Sicherheitsnetz
Gilt für: Exchange Server 2013
In Microsoft Exchange Server 2013 ist die Datenbankverfügbarkeitsgruppe (DAG) der primäre Mechanismus der Hochverfügbarkeit von Postfächern. Weitere Informationen zu DAGs finden Sie unter Verwalten von Datenbankverfügbarkeitsgruppen. Der Transportdumpster wurde erstmals in Exchange 2007 eingeführt und in Exchange 2010 weiter verbessert, um redundante Kopien von Nachrichten bereitzustellen, nachdem sie erfolgreich an Postfächer in DAGs übermittelt wurden. In Exchange 2010 trug der Transportdumpster zum Schutz vor Datenverlust bei, indem eine Warteschlange erfolgreich übermittelter Nachrichten verwaltet wurde, die nicht in die passiven Postfachdatenbankkopien in der DAG repliziert wurden. Wenn ein Postfachdatenbank- oder Serverfehler die Heraufstufung einer veralteten Kopie der Postfachdatenbank erforderte, wurden die Nachrichten im Transportdumpster automatisch erneut an die neue aktive Kopie der Postfachdatenbank übermittelt.
Der Transportcontainer wurde in Exchange 2013 verbessert und heißt jetzt Safety Net.
So gleichen sich das Sicherheitsnetz und der Transportdumpster in Exchange 2010:
Das Sicherheitsnetz ist eine Warteschlange, die mit dem Transportdienst auf einem Postfachserver verbunden ist. In dieser Warteschlange werden Kopien von Nachrichten gespeichert, die vom Server erfolgreich verarbeitet wurden.
Sie können angeben, wie lange das Sicherheitsnetz Kopien der erfolgreich verarbeiteten Nachrichten speichert, bevor sie ablaufen und automatisch gelöscht werden. Der Standardwert beträgt 2 Tage.
So unterscheidet sich Safety Net in Exchange 2013:
Safety Net erfordert keine DAGs. Für Postfachserver, die nicht zu einem DAGs gehören, speichert Safety Net Kopien der übermittelten Nachrichten auf anderen Postfachservern am lokalen Active Directory-Standort.
Safety Net selbst ist jetzt redundant und ist kein Single Point of Failure mehr. Damit wird das Konzept des primären Sicherheitsnetzes und des Schattensicherheitsnetzes eingeführt. Wenn das primäre Sicherheitsnetz für mehr als 12 Stunden nicht verfügbar ist, werden Anforderungen zur Neuübermittlung zu Anforderungen zur Shadow-Neuübermittlung, und Nachrichten werden aus dem Shadow-Sicherheitsnetz erneut übermittelt.
Safety Net übernimmt eine gewisse Verantwortung aus schattenredundanz in DAG-Umgebungen. Schattenredundanz muss keine weitere Kopie der übermittelten Nachricht in einer Schattenwarteschlange aufbewahren, während sie darauf wartet, dass die zugestellte Nachricht in die passiven Kopien der Postfachdatenbank auf den anderen Postfachservern in der DAG repliziert wird. Die Kopie der übermittelten Nachricht ist bereits in Safety Net gespeichert, sodass die Nachricht bei Bedarf von Safety Net erneut übermittelt werden kann.
In Exchange 2013 ist die Hochverfügbarkeit des Transports mehr als nur ein bestmöglicher Versuch für Nachrichtenredundanz. Exchange 2013 versucht, Nachrichtenredundanz zu gewährleisten. Aus diesem Grund können Sie keine maximale Größenbeschränkung für Safety Net angeben. Sie können nur angeben, wie lange Safety Net Nachrichten speichert, bevor sie automatisch gelöscht werden.
Funktionsweise des Sicherheitsnetzes
Für die Shadow-Redundanz wird eine redundante Kopie der Nachricht gespeichert, während die Nachricht übertragen wird. Das Sicherheitsnetz bewahrt eine redundante Kopie einer Nachricht auf, nachdem die Nachricht erfolgreich verarbeitet wurde. Das Sicherheitsnetz setzt also da ein, wo die Shadow-Redundanz endet. Die gleichen Konzepte zur Schattenredundanz, einschließlich der Transportgrenze für Hochverfügbarkeit, primärer Nachrichten, primärer Server, Schattennachrichten und Schattenserver, gelten auch für Safety Net. Weitere Informationen finden Sie unter Shadow-Redundanz.
