante ou d'un trop grand nombre d'utilisateurs, les utilisateurs finaux de ces pays seront confrontés à des performances médiocres.
Espace de noms unique avec sites proxy
Ce modèle consiste en plusieurs sites physiques utilisant un espace de noms unique. Derrière un ordinateur ISA Server ou un autre pare-feu, l'un des sites dispose d'un ou plusieurs serveurs d'accès au client connectés à Internet. Les autres sites ne contiennent pas de serveurs d'accès au client connectés à Internet.
Important : |
---|
L'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge. |
La figure suivante illustre ce modèle.
Attention : |
---|
Ce modèle n'est pas recommandé si tous les sites disposent de la connectivité Internet. Si votre topologie utilise plusieurs sites Active Directory disposant de la connectivité Internet et qui ne sont pas situés à proximité les uns des autres, un modèle d'espace de noms régional est recommandé. |
Ce modèle présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs topologies d'espace de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet.
Les utilisateurs finaux n'ont pas besoin d'identifier l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Le déploiement d'un espace de noms unique avec des sites proxy présente également plusieurs inconvénients, notamment :
Un pourcentage élevé d'utilisateurs accède à leur boîte aux lettres via la transmission par proxy. Si un utilisateur se connecte à un serveur d'accès au client ne se trouvant pas dans le même site physique que son serveur de boîtes aux lettres, il est redirigé par proxy vers un serveur d'accès au client du même site physique que son serveur de boîtes aux lettres. En raison de l'ajout de la transmission par proxy, les coûts de connexion au réseau étendu augmentent et les performances ne sont pas optimales. L'influence sur les performances dépend de la distance entre les deux centres de données physiques et le nombre de connexions transmises par proxy.
Il n'est pas possible d'accéder aux bibliothèques Windows SharePoint Services et aux partages de fichiers Windows lorsque des utilisateurs se connectent à un serveur d'accès au client ne se trouvant pas dans le même site que leur serveur de boîtes aux lettres. Le problème est lié au fait que l'accès aux bibliothèques Windows SharePoint Services et partages de fichiers Windows requiert le nom et le mot de passe de l'utilisateur. Dans un scénario de transmission par proxy, la communication vers les bibliothèques Windows SharePoint Services et les partages de fichiers Windows est assurée via le compte système du serveur d'accès au client. Celui-ci ne tient pas compte des nom et mot de passe de l'utilisateur.
Les clients utilisant les protocoles POP3 ou IMAP4 ne pourront pas accéder à leurs boîtes aux lettres si le serveur d'accès au client auquel ils se connectent n'est pas situé sur le même site que leur serveur de boîtes aux lettres. Les connexions POP3 et IMAP4 ne peuvent pas être transmises par proxy entre plusieurs sites.
Important
Il est nécessaire de configurer les répertoires virtuels cibles sur chaque serveur d'accès au client dans le site vers lequel la transmission proxy a lieu pour l'authentification Windows intégrée.
Espace de noms unique avec plusieurs sites
Ce modèle consiste en plusieurs sites physiques utilisant un espace de noms unique. Ce modèle offre deux options de déploiement. Vous pouvez utiliser un serveur ISA Server devant un ou plusieurs sites ou utiliser le site proxy de serveur d'accès au client. Un ou plusieurs serveurs accessibles par Internet peuvent exister derrière chaque site. Ce modèle requiert également une solution d'équilibrage de charge répartissant le trafic entrant de manière équitable entre les sites connectés à Internet.
Important : |
---|
L'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge. |
Déploiement avec un serveur ISA
La figure suivante présente le déploiement de ce modèle derrière un serveur ISA ou un autre pare-feu.
Dans la configuration illustrée dans la figure, le serveur ISA effectue la pré-authentification de la connexion afin de déterminer l'appartenance à un groupe du client. Le trafic est alors transmis au site approprié sur la base des règles de publication configurées.
Ce modèle présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet. Le serveur ISA Server doit être configuré pour utiliser un certificat approuvé externe provenant d'un fournisseur reconnu. Le trafic entre le serveur ISA Server et les serveurs d'accès au client peut être sécurisé à l'aide d'un certificat généré en interne.
Les utilisateurs finaux n'ont pas besoin d'identifier l'espace de noms à utiliser. Tous les utilisateurs utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange.
