Red de seguridad en Exchange Server
En Exchange 2010, el volcado de memoria de transporte ayudó a protegerse contra la pérdida de datos al mantener una cola de mensajes entregados correctamente que no se habían replicado en las copias de la base de datos de buzones pasivos en el grupo de disponibilidad de base de datos (DAG). Cuando un error de servidor o base de datos de buzones de correo requirió la promoción de una copia desactualizada de la base de datos de buzones de correo, los mensajes en el contenedor de transporte se reenviaron automáticamente a la nueva copia activa de la base de datos de buzones de correo.
El contenedor de transporte se mejoró en Exchange 2013 y ahora se denomina Red de seguridad. Exchange 2016 y Exchange 2019 tienen estas mismas mejoras.
Vea de qué manera la red de seguridad es similar al contenedor de transporte en Exchange 2010:
La red de seguridad es una cola asociada con el servicio de transporte en un servidor de buzones de correo. Esta cola almacena copias de mensajes correctamente procesados por el servidor.
Puede especificar durante cuánto tiempo la red de seguridad almacenará las copias de los mensajes correctamente procesados antes de que caduquen y se eliminen automáticamente. El valor predeterminado es 2 días.
A continuación se muestra cómo se mejora Safety Net desde el contenedor de transporte en Exchange 2010:
La red de seguridad no requiere un DAG: para los servidores de buzones de correo que no pertenecen a un DAG, Safety Net almacena copias de los mensajes entregados en otros servidores de buzones en el sitio local de Active Directory.
La red de seguridad en sí no es un único punto de error: la redundancia se proporciona mediante una red de seguridad principal y una red de seguridad de sombras. Si la red de seguridad principal no está disponible durante más de 12 horas, las solicitudes de reenvío se convierten en solicitudes de reenvío de instantáneas, y los mensajes se vuelven a entregar desde la red de seguridad de instantáneas.
Safety Net asume alguna responsabilidad de la redundancia de sombra en entornos de DAG: la redundancia de sombra no necesita mantener otra copia del mensaje entregado en una cola instantánea mientras espera a que el mensaje entregado se replique en las copias pasivas de la base de datos de buzones. La copia del mensaje entregado ya está almacenada en la red de seguridad, así que el mensaje se puede reenviar desde la red de seguridad, si es necesario.
Safety Net intenta garantizar la redundancia de mensajes: Safety Net es más que un esfuerzo óptimo para la redundancia de mensajes, por lo que no puede especificar un límite de tamaño máximo para Safety Net. Solo se puede especificar durante cuánto tiempo la red de seguridad almacenará los mensajes antes de que se eliminen automáticamente.
Para obtener más información sobre las características de alta disponibilidad de transporte en Exchange Server, consulte Alta disponibilidad de transporte en Exchange Server. Para obtener más información sobre la redundancia de mensajes para los mensajes en tránsito, consulte Redundancia de sombras en Exchange Server.
Cómo funciona la red de seguridad
La redundancia de instantáneas mantiene una copia redundante del mensaje mientras este está en tránsito. La red de seguridad mantiene una copia redundante del mensaje luego de que dicho mensaje es correctamente procesado. Por lo tanto, la red de seguridad comienza donde termina la redundancia de instantáneas. Los conceptos de redundancia de sombra, incluidos el límite de alta disponibilidad de transporte, los mensajes principales, los servidores principales, los mensajes de sombra y los servidores alternativos también se aplican a Safety Net. Para obtener más información, vea Redundancia de sombras en Exchange Server.
La red de seguridad principal existe en el servidor de buzones de correo que retuvo el mensaje principal antes de que el servicio de transporte procesara correctamente dicho mensaje. Esto podría significar que el mensaje se entregó al servicio de entrega de transporte de buzón en el servidor de buzón de destino. Otra alternativa es que el mensaje podría haber sido retransmitido mediante el servidor de buzones de correo en un sitio de Active Directory designado como sitio de concentradores en el camino hacia el DAG de destino o al sitio de Active Directory. Una vez que el servidor principal procesa el mensaje principal, el mensaje se mueve de la cola de entrega activa a la red de seguridad principal del mismo servidor.
