Rete sicura
Si applica a: Exchange Server 2013
In Microsoft Exchange Server 2013, il meccanismo principale di disponibilità elevata delle cassette postali è il gruppo di disponibilità del database. Per altre informazioni sui dag, vedere Gestione dei gruppi di disponibilità del database. Il dumpster di trasporto è stato introdotto per la prima volta in Exchange 2007 ed è stato ulteriormente migliorato in Exchange 2010 per fornire copie ridondanti dei messaggi dopo che sono stati recapitati correttamente alle cassette postali nei dag. In Exchange 2010, il dumpster del trasporto ha contribuito a proteggere dalla perdita di dati mantenendo una coda di messaggi recapitati correttamente che non erano stati replicati nelle copie passive del database delle cassette postali nel dag. Quando un errore del database delle cassette postali o del server richiedeva la promozione di una copia obsoleta del database delle cassette postali, i messaggi nel dumpster di trasporto venivano reinviati automaticamente alla nuova copia attiva del database delle cassette postali.
Il dumpster di trasporto è stato migliorato in Exchange 2013 ed è ora denominato Safety Net.
Di seguito vengono descritte le analogie tra Rete sicura e il dumpster di trasporto in Exchange 2010:
Safety Net è una coda associata al servizio Trasporto in un server Cassette postali. Questa coda archivia copie dei messaggi elaborati correttamente dal server.
È possibile specificare la permanenza delle copie dei messaggi elaborati correttamente in Rete sicura prima che scadano e vengano eliminati automaticamente. Il valore predefinito è 2 giorni.
Ecco come Safety Net è diverso in Exchange 2013:
Safety Net non richiede dag. Per i server Cassette postali che non appartengono a gruppi di disponibilità del database, Safety Net archivia copie dei messaggi recapitati in altri server Cassette postali nel sito Active Directory locale.
Safety Net è ora ridondante e non è più un singolo punto di errore. Questo introduce il concetto di rete di sicurezza primaria e la rete di sicurezza shadow. Se la Rete sicura primaria non è disponibile per oltre 12 ore, le richieste di reinvio diventano richieste di reinvio shadow e i messaggi vengono recapitati di nuovo dalla Rete sicura shadow.
Safety Net assume alcune responsabilità dalla ridondanza shadow negli ambienti dag. La ridondanza shadow non deve mantenere un'altra copia del messaggio recapitato in una coda shadow mentre attende che il messaggio recapitato venga replicato nelle copie passive del database delle cassette postali negli altri server Cassette postali del dag. La copia del messaggio recapitato è già memorizzata in Rete sicura, così il messaggio può essere inviato di nuovo da Rete sicura, se necessario.
In Exchange 2013, la disponibilità elevata del trasporto non è solo un'operazione ottimale per la ridondanza dei messaggi. Exchange 2013 tenta di garantire la ridondanza dei messaggi. Per questo motivo, non è possibile specificare un limite massimo di dimensioni per Safety Net. È possibile specificare solo per quanto tempo Safety Net archivia i messaggi prima che vengano eliminati automaticamente.
Funzionamento di Rete sicura
La ridondanza shadow mantiene una copia ridondante del messaggio mentre questo è in transito. Rete sicura mantiene una copia ridondante di un messaggio dopo che questo è stato elaborato correttamente. In tal modo entra in funzione dove la ridondanza shadow finisce. Gli stessi concetti relativi alla ridondanza shadow, inclusi i limiti di disponibilità elevata del trasporto, i messaggi primari, i server primari, i messaggi shadow e i server shadow si applicano anche a Safety Net. Per ulteriori informazioni, vedere Ridondanza shadow.
La Rete sicura primaria è presente nel server Cassette postali che ha conservato il messaggio primario prima che venisse elaborato correttamente dal servizio di trasporto. Ciò potrebbe significare che il messaggio è stato recapitato al servizio Trasporto cassette postali nel server Cassette postali di destinazione. Oppure che il messaggio sia stato inoltrato tramite il server Cassette postali in un sito Active Directory designato come sito hub nel percorso verso il DAG o il sito Active Directory di destinazione. Dopo che il server primario ha elaborato il messaggio primario, il messaggio viene spostato dalla coda attiva alla rete di sicurezza primaria nello stesso server.
