Grundlegendes zu Clientzugriffsserver-Namespaces
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2011-11-08
Wenn Sie Ihre Microsoft Exchange Server 2010-Organisation planen, besteht eine der wichtigsten Entscheidungen, die Sie treffen müssen, in der Auswahl der Anordnung des externen Namespaces Ihrer Organisation. Ein Namespace ist eine logische Struktur, die normalerweise durch einen Domänennamen in DNS dargestellt wird. Wenn Sie Ihren Namespace definieren, müssen Sie die verschiedenen Standorte Ihrer Clients und Server berücksichtigen, auf denen Postfächer gespeichert sind. Neben den physischen Standorten der Clients müssen Sie berücksichtigen, wie Verbindungen mit Exchange 2010 hergestellt werden. Die Antworten auf diese Fragen legen fest, wie viele Namespaces erforderlich sind. Ihre Namespaces sind normalerweise an Ihrer DNS-Konfiguration ausgerichtet. Es wird empfohlen, dass jeder Active Directory-Standort in einer Region mit mindestens einem mit dem Internet verbundenen Clientzugriffsserver einen eindeutigen Namespace besitzt. Dieser Sachverhalt wird in DNS normalerweise durch einen A-Datensatz wie z. B. "mail.contoso.com" oder "mail.europe.contoso.com" dargestellt.
Bevor Sie eine Exchange 2010-Organisation erstellen, müssen Sie entscheiden, wie Ihre Organisation konfiguriert wird und wie Ihre externen Namespaces definiert werden. Die Entscheidungen, die Sie hinsichtlich Ihrer Namespaces treffen, wirken sich auf Folgendes aus:
Konfiguration von DNS.
Erforderliche Zertifikate zum Verschlüsseln der Kommunikation zwischen Ihren Computern mit Exchange 2010 und Ihren Clientcomputern und Geräten.
Zugriffsart der Clients auf ihre Postfächer, wenn Outlook Anywhere-, Outlook Web App- oder POP3- und IMAP4-Clients verwendet werden.
Diese Entscheidungen beinhalten die Untersuchung der physischen und logischen Netzwerkstruktur sowie die Auswahl einer Organisationstopologie. In diesem Thema werden die verschiedenen Topologien erläutert und Informationen dazu bereitgestellt, wie sich diese Topologien auf Ihre Exchange-Organisation auswirken.
Hinweis
In diesem Thema wird nicht die Planung interner Namespaces behandelt, die ggf. erforderlich ist, wenn Sie Lastenausgleich an einem Active Directory-Standort bereitstellen. Weitere Informationen zu den Auswirkungen der internen Bereitstellung von Lastenausgleich finden Sie unter Grundlegendes zu Proxyfunktion und Umleitung.
Exchange 2010-Organisationsmodelle
In diesem Thema werden die folgenden Arten von Topologien untersucht:
Konsolidiertes Datencentermodell Dieses Modell besteht aus einem einzigen physischen Standort. Alle Server befinden sich innerhalb des Standorts, und es ist ein einziger Namespace vorhanden, z. B. "mail.contoso.com".
Einzelner Namespace mit Proxystandorten Dieses Modell besteht aus mehreren physischen Standorten. Nur ein Standort enthält einen mit dem Internet verbundenen Clientzugriffsserver. Die anderen Standorte sind nicht mit dem Internet verbunden. Für die Standorte in diesem Modell ist nur ein Namespace vorhanden, z. B. "mail.contoso.com".
Einzelner Namespace und mehrere Standorte Dieses Modell besteht aus mehreren physischen Standorten. Jeder Standort kann einen mit dem Internet verbundenen Clientzugriffsserver aufweisen. Alternativ kann es auch nur einen Standort mit einem mit dem Internet verbundenen Clientzugriffsserver geben. Für die Standorte in diesem Modell ist nur ein Namespace vorhanden, z. B. "mail.contoso.com".
Regionale Namespaces Dieses Modell besteht aus mehreren physischen Standorten und mehreren Namespaces. Ein Standort in New York City verwendet z. B. den Namespace "mail.usa.contoso."com, ein Standort in Toronto den Namespace "mail.canada.contoso.com" und ein Standort in London den Namespace "mail.europe.contoso.com".
Mehrere Gesamtstrukturen Dieses Modell besteht aus mehreren Gesamtstrukturen mit mehreren Namespaces. Eine Organisation, die dieses Modell verwendet, könnte aus zwei Partnerunternehmen bestehen, z. B. aus Contoso und ContosoOnline. Die Namespaces könnten mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com und mail.europe.contosoonline.com lauten.
Konsolidiertes Datencentermodell
Das konsolidierte Datencentermodell ist das einfachste Modell, das in diesem Thema behandelt wird. Es besteht aus einem einzigen physischen Standort.