La red de seguridad de instantáneas existe en el servidor de buzones de correo que retuvo el mensaje de instantáneas. Después de que el servidor de instantáneas determina que el servidor principal procesó correctamente el mensaje principal, el servidor de instantáneas mueve el mensaje de instantáneas de la cola de instantáneas a la red de seguridad de instantáneas en el mismo servidor. Aunque puede parecer obvio, la existencia de Shadow Safety Net requiere que se habilite la redundancia de sombra (está habilitada de forma predeterminada).
En esta tabla se describen los parámetros que usa Safety Net.
| Parámetro | Valor predeterminado | Descripción |
|---|---|---|
| SafetyNetHoldTime en Set-TransportConfig | 2 días | El tiempo que los mensajes principales correctamente procesados se almacenan en la red de seguridad principal y que los mensajes de instantáneas reconocidos se almacenan en la red de seguridad de instantáneas. También puede especificar este valor en el Centro de administración de Exchange (EAC) enconectores> de recepción de flujo> de correoIcono Más opciones Más opciones Los mensajes alternativos no reconocidos finalmente expiran de Shadow Safety Net después de la suma de los valores de los parámetros SafetyNetHoldTime y MessageExpirationTimeout . Para evitar la pérdida de datos durante las reenviaciones de Safety Net, el valor de este parámetro debe ser mayor o igual que el valor de ReplayLagTime en Set-MailboxDatabaseCopy para la copia retrasada de la base de datos de buzón de correo. |
| ReplayLagTime en Set-MailboxDatabaseCopy | No configurado | La cantidad de tiempo que el servicio de replicación de Microsoft Exchange debe esperar antes de reproducir los archivos de registro que se copiaron en la copia de la base de datos pasiva. Si se establece este parámetro en un valor mayor que 0, se crea una copia retrasada de la base de datos de buzones de correo. El valor máximo es 14 días. Para evitar la pérdida de datos durante las reenviaciones de Safety Net, el valor de este parámetro para la copia retrasada de la base de datos de buzón de correo debe ser menor o igual que el valor de SafetyNetHoldTime en Set-TransportConfig. |
| MessageExpirationTimeout en Set-TransportService | 2 días | Tiempo que un mensaje puede permanecer en una cola antes de que caduque. |
| ShadowRedundancyEnabled en Set-TransportConfig | $true |
$true: la redundancia de sombra está habilitada en todos los servidores de buzones de la organización. La redundancia de Safety Net requiere que se habilite la redundancia de sombra. |
>Configuración de transporte de la organización>Red> de seguridad Tiempo de espera de la red de seguridad. Tamaños máximos admitidos de Safety Net
En Microsoft Exchange Server 2019 y 2016, el tamaño máximo de base de datos admitido para la base de datos jet de safety net de transporte es de 2 TB.
Cuando se usa una topología en estrella tipo hub-and-spoke, la base de datos JET de Safety Net de transporte puede crecer más de 2 TB. Para mantenerse dentro del límite admitido de 2 TB, siga estas directrices:
Los servidores concentradores que se usan para la retransmisión de mensajes no se pueden configurar para entregar mensajes a buzones de correo.
Deshabilite Safety Net en los servidores concentradores que se usan para la retransmisión de mensajes. Para ello, siga estos pasos:
En una ventana del símbolo del sistema, abra el archivo EdgeTransport.exe.config en el Bloc de notas ejecutando el siguiente comando en el servidor:
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.configAgregue la siguiente clave en la sección appSettings .
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />Cuando haya terminado, guarde y cierre el archivo EdgeTransport.exe.config.
Reinicie el servicio de transporte de Exchange ejecutando el siguiente comando:
net stop MSExchangeTransport && net start MSExchangeTransport
Reenvío de mensajes desde la red de seguridad
El componente Active Manager del servicio de replicación de Microsoft Exchange (MSExchangeRepl.exe) administra los DAG y las copias de la base de datos de buzones. Las reenviaciones de mensajes de Safety Net no requieren ninguna acción manual y las inicia Active Manager. Para obtener más información acerca de Active Manager, consulte Active Manager.
