Compreendendo o planejamento de namespace do Exchange Server 2007
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1
Tópico modificado em: 2008-11-14
Quando você planeja a organização do Microsoft Exchange Server 2007, uma das decisões mais importante que deve tomar é como organizar o namespace externo da organização. Um namespace é uma estrutura lógica normalmente representada por um nome de domínio DNS. Ao definir seu namespace, é preciso considerar os diversos locais de seus clientes e os servidores que hospedam suas caixas de correio. Além dos locais físicos dos clientes, é preciso avaliar como eles se conectam ao Exchange 2007. As respostas a essas perguntas determinarão quantos namespaces serão necessário. Seus namespaces normalmente se alinharão a sua configuração DNS. Recomendamos que cada site do Active Directory em uma região que tenha um ou mais servidores de Acesso para Cliente voltados para a Internet tenha um namespace exclusivo. Ele normalmente é representado no DNS por um registro A, como mail.contoso.com ou mail.europe.contoso.com.
Antes de implementar uma organização do Exchange 2007, você deve decidir como sua organização será configurada e como seus namespaces externos serão definidos. As decisões tomadas sobre os namespaces afetarão o seguinte:
A configuração de DNS.
Que certificados serão necessários para criptografar as comunicações entre seu computadores que executam o Exchange 2007 e os computadores ou dispositivos clientes.
Como seus clientes acessam as caixas de mensagens ao usar o Outlook em Qualquer Lugar, o Outlook Web Access e clientes POP3 e IMAP4.
Esse processo envolve o exame de sua estrutura de rede lógica e física e a escolha de uma topologia organizacional. Este tópico fornece uma visão geral das diversas topologias e oferece informações sobre como cada uma delas afeta sua organização do Exchange.
Dica
Este tópico não discute o planejamento de namespace interno, que pode ser necessário se você implantar o balanceamento de carga em um site do Active Directory. Para obter detalhes sobre o impacto da implantação interna do balanceamento de carga, consulte Noções básicas de proxy e redirecionamento.
Modelos organizacionais do Exchange 2007
Este tópico examina as seguintes topologias:
Modelo de data center consolidado Este modelo consiste em um único site físico. Todos os servidores se localizam em um site físico e há um único namespace, como mail.contoso.com.
Namespace único com sites proxy Este modelo consiste em vários sites físicos. Apenas um site contém um servidor de Acesso para Cliente voltado para a Internet. Os outros sites físicos não estão expostos à Internet. Há apenas um namespace para os sites desse modelo, mail.contoso.com.
Namespace único e vários sites Este modelo consiste em vários sites físicos. Cada site pode ter um servidor de Acesso para Cliente voltado para a Internet ou pode haver apenas um site com servidores de Acesso para Cliente voltados para a Internet. Há apenas um namespace para os sites desse modelo, mail.contoso.com.
Namespaces regionais Este modelo consiste em vários sites físicos e vários namespaces. Por exemplo, um site localizado na cidade de Nova York teria o namespace mail.usa.contoso.com, um site localizado em Toronto teria o namespace mail.canada.contoso.com e um site localizado em Londres teria o namespace mail.europe.contoso.com.
Várias florestas Este modelo consiste em várias florestas com vários namespaces. Uma organização com este modelo poderia ser formada por duas empresas parceiras, como a Contoso e a ContosoOnline. Os namespaces podem incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.
Modelo de data center consolidado
O modelo de data center consolidado é o modelo mais simples analisado neste tópico. Ele consiste em um único site físico. A figura a seguir ilustra esse modelo.
As vantagens do modelo de data center consolidado são as seguintes:
Há menos registros DNS a serem gerenciados do que com vários modelos de namespace.
Há menos certificados a serem gerenciados. A comunicação entre o servidor de Acesso para Cliente do Exchange e os clientes pode ser criptografada de diversas maneiras. O método recomendado é usar um único certificado com suporte para Nomes de Assunto Alternativos. Para obter mais informações sobre certificados com suporte a Nomes de Assunto Alternativos, consulte Parceiros de Certificado de Comunicações Unificadas para o Exchange 2007 e para o Communications Server 2007.