Das konsolidierte Datencentermodell bietet folgende Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Exchange-Clientzugriffsserver und den Clients kann auf verschiedene Weise verschlüsselt werden. Die empfohlene Methode für die Verschlüsselung besteht in der Verwendung eines einzelnen Zertifikats, das alternative Antragstellernamen unterstützt.
Hinweis
Ein alternativer Antragstellername ist ein Attribut eines digitalen Zertifikats, das dem Standortadministrator ermöglicht, ein einzelnes Zertifikat zu konfigurieren, das alle Namespaces auflistet, die ein Serverzertifikat erfordern.
Hinweis
Alternative Methoden zum Verwalten von Zertifikaten für ein konsolidiertes Datencentermodell sind ein Platzhalterzertifikat, mehrere Zertifikate sowie die ordnungsgemäße Konfiguration von SRV-Datensätzen.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und URL für den Zugriff auf Microsoft Exchange.
Nachteile des konsolidierten Datencentermodells:
Dieses Modell unterstützt nicht mehrere Datencenter.
Wenn regionale Internetlinks aufgrund geringer Bandbreite, langer Wartezeiten oder großer Auslastung langsam sind, bedeutet dies für Endbenutzer in diesen Regionen schlechte Leistung.
Einzelner Namespace mit Proxystandorten
Dieses Modell besteht aus mehreren physischen Standorten, die einen einzigen Namespace verwenden. Hinter einem Computer mit ISA Server oder einer anderen Firewall verfügt einer der Standorte über mindestens einen mit dem Internet verbundenen Clientzugriffsserver. Die anderen Standorte enthalten keine mit dem Internet verbundenen Clientzugriffsserver.
Wichtig
Die Installation eines Clientzugriffsservers in einem Umkreisnetzwerk wird nicht unterstützt.
Achtung: |
---|
Dieses Modell wird nicht empfohlen, wenn alle Standorte über eine Internetverbindung verfügen. Wenn in Ihrer Topologie mehrere Active Directory-Standorte vorhanden sind, die über eine Internetverbindung verfügen und sich nicht in unmittelbarer Nähe zueinander befinden, sollten Sie ein Modell mit regionalen Namespaces in Erwägung ziehen. |
Dieses Modell bietet die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Topologien mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und URL für den Zugriff auf Microsoft Exchange.
Nachteile der Bereitstellung eines einzelnen Namespace mit Proxystandorten:
Einige Benutzer greifen per Proxyweiterleitung auf ihren Postfachserver zu. Wenn ein Benutzer eine Verbindung mit einem Clientzugriffsserver herstellt, der sich nicht am gleichen physischen Standort wie sein Postfachserver befindet, wird er mittels Proxyweiterleitung an einen Clientzugriffsserver weitergeleitet, der sich am gleichen physischen Standort wie sein Postfachserver befindet. Aufgrund der zusätzlichen Proxyweiterleitung steigen die WAN-Verbindungskosten, und die Leistung ist nicht optimal. Die Auswirkungen auf die Leistung hängen von der Entfernung zwischen den beiden physischen Datencentern und der Anzahl der Proxyverbindungen ab.
Wichtig
Möglicherweise müssen die virtuellen Zielverzeichnisse auf jedem Clientzugriffsserver an dem Standort konfiguriert werden, an den die Proxyweiterleitung für die integrierte Windows-Authentifizierung erfolgt. Weitere Informationen finden Sie unter Grundlegendes zu Proxyfunktion und Umleitung.
Einzelner Namespace mit mehreren Standorten
Dieses Modell besteht aus mehreren physischen Standorten, die einen einzigen Namespace verwenden. Für dieses Modell sind zwei Bereitstellungsoptionen verfügbar. Sie können einen ISA Server-Computer vor einem oder mehreren Standorten oder einen Clientzugriffsserver-Proxystandort verwenden. Hinter jedem Standort kann mindestens ein Server verfügbar sein, auf den über das Internet zugegriffen werden kann. Für dieses Modell ist ebenfalls eine Lastenausgleichslösung erforderlich, die den eingehenden Datenverkehr gleichmäßig auf die mit dem Internet verbundenen Standorte aufteilt.
Wichtig
Die Installation eines Clientzugriffsservers in einem Umkreisnetzwerk wird nicht unterstützt.
Bereitstellung mit einem ISA Server-Computer
In dieser Konfiguration führt ISA Server eine Vorauthentifizierung der Verbindung durch, um die Gruppenmitgliedschaft des Clients zu ermitteln. Der Datenverkehr wird dann an den richtigen Standort basierend auf den konfigurierten Veröffentlichungsregeln weitergeleitet.