Das primäre Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die primäre Nachricht vorhanden war, bevor sie erfolgreich vom Transportdienst verarbeitet wurde. Dies kann bedeuten, dass die Nachricht an den Postfachtransportdienst auf dem Zielpostfachserver übermittelt wurde. Die Nachricht könnte aber auch über den Postfachserver an einem Active Directory-Standort weitergeleitet worden sein, der als Hubstandort auf dem Weg zur Ziel-DAG oder zum Active Directory-Standort vorgesehen ist. Nachdem der primäre Server die primäre Nachricht verarbeitet hat, wird die Nachricht aus der aktiven Warteschlange in das primäre Sicherheitsnetz auf demselben Server verschoben.
Das Shadow-Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die Shadow-Nachricht vorhanden war. Sobald der Shadow-Server ermittelt, dass der primäre Server die primäre Nachricht erfolgreich verarbeitet hat, verschiebt der Shadow-Server die Shadow-Nachricht aus der Shadow-Warteschlange in das Shadow-Sicherheitsnetz auf demselben Server. Obwohl es offensichtlich erscheinen mag, erfordert die Existenz des Shadow Safety Net die Aktivierung von Schattenredundanz, und Schattenredundanz ist in Exchange 2013 standardmäßig aktiviert.
Die von Safety Net verwendeten Parameter werden in der folgenden Tabelle beschrieben.
| Parameter | Standardwert | Beschreibung |
|---|---|---|
| SafetyNetHoldTime für Set-TransportConfig | 2 Tage | Die Zeit, für die erfolgreich verarbeitete primäre Nachrichten im primären Sicherheitsnetz und bestätigte Shadow-Nachrichten im Shadow-Sicherheitsnetz gespeichert werden. Sie können diesen Wert auch im Exchange Admin Center (EAC) unter Mail flow>Receive connectors>More options .gif) >Organization transport settings>Safety Net>Safety Net Net Haltezeit angeben. Nicht bekannte Schattennachrichten laufen schließlich nach der Summe von SafetyNetHoldTime und MessageExpirationTime auf Set-TransportService aus Shadow Safety Net ab. Um Datenverluste bei erneuten Safety Net-Übermittlungen zu vermeiden, muss der Wert von SafetyNetHoldTime größer oder gleich dem Wert von ReplayLagTime in Set-MailboxDatabaseCopy für die verzögerte Kopie der Postfachdatenbank sein. |
| ReplayLagTime für Set-MailboxDatabaseCopy | Nicht konfiguriert | Der Zeitraum, den der Microsoft Exchange-Replikationsdienst abwarten soll, bevor mit der Wiedergabe von Protokolldateien begonnen wird, die in die passive Datenbankkopie kopiert wurden. Wenn Sie diesen Parameter auf einen Wert größer als 0 festlegen, wird eine verzögerte Kopie der Postfachdatenbank erstellt. Der Höchstwert ist 14 Tage. Um Datenverluste bei erneuten Safety Net-Übermittlungen zu vermeiden, muss der Wert von ReplayLagTime kleiner oder gleich dem Wert von SafetyNetHoldTime in Set-TransportConfig für die verzögerte Kopie der Postfachdatenbank sein. |
| MessageExpirationTimeout für Set-TransportService | 2 Tage | Gibt an, wie lange eine Nachricht in einer Warteschlange verbleiben kann, bevor sie abläuft. |
| ShadowRedundancyEnabled für Set-TransportConfig | $true |
Für ein redundantes Sicherheitsnetz muss Schattenredundanz aktiviert sein. |
Erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz
Nachrichtenweitersendungen aus Safety Net werden von der Active Manager-Komponente des Microsoft Exchange-Replikationsdiensts initiiert, der DAGs und Postfachdatenbankkopien verwaltet. Zum erneuten Übermitteln von Nachrichten aus Safety Net sind keine manuellen Aktionen erforderlich. Weitere Informationen zu Active Manager finden Sie in Active Manager.
Es gibt zwei grundlegende Szenarien für die erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz:
- Nach dem automatischen oder manuellen Failover einer Postfachdatenbank in einer DAG.
- Nachdem Sie eine verzögerte Kopie einer Postfachdatenbank aktiviert haben.
Eine verzögerte Postfachdatenbankkopie oder verzögerte Kopie ist eine passive Kopie einer Postfachdatenbank, bei der Aktualisierungen der Datenbank absichtlich verzögert werden, um einen Schutz vor logischer Beschädigung der Datenbank zu bieten. Weitere Informationen finden Sie unter Verwalten von Postfachdatenbankkopien.
Der einzige signifikante Unterschied zwischen den beiden Szenarien ist der Zeitraum, für den Nachrichten aus dem Sicherheitsnetz erneut übermittelt werden. Für ein Failover in einer DAG liegt die neue aktive Kopie der Postfachdatenbank in der Regel mehrere Minuten bis mehrere Stunden hinter der alten aktiven Kopie. Eine verzögerte Kopie einer Postfachdatenbank ist meist mehrere Tage älter als die alte aktive Kopie.
