Exchange Server의 안전망
Exchange 2010에서 전송 쓰레기통 은 DAG(데이터베이스 가용성 그룹)의 수동 사서함 데이터베이스 복사본에 복제되지 않은 배달된 메시지의 큐를 유지 관리하여 데이터 손실로부터 보호하는 데 도움을 주었습니다. 즉, 사서함 데이터베이스 또는 서버 오류로 인해 사서함 데이터베이스의 오래된 복사본을 승격해야 하는 경우 전송 휴지통의 메시지가 사서함 데이터베이스의 새로운 활성 복사본에 자동으로 다시 전송되었습니다.
전송 쓰레기통은 Exchange 2013에서 개선되었으며 현재 Safety Net이라고 합니다. Exchange 2016 및 Exchange 2019도 이와 동일한 개선 사항이 있습니다.
보안 네트워크가 Exchange 2010의 전송 휴지통과 유사한 점은 다음과 같습니다.
보안 네트워크는 사서함 서버의 전송 서비스와 연결된 큐입니다. 이 큐는 서버에 의해 성공적으로 처리된 메시지의 복사본을 저장합니다.
성공적으로 처리된 메시지의 복사본이 만료되어 자동으로 삭제되기 전까지 보안 네트워크에서 저장하는 기간을 지정할 수 있습니다. 기본값은 2일입니다.
Exchange 2010의 운송 쓰레기통에서 Safety Net을 개선하는 방법은 다음과 같습니다.
Safety Net에는 DAG가 필요하지 않습니다. DAG에 속하지 않는 사서함 서버의 경우 Safety Net은 배달된 메시지의 복사본을 로컬 Active Directory 사이트의 다른 사서함 서버에 저장합니다.
Safety Net 자체는 단일 실패 지점이 아닙니다. 중복성은 기본 안전망 및 섀도 안전망을 사용하여 제공됩니다. 기본 보안 네트워크가 12시간 이상 사용 불가능한 상태인 경우 다시 전송 요청은 섀도 다시 전송 요청이 되고, 메시지는 섀도 보안 네트워크에서 다시 배달됩니다.
Safety Net은 DAG 환경의 섀도 중복에서 일부 책임을 맡습니다. 배달된 메시지가 사서함 데이터베이스의 수동 복사본에 복제되기를 기다리는 동안 섀도 중복성은 배달된 메시지의 다른 복사본을 섀도 큐에 유지할 필요가 없습니다. 배달된 메시지의 복사본은 이미 보안 네트워크에 저장되었으므로 필요한 경우 보안 네트워크에서 메시지를 다시 전송할 수 있습니다.
Safety Net은 메시지 중복성을 보장하려고 합니다. Safety Net은 메시지 중복을 위한 최선의 노력 이상이므로 Safety Net의 최대 크기 제한을 지정할 수 없습니다. 자동으로 삭제되기 전에 Safety Net에서 메시지를 저장하는 기간만 지정할 수 있습니다.
Exchange Server의 전송 고가용성 기능에 대한 자세한 내용은 Exchange Server 의 전송 고가용성을 참조하세요. 전송 중인 메시지에 대한 메시지 중복성에 대한 자세한 내용은 Exchange Server의 섀도 중복성을 참조하세요.
보안 네트워크 작동 방식
섀도 중복성은 메시지가 전송 중일 때 메시지의 중복 복사본을 보관합니다. 보안 네트워크는 메시지가 성공적으로 처리된 후 메시지의 중복 복사본을 보관합니다. 따라서 보관 네트워크는 섀도 중복성이 끝나는 곳에서 시작됩니다. 전송 고가용성 경계, 기본 메시지, 기본 서버, 그림자 메시지 및 그림자 서버를 비롯한 섀도 중복의 개념도 Safety Net에 적용됩니다. 자세한 내용은 Exchange Server의 섀도 중복성을 참조하세요.
기본 Safety Net은 전송 서비스에서 메시지를 성공적으로 처리하기 전에 기본 메시지를 보관한 사서함 서버에 있습니다. 이는 메시지가 대상 사서함 서버의 사서함 전송 배달 서비스로 전달되었음을 의미할 수 있습니다. 또는 대상 DAG 또는 Active Directory 사이트로 가는 길에 허브 사이트로 지정된 Active Directory 사이트의 사서함 서버를 통해 메시지를 릴레이할 수 있습니다. 주 서버가 기본 메시지를 처리한 후 메시지는 활성 배달 큐에서 동일한 서버의 기본 안전망으로 이동됩니다.