Dieses Modell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt. Der ISA Server-Computer kann für die Verwendung eines externen, vertrauenswürdigen Zertifikats von einem anerkannten Anbieter konfiguriert sein. Der Datenverkehr zwischen dem ISA Server-Computer und den Clientzugriffsservern kann mithilfe eines intern generierten Zertifikats gesichert werden.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Benutzer verwenden den gleichen Namespace und die gleiche URL für den Zugriff auf Microsoft Exchange.
Postfächer können ohne Änderungen des externen Namespaces zwischen Standorten verschoben werden. Administratoren, die einen Lastenausgleich zwischen Standorten auszuführen möchten, ohne die Clientkonfiguration zu ändern, erhalten auf diese Weise Flexibilität.
Ein regionaler Namespace kann bei Bedarf zu einem späteren Zeitpunkt hinzugefügt werden. Das gleiche Modell kann an einem anderen Standort mithilfe einer anderen externen URL wiederholt werden.
Die formularbasierte Authentifizierung von ISA Server 2006 kann so angepasst werden, dass sie die besonderen Anforderungen einer Organisation erfüllt.
Die Bereitstellung dieses Modells bringt die folgenden Nachteile mit sich:
Die WAN-Auslastung (Wide Area Network) steigt wahrscheinlich an. Der Grad des Anstiegs hängt vom physischen Standort des ISA Server-Computers ab.
ISA Server muss ordnungsgemäß bereitgestellt und konfiguriert werden.
Die Gruppenmitgliedschaften müssen verwaltet werden, damit sichergestellt ist, dass Datenverkehr an den richtigen Standort weitergeleitet wird. Empfängeradministratoren können standardmäßig keine Sicherheitsgruppen erstellen. Daher muss die Active Directory-Delegierung so konfiguriert werden, dass dedizierte Exchange-Administratoren die Gruppenmitgliedschaft erstellen und aktualisieren können. Die Verwendung von Gruppen verursacht zusätzlichen Betriebsmehraufwand, der berücksichtigt werden muss, wenn neue Postfächer erstellt oder verschoben werden. Die Platzierung eines globalen Katalogservers in der Nähe des ISA Server-Computers ist die empfohlene Methode, um zu verhindern, dass nicht erforderliche Authentifizierungsanforderungen das WAN durchlaufen.
Bereitstellung mit einem Clientzugriffsserver-Proxystandort
In diesem Modell werden alle Clientverbindungen externen Ursprungs an einen Active Directory-Standort geleitet, der keine Benutzerpostfächer enthält. Anschließend werden diese Verbindungen von einem Clientzugriffsserver an diesem Standort per Proxyweiterleitung an den Standort übermittelt, der das Postfach des Benutzers enthält.
Dieses Modell besitzt die folgenden Vorteile:
Es sind weniger DNS-Datensätze als in Modellen mit mehreren Namespaces zu verwalten. Auf diese Weise wird die Betriebskomplexität verringert.
Es sind weniger Zertifikate zu verwalten. Die Kommunikation zwischen dem Clientzugriffsserver und den Clients kann mithilfe eines einzigen Zertifikats verschlüsselt werden, das alternative Antragstellernamen unterstützt. ISA Server kann für die Verwendung eines externen, vertrauenswürdigen Zertifikats von einem anerkannten Anbieter konfiguriert sein. Der Datenverkehr zwischen dem ISA Server-Computer und den Clientzugriffsservern kann mithilfe eines intern generierten Zertifikats gesichert werden.
Endbenutzer müssen nicht ermitteln, welcher Namespace zu verwenden ist. Alle Endbenutzer verwenden den gleichen Namespace und die gleichen URLs für den Zugriff auf Microsoft Exchange. Wenn geteiltes DNS konfiguriert ist, kann dieses Modell auch verwendet werden, um einen internen Namespace zu vereinheitlichen. Wenn kein geteiltes DNS konfiguriert ist, erreichen alle internen Clientanforderungen die Firewall und werden entsprechend weitergeleitet.
Postfächer können zwischen Standorten verschoben werden, ohne dass der Namespace aus der Perspektive eines externen Benutzers geändert wird. Administratoren, die einen Lastenausgleich zwischen Standorten auszuführen möchten, erhalten auf diese Weise Flexibilität. Diese Vorgehensweise ist außerdem nützlich, wenn ein Notfall eintritt und der gesamte Dienst zwischen Standorten verschoben werden muss, weil keine Änderung der Clientkonfiguration erforderlich ist.
Ein regionaler Namespace kann zu einem späteren Zeitpunkt hinzugefügt werden, wenn erforderlich. Das gleiche Modell kann an einem anderen Standort mithilfe einer anderen externen URL wiederholt werden.
