Condividi tramite

Cambi e failover

  • Articolo

Si applica a: Exchange Server 2013 SP1

Switchover e procedure di failover sono le due forme di interruzioni di Microsoft Exchange Server 2013:

  • Un passaggio è un'interruzione pianificata di un database o di un server avviata in modo esplicito da un cmdlet o dal sistema di disponibilità gestito in Exchange 2013. I commutatori vengono in genere eseguiti per preparare l'esecuzione di un'operazione di manutenzione. Gli switchover implicano lo spostamento della copia del database delle cassette postali attiva in un altro server nel gruppo di disponibilità del database. Se durante un passaggio non viene trovata alcuna destinazione integra, gli amministratori riceveranno un errore e il database delle cassette postali rimarrà attivo o montato.

  • Un failover si riferisce a eventi imprevisti che danno origine all'indisponibilità dei servizi, dei dati o di entrambi. Quando si verifica un failover il sistema si ripristina automaticamente rendendo attiva una copia passiva del database delle cassette postali. Se durante un failover non viene trovata alcuna destinazione integra, il database delle cassette postali verrà smontato.

Exchange 2013 è progettato per gestire sia i switchover che i failover.

Per informazioni sulle attività di gestione correlate alla disponibilità elevata e alla resilienza del sito, Vedere Gestione della disponibilità elevata e della resilienza del sito.

Switchover

In Exchange 2013 sono disponibili tre tipi di autenticazione:

  • Switchover del database
  • Switchover del server
  • Switchover del datacenter

Switchover del database

Un switchover di database è la procedura mediante la quale un singolo database attivo viene trasferito su un'altra copia di database (copia passiva) che diventa la nuova copia attiva di database. I switchover possono avvenire sia all'interno dei datacenter che tra l'uno e l'altro. È possibile eseguire un cambio di database usando l'interfaccia di amministrazione di Exchange (EAC) o shell. Indipendentemente da quale interfaccia viene utilizzata, la procedura di switchover è analoga alla seguente:

  1. L'amministratore avvia un switchover del database per spostare la copia attiva corrente di database delle cassette postali su un altro server.

  2. Il client utilizzato per questa attività esegue una chiamata RPC al servizio Replica di Microsoft Exchange su un membro del gruppo di disponibilità.

  3. Se non detiene il ruolo di PAM (Manager primario attivo), il membro del gruppo DAG assegna l'attività al server che contiene il ruolo PAM.

  4. Viene effettuata una chiamata RPC al servizio Replica di Microsoft Exchange sul server che contiene il ruolo PAM.

  5. Il PAM legge e aggiorna le informazioni sulla posizione del database che è memorizzata nel database cluster per il DAG.

  6. Il PAM contatta il servizio Replica di Microsoft Exchange sul membro DAG la cui copia passiva è stata attivata come nuova copia attiva del database delle cassette postali.

  7. Il servizio Replica di Microsoft Exchange sul server di destinazione esegue una query sui servizi Replica di Microsoft Exchange su tutti gli altri membri DAG per determinare il miglior file di registro di origine per la copia del database.

  8. Il database viene disinstallato dal server corrente e il servizio Replica di Microsoft Exchange copia i registri rimanenti sul server di destinazione.

  9. Il servizio replica di Microsoft Exchange sul server di destinazione richiede un'installazione del database.

  10. ll servizio Archivio informazioni di Microsoft Exchange sul server di destinazione riesegue i file di registro e installa il database.

  11. Qualsiasi codice di errore viene riportato al servizio Replica di Microsoft Exchange sul server di destinazione.

  12. Il PAM (Manager primario attivo) aggiorna le informazioni sullo stato della copia del database nel database cluster per il gruppo di disponibilità del database (DAG).

  13. Tutti gli errori di codice vengono restituiti dal servizio Replica di Microsoft Exchange sul server di destinazione al servizio Replica di Microsoft Exchange sul PAM (Manager primario attivo).

  14. Il servizio Replica di Microsoft Exchange sul PAM restituisce tutti gli errori all'interfaccia amministrativa da cui è stata richiamata l'attività.

  15. Remote PowerShell restituisce i risultati dell'operazione all'interfaccia amministrativa richiedente.

Per ulteriori informazioni sull'esecuzione di uno switchover del database, vedere Attivare una copia del database delle cassette postali.