섀도 보안 네트워크는 섀도 메시지가 있던 사서함 서버에 있습니다. 섀도 서버에서 기본 서버가 기본 메시지를 성공적으로 처리했음을 확인하면 이 메시지는 섀도 큐에서 동일한 서버의 섀도 보안 네트워크로 이동합니다. 분명해 보일 수 있지만 그림자 안전망이 존재하려면 그림자 중복성을 사용하도록 설정해야 합니다(기본적으로 사용하도록 설정됨).
이 표에서는 Safety Net에서 사용하는 매개 변수에 대해 설명합니다.
매개 변수 | 기본값 | 설명 |
---|---|---|
Set-TransportConfig의 SafetyNetHoldTime | 2일 | 주 메시지를 성공적으로 처리한 기간은 기본 안전망에 저장되고 승인된 섀도 메시지는 섀도 안전망에 저장됩니다. 메일 흐름>수신 커넥터>추가 옵션 추가 옵션 아이콘의 EAC(Exchange 관리 센터)에서 이 값을 지정할 수도 >조직 전송 설정>안전망>Safety Net 대기 시간. 승인되지 않은 섀도 메시지는 SafetyNetHoldTime 및 MessageExpirationTimeout 매개 변수 값의 합계를 합한 후 결국 Shadow Safety Net에서 만료됩니다. Safety Net을 다시 제출하는 동안 데이터 손실을 방지하려면 이 매개 변수의 값이 사서함 데이터베이스의 지연된 복사본에 대한 Set-MailboxDatabaseCopy의 ReplayLagTime 값보다 크거나 같아야 합니다. |
Set-MailboxDatabaseCopy의 ReplayLagTime | 구성되지 않음 | 수동 데이터베이스 복사본에 복사된 로그 파일을 재생하기 전에 Microsoft Exchange 복제 서비스에서 대기해야 하는 시간입니다. 이 매개 변수를 0보다 큰 값으로 설정하면 사서함 데이터베이스의 지연된 복사본이 만들어집니다. 최대값은 14일입니다. Safety Net을 다시 제출하는 동안 데이터 손실을 방지하려면 사서함 데이터베이스의 지연된 복사본에 대한 이 매개 변수 값이 Set-TransportConfig의 SafetyNetHoldTime 값보다 작거나 같아야 합니다. |
Set-TransportService의 MessageExpirationTimeout | 2일 | 메시지가 만료되기 전에 큐에 남아 있을 수 있는 시간입니다. |
Set-TransportConfig의 ShadowRedundancyEnabled | $true |
$true : 섀도 중복성은 조직의 모든 사서함 서버에서 사용하도록 설정됩니다.
Safety Net의 중복성을 사용하려면 섀도 중복성을 사용하도록 설정해야 합니다. |
Safety Net 지원되는 최대 크기
Microsoft Exchange Server 2019 및 2016에서 전송 Safety Net JET 데이터베이스에 대해 지원되는 최대 데이터베이스 크기는 2TB입니다.
허브 및 스포크 토폴로지를 사용하면 전송 Safety Net JET 데이터베이스가 2TB를 초과할 수 있습니다. 지원되는 제한인 2TB 이내를 유지하려면 다음 지침을 따르세요.
메시지 릴레이에 사용되는 허브 서버는 사서함에 메시지를 배달하도록 구성할 수 없습니다.
메시지 릴레이에 사용되는 허브 서버에서 Safety Net을 사용하지 않도록 설정합니다. 이렇게 하려면 다음과 같이 하십시오.
명령 프롬프트 창에서 서버에서 다음 명령을 실행하여 메모장에서 EdgeTransport.exe.config 파일을 엽니다.
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config
appSettings 섹션에서 다음 키를 추가합니다.
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />
완료되면 EdgeTransport.exe.config 파일을 저장하고 닫습니다.
다음 명령을 실행하여 Exchange 전송 서비스를 다시 시작합니다.
net stop MSExchangeTransport && net start MSExchangeTransport
보안 네트워크에서 메시지 다시 전송
Microsoft Exchange 복제 서비스(MSExchangeRepl.exe)의 Active Manager 구성 요소는 DAG 및 사서함 데이터베이스 복사본을 관리합니다. Safety Net의 메시지 다시 제출에는 수동 작업이 필요하지 않으며 Active Manager에서 시작됩니다. Active Manager에 대한 자세한 내용은 Active Manager를 참조하십시오.
기본적인 보안 네트워크 메시지 다시 전송이 요구되는 두 가지 시나리오가 있습니다.