La Rete sicura shadow si trova sul server Cassette postali che ha conservato il messaggio shadow. Dopo che aver determinato che il server primario ha elaborato correttamente il messaggio primario, il server shadow sposta il messaggio shadow dalla coda shadow alla Rete sicura shadow sullo stesso server. Anche se può sembrare ovvio, l'esistenza di Shadow Safety Net richiede l'abilitazione della ridondanza shadow e la ridondanza shadow è abilitata per impostazione predefinita in Exchange 2013.
I parametri usati da Safety Net sono descritti nella tabella seguente.
| Parametro | Valore predefinito | Descrizione |
|---|---|---|
| SafetyNetHoldTime in Set-TransportConfig | 2 giorni | I messaggi primari elaborati correttamente entro il periodo di tempo previsto vengono conservati nella Rete sicura primaria mentre i messaggi shadow riconosciuti vengono memorizzati nella Rete sicura shadow. È anche possibile specificare questo valore nell'interfaccia di amministrazione di Exchange (EAC) inConnettori> di ricezione flusso> di postaAltre opzioni .gif) >di trasporto> dell'organizzazioneSafety Net>Safety Net hold time. I messaggi shadow non riconosciuti alla fine scadono da Shadow Safety Net dopo la somma di SafetyNetHoldTime e MessageExpirationTimeout in Set-TransportService. Per evitare la perdita di dati durante la riesecuzione di Safety Net, il valore di SafetyNetHoldTime deve essere maggiore o uguale al valore di ReplayLagTime in Set-MailboxDatabaseCopy per la copia ritardata del database delle cassette postali. |
| ReplayLagTime in Set-MailboxDatabaseCopy | Non configurato | La quantità di tempo di attesa del servizio Replica di Microsoft Exchange prima di riprodurre i file di registro copiati nella copia passiva del database. Impostando questo parametro su un valore maggiore di 0, si crea una copia del database delle cassette postali ritardata. Il valore massimo è 14 giorni. Per evitare la perdita di dati durante i reinvii di Safety Net, il valore di ReplayLagTime deve essere minore o uguale al valore di SafetyNetHoldTime in Set-TransportConfig per la copia ritardata del database delle cassette postali. |
| MessageExpirationTimeout in Set-TransportService | 2 giorni | Quanto tempo un messaggio può rimanere in coda prima della scadenza. |
| ShadowRedundancyEnabled in Set-TransportConfig | $true |
Una rete di sicurezza ridondante richiede l'abilitazione della ridondanza shadow. |
Reinvio di messaggi da Rete sicura
Le reinvie di messaggi da Safety Net vengono avviate dal componente Active Manager del servizio Replica di Microsoft Exchange che gestisce i gruppi di disponibilità del database e le copie del database delle cassette postali. Non sono necessarie azioni manuali per inviare di nuovo i messaggi da Safety Net. Per ulteriori informazioni su Active Manager, vedere Active Manager.
Esistono due scenari di base di reinvio di messaggi di Rete sicura:
- In seguito a failover automatico o manuale di un database delle cassette postali in un DAG.
- Dopo aver attivato una copia ritardata di un database delle cassette postali.
Una copia ritardata del database delle cassette postali o una copia ritardata è una copia passiva di un database delle cassette postali in cui gli aggiornamenti al database vengono intenzionalmente ritardati per proteggere dal danneggiamento logico del database delle cassette postali. Per altre informazioni, vedere Gestione delle copie del database delle cassette postali.
L'unica differenza significativa tra i due scenari è quanto è necessario andare indietro nel tempo per reinviare i messaggi da Rete sicura. In genere, per il failover in un gruppo di disponibilità del database, la nuova copia attiva del database delle cassette postali è in genere da alcuni minuti a diverse ore rispetto alla copia attiva precedente. Una copia ritardata del database delle cassette postali è in genere di diverse ore antecedente alla vecchia copia attiva.