Switchover del server

Un switchover del server è la procedura mediante la quale tutti i database attivi su un membro DAG sono attivati su uno o più altri membri DAG. Come i switchover dei database, un switchover di un server può avvenire sia nell'ambito di un datacenter che tra un datacenter e l'altro e può essere avviato utilizzando EAC o Shell. Indipendentemente da quale interfaccia viene utilizzata, la procedura di switchover del server è analoga alla seguente:

  1. L'amministratore avvia un switchover di un server per spostare tutte le copie attive del database delle cassette postali su uno o più server.

  2. Per questa attività si eseguono gli stessi passi già descritti in questo argomento per i switchover dei database (Passi 2 - 4) per ciascuno dei database attivi sul server corrente.

  3. Il PAM legge e aggiorna le informazioni sulla posizione del database che è memorizzata nel database cluster per il DAG.

  4. Il PAM (Manager primario attivo) contatta il servizio Replica di Microsoft Exchange su ciascun membro del DAG con una copia passiva in corso di attivazione.

  5. Il servizio Replica di Microsoft Exchange sui server di destinazione esegue una query sui servizi Replica di Microsoft Exchange su tutti gli altri membri DAG per determinare la miglior origine di registro per la copia del database.

  6. Il database viene disinstallato dal server corrente e il servizio Replica di Microsoft Exchange copia i registri rimanenti su ciascun server di destinazione.

  7. Il servizio Replica di Microsoft Exchange su ciascun server di destinazione richiede un'installazione del database.

  8. ll servizio Archivio informazioni di Microsoft Exchange su ciascun server di destinazione riesegue i file di registro e installa il database.

  9. Qualsiasi codice di errore viene riportato al servizio Replica di Microsoft Exchange sul server di destinazione.

  10. Il PAM (Manager primario attivo) aggiorna le informazioni sullo stato della copia del database nel database cluster per il gruppo di disponibilità del database (DAG).

  11. Tutti gli errori di codice vengono restituiti dal servizio Replica di Microsoft Exchange sul server di destinazione al servizio Replica di Microsoft Exchange sul PAM (Manager primario attivo).

  12. Il servizio Replica di Microsoft Exchange sul PAM restituisce tutti gli errori all'interfaccia amministrativa da cui è stata richiamata l'attività.

  13. Remote PowerShell restituisce i risultati dell'operazione all'interfaccia amministrativa richiedente.

Per ulteriori informazioni sull'esecuzione di uno switchover del server, vedere Esecuzione del passaggio di un server.

Cambi dei datacenter

In una configurazione con resilienza del sito, può verificarsi all'interno di un DAG il ripristino automatico in risposta a un errore a livello di sito, consentendo al sistema di messaggistica di rimanere in uno stato funzionale. Questa configurazione richiede almeno tre posizioni, poiché richiede la distribuzione dei membri DAG in due posizioni e quella del server di controllo del DAG in una terza posizione.

Se non si dispone di tre posizioni o anche se si hanno tre posizioni, ma si vuole controllare le azioni di ripristino a livello di data center, è possibile configurare un dag per il ripristino manuale in caso di errore a livello di sito. In tal caso, la procedura da eseguire viene denominata switchover del datacenter. Come per molti scenari di ripristino di emergenza, la pianificazione e preparazione anticipata di uno switchover del datacenter può semplificare il processo e ridurre la durata dell'interruzione.

A causa delle numerose modifiche dell'architettura in Exchange 2013, tra cui il consolidamento dei ruoli del server, l'esecuzione di un passaggio al data center in Exchange 2013 è più semplice rispetto a Exchange 2010. Per una procedura dettagliata sull'esecuzione di switchover del datacenter, vedere Passaggi centro dati.

Failover

Un failover è un processo di attivazione automatico che può verificarsi a livello del database, del server o del datacenter. I failover si verificano in risposta ad un errore in un singolo database (ad esempio, una perdita di dati isolata) o in un intero servizio (ad esempio, un errore nella scheda madre o un'interruzione nell'alimentazione) oppure in un intero sito (ad esempio, la perdita di tutti i membri DAG in un sito).

I DAG e le copie del database delle cassette postali forniscono una ridondanza completa e un rapido ripristino sia dei dati che dei servizi che forniscono l'accesso ai dati. Nella tabella seguente sono elencate le azioni di ripristino previste per vari errori. Alcuni errori richiedono l'avvio del ripristino da parte dell'amministratore, mentre altri vengono gestiti automaticamente dal sistema.

