Microsoft 365에서 데이터 복원력 Exchange Online

중요

사서함 콘텐츠를 보존하는 다양한 방법에 계속 투자하면서 Exchange Online EAC(Exchange 관리 센터)에서 In-Place 보류 사용 중지를 발표합니다. 2020년 7월 1일부터 새 In-Place 보류를 만들 수 없습니다. 하지만 EAC에서 또는 Exchange Online PowerShell에서 Set-MailboxSearch cmdlet을 사용하여 In-Place 보존을 관리할 수 있습니다. 그러나 2020년 10월 1일부터는 In-Place 보류를 관리할 수 없습니다. EAC에서 또는 Remove-MailboxSearch cmdlet을 사용하여 제거할 수 있습니다. Exchange Server 및 Exchange 하이브리드 배포에서 In-Place 보류 사용은 계속 지원됩니다. Exchange Online In-Place 보류 사용 중지에 대한 자세한 내용은 레거시 eDiscovery 도구 사용 중지를 참조하세요.

In-Place 보존은 삭제된 항목 및 수정된 항목의 원래 버전을 포함하여 모든 사서함 콘텐츠를 유지합니다. 이러한 모든 사서함 항목은 현재 위치 eDiscovery 검색에서 반환됩니다. 사용자의 사서함에 In-Place 보관을 배치하면 해당 보관 사서함의 콘텐츠(활성화된 경우)도 보류되고 eDiscovery 검색에 반환됩니다.

Exchange 데이터베이스에 영향을 줄 수 있는 손상에는 일반적으로 하드웨어(특히 스토리지 하드웨어) 문제로 인해 발생하는 물리적 손상과 다른 요인으로 인해 발생하는 논리적 손상의 두 가지 유형이 있습니다. 일반적으로 Exchange 데이터베이스 내에서 발생할 수 있는 두 가지 유형의 논리적 손상이 있습니다.

• 데이터베이스 논리 손상 - 데이터베이스 페이지 체크섬이 일치하지만 페이지의 데이터가 논리적으로 잘못되었습니다. 이는 데이터베이스 엔진(ESE(Extensible Storage Engine))이 데이터베이스 페이지를 작성하려고 시도하고 운영 체제가 성공 메시지를 반환하더라도 데이터가 디스크에 기록되지 않거나 잘못된 위치에 기록되는 경우에 발생할 수 있습니다. 이를 손실 플러시라고 합니다. ESE에는 데이터베이스 및 기타 데이터 손실 시나리오의 물리적 손상을 방지하도록 설계된 다양한 기능 및 보호 기능이 포함되어 있습니다. 손실된 플러시로 인한 데이터 손실을 방지하기 위해 ESE에는 데이터베이스의 손실된 플러시 검색 메커니즘과 이를 수정하는 기능(단일 페이지 복원)이 포함되어 있습니다.
• 논리 손상 저장 - 사용자가 예상하지 않는 방식으로 데이터가 추가, 삭제 또는 조작됩니다. 이러한 경우는 타사 애플리케이션에 의해 발생합니다. 일반적으로 사용자가 손상으로 간주한다는 점에서 손상입니다. Exchange 저장소는 논리 손상을 생성한 트랜잭션을 일련의 유효한 MAPI 작업으로 간주합니다. Exchange Online In-Place Hold 기능은 사용자 또는 애플리케이션에서 콘텐츠를 영구적으로 삭제할 수 없으므로 저장소 논리적 손상으로부터 보호합니다.

Exchange Online 로그 검사 및 로그 재생 중에 복제된 로그 파일에 대해 여러 일관성 검사를 수행합니다. 이러한 일관성 검사는 시스템에 의해 물리적 손상이 복제되는 것을 방지합니다. 예를 들어 로그 검사 중에 로그 파일을 확인하고 로그 파일에 기록된 체크섬이 메모리에서 생성된 체크섬과 일치하는지 확인하는 물리적 무결성 검사 있습니다. 또한 로그 파일 헤더를 검사하여 로그 헤더에 기록된 로그 파일 서명이 로그 파일의 서명과 일치하는지 확인합니다. 로그 재생 중에 로그 파일은 추가 조사를 거칩니다. 예를 들어 데이터베이스 헤더에는 일치하는지 확인하기 위해 로그 파일의 서명과 비교되는 로그 서명도 포함됩니다.

Exchange Online 사서함 데이터 손상 방지는 여러 서버 및 여러 데이터 센터에서 애플리케이션 수준 복제를 활용하는 복원력 전략인 Exchange Native Data Protection과 손상 또는 기타 이유로 인해 데이터가 손실되지 않도록 보호하는 다른 기능을 사용하여 수행됩니다. 이러한 기능에는 다음과 같이 Microsoft 또는 Exchange Online 애플리케이션 자체에서 관리하는 네이티브 기능이 포함됩니다.