DAG의 사서함 데이터베이스에 대한 자동 또는 수동 장애 조치(failover) 후
사서함 데이터베이스의 지연된 복사본을 활성화한 후
지연된 사서함 데이터베이스 복사 또는 지연된 복사본은 사서함 데이터베이스의 논리적 손상으로부터 보호하기 위해 데이터베이스에 대한 업데이트가 의도적으로 지연되는 사서함 데이터베이스의 수동 복사본입니다. 자세한 내용은 사서함 데이터베이스 복사본 관리를 참조하세요.
두 가지 시나리오의 유일한 중요 차이점은 보안 네트워크에서 메시지를 다시 전송하기 위해 뒤로 이동해야 할 시간의 길이입니다. 일반적으로 DAG의 데이터베이스 장애 조치(failover)의 경우 사서함 데이터베이스의 새 활성 복사본은 이전 활성 복사본 뒤에 몇 분에서 몇 시간 뒤에 있습니다. 사서함 데이터베이스의 지연된 복사본은 대개 이전 활성 복사본보다 며칠이 늦습니다.
지연된 복사본에 대한 Safety Net의 성공적인 메시지 재구입에 대한 주요 요구 사항은 메시지가 Safety Net에 저장되는 시간 길이가 지연된 복사본의 지연 시간보다 크거나 같아야 한다는 것입니다. 즉, Set-TransportConfig의 SafetyNetHoldTime 값은 지연된 복사본에 대한 Set-MailboxDatabaseCopy의 ReplayLagTime 값보다 크거나 같아야 합니다.
섀도 보안 네트워크에서 메시지 다시 전송
섀도 세이프티넷에서 메시지 다시 제출(예: 기본 안전망에서 메시지 다시 제출)은 완전히 자동화되며 수동 개입이 필요하지 않습니다. 이 시나리오에서는 메시지를 다시 제출하는 동안 기본 안전망 및 섀도 안전망의 상호 작용에 대해 설명합니다.
Active Manager는 지정된 시간 간격(예: 5:00~9:00)에 대해 사서함 데이터베이스에 대한 Safety Net에서 메시지 다시 제출을 요청합니다. 그런데 기본 보안 네트워크가 있는 사서함 서버가 하드웨어 오류로 인해 손상되었습니다. Active Manager는 다음 12시간 동안 기본 안전망에 연결하지 못했습니다.
12시간 후에 Active Manager는 전송 고가용성 경계(DAG 또는 비 DAG 환경의 Active Directory 사이트)에 있는 모든 사서함 서버의 전송 서비스에 브로드캐스트 메시지를 보내며 지정된 시간 간격 동안 대상 사서함 데이터베이스에 대한 메시지가 포함된 다른 안전망을 찾습니다. Shadow Safety Net은 5:00~9:00 시간 간격으로 사서함 데이터베이스에 대한 메시지를 응답하고 다시 전송합니다.
Shadow Safety Net이 응답하는 경우 필요한 시간 간격 동안 필요한 사서함 데이터베이스에 대한 메시지만 다시 제출합니다. 사서함 데이터베이스 및 시간 간격에 의한 이러한 제한은 다음과 같은 잠재적인 문제를 줄이는 데 도움이 됩니다.
Safety Net에서 메시지를 다시 제출하면 중복 배달이 발생할 수 있습니다. 중복된 메시지 검색으로 인해 사서함 사용자가 중복 메시지를 볼 수 없으므로 Exchange 조직의 사서함에는 문제가 되지 않습니다. 그러나 외부 받는 사람에게 메시지 배달이 중복되면 받는 사람이 볼 수 있는 메시지 복사본이 중복될 수 있습니다.
Shadow Safety Net에서 다시 전송된 섀도 메시지는 사서함 서버의 전송 서비스를 통해 전체 분류 및 처리가 필요합니다. 많은 수의 섀도 메시지를 다시 제출하면 사서함 서버 시스템 리소스 측면에서 비용이 많이 들 수 있습니다.
다음은 섀도 안전망에 저장된 섀도 메시지에 대한 몇 가지 중요한 고려 사항입니다.
섀도 보안 네트워크는 기본 메시지를 전송한 기본 서버를 알지 못합니다.
Shadow Safety Net의 섀도 메시지에는 기본 메시지가 전달된 실제 받는 사람이 아닌 원본 메시지 봉투 받는 사람만 포함됩니다(예: 메시지 봉투 수신자는 확장이 필요한 메일 그룹일 수 있음).