Descrizione Attivazione automatica Azione di ripristino automatico Stato nel corso di ripristino: Attivo Stato nel corso di ripristino: Passivo Azioni di ripristino Commenti
Errore del database di Extensible Storage Engine (ESE): Le unità sulle quali è archiviato il database restituiscono gli errori su alcune letture (ad esempio, un errore -1018 error). Possibile breve interruzione.

Possibile failover automatico.		 Correzione automatica di pagina non valida. Switchover manuale, failover automatico o ripristino in linea. Esito negativo Ricostruzione RAID, ripristino di database e copia database, ripristino ed esecuzione, quindi installazione delle patch sulla pagina o installazione delle patch sulla pagina dalla copia. Potrebbero esserci altri codici di errore di database trasferibili.

Non include errori di blocco di sistema per file NTFS.

Se viene eseguito il failover o switchover, il server host viene aggiornato.
Errore del database ESE "semi-soft": Le unità in cui è archiviato il database restituiscono gli errori in alcune operazioni di scrittura. Breve interruzione durante il failover automatico. Ricostruzione automatica volume/disco dopo possibile sostituzione unità. Smontato se non è possibile recuperarlo. Esito negativo La rigenerazione RAID può risolvere il problema.

Copia e ripristino, ripristino ed esecuzione del recupero o ricostruzione volume/disco dopo possibile sostituzione.		 Un errore di scrittura semi-soft ESE indica che alcune operazioni di scrittura vengono completate correttamente.

Non include un errore di blocco NTFS.
Errore di registro ESE "semi-soft": Le unità su cui sono archiviati i dati di registrazione stanno restituendo errori non ripristinati su alcune operazioni di lettura o scrittura. Breve interruzione durante il failover automatico. Ricostruzione automatica volume/disco dopo possibile sostituzione unità. Smontato se non è possibile recuperarlo. Esito negativo La rigenerazione RAID può risolvere il problema.

Copia e ripristino, ripristino ed esecuzione del recupero o ricostruzione volume/disco dopo possibile sostituzione.		 Un errore di lettura/scrittura semi-soft ESE significa che alcune operazioni di lettura/scrittura vengono completate correttamente.

Se si verifica un errore sul database, si verificherà il ripristino automatico prima che inizi la procedura del ripristino dei dati di registrazione.
Errore software ESE o esaurimento risorse: Un errore in cui ESE termina l'istanza (ad esempio, ID Evento 1022, profondità punto di arresto troppo alta). Breve interruzione durante il failover automatico. Nessuna. Smontato se non è possibile recuperarlo. Esito negativo Correzione del problema delle risorse sottostanti. Questo errore potrebbe essere l'errore emerso in altri casi.
Errori di blocco NTFS: Nelle unità su cui è archiviato il database o nei registri si è verificato un errore di lettura o scrittura su una struttura di controllo NTFS. Breve interruzione durante il failover automatico. Ricompilo del volume dopo la possibile sostituzione dell'unità. Smontato se non è possibile recuperarlo. Esito negativo La rigenerazione RAID può risolvere il problema. Le utilità NTFS potrebbero risolvere i problemi NTFS. Potrebbe essere necessario il ripristino di Exchange. Questo evento è più probabile che si verifichi quando RAID non è in uso. Se questo evento influisce sul volume del log attivo, alcuni file di log recenti andranno persi.

Non include gli errori corretti automaticamente da NTFS o dal software o hardware sottostante.
Errore del database o dell'unità di log: un'unità che archivia il database o i log non è riuscita ed è inaccessibile. Breve interruzione durante il failover automatico. Sostituzione o riformattazione dell'unità, seguita dalla ricostruzione completa del volume. Smontato se non è possibile recuperarlo. Esito negativo Sostituzione di unità seguita da una possibile rigenerazione RAID.

Sostituzione di unità seguita da una completa rigenerazione del volume.

Ricostruzione completa del volume.		 Non applicabile.
Errore del volume del database o del log: il volume ha esito negativo a causa di problemi di volume NTFS o di livello inferiore. Breve interruzione durante il failover automatico. Unità riformattata o sostituita. Smontato se non è possibile recuperarlo. Esito negativo Sostituzione di unità seguita da una possibile rigenerazione RAID.