Dica
Um Nome Alternativo para o Requerente é um atributo de um certificado digital que permite que o administrador do site configure um único certificado que lista todos os namespaces que exijam um certificado de servidor.
Dica
Outros métodos de gerenciamento de certificados em um modelo de data center consolidado são um certificado curinga, vários certificados e configuração adequada de registros SRV. Para obter mais informações sobre esses métodos, consulte o Informe oficial: Exchange 2007 Autodiscover Service. (página em inglês)
Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.
Também há várias desvantagens no modelo de data center consolidado. Isso inclui o seguinte:
O modelo não dá suporte a vários data centers.
Se o links regionais da Internet forem lentos devido a baixa largura de banda, alta latência ou uso intensivo, os usuários finais de outra regiões terão problemas de desempenho.
Namespace único com sites proxy
Esse modelo consiste em várias localidades físicas que usam um único namespace. Por trás de um computador do ISA Server ou outro firewall, um dos sites possui um ou mais servidores de Acesso para Cliente voltados para a Internet. Os outros sites não contêm servidores de Acesso para Cliente voltados para a Internet.
Importante
Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro.
A figura a seguir ilustra esse modelo.
Aviso
O modelo não é recomendado se todos os sites tiverem conectividade com a Internet. Se sua topologia usa vários sites do Active Directory que tenham conectividade com a Internet e não estão a curta distância, um modelo de namespace regional é recomendado.
Estas são as vantagens do modelo:
Há menos registros DNS a serem gerenciados do que com várias topologias de namespace. Isso reduz a complexidade operacional.
Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente.
Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.
Também há várias desvantagens na implantação de um único namespace com sites proxy. Isso inclui o seguinte:
Uma alta porcentagem de usuários acessa o servidor de Caixas de Correio por proxy. Se um usuário se conectar a um servidor de Acesso para Cliente que não esteja na mesma localidade física que o servidor de Caixas de Correio, ele será conectado por proxy a um servidor de Acesso para Cliente que esteja na mesma localidade física que seu servidor de Caixas de Correio. Devido ao proxy adicional, os custos com link WAN aumentarão e o desempenho não será o ideal. O efeito sobre o desempenho depende da distância entre os dois data centers físicos e o número de conexões de proxy.
O acesso a bibliotecas do Windows SharePoint Services e arquivos de armazenamento do Windows não é possível quando os usuários se conectam a um servidor de Acesso para Cliente que não fica no mesmo site que seu servidor de Caixa de Correio. A falha ocorre porque o acesso a compartilhamentos de arquivos do Windows e a bibliotecas do Windows SharePoint Services exige o nome de usuário e senha do usuário. Em um cenário de proxy, a comunicação com compartilhamentos de arquivos do Windows e bibliotecas do Windows SharePoint Services é realizada por meio da conta de sistema do servidor de Acesso para Cliente. Essa conta não sabe o nome de usuário e a senha do usuário.
Os clientes que usam os protocolos POP3 ou IMAP4 não poderão acessar suas caixas de correio se o servidor de Acesso para Cliente ao qual estão conectados não estiver no mesmo site do servidor de Caixa de Correio. As conexões POP3 e IMAP4 não podem ser em proxy entre sites.
Importante
É necessário configurar os diretórios virtuais de destino em cada servidor de Acesso para Cliente do site em proxy para a autenticação do Windows Integrada.
Namespace único com vários sites
Esse modelo consiste em várias localidades físicas que usam um único namespace. Há duas opções de implantação para esse modelo. Você pode usar um servidor ISA Server em frente a um ou mais sites ou usar um site proxy de servidor de Acesso para Cliente. Pode haver um ou mais servidores acessíveis pela Internet por trás de cada site. Esse modelo também requer uma solução de balanceamento de carga que divida o tráfego de entrada igualmente entre os sites voltados para a Internet.
Importante
Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro.
Implantação com um ISA Server
A figura a seguir ilustra a implantação desse modelo por trás de um ISA Server ou outro firewall.
Na configuração mostrada na figura, o ISA Server realiza a pré-autenticação da conexão para determinar a associação de grupo do cliente. O tráfego é encaminhado para o site correto com base nas regras de publicação configuradas.