섀도 세이프티 net의 메시지에는 주 서버가 메시지를 처리한 후 발생한 메시지 업데이트(예: 메시지 인코딩 또는 콘텐츠 변환)가 포함되지 않습니다.
이 시나리오에서는 요청된 다시 제출 간격의 일부 동안 기본 Safety Net이 오프라인 상태일 때 발생하는 상황에 대해 설명합니다.
기본 안전망을 보유하는 사서함 서버의 큐 데이터베이스가 손상되었으며 7:00에 새 큐 데이터베이스가 만들어집니다. 1:00시에서 7:00시 사이에 기본 보안 네트워크에 저장된 모든 기본 메시지는 손실되지만 서버는 7:00시부터 시작하여 보안 네트워크에 성공적으로 배달된 메시지의 복사본을 저장할 수 있습니다.
Active Manager는 1:00시에서 9:00시 사이의 기간 동안 사서함 데이터베이스에 대해 보안 네트워크로부터의 메시지 다시 전송을 요청합니다.
기본 보안 네트워크는 7:00시에서 9:00시 사이의 기간에 대한 메시지를 다시 전송합니다.
기본 안전망에는 1:00~7:00에 필요한 메시지가 없기 때문입니다. 기본 안전망은 전송 고가용성 경계에 있는 모든 사서함 서버의 전송 서비스에 브로드캐스트 메시지를 보내 필요한 메시지가 포함된 다른 안전망을 찾습니다. Shadow Safety Net은 기본 안전망을 대신하여 두 번째 다시 제출 요청을 생성하여 1:00~7:00 시간 간격 동안 대상 사서함 데이터베이스에 대한 섀도 메시지를 다시 제출합니다.
다음은 Safety Net에서 메시지를 다시 제출할 때 고려해야 할 몇 가지 다른 문제입니다.
모든 배달 상태 알림(DSN, 배달되지 않는 보고서, NDR 또는 반송 메시지라고도 함)은 Safety Net 메시지 재제출에 대해 표시되지 않습니다. 예를 들어 기본 메시지가 NDR로 생성된 경우 다시 전송된 메시지에 대한 NDR은 배달되지 않습니다.
섀도 세이프티 Net이 메시지를 다시 제출할 때 메일 그룹에서 제거된 사용자는 다시 제출된 메시지를 받지 못할 수 있습니다. 예를 들어 메시지가 사용자 A 및 사용자 B가 포함된 그룹으로 전송되고 두 받는 사람 모두 메시지를 받습니다. 사용자 B가 나중에 그룹에서 제거됩니다. 그 후 사용자 B의 사서함이 있는 사서함 데이터베이스에 대해 기본 보안 네트워크로부터의 다시 전송 요청이 만들어집니다. 그러나 기본 보안 네트워크는 12시간 이상 사용할 수 없는 상태이므로 섀도 보안 네트워크 서버가 응답하고 해당 메시지를 다시 전송합니다. 메일 그룹이 확장될 때 메시지를 다시 제출하는 동안 사용자 B는 더 이상 그룹의 구성원이 아니고 다시 제출된 메시지의 복사본을 받지 않습니다.
배포 그룹에 추가된 새 사용자는 Shadow Safety Net이 메시지를 다시 제출할 때 이전의 다시 제출된 메시지를 받을 수 있습니다. 예를 들어 사용자 A와 사용자 B가 포함된 그룹으로 메시지가 전송되고 두 받는 사람 모두 메시지를 받을 수 있습니다. 사용자 C가 나중에 그룹에 추가됩니다. 그 후 사용자 C의 사서함이 있는 사서함 데이터베이스에 대해 기본 보안 네트워크로부터의 다시 전송 요청이 만들어집니다. 그러나 기본 보안 네트워크 서버는 12시간 이상 사용할 수 없는 상태이므로 섀도 보안 네트워크 서버가 응답하고 해당 메시지를 다시 전송합니다. 메일 그룹이 확장될 때 메시지를 다시 제출하는 동안 사용자 C는 이제 그룹의 구성원이 되었으며 다시 제출된 메시지의 복사본을 받게 됩니다.
허브 및 스포크 토폴로지에서 Safety Net 배포: Safety Net은 최종 사용자 사서함을 호스팅하는 Exchange Server에서 메시지 배달을 보호하도록 설계되었습니다. 허브 및 스포크 라우팅 토폴로지를 배포한 고객은 허브 위치의 전송 데이터베이스 크기가 크게 증가하지 않도록 허브 사이트의 전송 서버에서 Safety Net을 사용하지 않도록 설정해야 합니다.