Sostituzione di unità seguita da una completa rigenerazione del volume.

Ricostruzione completa del volume.		 Non applicabile.
Spazio esaurito sul database o sul volume di registro: Spazio esaurito nel sistema dei file NTFS con il database o i file di registro. Failover automatico se un'altra copia non si trova in uno stato simile. Nessuna. Smontato. Esito negativo Eseguire backup completi o progressivi, cancellare manualmente i registri, lasciar passare del tempo, riprendere la copia del database oppure ripristinare una copia del database con errore. Non applicabile.
Disinstallazione da parte dell'amministratore del database non corretto. Se il failover automatico non è bloccato dall'amministratore, ci sarà una breve interruzione.

Se viene impedito il failover automatico, ci sarà un'interruzione finché non verrà installato il database.		 Nessuna. Smontato. Non applicabile Correzione dell'errore da parte dell'amministratore. Non applicabile.
Sospensione da parte dell'amministratore della copia del database errato. A seconda della configurazione e della copia con errore, è possibile impedire il ripristino automatico. Nessuna. Non applicabile. Sospeso Correzione dell'errore da parte dell'amministratore. Non applicabile.
Disinstallazione da parte dell'amministratore di un database per archiviazione, NTFS o manutenzione del volume. Se il failover automatico non è bloccato dall'amministratore, ci sarà una breve interruzione.

Se il failover automatico viene bloccato, ci sarà un'interruzione finché l'amministratore non completerà l'attività.		 Nessuna. Smontato. Non applicabile Completamento dell'attività da parte dell'amministratore. Non applicabile.
Sospensione da parte dell'amministratore di una copia del database per archiviazione, NTFS o manutenzione del volume. A seconda della configurazione e della copia con errore, è possibile impedire il ripristino automatico. Nessuna. Non applicabile. Sospeso Completamento delle azioni da parte dell'amministratore. Non applicabile.
Disinstallazione di un database da parte dell'amministratore per la manutenzione offline del database. Interruzione fino all'intervento di correzione. Nessuna. Smontato. Sospeso Completamento delle azioni da parte dell'amministratore. Le copie del database attiva e passiva sono diverse.