Estas são as vantagens do modelo:
Há menos registros DNS a serem gerenciados do que com vários modelos de namespace. Isso reduz a complexidade operacional.
Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente. O servidor ISA Server pode ser configurado para usar um certificado externo confiável de um provedor reconhecido. O tráfego entre o servidor ISA Server e os servidores de Acesso para Cliente pode ser protegido usando um certificado gerado internamente.
Os usuários finais não precisam determinar que namespace usar. Todos os usuários usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange.
As caixas de correio podem ser movidas entre sites sem alterações de namespace externas. Isso fornece flexibilidade a administradores que desejam balancear a carga de tráfego entre sites sem alterar a configuração do cliente.
Um namespace regional pode ser adicionado posteriormente, se for necessário. Esse mesmo modelo pode ser repetido em outro local usando uma URL externa diferente.
A autenticação baseada em formulários do ISA Server 2006 pode ser personalizada para se adequar aos requisitos específicos de uma organização.
As desvantagens de implantar este modelo são as seguintes:
O uso da rede de longa distância (WAN) provavelmente aumentará. O nível de aumento depende da localização física do servidor ISA Server.
O ISA Server deve ser implantado e configurado corretamente.
As associações de grupo devem ser gerenciadas para garantir que o tráfego é encaminhado para o site correto. Por padrão, Administradores de Destinatário não podem criar grupos de segurança, por isso a delegação do Active Directory deve ser configurada para que os Administradores do Exchange dedicados possam criar e atualizar a associação de grupo de atualização. O uso de grupos cria uma sobrecarga operacional adicional que deve ser levada em consideração quando novas caixas de correio forem criadas ou movidas. Posicionar um servidor de Catálogo Global próximo a um servidor ISA Server é a forma recomendada de evitar que solicitações de autenticação desnecessárias percorram a WAN.
Importante
Não recomendamos a implantação de uma topologia com um único namespace e vários sites do Active Directory. Se sua topologia usa vários sites do Active Directory, recomendamos que você use um modelo de namespace regional.
Dica
Para implantar um único namespace com vários sites é necessário limpar os valores de ExternalURL dos diretórios virtuais dos servidores de Acesso para Cliente voltados para a Internet se desejar desabilitar o redirecionamento e forçar o uso de proxy.
Implementação com um site de proxy do servidor de Acesso para Cliente
A figura a seguir ilustra esse modelo.
Neste modelo, todas as conexões de cliente que se originam externamente vão para o Site C do Active Directory. As conexões são encaminhadas por proxy ao site que contém a caixa de correio do usuário pelo servidor de Acesso para Cliente no Site C.
As vantagens desse modelo são as seguintes:
Há menos registros DNS a serem gerenciados do que com vários modelos de namespace. Isso reduz a complexidade operacional.
Há menos certificados a serem gerenciados. Para criptografar a comunicação entre o servidor de Acesso para Cliente e os clientes, use um único certificado que ofereça suporte a Nomes Alternativos para o Requerente. O ISA Server pode ser configurado para usar um certificado externo confiável de um provedor reconhecido e o tráfego entre o ISA Server e os servidores de Acesso para Cliente pode ser protegido usando um certificado que é gerado internamente.
Os usuários finais não precisam determinar que namespace usar. Todos os usuários finais usam o mesmo namespace e a mesma URL para acessar o Microsoft Exchange. Se o DNS dividido estiver configurado, esse modelo também pode ser usado para unificar um namespace interno. Seo DNS dividido não estiver configurado, todas as solicitações de cliente internas chegarão ao firewall e serão encaminhadas adequadamente.
As caixas de correio podem ser movidas entre sites sem alterar o namespace de uma perspectiva do usuário externo. Isso oferece flexibilidade para os administradores que desejam fazer o balanceamento de carga entre sites. Também é útil quando um desastre ocorre e o serviço inteiro deve ser movido entre sites, porque a configuração do cliente não precisa ser alterada.
Um namespace regional pode ser adicionado posteriormente, se for necessário. Esse mesmo modelo pode ser repetido em outro local, usando uma URL externa diferente.