Il est possible de déplacer les boîtes aux lettres entre plusieurs sites sans modification de l'espace de noms externe. Ceci offre de la flexibilité aux administrateurs qui souhaitent équilibrer la charge du trafic entre les sites sans modifier la configuration cliente.
Un espace de noms régional peut être ajouté lors d'une phase ultérieure, le cas échéant. Ce même modèle peut être répété dans un autre emplacement à l'aide d'une URL externe différente.
L'authentification basée sur les formulaires ISA Server 2006 peut être personnalisée pour répondre aux exigences spécifiques de votre organisation.
Le déploiement de ce modèle présente les inconvénients suivants :
L'utilisation du réseau étendu (WAN) augmentera probablement. L'augmentation dépend de l'emplacement physique du serveur ISA Server.
Le serveur ISA Server doit être déployé et configuré correctement.
L'appartenance aux groupes doit être gérée de manière à s'assurer que le trafic est transféré vers le site approprié. Par défaut, les administrateurs des destinataires ne pouvant pas créer de groupes de sécurité, la délégation Active Directory doit être configurée de sorte que les administrateurs Exchange dédiés puissent créer et mettre à jour l'appartenance aux groupes. L'utilisation des groupes crée des coûts fixes d'exploitation supplémentaires qui doivent être pris en compte lors de la création ou du déplacement de boîtes aux lettres. Il est recommandé de placer un serveur de catalogue global à proximité d'un serveur ISA Server pour éviter que des demandes d'authentification inutiles circulent sur le réseau étendu.
Important
Il n'est pas recommandé de déployer un espace de noms unique avec plusieurs sites Active Directory. Si votre topologie utilise plusieurs sites Active Directory, il est recommandé de déployer un modèle d'espace de noms par pays.
Notes
Pour déployer un espace de noms unique avec plusieurs sites, vous devez effacer les valeurs ExternalURL pour les annuaires virtuels des serveurs d'accès au client connectés à Internet si vous souhaitez désactiver la redirection et appliquer la transmission par proxy.
Déploiement avec un site proxy de serveur d'accès au client
La figure suivante illustre ce modèle.
Dans ce modèle, toutes les connexions clientes d'origine externe sont transférées vers le site C d'Active Directory. Elles sont ensuite transmises par proxy vers le site contenant la boîte aux lettres de l'utilisateur par le service d'accès au client dans le site C.
Ce modèle présente les avantages suivants :
Moins d'enregistrements DNS à gérer qu'avec plusieurs modèles d'espaces de noms. Cela permet de réduire la complexité opérationnelle.
Moins de certificats à gérer. Les communications entre le serveur d'accès au client et les clients peuvent être chiffrées à l'aide d'un certificat unique prenant en charge l'attribut Autres noms de l'objet. Le serveur ISA Server peut être configuré pour utiliser un certificat approuvé externe provenant d'un fournisseur reconnu et le trafic entre le serveur ISA Server et le serveur d'accès au client peut être sécurisé à l'aide d'un certificat généré en interne.
Les utilisateurs finaux n'ont pas besoin d'identifier l'espace de noms à utiliser. Tous les utilisateurs finaux utilisent les mêmes espace de noms et URL pour accéder à Microsoft Exchange. Si un DNS réparti est configuré, ce modèle peut également permettre d'unifier un espace de noms interne. Si aucun DNS réparti n'est configuré, toutes les demandes provenant de clients internes atteindront le pare-feu et seront transférées de manière appropriée.
Il est possible de déplacer les boîtes aux lettres entre plusieurs sites sans modification de l'espace de noms du point de vue d'un utilisateur externe. Ceci offre de la flexibilité aux administrateurs qui souhaitent équilibrer la charge entre les sites. Ceci est également utile lorsqu'un incident survient et que tout le service doit être déplacé entre les sites, car il n'est pas nécessaire de modifier la configuration cliente.
Un espace de noms régional peut être ajouté lors d'une phase ultérieure, le cas échéant. Ce même modèle peut être répété dans un autre emplacement à l'aide d'une URL externe différente.
Ce modèle présente les inconvénients suivants :
L'utilisation du réseau étendu augmentera probablement et dépend de l'emplacement physique des serveurs d'accès au client dans le site connecté à Internet.
Les serveurs d'accès au client supplémentaires doivent être déployés et configurés correctement.