L'Amministratore deve sospendere le copie.
Rete di archiviazione (SAN), disco o errore del controller di archiviazione. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Ripristino dell'hardware. Una copia passiva del database si troverà nello stato in cui si trovava al momento in cui si è verificato l'errore del sistema.
Manutenzione dell'hardware del server. Brevi intervalli di interruzione durante il failover automatico (a meno che non venga bloccato da un amministratore). Nessuna. Smontato. Qualsiasi Completamento delle azioni. Una copia passiva del database si troverà nello stato in cui si trovava al momento in cui il sistema è stato chiuso.
Manutenzione del software del server. Brevi intervalli di interruzione durante il failover automatico (a meno che non venga bloccato da un amministratore). Nessuna. Smontato. Qualsiasi Completamento delle azioni. Una copia passiva del database si troverà nello stato in cui si trovava al momento in cui il sistema è stato chiuso.
Il servizio Archivio informazioni di Microsoft Exchange viene arrestato o sospeso da un amministratore. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Riavviare il servizio Archivio informazioni di Microsoft Exchange. Non applicabile.
Il servizio Archivio informazioni di Microsoft Exchange ha esito negativo; il sistema operativo è ancora in esecuzione. Breve interruzione durante il failover automatico. Gestione controllo servizi riavvia il servizio Archivio informazioni di Microsoft Exchange. Smontato. Qualsiasi Riavviare manualmente o automaticamente il servizio Archivio informazioni di Microsoft Exchange. Una copia passiva del database sarà nello stato esistente quando il servizio Archivio informazioni di Microsoft Exchange non è riuscito.
Errore parziale del servizio Archivio informazioni di Microsoft Exchange; una parte dell'archivio di Exchange smette di funzionare, ma non è identificata come non riuscita. Possibile breve interruzione durante il failover automatico. Nessuna. Montata e parzialmente funzionante. Qualsiasi, ma potrebbe essere solo parzialmente funzionale Riavviare il server, il sistema operativo o il servizio Archivio informazioni di Microsoft Exchange. Non applicabile.
Errore del server: Si è verificato un errore sul server per uno dei seguenti motivi:
  • Interruzione dell'alimentazione
  • Errore irreversibile del chip del processore, della scheda madre o del backplane
  • Errore di arresto del sistema operativo
  • Il sistema operativo non risponde
  • Errore di comunicazione irreversibile
 Breve interruzione durante il failover automatico. Riavviare il computer. Smontato. Qualsiasi Ripristinare l'alimentazione, modificare le impostazioni del sistema operativo, modificare le impostazioni dell'hardware, sostituire l'hardware, riavviare il sistema operativo, il sistema operativo del servizio, l'hardware del servizio o correggere i problemi di comunicazione. Non applicabile.
Nel gruppo di disponibilità del database (DAG) si è verificato un errore di quorum. Interruzione fino all'intervento di correzione. Nessuna. Smontato. Qualsiasi Correggere il quorum non corretto, assegnare un nuovo quorum o ripristinare la rete che ha provocato l'errore del quorum. Una copia passiva del database si troverà nello stato in cui si trovava al momento in cui si è verificato l'errore del sistema.
Errore di comunicazione su rete MAPI: Il server non è più disponibile in rete MAPI. Breve interruzione durante il failover automatico; non ci dovrebbe essere perdita di dati. Nessuna. Altri tentativi di comunicazione. Smontato. Qualsiasi Correggere il problema di comunicazione correggendo i problemi di hardware o di software. Non applicabile.
Errore di comunicazione di rete della replica: il server non può ricevere heartbeat, copie del log o seeding tramite la rete di replica non riuscita. Possibile esaurimento copie o del seeding mentre il carico di lavoro viene trasferito su un'altra rete. Nessuna. Altri tentativi di comunicazione. Nessuna. Qualsiasi Correggere il problema di comunicazione correggendo i problemi di hardware o di software. Effetti dell'errore sulla resilienza.
Più errori di comunicazione di rete: il server non può ricevere heartbeat, copie di log o seeding attraverso più reti. Breve interruzione durante il failover automatico; non ci dovrebbe essere perdita di dati. Nessuna. Altri tentativi di comunicazione. Smontato. Qualsiasi Correggere il problema di comunicazione correggendo i problemi di hardware o di software. Almeno una rete è ancora funzionante.
Errore parziale di una o più reti: Nelle reti si verifica una percentuale di errori più elevata. Errore non rilevato, nessuna azione. Nessuna. Installazione eseguita, possibili problemi di prestazione. Qualsiasi Correggere il problema di comunicazione correggendo i problemi di hardware o di software. Sulla rete si sta verificando una percentuale di errori più elevata del normale.
I sistemi operativi non rilevati si bloccano: il sistema operativo smette di rispondere, ma non viene rilevato dal monitoraggio o dal clustering. Nessuna. Nessuna. Qualsiasi. Qualsiasi Riavviare o interrompere le risorse che non rispondono. Il blocco non è stato rilevato, quindi non viene intrapresa alcuna azione.

Alcune funzionalità potrebbero non essere operative.
Si è verificato un errore nell'unità del sistema operativo. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Sostituire l'unità e ricostruire il server oppure ricreare il volume mediante RAID. Non applicabile.
Spazio insufficiente sull'unità del sistema operativo. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Liberare manualmente lo spazio sul volume. Non applicabile.
Le unità contenenti file binari di Exchange riscontrano un errore di volume o unità. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Sostituire l'unità e reinstallare l'applicazione oppure ricreare il volume mediante RAID. Non applicabile.
L'unità contenente i file binari di Exchange non è disponibile. Breve interruzione durante il failover automatico. Nessuna. Smontato. Qualsiasi Liberare manualmente lo spazio sul volume. Non applicabile.
Rilevato registro nuovo non valido: La sequenza di registro viene interrotta da un file esistente. Breve interruzione durante il failover automatico, considerare che le altre copie non abbiano lo stesso problema. Nessuna. Smontato. Esito negativo Rimuovere i registri in eccesso dopo averne determinato l'origine. I registri in eccesso non dovrebbero eseguire la replica.
Nella replica continua è stato rilevato un registro non valido: Nella riesecuzione è stato rilevato un registro non corretto durante la copia o la riesecuzione. Non applicabile. Eliminare il registro. Non applicabile. Esito negativo Eliminare il registro non valido, spostare il flusso di registri non corretti. Non applicabile.