Die Hauptanforderung für eine erfolgreiche erneute Übermittlung von Safety Net für eine verzögerte Kopie ist die Zeitspanne, die nachrichten in Safety Net gespeichert werden, muss größer oder gleich der Verzögerungszeit der verzögerten Kopie der Postfachdatenbank sein. Anders ausgedrückt, muss der Wert von SafetyNetHoldTime für Set-TransportConfig größer oder gleich dem Wert von ReplayLagTime für Set-MailboxDatabaseCopy für die verzögerte Kopie sein.
Erneute Übermittlung von Nachrichten aus dem Shadow-Sicherheitsnetz
Wie die erneute Übermittlung von Nachrichten aus dem primären Sicherheitsnetz sind nachrichtenweitere Übermittlungen aus Shadow Safety Net vollständig automatisiert und erfordern keinen manuellen Eingriff.
Wenn der Active Manager die erneute Übermittlung von Nachrichten von Safety Net über einen bestimmten Zeitraum anfordert, geht die Anforderung an den Transportdienst auf den Postfachservern, auf denen Primary Safety Net die Nachrichtenkopien für den erforderlichen Zeitraum vorhält. In großen Exchange-Organisationen ist es wahrscheinlich, dass die erforderlichen Nachrichten in Safety Net auf mehreren Postfachservern vorhanden sind, insbesondere wenn der erforderliche Zeitraum groß ist.
Ohne Optimierung würde das erneute Übermitteln von Nachrichten aus Safety Net zu einer potenziell großen Anzahl doppelter Lieferungen führen. Doppelte Zustellungen innerhalb der Exchange-Organisation stellen kein Problem dar, da die Erkennung doppelter Nachrichten verhindert, dass Postfachbenutzer doppelte Kopien einer Nachricht sehen. Doppelte Nachrichtenübermittlungen an Empfänger außerhalb der Exchange-Organisation führen jedoch zu doppelten Kopien von Nachrichten. Glücklicherweise wurde die erneute Übermittlung von Nachrichten aus Safety Net in Exchange 2013 optimiert, um doppelte Nachrichtenübermittlungen zu reduzieren.
Wenn das primäre Sicherheitsnetz anfänglich nicht mehr reagiert oder während der erneuten Übermittlung der Nachricht nicht mehr reagiert, versucht Active Manager, es 12 Stunden lang zu kontaktieren, bevor er aufgibt. Nach 12 Stunden wird eine Übertragung an den Transportdienst auf allen Postfachservern in der Transport-Hochverfügbarkeitsgrenze gesendet, in der eine erneute Übermittlung der Nachricht von Safety Net für das erforderliche Zeitintervall für die erforderliche Postfachdatenbank angefordert wird. Wenn ein Shadow Safety Net antwortet, sendet es die Nachrichten für die erforderliche Postfachdatenbank nur während des erforderlichen Zeitintervalls erneut.
Es gibt einige wichtige Überlegungen für die schattenmeldungen, die in Shadow Safety Net gespeichert sind:
Im Shadow-Sicherheitsnetz gibt es keine Angabe dazu, wohin der primäre Server die primäre Nachricht übertragen hat.
Die Schattennachrichten in Shadow Safety Net enthalten nur ursprüngliche Nachrichtenumschlagempfänger, nicht die tatsächlichen Empfänger, in denen die primäre Nachricht zugestellt wurde. Der Empfänger des Nachrichtenumschlags kann z. B. eine Verteilergruppe sein, die eine Erweiterung erfordert.
Die Nachrichten im Schattensicherheitsnetz verfügen nicht über nachrichtenaktualisierungen, die nach der Verarbeitung der Nachricht durch den primären Server aufgetreten sind. Beispiel: Nachrichtencodierung oder Inhaltskonvertierung.
Schattennachrichten, die von Shadow Safety Net erneut übermittelt werden, erfordern eine vollständige Kategorisierung und Verarbeitung über den Transportdienst auf dem Postfachserver. Die erneute Übermittlung einer großen Anzahl von Schattennachrichten aus Shadow Safety Net kann in Bezug auf Postfachserverressourcen teuer sein. Glücklicherweise ist auch die erneute Übermittlung von Schattennachrichten aus Shadow Safety Net optimiert, sodass nur Nachrichten im Shadow Safety Net für das angeforderte Zeitintervall und die angeforderte Postfachdatenbank erneut übermittelt werden.