Hay dos situaciones básicas de reenvío de mensajes de la red de seguridad:
Después de la conmutación por error automática o manual de una base de datos de buzones de correo en un DAG.
Después de activar una copia retrasada de una base de datos de buzón de correo.
Una copia retrasada de la base de datos de buzones de correo o copia retrasada es una copia pasiva de una base de datos de buzones de correo donde las actualizaciones en la base de datos se demoran intencionalmente para proteger contra el daño lógico de la base de datos de buzones de correo. Para obtener más información, vea Administrar copias de base de datos de buzones de correo.
La única diferencia significativa entre las dos situaciones es qué tan lejos en el tiempo ir para reenviar mensajes desde la red de seguridad. Normalmente, para la conmutación por error de base de datos en un DAG, la nueva copia activa de la base de datos de buzón de correo está en cualquier lugar de varios minutos a varias horas detrás de la copia activa anterior. Una copia retrasada de una base de datos de buzones de correo es, por lo general, varios días anterior a la copia activa más antigua.
El requisito principal para la retransmisión correcta de mensajes de Safety Net para una copia retrasada es: la duración de los mensajes almacenados en Safety Net debe ser mayor o igual que el tiempo de retraso de la copia retrasada. En otras palabras, el valor de SafetyNetHoldTime en Set-TransportConfig debe ser mayor o igual que el valor de ReplayLagTime en Set-MailboxDatabaseCopy para la copia retrasada.
Reenvío de mensajes desde la red de seguridad de instantáneas
La retransmisión de mensajes desde Shadow Safety Net (como la retransmisión de mensajes de Primary Safety Net) está totalmente automatizada y no requiere intervención manual. En este escenario se describe la interacción de Primary Safety Net y Shadow Safety Net durante la retransmisión de mensajes:
Active Manager solicita la retransmisión de mensajes desde Safety Net para una base de datos de buzón de correo durante el intervalo de tiempo especificado (por ejemplo, de 5:00 a 9:00). Sin embargo, el servidor de buzones de correo que retiene la red de seguridad principal se bloqueó debido a un error de hardware. Active Manager intenta ponerse en contacto con la red de seguridad principal sin éxito durante las próximas 12 horas.
Después de 12 horas, Active Manager envía un mensaje de difusión al servicio de transporte en todos los servidores de buzones de correo del límite de alta disponibilidad de transporte (el dag o el sitio de Active Directory en entornos que no son de DAG) en busca de otras redes de seguridad que contengan mensajes para la base de datos de buzones de correo de destino para el intervalo de tiempo especificado. Shadow Safety Net responde y vuelve a enviar mensajes para la base de datos de buzones de correo durante el intervalo de tiempo de 5:00 a 9:00.
Cuando una shadow safety net responde, solo vuelve a enviar los mensajes de la base de datos de buzones necesaria durante el intervalo de tiempo necesario. Esta restricción por la base de datos de buzón de correo y el intervalo de tiempo ayuda a reducir estos posibles problemas:
Volver a enviar mensajes desde Safety Net podría dar lugar a entregas duplicadas. Esto no es un problema para los buzones de la organización de Exchange, ya que la detección de mensajes duplicados impide que los usuarios del buzón vean los mensajes duplicados. Sin embargo, la entrega de mensajes duplicados a destinatarios externos podría dar lugar a copias duplicadas de mensajes que el destinatario vería.
Los mensajes alternativos que se vuelven a enviar desde Shadow Safety Net requieren categorización y procesamiento completos a través del servicio de transporte en el servidor de buzones de correo. Volver a enviar un gran número de mensajes alternativos puede ser costoso en términos de recursos del sistema de servidor de buzones.
Estas son algunas consideraciones importantes para los mensajes alternativos que se almacenan en Shadow Safety Net:
La red de seguridad de instantáneas no sabe a dónde el servidor principal transmitió el mensaje principal.
Los mensajes alternativos de Shadow Safety Net solo contienen destinatarios originales del sobre del mensaje, no los destinatarios reales donde se entregó el mensaje principal (por ejemplo, el destinatario del sobre del mensaje podría ser un grupo de distribución que requiere expansión).