Failover del database

Un failover del database si verifica quando una copia del database che era attiva non è più in grado di rimanere attiva. Le seguenti occorrenze fanno parte di un failover del database:

  1. L'errore del database è stato rilevato dal servizio Archivio informazioni di Microsoft Exchange.

  2. Il servizio Archivio informazioni di Microsoft Exchange riporta gli errori sul registro eventi del canale color porpora.

  3. Active Manager sul server che contiene il database non corretto ha rilevato gli errori.

  4. Active Manager richiede lo stato della copia del database dagli altri server che hanno una copia del database.

  5. Gli altri server restituiscono lo stato della copia del database all'Active Manager richiedente.

  6. Il PAM avvia uno spostamento del database attivo su un altro server nel gruppo di disponibilità del database (DAG) utilizzando l'algoritmo di selezione della copia migliore.

  7. Il PAM aggiorna la posizione dell'installazione del database nel database cluster per utilizzare il server selezionato.

  8. Il Il PAM (Manager primario attivo) invia una richiesta al manager attivo sul server selezionato per renderlo master del database.

  9. Active Manager sul server selezionato richiede che il servizio Replica di Microsoft Exchange tenti di copiare gli ultimi registri dal server precedente e imposti il contrassegno installabile per il database.

  10. Il servizio Replica di Microsoft Exchange copia i registri dal server che aveva in precedenza la copia attiva del database.

  11. Active Manager legge il numero massimo di generazione dei registi dal database cluster.

  12. Il servizio Archivio informazioni di Microsoft Exchange installa la nuova copia di database attivo.

Failover del server

Un failover del server si verifica quando il membro del gruppo di disponibilità del database non è più in grado di operare con la rete MAPI oppure quando il servizio cluster di un membro del gruppo di disponibilità non è più in grado di contattare i rimanenti membri del DAG. Le seguenti occorrenze fanno parte di un failover del server:

  1. Il servizio Cluster sul PAM invia una notifica al PAM per una delle due condizioni:

    1. Nodo inattivo: il server è raggiungibile, ma non può partecipare alle operazioni del gruppo di disponibilità del database.
    2. Rete MAPI inattiva: il server non può essere contattato tramite la rete MAPI e pertanto non può partecipare alle operazioni dag.

  2. Se il server è raggiungibile, il PAM contatta Active Manager sul server con errore e richiede che tutti i database vengano disinstallati immediatamente.

  3. Per ciascuna copia del database con errore:

    1. Il PAM richiede lo stato della copia del database da tutti i server del gruppo di disponibilità del database (DAG).
    2. Il PAM riceve una risposta da tutti i membri raggiungibili e attivi del DAG.
    3. PAM tenta di determinare la migliore origine del registro tra tutti i server rispondenti effettuando la query sul numero dell'ultima generazione dei registri da ciascuno dei risponditori.
    4. Ogni server risponde con il numero di generazione del registro.

  4. Il PAM recupera lo stato corrente del catalogo di indicizzazione della ricerca dal database cluster.

  5. Sulla base del numero di generazione dei registri e dell'integrità del catalogo di ciascuna copia del database, il PAM seleziona le migliori copie da attivare.

  6. Il PAM aggiorna la posizione di installazione del database nel database cluster.

  7. Il Manager primario attivo (PAM) avvia il failover del database comunicando con Active Manager su uno o più server.

  8. Active Manager sui server selezionati richiede che il servizio Replica di Microsoft Exchange tenti di copiare gli ultimi registri dal server precedente e imposti il contrassegno installabile.

  9. Quando il database è installabile, Active Manager sui server installa i database.

Per ulteriori informazioni sulla miglior procedura di selezione di Active Manager, vedere Active Manager.

Failover del datacenter

Sono state apportate modifiche significative in Exchange 2013 che affrontano le difficoltà di configurazione della resilienza del sito in Exchange 2010. Con la semplificazione dello spazio dei nomi, il consolidamento dei ruoli del server, la separazione del ripristino del DAG e del server Accesso client (in Exchange 2013, lo spazio dei nomi non ha bisogno di spostarsi con il DAG) e le modifiche al bilanciamento del carico, Exchange 2013 fornisce nuove opzioni di resilienza del sito, quali ad esempio la possibilità di utilizzare un solo spazio dei nomi. Inoltre, se si dispone di più di due posizioni in cui distribuire i componenti del servizio di messaggistica, Exchange 2013 abilita anche la configurazione del servizio di messaggistica per il failover automatico in risposta a errori che richiedevano l'intervento manuale in Exchange 2010.

