Safety Net in Exchange Server
In Exchange 2010 trug der Transportdumpster zum Schutz vor Datenverlust bei, indem eine Warteschlange erfolgreich übermittelter Nachrichten verwaltet wurde, die nicht in die passiven Postfachdatenbankkopien in der Datenbankverfügbarkeitsgruppe (DAG) repliziert wurden. Wenn ein Postfachdatenbank- oder Serverfehler die Heraufstufung einer veralteten Kopie der Postfachdatenbank erforderte, wurden die Nachrichten im Transportdumpster automatisch erneut an die neue aktive Kopie der Postfachdatenbank übermittelt.
Der Transportcontainer wurde in Exchange 2013 verbessert und heißt jetzt Safety Net. Exchange 2016 und Exchange 2019 weisen diese Verbesserungen auf.
So gleichen sich das Sicherheitsnetz und der Transportdumpster in Exchange 2010:
Das Sicherheitsnetz ist eine Warteschlange, die mit dem Transportdienst auf einem Postfachserver verbunden ist. In dieser Warteschlange werden Kopien von Nachrichten gespeichert, die vom Server erfolgreich verarbeitet wurden.
Sie können angeben, wie lange das Sicherheitsnetz Kopien der erfolgreich verarbeiteten Nachrichten speichert, bevor sie ablaufen und automatisch gelöscht werden. Der Standardwert beträgt 2 Tage.
Dies sind die Verbesserung des Sicherheitsnetzes im Vergleich zum Transportdumpster in Exchange 2010:
Safety Net erfordert keine DAG: Für Postfachserver, die nicht zu einer DAG gehören, speichert Safety Net Kopien der übermittelten Nachrichten auf anderen Postfachservern am lokalen Active Directory-Standort.
Safety Net selbst ist kein Single Point of Failure: Redundanz wird durch die Verwendung eines primären Sicherheitsnetzes und eines Schattensicherheitsnetzes bereitgestellt. Wenn das primäre Sicherheitsnetz für mehr als 12 Stunden nicht verfügbar ist, werden Anforderungen zur Neuübermittlung zu Anforderungen zur Shadow-Neuübermittlung, und Nachrichten werden aus dem Shadow-Sicherheitsnetz erneut übermittelt.
Safety Net übernimmt eine gewisse Verantwortung für Schattenredundanz in DAG-Umgebungen: Schattenredundanz muss keine weitere Kopie der übermittelten Nachricht in einer Schattenwarteschlange aufbewahren, während sie darauf wartet, dass die zugestellte Nachricht in die passiven Kopien der Postfachdatenbank repliziert wird. Die Kopie der übermittelten Nachricht ist bereits in Safety Net gespeichert, sodass die Nachricht bei Bedarf von Safety Net erneut übermittelt werden kann.
Safety Net versucht, Nachrichtenredundanz zu gewährleisten: Safety Net ist mehr als nur eine bestmögliche Leistung für Nachrichtenredundanz, sodass Sie keine maximale Größenbeschränkung für Safety Net angeben können. Sie können nur angeben, wie lange Safety Net Nachrichten speichert, bevor sie automatisch gelöscht werden.
Weitere Informationen zu Hochverfügbarkeitsfeatures für den Transport in Exchange Server finden Sie unter Transport von Hochverfügbarkeit in Exchange Server. Weitere Informationen zur Nachrichtenredundanz für Nachrichten während der Übertragung finden Sie unter Schattenredundanz in Exchange Server.
Funktionsweise des Sicherheitsnetzes
Für die Shadow-Redundanz wird eine redundante Kopie der Nachricht gespeichert, während die Nachricht übertragen wird. Das Sicherheitsnetz bewahrt eine redundante Kopie einer Nachricht auf, nachdem die Nachricht erfolgreich verarbeitet wurde. Das Sicherheitsnetz setzt also da ein, wo die Shadow-Redundanz endet. Konzepte im Zusammenhang mit Shadow-Redundanz, einschließlich der Grenzen für hohe Transportverfügbarkeit, primäre Nachrichten, primäre Server, Shadow-Nachrichten und Shadow-Server, gelten auch für das Sicherheitsnetz. Weitere Informationen finden Sie unter Schattenredundanz in Exchange Server.
Das primäre Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die primäre Nachricht vorhanden war, bevor sie erfolgreich vom Transportdienst verarbeitet wurde. Dies könnte bedeuten, dass die Nachricht an den Postfachtransport-Übermittlungsdienst auf dem Zielpostfachserver zugestellt wurde. Die Nachricht könnte aber auch über den Postfachserver an einem Active Directory-Standort weitergeleitet worden sein, der als Hubstandort auf dem Weg zur Ziel-DAG oder zum Active Directory-Standort vorgesehen ist. Nachdem der primäre Server die primäre Nachricht verarbeitet hat, wird die Nachricht von der aktiven Warteschlange in das primäre Sicherheitsnetz auf demselben Server verschoben.