As desvantagens desse modelo são os seguintes:
A utilização do Wan provavelmente aumentará e depende da localização física dos servidores de Acesso para Cliente no site voltado para a Internet.
Os servidores de Acesso para Cliente adicionais devem ser implantados e configurados corretamente.
Todos os usuários acessarão suas caixas de correio por meio de proxy. Quando o usuário se conecta a um servidor de Acesso para Cliente no Site C, não é o mesmo site do Active Directory que o servidor de Caixa de Correio. Eles serão transmitidos por proxy a um servidor de Acesso para Cliente que é o mesmo site do Active Directory que o servidor de Caixa de Correio. O desempenho não será ideal devido ao proxy adicional. O efeito sobre o desempenho dependerá da distância entre os dois locais físicos.
O acesso a bibliotecas do Windows SharePoint Services e arquivos de armazenamento do Windows não é possível quando os usuários se conectam a um servidor de Acesso para Cliente que não fica no mesmo site que seu servidor de Caixa de Correio. Isso ocorre porque o acesso a compartilhamentos de arquivos do Windows e a bibliotecas do Windows SharePoint Services exige o nome de usuário e senha do usuário. Em um cenário de proxy, a comunicação com compartilhamentos de arquivos do Windows e bibliotecas do Windows SharePoint Services é executada por meio da conta de sistema do Exchange. Essa conta não sabe o nome de usuário e a senha do usuário.
Os clientes que usam os protocolos POP3 ou IMAP4 não poderão acessar suas caixas de correio se o servidor de Acesso para Cliente ao qual estão conectados não estiver no mesmo site do servidor de Caixa de Correio. Os acessos POP3 e IMAP4 não podem ser em proxy entre sites.
Importante
A propriedade ExternalURL em cada diretório virtual em um site que contenha caixas de correio do usuário deve ser definido como $null.
Importante
Os servidores de Acesso para Cliente não oferecem suporte a vários níveis de proxy. Cada site que contém caixas de correio de usuário deve ser acessível para os servidores de Acesso para Cliente no site de proxy dedicado.
Dica
A configuração de rede adicional pode ser necessária se vários locais forem usados. Isso pode incluir a configuração de balanceadores de carga de hardware, vários registros de DNS e redundância de rota. A implantação física variará com base na topologia de rede da organização.
Namespaces regionais
O modelo com vários sites que usa um namespace diferente para cada site é chamado de modelo com namespaces regionais. A figura a seguir ilustra o modelo de namespaces regionais.
Estas são as vantagens do modelo:
- O uso de proxies será reduzido porque uma porcentagem maior dos usuários poderão se conectar a um servidor de Acesso para Cliente no mesmo site do Active Directory que seu servidor de Caixa de Correio. Isso melhorará a experiência do usuário final e o desempenho. Usuários que possuam caixas de correio em um site sem um servidor de Acesso para Cliente voltado para a Internet usarão proxy.
As desvantagens desse modelo são as seguintes:
É necessário gerenciar vários registros DNS.
É necessário obter, configurar e gerenciar vários certificados.
O gerenciamento da segurança é mas complexo, porque cada site voltado para a Internet requer um computador do ISA Server ou outro firewall.
Cada usuário precisa se conectar ao seu próprio namespace regional. Isso pode resultar mais chamados de suporte e treinamento.
Importante
O modelo de namespace regional é recomendado para qualquer topologia que envolve vários sites do Active Directory que têm sua própria conectividade com a Internet.
Várias florestas
Este modelo consiste em várias florestas com vários namespaces. Uma organização com este modelo poderia ser formada por duas empresas parceiras, como a Contoso e a ContosoOnline. Os namespaces podem incluir mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com e mail.europe.contosoonline.com.
Recomendamos que você implemente um modelo de namespace regional para cada floresta, para oferecer o melhor nível de desempenho para os usuários finais. É necessário gerenciar vários certificados em cada floresta.
Para obter mais informações
Para obter mais informações sobre o planejamento de namespace e seus efeitos no na segurança do Exchange Server, consulte os tópicos a seguir.