Il requisito principale per la corretta invio da Safety Net per una copia ritardata è la quantità di tempo in cui i messaggi vengono archiviati in Safety Net deve essere maggiore o uguale al tempo di ritardo della copia ritardata del database delle cassette postali. In altre parole, il valore di SafetyNetHoldTime in Set-TransportConfig deve essere maggiore o uguale al valore di ReplayLagTime in Set-MailboxDatabaseCopy per la copia ritardata.
Reinvio di messaggi dalla Rete sicura shadow
Come la reinvio di messaggi dalla rete di sicurezza primaria, le reinviazioni di messaggi da Shadow Safety Net sono completamente automatizzate e non richiedono alcun intervento manuale.
Quando Active Manager richiede la reinvio di messaggi da Safety Net per un periodo di tempo specifico, la richiesta viene inviata al servizio Trasporto nei server Cassette postali in cui la rete di sicurezza primaria contiene le copie del messaggio per il periodo di tempo richiesto. Nelle organizzazioni di Exchange di grandi dimensioni, è probabile che i messaggi necessari esistano in Safety Net in più server Cassette postali, in particolare se il periodo di tempo richiesto è elevato.
Senza ottimizzazione, la reinvio di messaggi da Safety Net comporterebbe un numero potenzialmente elevato di recapiti duplicati. Le consegne duplicate all'interno dell'organizzazione di Exchange non sono un problema, perché il rilevamento di messaggi duplicati impedisce agli utenti della cassetta postale di visualizzare copie duplicate di un messaggio. Ma il recapito di messaggi duplicati a destinatari esterni all'organizzazione di Exchange comporterà copie duplicate dei messaggi. Fortunatamente, la reinvio di messaggi da Safety Net è stata ottimizzata in Exchange 2013 per ridurre il recapito duplicato dei messaggi.
Se la rete di sicurezza primaria non risponde inizialmente o non risponde durante la reinvio dei messaggi, Active Manager continua a tentare di contattarla per 12 ore prima di rinunciare. Dopo 12 ore, viene inviata una trasmissione al servizio trasporto su tutti i server Cassette postali nel trasporto associato a disponibilità elevata che richiede la reinvio del messaggio da Safety Net per l'intervallo di tempo necessario per il database delle cassette postali richiesto. Quando una rete di sicurezza shadow risponde, invia nuovamente i messaggi per il database delle cassette postali richiesto solo durante l'intervallo di tempo richiesto.
Esistono alcune considerazioni importanti per i messaggi shadow archiviati in Shadow Safety Net:
La Rete sicura shadow non conosce il punto in cui il server primario ha trasmesso il messaggio primario.
I messaggi shadow in Shadow Safety Net contengono solo destinatari della busta del messaggio originale, non i destinatari effettivi in cui è stato recapitato il messaggio primario. Ad esempio, il destinatario della busta del messaggio può essere un gruppo di distribuzione che richiede l'espansione.
I messaggi in Shadow Safety net non includono alcuno degli aggiornamenti dei messaggi che si sono verificati dopo che il server primario ha elaborato il messaggio. Ad esempio, codifica dei messaggi o conversione del contenuto.
Il messaggio shadow inviato di nuovo da Shadow Safety Net richiede la categorizzazione completa e l'elaborazione tramite il servizio Trasporto nel server Cassette postali. La reinvio di un numero elevato di messaggi shadow da Shadow Safety Net può risultare costosa in termini di risorse del server Cassette postali. Fortunatamente, anche la reinvio di messaggi shadow da Shadow Safety Net è ottimizzata in modo che vengano inviati di nuovo solo i messaggi nella rete di sicurezza shadow per l'intervallo di tempo richiesto e il database delle cassette postali richiesto.
L'interazione della rete di sicurezza primaria e della rete di sicurezza shadow durante la reinvio dei messaggi è descritta nello scenario seguente.
Active Manager richiede una reinvio di messaggi da Safety Net per un database delle cassette postali per l'intervallo di tempo dalle 5:00 alle 9:00. Il server Cassette postali su cui si trova la Rete sicura primaria ha tuttavia subito un arresto anomalo a causa di un errore dell'hardware. Active Manager tenta ripetutamente di contattare la rete di sicurezza primaria per 12 ore.