• 데이터 가용성 그룹
• 단일 비트 수정
• 온라인 데이터베이스 검사
• 플러시 검색 손실
• 단일 페이지 복원
• 사서함 복제 서비스
• 로그 파일 검사
• 복원 파일 시스템에 배포

이전에 나열된 네이티브 기능에 대한 자세한 내용은 하이퍼링크를 선택하고 하이퍼링크가 없는 항목에 대한 자세한 내용은 다음을 참조하세요. 이러한 네이티브 기능 외에도 Exchange Online 다음과 같이 고객이 관리할 수 있는 데이터 복원력 기능도 포함합니다.

• 단일 항목 복구(기본적으로 사용)
• 원본 위치 유지 및 소송 보존
• 삭제된 항목 보존 및 Soft-Deleted 사서함(모두 기본적으로 사용)

데이터베이스 가용성 그룹

Microsoft 365의 모든 사서함 데이터베이스는 DAG(데이터베이스 가용성 그룹) 에서 호스트되며 동일한 지역 내의 지리적으로 별도의 데이터 센터에 복제됩니다. 가장 일반적인 구성은 4개의 데이터 센터에 있는 4개의 데이터베이스 복사본입니다. 그러나 일부 지역에는 데이터 센터가 적습니다(데이터베이스는 인도의 3개 데이터 센터와 호주와 일본의 두 데이터 센터에 복제됨). 그러나 모든 경우에 모든 사서함 데이터베이스에는 여러 데이터 센터에 분산된 4개의 복사본이 있으므로 사서함 데이터가 소프트웨어, 하드웨어 및 데이터 센터 오류로부터 보호됩니다.

이러한 4개의 복사본 중 3개는 고가용성으로 구성됩니다. 네 번째 복사본은 지연된 데이터베이스 복사본으로 구성됩니다. 지연된 데이터베이스 복사본은 개별 사서함 복구 또는 사서함 항목 복구를 위한 것이 아닙니다. 그 목적은 시스템 전체의 치명적인 논리적 손상의 드문 이벤트에 대한 복구 메커니즘을 제공하는 것입니다.

Exchange Online 지연된 데이터베이스 복사본은 7일 로그 파일 재생 지연 시간으로 구성됩니다. 또한 Exchange Replay Lag Manager는 지연된 데이터베이스 복사본이 로그 파일 증가를 자체 복구하고 관리할 수 있도록 지연된 복사본에 대해 동적 로그 파일 재생을 제공할 수 있습니다. 지연된 데이터베이스 복사본은 Exchange Online 사용되지만 보장된 특정 시점 백업이 아니라는 것을 이해하는 것이 중요합니다. Exchange Online 지연된 데이터베이스 복사본은 디스크 오류로 인해 지연된 복사본이 포함된 디스크가 손실되는 기간, 지연된 복사본이 고가용성 복사본(자동 재생 중단으로 인해)이 되는 기간 및 지연된 데이터베이스 복사본이 로그 재생 큐를 다시 빌드하는 기간으로 인해 일반적으로 약 90%의 가용성 임계값을 가집니다.

전송 복원력

Exchange Online 두 가지 기본 전송 복원력 기능인 섀도 중복성 및 안전망을 포함합니다. 섀도 중복성은 전송 중에 메시지의 중복 복사본을 유지합니다. Safety Net은 메시지가 성공적으로 전달된 후 메시지의 중복 복사본을 유지합니다.

섀도 중복성을 사용하면 각 Exchange Online 전송 서버는 메시지를 보내는 서버에 성공적으로 수신되었음을 승인하기 전에 수신하는 각 메시지의 복사본을 만듭니다. 이렇게 하면 전송 중인 동안 전송 파이프라인의 모든 메시지가 중복됩니다. Exchange Online 전송 중에 원본 메시지가 손실된 것으로 확인되면 메시지의 중복 복사본이 다시 배달됩니다.

Safety Net은 사서함 서버의 전송 서비스와 연결된 전송 큐입니다. 이 큐는 서버에 의해 성공적으로 처리된 메시지의 복사본을 저장합니다. 사서함 데이터베이스 또는 서버 오류로 사서함 데이터베이스의 오래된 복사본을 활성화해야 하는 경우 Safety Net 큐의 메시지는 사서함 데이터베이스의 새 활성 복사본에 자동으로 다시 전송됩니다. Safety Net도 중복되어 단일 실패 지점으로 전송이 제거됩니다. 기본 안전망 및 섀도 안전망의 개념을 사용합니다. 기본 안전망을 12시간 이상 사용할 수 없는 경우 다시 제출 요청은 섀도 재제출 요청이 되고 메시지는 섀도 안전망에서 다시 배달됩니다.