Tous les utilisateurs accéderont à leur boîte aux lettres via la transmission par proxy. Lorsque l'utilisateur se connecte au serveur d'accès au client dans le site C, il n'est pas situé dans le même site Active Directory que leur serveur de boîtes aux lettres. Ils seront transmis par proxy à un serveur d'accès au client qui est situé dans le même site Active Directory que leur serveur de boîtes aux lettres. Les performances ne seront pas optimales en raison de la transmission par proxy supplémentaire. L'influence sur les performances dépend de la distance entre les deux sites physiques.
Il n'est pas possible d'accéder aux bibliothèques Windows SharePoint Services et aux partages de fichiers Windows lorsque des utilisateurs se connectent à un serveur d'accès au client ne se trouvant pas dans le même site que leur serveur de boîtes aux lettres. Ceci est lié au fait que l'accès aux bibliothèques Windows SharePoint Services et partages de fichiers Windows requiert le nom et le mot de passe de l'utilisateur. Dans un scénario de transmission par proxy, la communication vers les bibliothèques Windows SharePoint Services et les partages de fichiers Windows est assurée via le compte système Exchange. Celui-ci ne tient pas compte des nom et mot de passe de l'utilisateur.
Les clients utilisant les protocoles POP3 ou IMAP4 ne pourront pas accéder à leurs boîtes aux lettres si le serveur d'accès au client auquel ils se connectent n'est pas situé sur le même site que leur serveur de boîtes aux lettres. L'accès POP3 et IMAP4 ne peut pas être transmis par proxy entre plusieurs sites.
Important
La propriété ExternalURL sur chaque répertoire virtuel d'un site contenant des boîtes aux lettres d'utilisateurs doit être définie sur $null.
Important
Les serveurs d'accès au client ne prennent pas en charge plusieurs niveaux de transmission par proxy. Chaque site contenant des boîtes aux lettres d'utilisateurs doit être accessible aux serveurs d'accès au client dans le site proxy dédié.
Notes
Une configuration réseau supplémentaire peut être requise si plusieurs emplacement sont utilisés. Ceci peut inclure la configuration des dispositifs d'équilibrage de charge, les enregistrements DNS multiples et la redondance d'itinéraire. Le déploiement physique varie en fonction de la topologie réseau de votre organisation.
Espaces de noms par pays
Le modèle à plusieurs sites utilisant un espace de noms différent pour chaque site est appelé modèle d'espaces de noms par pays. La figure suivante illustre le modèle d'espaces de noms par pays.
Ce modèle présente les avantages suivants :
- La transmission par proxy est réduite car un pourcentage plus élevé d'utilisateurs peut se connecter au serveur d'accès au client dans le même site Active Directory que leur serveur de boîtes aux lettres. Cela améliore l'expérience de l'utilisateur final, ainsi que les performances. Les utilisateurs dont les boîtes aux lettres figurent dans un site ne disposant pas d'un serveur d'accès au client connecté à Internet sont quand même redirigés par proxy.
Ce modèle présente les inconvénients suivants :
Il est nécessaire de gérer plusieurs enregistrements DNS.
Il est nécessaire d'obtenir, configurer et gérer plusieurs certificats.
La gestion de la sécurité est plus complexe car chaque site connecté à Internet requiert un ordinateur ISA Server ou un autre pare-feu.
Chaque utilisateur doit se connecter à l'espace de noms de son propre pays. Cela peut entraîner un nombre plus élevé d'appels vers le service d'assistance utilisateur et une formation plus importante.
Important : |
---|
Le modèle d'espace de noms régional est recommandé pour toute topologie impliquant plusieurs sites Active Directory disposant de leur propre connectivité Internet. |
Plusieurs forêts
Ce modèle consiste en plusieurs forêts contenant plusieurs espaces de noms. Une organisation utilisant ce modèle peut être constituée de deux entreprises partenaires, par exemple Contoso et ContosoOnline. Les espaces de noms peuvent inclure mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com et mail.europe.contosoonline.com.
Il est recommandé d'implémenter un modèle d'espaces de noms par pays pour chaque forêt afin de fournir le plus haut niveau de performance aux utilisateurs finaux. Il est nécessaire de gérer plusieurs certificats pour chaque forêt.
Pour plus d'informations
Pour plus d'informations sur la planification des espaces de nom et ses effets sur la sécurité d'Exchange Server, consultez les rubriques suivantes :