Dopo 12 ore, Active Manager invia un messaggio di trasmissione al servizio Trasporto in tutti i server Cassette postali nel limite di disponibilità elevata del trasporto cercando altre reti di sicurezza che contengono messaggi per il database delle cassette postali di destinazione per l'intervallo di tempo dalle 5:00 alle 9:00. Le risposte di Shadow Safety Net inviano nuovamente i messaggi per il database delle cassette postali per l'intervallo di tempo dalle 5:00 alle 9:00.
Un'interazione interessante si verifica se la rete di sicurezza primaria era offline durante parte dell'intervallo di reinvio richiesto, come descritto nello scenario seguente.
Il database della coda nel server Cassette postali che contiene la rete di sicurezza primaria è danneggiato e viene creato un nuovo database di coda alle 7:00. Tutti i messaggi primari archiviati nella rete di sicurezza primaria dalle 1:00 alle 7:00 vanno persi, ma il server è in grado di archiviare copie dei messaggi recapitati correttamente in Safety Net a partire dalle 7:00.
Active Manager richiede un reinvio dei messaggi da Rete sicura per un database delle cassette postali per l'intervallo di tempo tra l'1:00 e le 9:00.
La Rete sicura primaria reinvia i messaggi per l'intervallo di tempo tra le 7:00 e le 9:00.
La rete di sicurezza primaria invia un messaggio di trasmissione al servizio Trasporto in tutti i server Cassette postali nel limite di disponibilità elevata del trasporto alla ricerca di altre reti di sicurezza che contengono messaggi per il database delle cassette postali di destinazione per l'intervallo di tempo da 1:00 a 7:00 per il quale la rete di sicurezza primaria non ha alcun messaggio. Shadow Safety Net genera una seconda richiesta di reinvio per conto della rete di sicurezza primaria per inviare nuovamente i messaggi shadow per il database delle cassette postali di destinazione per l'intervallo di tempo da 1:00 a 7:00.
Esistono altri problemi da considerare quando i messaggi vengono reinviati da Safety Net.
Tutte le notifiche sullo stato di recapito (DSN) e i report di mancato recapito (DDR) vengono eliminati per i reinvii di Safety Net. Ad esempio, se il messaggio primario ha generato un rapporto di mancato recapito, il rapporto di mancato recapito per il messaggio inviato di nuovo non verrà recapitato.
Gli utenti rimossi da un gruppo di distribuzione potrebbero non ricevere un messaggio inviato di nuovo quando Shadow Safety Net invia nuovamente il messaggio. Ad esempio, un messaggio viene inviato a un gruppo contenente l'utente A e l'utente B e entrambi i destinatari ricevono il messaggio. L'utente B viene successivamente rimosso dal gruppo. In seguito viene inoltrata una richiesta di reinvio dalla Rete sicura primaria per il database delle cassette postali in cui si trova la cassetta postale dell'utente B. La Rete sicura primaria non è tuttavia disponibile per oltre 12 ore quindi il server della Rete sicura shadow risponde e reinvia il messaggio in questione. Durante la reinvio quando il gruppo di distribuzione viene espanso, l'utente B non è un membro del gruppo e non riceverà una copia del messaggio inviato di nuovo.
I nuovi utenti aggiunti a un gruppo di distribuzione possono ricevere un vecchio messaggio inviato di nuovo quando Shadow Safety Net invia nuovamente il messaggio. Ad esempio, un messaggio viene inviato a un gruppo contenente l'utente A e l'utente B e entrambi i destinatari ricevono il messaggio. L'utente C viene successivamente aggiunto al gruppo. In seguito viene inoltrata una richiesta di reinvio dalla Rete sicura primaria per il database delle cassette postali in cui si trova la cassetta postale dell'utente C. Il server della Rete sicura primaria non è tuttavia disponibile per oltre 12 ore quindi il server della Rete sicura shadow risponde e reinvia i messaggi in questione. Durante la reinvio quando il gruppo di distribuzione viene espanso, l'utente C è membro del gruppo e riceverà una copia del messaggio inviato di nuovo.