Los mensajes de shadow safety net no contienen actualizaciones de mensajes que se produjeron después de que el servidor principal procesó el mensaje (por ejemplo, codificación de mensajes o conversión de contenido).
En este escenario se describe lo que sucede si la red de seguridad principal está sin conexión durante parte del intervalo de reenviación solicitado:
La base de datos de cola del servidor de buzones de correo que contiene la red de seguridad principal está dañada y se crea una nueva base de datos de cola a las 7:00. Se pierden todos los mensajes principales almacenados en la red de seguridad principal de 1:00 a 7:00, pero el servidor puede almacenar copias de mensajes correctamente entregados en la red de seguridad a partir de las 7:00.
Active Manager solicita el reenvío de mensajes desde la red de seguridad para una base de datos de buzones de correo por el intervalo de tiempo de 1:00 a 9:00.
La red de seguridad principal reenvía mensajes por el intervalo de tiempo de 7:00 a 9:00.
Porque la red de seguridad principal no tiene los mensajes necesarios de 1:00 a 7:00. La red de seguridad principal envía un mensaje de difusión al servicio de transporte en todos los servidores de buzones del límite de alta disponibilidad de transporte en busca de otras redes de seguridad que contengan los mensajes necesarios. Shadow Safety Net genera una segunda solicitud de reenvío en nombre de la red de seguridad principal para volver a enviar los mensajes alternativos de la base de datos de buzón de correo de destino durante el intervalo de tiempo de 1:00 a 7:00.
Estos son algunos otros problemas que se deben tener en cuenta cuando se vuelven a enviar mensajes desde Safety Net:
Todas las notificaciones de estado de entrega (también conocidas como DSN, informes de no entrega, NDR o mensajes de devolución) se suprimen para las reenviaciones de mensajes de Safety Net: por ejemplo, si el mensaje principal produjo un NDR, no se entregará el NDR del mensaje reenviado.
Es posible que los usuarios eliminados de un grupo de distribución no reciban un mensaje reenviado cuando Shadow Safety Net vuelva a enviar el mensaje: por ejemplo, se envía un mensaje a un grupo que contiene el usuario A y el usuario B, y ambos destinatarios reciben el mensaje. El usuario B se quita posteriormente del grupo. Más tarde, se realiza una solicitud de reenvío desde la red de seguridad principal para la base de datos de buzones de correo que retiene el buzón del usuario B. Sin embargo, la red de seguridad principal no está disponible durante más de 12 horas, así que el servidor de la red de seguridad de instantáneas responde y reenvía el mensaje afectado. Durante la retransmisión de mensajes cuando se expande el grupo de distribución, el usuario B ya no es miembro del grupo y no recibirá una copia del mensaje reenviado.
Los nuevos usuarios agregados a un grupo de distribución pueden recibir un mensaje reenviado anterior cuando Shadow Safety Net vuelve a enviar el mensaje: por ejemplo, se envía un mensaje a un grupo que contiene el usuario A y el usuario B, y ambos destinatarios reciben el mensaje. El usuario C posteriormente se agrega al grupo. Más tarde, se realiza una solicitud de reenvío desde la red de seguridad principal para la base de datos de buzones de correo que retiene el buzón del usuario C. Sin embargo, el servidor de la red de seguridad principal no está disponible durante más de 12 horas, así que el servidor de la red de seguridad de instantáneas responde y reenvía los mensajes afectados. Durante la retransmisión de mensajes cuando se expande el grupo de distribución, el usuario C ahora es miembro del grupo y recibirá una copia del mensaje reenviado.
Implementación de la red de seguridad en la topología de concentrador y radio: Safety Net está diseñado para proteger la entrega de mensajes en servidores exchange que hospedan buzones de usuario final. Los clientes que han implementado una topología de enrutamiento en estrella tipo hub-and-spoke deben deshabilitar Safety Net en los servidores de transporte de los sitios centrales para evitar un gran crecimiento en el tamaño de la base de datos de transporte en las ubicaciones del centro.