Das Shadow-Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die Shadow-Nachricht vorhanden war. Sobald der Shadow-Server ermittelt, dass der primäre Server die primäre Nachricht erfolgreich verarbeitet hat, verschiebt der Shadow-Server die Shadow-Nachricht aus der Shadow-Warteschlange in das Shadow-Sicherheitsnetz auf demselben Server. Es liegt nahe, dass für das Vorhandensein des Shadow-Sicherheitsnetzes die Shadow-Redundanz aktiviert sein muss (Shadow-Redundanz ist standardmäßig aktiviert).
Diese Tabelle beschreibt die Parameter, die vom Sicherheitsnetz verwendet werden.
| Parameter | Standardwert | Beschreibung |
|---|---|---|
| SafetyNetHoldTime für Set-TransportConfig | 2 Tage | Die Zeit, für die erfolgreich verarbeitete primäre Nachrichten im primären Sicherheitsnetz und bestätigte Shadow-Nachrichten im Shadow-Sicherheitsnetz gespeichert werden. Sie können diesen Wert auch im Exchange Admin Center (EAC) unter Nachrichtenfluss>Empfangen von Connectors>Weitere Optionen Nicht bekannte Schattennachrichten laufen schließlich nach der Summe der Parameterwerte SafetyNetHoldTime und MessageExpirationTime vom Shadow Safety Net ab. Um Datenverluste bei erneuten Safety Net-Übermittlungen zu vermeiden, muss der Wert dieses Parameters größer oder gleich dem Wert von ReplayLagTime in Set-MailboxDatabaseCopy für die verzögerte Kopie der Postfachdatenbank sein. |
| ReplayLagTime für Set-MailboxDatabaseCopy | Nicht konfiguriert | Der Zeitraum, den der Microsoft Exchange-Replikationsdienst abwarten soll, bevor mit der Wiedergabe von Protokolldateien begonnen wird, die in die passive Datenbankkopie kopiert wurden. Wenn Sie diesen Parameter auf einen Wert größer als 0 festlegen, wird eine verzögerte Kopie der Postfachdatenbank erstellt. Der Höchstwert ist 14 Tage. Um Datenverluste bei erneuten Safety Net-Übermittlungen zu vermeiden, muss der Wert dieses Parameters für die verzögerte Kopie der Postfachdatenbank kleiner oder gleich dem Wert von SafetyNetHoldTime in Set-TransportConfig sein. |
| MessageExpirationTimeout für Set-TransportService | 2 Tage | Gibt an, wie lange eine Nachricht in einer Warteschlange verbleiben kann, bevor sie abläuft. |
| ShadowRedundancyEnabled für Set-TransportConfig | $true |
$true: Schattenredundanz ist auf allen Postfachservern in der Organisation aktiviert. Für Redundanz beim Sicherheitsnetz muss Shadow-Redundanz aktiviert sein. |
>Organisationstransporteinstellungen>Sicherheitsnetz>Safety Net-Haltezeit. Maximale unterstützte Safety Net-Größen
In Microsoft Exchange Server 2019 und 2016 beträgt die maximal unterstützte Datenbankgröße für die Transport Safety Net JET-Datenbank 2 TB.
Wenn eine Hub-and-Spoke-Topologie verwendet wird, kann die Transport Safety Net JET-Datenbank über 2 TB hinaus wachsen. Befolgen Sie die folgenden Richtlinien, um den unterstützten Grenzwert von 2 TB einzuhalten:
Hubserver, die für das Nachrichtenrelay verwendet werden, können nicht für die Übermittlung von Nachrichten an Postfächer konfiguriert werden.
Deaktivieren Sie Safety Net auf Hubservern, die für das Nachrichtenrelay verwendet werden. Gehen Sie dazu wie folgt vor:
Öffnen Sie in einem Eingabeaufforderungsfenster die EdgeTransport.exe.config Datei im Editor , indem Sie den folgenden Befehl auf dem Server ausführen:
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.configFügen Sie im Abschnitt appSettings den folgenden Schlüssel hinzu.
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />Speichern und schließen Sie die Datei „EdgeTransport.exe.config" nach Abschluss des Vorgangs.
Starten Sie den Exchange-Transport-Dienst erneut, indem Sie den folgenden Befehl ausführen:
net stop MSExchangeTransport && net start MSExchangeTransport
Erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz
Die Active Manager-Komponente des Microsoft Exchange-Replikationsdiensts (MSExchangeRepl.exe) verwaltet DAGs und Postfachdatenbankkopien. Nachrichtenweitersendungen von Safety Net erfordern keine manuellen Aktionen und werden vom Active Manager initiiert. Weitere Informationen zu Active Manager finden Sie in Active Manager.