Die Interaktion zwischen primärem Sicherheitsnetz und Schattensicherheitsnetz während der erneuten Übermittlung von Nachrichten wird im folgenden Szenario beschrieben.
Active Manager fordert eine erneute Übermittlung von Nachrichten von Safety Net für eine Postfachdatenbank für das Zeitintervall 5:00 bis 9:00 An. Der Postfachserver mit dem primären Sicherheitsnetz ist jedoch aufgrund eines Hardwareausfalls abgestürzt. Active Manager versucht 12 Stunden lang wiederholt, das primäre Sicherheitsnetz zu kontaktieren.
Nach 12 Stunden sendet Active Manager eine Broadcastnachricht an den Transportdienst auf allen Postfachservern in der Hochverfügbarkeitsgrenze des Transports, um nach anderen Safety Nets zu suchen, die Nachrichten für die Zielpostfachdatenbank für das Zeitintervall von 5:00 bis 9:00 Uhr enthalten. Die Shadow Safety Net-Antworten senden Nachrichten für die Postfachdatenbank für das Zeitintervall 5:00 bis 9:00 erneut.
Eine interessante Interaktion tritt auf, wenn das primäre Sicherheitsnetz während eines Teils des angeforderten Intervalls für die erneute Übermittlung offline war, wie im folgenden Szenario beschrieben.
Die Warteschlangendatenbank auf dem Postfachserver, die das primäre Sicherheitsnetz enthält, ist beschädigt, und um 7:00 Uhr wird eine neue Warteschlangendatenbank erstellt. Alle primären Nachrichten, die im primären Sicherheitsnetz von 1:00 Uhr bis 7:00 Uhr gespeichert wurden, sind verloren, aber der Server kann Kopien erfolgreich an das Sicherheitsnetz zugestellter Nachrichten ab 7:00 Uhr speichern.
Active Manager fordert eine erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz für eine Postfachdatenbank für den Zeitraum von 1:00 bis 9:00 Uhr an.
Das primäre Sicherheitsnetz übermittelt die Nachrichten für den Zeitraum von 7:00 bis 9:00 Uhr erneut.
Das primäre Sicherheitsnetz sendet eine Broadcastnachricht an den Transportdienst auf allen Postfachservern in der Hochverfügbarkeitsgrenze für den Transport, um nach anderen Safety Nets zu suchen, die Nachrichten für die Zielpostfachdatenbank für das Zeitintervall 1:00 bis 7:00 Uhr enthalten, für das das primäre Sicherheitsnetz keine Nachricht enthält. Das Shadow Safety Net generiert im Auftrag des primären Sicherheitsnetzes eine zweite Anforderung zum erneuten Übermitteln der Schattennachrichten für die Zielpostfachdatenbank für das Zeitintervall 1:00 bis 7:00 Uhr.
Es gibt noch einige andere Probleme, die zu berücksichtigen sind, wenn Nachrichten von Safety Net erneut übermittelt werden.
Alle Übermittlungsstatusbenachrichtigungen (DSNs) und Non-Delivery Reports (NDRs) werden für Safety Net-Erneutübermittlungen unterdrückt. Wenn beispielsweise die primäre Nachricht zu einem NDR geführt hat, wird der NDR der erneut übermittelten Nachricht nicht zugestellt.
Benutzer, die aus einer Verteilergruppe entfernt wurden, erhalten möglicherweise keine erneut gesendete Nachricht, wenn das Shadow Safety Net die Nachricht erneut übermittelt. Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger empfangen die Nachricht. Benutzer B wird anschließend aus der Gruppe entfernt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank erstellt, die das Postfach von Benutzer B enthält. Das primäre Sicherheitsnetz ist jedoch länger als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffene Nachricht erneut übermittelt. Während der erneuten Übermittlung, wenn die Verteilergruppe erweitert wird, ist Benutzer B kein Mitglied der Gruppe und erhält keine Kopie der erneut gesendeten Nachricht.
Neue Benutzer, die einer Verteilergruppe hinzugefügt wurden, erhalten möglicherweise eine alte, erneut gesendete Nachricht, wenn das Shadow Safety Net die Nachricht erneut übermittelt. Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger empfangen die Nachricht. Benutzer C wird anschließend der Gruppe hinzugefügt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank erstellt, die das Postfach von Benutzer C enthält. Der Primary Safety Net-Server ist jedoch länger als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffenen Nachrichten erneut übermittelt. Während der erneuten Übermittlung, wenn die Verteilergruppe erweitert wird, ist Benutzer C Mitglied der Gruppe und erhält eine Kopie der erneut gesendeten Nachricht.