Safety Net의 메시지 다시 제출은 DAG 및 사서함 데이터베이스 복사본을 관리하는 Microsoft Exchange 복제 서비스의 Active Manager 구성 요소에 의해 자동으로 시작됩니다. 보안 네트워크에서 메시지를 다시 전송하는 데 수동 작업은 필요하지 않습니다.

단일 비트 수정

ESE에는 하드웨어 오류의 결과인 단일 비트 CRC 오류(단일 비트 대칭 이동이라고도 함)를 검색하고 resolve 메커니즘이 포함되어 있습니다(물리적 손상을 나타남). 이러한 오류가 발생하면 ESE는 자동으로 오류를 수정하고 이벤트 로그에 이벤트를 기록합니다.

온라인 데이터베이스 검사

온라인 데이터베이스 검사(데이터베이스 검사 합계라고도 함)는 ESE가 데이터베이스 일관성 검사기를 사용하여 각 페이지를 읽고 페이지 손상에 대한 검사 프로세스입니다. 주요 목적은 트랜잭션 작업에서 검색되지 않을 수 있는 물리적 손상 및 손실된 플러시를 검색하는 것입니다. 데이터베이스 검사는 저장소 후 크래시 작업도 수행합니다. 크래시로 인해 공간이 유출될 수 있으며 온라인 데이터베이스 검사는 손실된 공간을 찾아 복구합니다. 시스템은 모든 데이터베이스가 7일마다 한 번씩 완전히 검사되도록 설계되었습니다.

플러시 검색 손실

완료됨으로 반환된 디스크 하위 시스템/운영 체제가 실제로 디스크에 기록되지 않았거나 잘못된 위치에 기록된 데이터베이스 쓰기 작업에서 손실된 플러시가 발생합니다. 플러시 인시던트가 손실되면 데이터베이스 논리적 손상이 발생할 수 있으므로 손실된 플러시로 인해 데이터가 손실되는 것을 방지하기 위해 ESE에는 손실된 플러시 검색 메커니즘이 포함됩니다. 데이터베이스 페이지가 수동 복사본에 기록되면 현재 복사본에서 손실된 플러시에 대해 검사 수행됩니다. 손실된 플러시가 감지되면 ESE는 페이지 패치 프로세스를 사용하여 프로세스를 복구할 수 있습니다.

단일 페이지 복원

페이지 패치라고도 하는 단일 페이지 복원은 손상된 데이터베이스 페이지가 정상 복제본(replica) 정상 복사본으로 대체되는 자동 프로세스입니다. 손상된 페이지에 대한 복구 프로세스는 데이터베이스 복사본이 활성인지 수동인지에 따라 달라집니다. 활성 데이터베이스 복사본에 손상된 페이지가 발견되면 복사하는 페이지가 최신 상태인 경우 해당 복제본 중 하나에서 페이지를 복사할 수 있습니다. 이 프로세스는 사서함 데이터베이스 복제의 기초인 로그 스트림에 페이지에 대한 요청을 배치하여 수행됩니다. 복제본(replica) 페이지 요청이 발생하는 즉시 요청 데이터베이스 복사본에 페이지 복사본을 전송하여 응답합니다. 또한 단일 페이지 복원은 복제본이 현재 오프라인 상태인 경우에도 활성에서 복제본에서 페이지를 요청하는 비동기 통신 메커니즘을 제공합니다.

지연된 데이터베이스 복사본을 포함하여 수동 데이터베이스 복사본이 손상되는 경우 이러한 복사본은 항상 활성 복사본 뒤에 있기 때문에 활성 복사본에서 수동 복사본으로 페이지를 복사하는 것이 항상 안전합니다. 수동 데이터베이스 복사는 기본적으로 고가용성이므로 페이지 패치 프로세스 중에 로그 재생이 일시 중단되지만 로그 복사는 계속됩니다. 수동 데이터베이스 복사본은 활성 복사본에서 손상된 페이지의 복사본을 검색하고 필요한 최대 로그 생성 요구 사항을 충족하는 로그 파일이 복사 및 검사될 때까지 기다린 다음 손상된 페이지를 패치합니다. 페이지가 패치되면 로그 재생이 다시 시작됩니다. 지연된 데이터베이스가 패치 가능한 상태를 달성하는 데 필요한 모든 로그 파일을 먼저 재생한다는 점을 제외하면 지연된 데이터베이스 복사본의 프로세스는 동일합니다.

사서함 복제 서비스

사서함 이동은 대규모 전자 메일 서비스 관리의 핵심 부분입니다. 항상 업데이트된 기술과 하드웨어 및 버전 업그레이드를 처리할 수 있으므로, 사서함이 사용자에게 투명하게 이동하도록 하면서(프로세스 전반에 걸쳐 온라인 상태를 유지함으로써) 엔지니어가 이 작업을 수행할 수 있는 강력하고 제한적인 시스템을 사용하는 것이 중요하며 사서함이 더 커지고 커지면 프로세스가 정상적으로 확장되도록 하는 것이 중요합니다.