La resilienza del sito è stata semplificata da un punto di vista operativo in Exchange 2013. Exchange applica la tolleranza di errore incorporata nello spazio dei nomi tramite più indirizzi IP, il bilanciamento del carico e, se necessario, la possibilità di portare i server dentro e fuori servizio. Una delle modifiche più significative apportate in Exchange 2013 è stata l'uso della capacità dei client di memorizzare nella cache più indirizzi IP restituiti da un server DNS in risposta a una richiesta di risoluzione dei nomi. Presupponendo che il client abbia la capacità di memorizzare nella cache più indirizzi IP (come in quasi tutti i client HTTP e quasi tutti i protocolli di accesso del client in Exchange 2013 basati su HTTP (Outlook, Outlook via Internet, Exchange ActiveSync (EAS), EWS, OWA, Interfaccia di amministrazione di Exchange, RPS e così via), tutti i client HTTP hanno la capacità di utilizzare più indirizzi IP fornendo in tal modo il failover da parte del client. È possibile configurare il DNS per gestire più indirizzi IP per un client durante la risoluzione dei nomi. Ad esempio, il client richiede mail.contoso.com e ottiene due indirizzi IP o quattro indirizzi IP. Tuttavia, molti indirizzi IP restituiti dal client verranno usati in modo affidabile dal client. Questo utilizzo ottimale rende il client molto migliore perché se uno degli indirizzi IP ha esito negativo, il client ha uno o più altri a cui provare a connettersi. Se un client ne prova uno e si verifica un errore, attende circa 20 secondi e prova quello successivo nell'elenco. Pertanto, se si perde la connettività alla matrice CAS primaria e si dispone di un secondo indirizzo IP pubblicato per una seconda matrice CAS, il ripristino per i client avviene automaticamente (in circa 21 secondi).

I client HTTP moderni (sistemi operativi e Web browser di dieci anni o meno) funzionano automaticamente con questa ridondanza. Lo stack HTTP può accettare più indirizzi IP per un FQDN e, se il primo IP che tenta non riesce (ad esempio, non riesce a connettersi), proverà l'INDIRIZZO IP successivo nell'elenco. In un errore temporaneo (connessione persa dopo la sessione stabilita, a causa di un errore intermittente nel servizio in cui, ad esempio, un dispositivo sta rilasciando pacchetti e deve essere portato fuori servizio), l'utente potrebbe dover aggiornare il browser.

Con la corretta configurazione, il failover si verifica a livello del client e i client vengono automaticamente reindirizzati a un secondo datacenter che dispone di server Accesso client operativi e questi server comunicano tramite proxy con il server Cassette postali dell'utente, che non subisce gli effetti dell'interruzione (poiché non si effettua un switchover). Invece di lavorare per ripristinare il servizio, il servizio viene ripristinato ed è possibile concentrarsi sulla correzione del problema principale, ad esempio la sostituzione di un servizio di bilanciamento del carico non riuscito.

Poiché è possibile eseguire il failover dello spazio dei nomi tra data center, tutto ciò che è necessario per ottenere un failover del data center è un meccanismo per il failover del ruolo Cassette postali tra i data center. Per ottenere il failover automatico per il gruppo di disponibilità del database, si progetta una soluzione in cui il dag viene suddiviso in modo uniforme tra due data center e quindi si posiziona il server di controllo di controllo in una terza posizione in modo che possa essere arbitrato dai membri del gruppo di disponibilità del database in entrambi i data center, indipendentemente dallo stato della rete tra i data center che contengono i membri del gruppo di disponibilità dati. La soluzione risiede nella terza posizione isolata dagli errori di rete che influenzano le posizioni contenenti i membri DAG.

Se si dispone solo di due data center e si vuole configurare il failover automatico, è possibile usare Microsoft Azure come terza posizione. Sarà necessario creare una rete virtuale di Azure e connetterla ai due data center usando una VPN multipunto. Sarà quindi possibile posizionare il server di controllo di controllo in una macchina virtuale di Microsoft Azure. Per altre informazioni, vedere Uso di una macchina virtuale di Microsoft Azure come server di controllo del dag.