Dieses Modell besitzt die folgenden Nachteile:
Die WAN-Auslastung (Wide Area Network) steigt wahrscheinlich an. Sie hängt vom physischen Standort der Clientzugriffsserver am Standort mit der Internetverbindung ab.
Zusätzliche Clientzugriffsserver müssen ordnungsgemäß bereitgestellt und konfiguriert werden.
Alle Benutzer greifen über Proxyweiterleitung auf ihre Postfächer zu. Wenn ein Benutzer eine Verbindung mit dem Clientzugriffsserver am Proxystandort herstellt, befindet sich dieser nicht am gleichen Active Directory-Standort wie sein Postfachserver. Er wird per Proxyweiterleitung an einen Clientzugriffsserver weitergeleitet, der sich am gleichen Active Directory-Standort wie sein Postfachserver befindet. Die Leistung ist aufgrund der zusätzlichen Proxyweiterleitung nicht optimal. Die Auswirkungen auf die Leistung hängen von der Entfernung zwischen den beiden physischen Standorten ab.
Der Zugriff auf Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben ist nicht möglich, wenn Benutzer eine Verbindung mit einem Clientzugriffsserver herstellen, der sich nicht am gleichen Standort wie ihr Postfachserver befindet. Dies liegt daran, dass für den Zugriff auf Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben der Benutzername und das Kennwort des Benutzers erforderlich sind. In einem Szenario mit Proxyweiterleitung erfolgt die Kommunikation mit den Windows SharePoint Services-Bibliotheken und Windows-Dateifreigaben über das Exchange-Systemkonto. Dieses Konto ist nicht für den Benutzernamen und das Kennwort des Benutzers aktiviert.
Wichtig
Die Eigenschaft ExternalURL für jedes virtuelle Verzeichnis an einem Standort, der Benutzerpostfächer enthält, muss auf $null festgelegt werden.
Wichtig
Clientzugriffsserver unterstützen nicht mehrere Proxyebenen. Die Clientzugriffsserver am dedizierten Proxystandort müssen auf jeden Standort zugreifen, der Benutzerpostfächer enthält.
Hinweis
Ggf. ist zusätzliche Netzwerkkonfiguration erforderlich, wenn mehrere Standorte verwendet werden. Dies kann die Konfiguration von Hardware-Lastenausgleichsmodulen, mehreren DNS-Einträgen und Routenredundanz beinhalten. Die physische Bereitstellung ist abhängig von der jeweiligen Netzwerktopologie der Organisation unterschiedlich.
Regionale Namespaces
Das Modell mit mehreren Standorten, das einen anderen Namespace für jeden Standort verwendet, wird als regionales Namespacemodell bezeichnet. Dieses Modell besitzt die folgenden Vorteile:
- Die Proxyweiterleitung wird reduziert, da ein größerer Prozentsatz der Benutzer eine Verbindung mit einem Clientzugriffsserver am gleichen Active Directory-Standort wie ihr Postfachserver herstellen kann. Auf diese Weise wird die Benutzerumgebung und die Leistung verbessert. Für Benutzer mit Postfächern an einem Standort, der nicht über einen mit dem Internet verbundenen Clientzugriffsserver verfügt, erfolgt weiterhin die Proxyweiterleitung.
Dieses Modell besitzt die folgenden Nachteile:
Es müssen mehrere DNS-Datensätze verwaltet werden.
Mehrere Zertifikate müssen erworben, konfiguriert und verwaltet werden.
Die Verwaltung der Sicherheit ist komplexer, weil für jeden mit dem Internet verbundenen Standort ein Computer mit ISA Server oder eine andere Firewall erforderlich ist.
Jeder Benutzer muss eine Verbindung mit seinem eigenen regionalen Namespace herstellen. Dies kann zu vermehrten Anrufen beim Helpdesk und zu einem erhöhten Schulungsbedarf führen.
Wichtig
Das Modell mit regionalen Namespaces wird für Topologien mit mehreren Active Directory-Standorten empfohlen, die über eigene Internetverbindungen verfügen.
Mehrere Gesamtstrukturen
Dieses Modell besteht aus mehreren Gesamtstrukturen mit mehreren Namespaces. Eine Organisation, die dieses Modell verwendet, könnte aus zwei Partnerunternehmen bestehen, z. B. aus Contoso und ContosoOnline. Die Namespaces könnten mail.usa.contoso.com, mail.europe.contoso.com, mail.asia.contosoonline.com und mail.europe.contosoonline.com lauten.
Ziehen Sie in Erwägung, ein Modell mit regionalen Namespaces für jede Gesamtstruktur zu implementieren, um Endbenutzern das höchste Leistungsniveau zur Verfügung zu stellen. Mehrere Zertifikate müssen für jede Gesamtstruktur verwaltet werden.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.