Es gibt zwei grundlegende Szenarien für die erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz:
Nach dem automatischen oder manuellen Failover einer Postfachdatenbank in einer DAG.
Nachdem Sie eine verzögerte Kopie einer Postfachdatenbank aktivieren.
Eine verzögerte Postfachdatenbankkopie oder verzögerte Kopie ist eine passive Kopie einer Postfachdatenbank, bei der Aktualisierungen der Datenbank absichtlich verzögert werden, um einen Schutz vor logischer Beschädigung der Datenbank zu bieten. Weitere Informationen finden Sie unter Verwalten von Postfachdatenbankkopien.
Der einzige signifikante Unterschied zwischen den beiden Szenarien ist der Zeitraum, für den Nachrichten aus dem Sicherheitsnetz erneut übermittelt werden. Bei einem Datenbank-Failover in einer DAG ist die neue aktive Kopie üblicherweise wenige Minuten bis einige Stunden älter als die alte aktive Kopie. Eine verzögerte Kopie einer Postfachdatenbank ist meist mehrere Tage älter als die alte aktive Kopie.
Bei einer verzögerten Kopie ist die wichtigste Anforderung für eine erfolgreiche erneute Übermittlung einer Nachricht aus dem Sicherheitsnetz, dass die Dauer, für die Nachrichten im Sicherheitsnetz gespeichert sind, größer oder gleich der Verzögerung der verzögerten Kopie sein muss. Anders ausgedrückt, muss der Wert von SafetyNetHoldTime für Set-TransportConfig größer oder gleich dem Wert von ReplayLagTime für Set-MailboxDatabaseCopy für die verzögerte Kopie sein.
Erneute Übermittlung von Nachrichten aus dem Shadow-Sicherheitsnetz
Die erneute Übermittlung von Nachrichten aus Shadow Safety Net (z. B. die erneute Übermittlung von Nachrichten aus dem primären Sicherheitsnetz) erfolgt vollständig automatisiert und erfordert keinen manuellen Eingriff. In diesem Szenario wird die Interaktion zwischen primärem Sicherheitsnetz und Schattensicherheitsnetz während der erneuten Übermittlung von Nachrichten beschrieben:
Active Manager fordert die erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz für eine Postfachdatenbank für einen bestimmten Zeitraum (zum Beispiel von 05:00 bis 9:00 Uhr) an. Der Postfachserver mit dem primären Sicherheitsnetz ist jedoch aufgrund eines Hardwareausfalls abgestürzt. Active Manager versucht für die nächsten 12 Stunden ohne Erfolg, Kontakt mit dem primären Sicherheitsnetz aufzunehmen.
Nach 12 Stunden sendet Active Manger eine Nachricht an den Transportdienst auf allen Postfachservern innerhalb der Grenzen für hohe Transportverfügbarkeit (DAG oder Active Directory-Standort in Umgebungen ohne DAG), um ein anderes Sicherheitsnetz zu finden, das die Nachrichten für die Zielpostfachdatenbank für den angegebenen Zeitraum enthält. Das Shadow-Sicherheitsnetz reagiert und sendet Nachrichten für die Postfachdatenbank für den Zeitraum von 5:00 bis 9:00 Uhr erneut.
Wenn ein Shadow-Sicherheitsnetz reagiert, werden nur die Nachrichten für die erforderliche Postfachdatenbank für den erforderlichen Zeitraum erneut übermittelt. Diese Einschränkung von Postfachdatenbank und Zeitraum hilft Ihnen dabei, diese potenziellen Probleme zu reduzieren:
Beim erneuten Senden von Nachrichten aus dem Sicherheitsnetz kann es zu doppelten Übermittlungen kommen. Für Postfächer in der Exchange-Organisation ist dies kein Problem, da die Erkennung doppelter Nachrichten verhindert, dass Postfachbenutzer die doppelten Nachrichten angezeigt bekommen. Die doppelte Nachrichtenübermittlung an externe Empfänger kann jedoch dazu führen, dass dem Empfänger doppelte Kopien von Nachrichten angezeigt werden.
Aus dem Shadow-Sicherheitsnetz erneut übermittelte Shadow-Nachrichten müssen durch den Transportdienst auf dem Postfachserver vollständig kategorisiert und verarbeitet werden. Die erneute Übermittlung einer großen Anzahl von Shadow-Nachrichten kann die Systemressourcen des Postfachservers stark beanspruchen.
Es gibt einige wichtige Überlegungen für die Shadow-Nachrichten, die im Shadow-Sicherheitsnetz gespeichert werden:
Im Shadow-Sicherheitsnetz gibt es keine Angabe dazu, wohin der primäre Server die primäre Nachricht übertragen hat.