MRS(Exchange Mailbox Replication Service)는 데이터베이스 간에 사서함을 이동하는 역할을 담당합니다. 이동하는 동안 MRS는 사서함 내의 모든 항목에서 일관성 검사 수행합니다. 일관성 문제가 발견되면 MRS는 문제를 수정하거나 손상된 항목을 건너뛰어 사서함에서 손상을 제거합니다.

MRS는 Exchange Online 구성 요소이므로 나중에 검색되는 새로운 형태의 손상을 해결하기 위해 코드를 변경할 수 있습니다. 예를 들어 MRS가 해결할 수 없는 일관성 문제를 감지하는 경우 손상을 분석하고 MRS 코드를 변경하고 불일치를 수정할 수 있습니다(방법을 이해하는 경우).

로그 파일 검사

Exchange 데이터베이스에서 생성된 모든 트랜잭션 로그 파일은 여러 형태의 일관성 검사를 거칩니다. 로그 파일을 만들 때 첫 번째 작업은 비트 패턴이 작성되고 일련의 로그 쓰기가 수행되는 것입니다. 이 구조를 사용하면 Exchange Online 일련의 검사(손실된 플러시, CRC 및 기타 검사)를 실행하여 각 로그 파일이 기록되는 동안 및 복제되는 동안 다시 유효성을 검사할 수 있습니다.

복원 파일 시스템에 배포

파일 시스템 수준에서 손상이 발생하지 않도록 하기 위해 향상된 복구 기능을 제공하기 위해 Exchange Online ReFS(복원 파일 시스템) 파티션에 배포됩니다. ReFS는 데이터 손상에 대한 복원력을 높여 데이터 가용성 및 무결성을 극대화하도록 설계된 Windows Server 2012 이상의 파일 시스템입니다. 특히 ReFS는 메타데이터가 업데이트되는 방식을 개선하여 데이터를 더 잘 보호하며 데이터 손상 사례를 줄입니다. 또한 체크섬을 사용하여 파일 데이터 및 메타데이터의 무결성을 확인하여 데이터 손상을 쉽게 찾아 복구할 수 있습니다.

Exchange Online 다음과 같은 여러 ReFS 혜택을 활용합니다.

• 데이터 무결성의 복원력이 높으면 데이터 손상 인시던트가 줄어듭니다. 손상 인시던트 수를 줄이면 불필요한 데이터베이스 다시 시딩이 줄어듭니다.
• 메타데이터에서 실행되는 체크섬을 사용하면 손상 사례를 더 빠르고 더 결정적으로 검색할 수 있으므로 데이터 볼륨에서 회색 오류가 발생하기 전에 고객 데이터 손상을 해결할 수 있습니다.
• 성능에 영향을 주지 않고 큰 데이터 집합(페타바이트 및 더 큰 데이터 세트)과 잘 작동하도록 설계되었습니다.
• BitLocker 암호화와 같은 Exchange Online 사용하는 다른 기능에 대한 지원

Exchange Online 다른 ReFS 기능의 이점도 있습니다.

• 무결성(무결성 스트림) - ReFS는 일반적으로 데이터 손실을 유발할 수 있는 많은 일반적인 오류로부터 데이터를 보호하는 방식으로 데이터를 저장합니다. Microsoft 365 Search 무결성 스트림을 사용하여 파일 콘텐츠의 초기 디스크 손상 검색 및 체크섬을 지원합니다. 또한 이 기능은 '찢어진 쓰기'로 인한 손상 인시던트(정전 등으로 인해 쓰기 작업이 완료되지 않는 경우)를 줄입니다.
• 가용성(Salvage) - ReFS는 데이터 가용성의 우선 순위를 지정합니다. 지금까지 파일 시스템은 종종 복구를 위해 시스템을 오프라인으로 전환해야 하는 데이터 손상에 취약했습니다. 드물지만 손상이 발생하는 경우 ReFS는 라이브 볼륨의 네임스페이스에서 손상된 데이터를 제거하고 복구할 수 없는 손상된 데이터의 영향을 받지 않도록 하는 기능인 복구를 구현합니다. 복구 기능을 적용하고 Exchange Online 데이터베이스 볼륨에 데이터 손상을 격리한다는 것은 손상 및 복구 작업 시간 사이에 손상된 볼륨에 영향을 받지 않는 데이터베이스를 정상 상태로 유지할 수 있음을 의미합니다. 이 구조는 일반적으로 이러한 디스크 손상 문제의 영향을 받는 데이터베이스의 가용성을 높입니다.