Die Shadow-Nachrichten im Shadow-Sicherheitsnetz enthalten nur die ursprünglichen Empfänger im Nachrichtenumschlag, nicht die tatsächlichen Empfänger, an die die primäre Nachricht zugestellt wurde. Der Empfänger im Nachrichtenumschlag kann beispielsweise eine Verteilergruppe sein, die erweitert werden muss.
Die Nachrichten im Shadow-Sicherheitsnetz enthalten keine Aktualisierungen der Nachrichten, die nach der Verarbeitung der Nachrichten auf dem primären Server vorgenommen wurden (zum Beispiel Nachrichtencodierung oder Inhaltskonvertierung).
Dieses Szenario beschreibt, was passiert, wenn das primäre Sicherheitsnetz während eines Teils des angeforderten Zeitraums für das erneute Senden offline ist:
Die Warteschlangendatenbank auf dem Postfachserver mit dem primären Sicherheitsnetz ist beschädigt, und eine neue Warteschlangendatenbank wird um 7:00 Uhr erstellt. Alle primären Nachrichten, die im primären Sicherheitsnetz von 1:00 Uhr bis 7:00 Uhr gespeichert wurden, sind verloren, aber der Server kann Kopien erfolgreich an das Sicherheitsnetz zugestellter Nachrichten ab 7:00 Uhr speichern.
Active Manager fordert eine erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz für eine Postfachdatenbank für den Zeitraum von 1:00 bis 9:00 Uhr an.
Das primäre Sicherheitsnetz übermittelt die Nachrichten für den Zeitraum von 7:00 bis 9:00 Uhr erneut.
Da das primäre Sicherheitsnetz nicht über die erforderlichen Nachrichten für 1:00 bis 7:00 verfügt. Das primäre Sicherheitsnetz sendet eine Broadcastnachricht an den Transportdienst auf allen Postfachservern in der Hochverfügbarkeitsgrenze des Transports, um nach anderen Sicherheitsnetzen zu suchen, die die erforderlichen Nachrichten enthalten. Das Shadow Safety Net generiert eine zweite Anforderung zum erneuten Übermitteln im Namen des primären Sicherheitsnetzes, um die Schattennachrichten für die Zielpostfachdatenbank für das Zeitintervall 1:00 bis 7:00 erneut zu übermitteln.
Sie müssen einige weitere Probleme bedenken, wenn Nachrichten aus dem Sicherheitsnetz erneut übermittelt werden:
Alle Übermittlungsstatusbenachrichtigungen (auch bekannt als DSNs, Nichtzustellbarkeitsberichte, NDRs oder Unzustellbarkeitsnachrichten) werden für erneute Übermittlungen von Safety Net-Nachrichten unterdrückt: Wenn z. B. die primäre Nachricht zu einem NDR geführt hat, wird der NDR für die erneut übermittelte Nachricht nicht zugestellt.
Benutzer, die aus einer Verteilergruppe entfernt wurden, erhalten möglicherweise keine erneut gesendete Nachricht, wenn das Shadow Safety Net die Nachricht erneut übermittelt: Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger erhalten die Nachricht. Benutzer B wird anschließend aus der Gruppe entfernt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank erstellt, die das Postfach von Benutzer B enthält. Das primäre Sicherheitsnetz ist jedoch länger als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffene Nachricht erneut übermittelt. Während der erneuten Übermittlung von Nachrichten, wenn die Verteilergruppe erweitert wird, ist Benutzer B kein Mitglied der Gruppe mehr und erhält keine Kopie der erneut gesendeten Nachricht.
Neue Benutzer, die einer Verteilergruppe hinzugefügt wurden, erhalten möglicherweise eine alte, erneut übermittelte Nachricht, wenn das Shadow Safety Net die Nachricht erneut übermittelt: Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger erhalten die Nachricht. Benutzer C wird anschließend der Gruppe hinzugefügt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank erstellt, die das Postfach von Benutzer C enthält. Der Primary Safety Net-Server ist jedoch länger als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffenen Nachrichten erneut übermittelt. Während der erneuten Übermittlung der Nachricht, wenn die Verteilergruppe erweitert wird, ist Benutzer C jetzt Mitglied der Gruppe und erhält eine Kopie der erneut gesendeten Nachricht.
Bereitstellen von Safety Net in der Hub-and-Spoke-Topologie: Safety Net wurde entwickelt, um die Nachrichtenübermittlung auf Exchange-Servern zu schützen, die Endbenutzerpostfächer hosten. Kunden, die eine Hub-and-Spoke-Routingtopologie bereitgestellt haben, sollten Safety Net auf Transportservern an Hubstandorten deaktivieren, um ein großes Wachstum der Transportdatenbank an Hubstandorten zu vermeiden.