Rede de Segurança
Aplica-se a: Exchange Server 2013
No Microsoft Exchange Server 2013, o principal mecanismo de elevada disponibilidade da caixa de correio é o grupo de disponibilidade da base de dados (DAG). Para obter mais informações sobre DAGs, veja Managing database availability groups (Gerir grupos de disponibilidade de bases de dados). O contentor de lixo de transporte foi introduzido pela primeira vez no Exchange 2007 e foi melhorado no Exchange 2010 para fornecer cópias redundantes de mensagens depois de serem entregues com êxito em caixas de correio em DAGs. No Exchange 2010, o contentor de lixo de transporte ajudou a proteger contra a perda de dados ao manter uma fila de mensagens entregues com êxito que não tinham sido replicadas para as cópias passivas da base de dados da caixa de correio no DAG. Quando uma base de dados de caixa de correio ou falha no servidor exigiu a promoção de uma cópia desatualizada da base de dados da caixa de correio, as mensagens no contentor de lixo de transporte foram automaticamente submetidas para a nova cópia ativa da base de dados da caixa de correio.
O contentor de lixo de transporte foi melhorado no Exchange 2013 e chama-se agora Safety Net.
Eis como a Rede de Segurança é semelhante ao contentor de lixo de transporte no Exchange 2010:
A Rede de Segurança é uma fila associada ao serviço Transporte num servidor de Caixa de Correio. Esta fila armazena cópias de mensagens que foram processadas com êxito pelo servidor.
Pode especificar durante quanto tempo a Rede de Segurança armazena cópias das mensagens processadas com êxito antes de expirarem e serem eliminadas automaticamente. A predefinição é 2 dias.
Eis como a Rede de Segurança é diferente no Exchange 2013:
A Rede de Segurança não requer DAGs. Para servidores de Caixa de Correio que não pertencem a DAGs, a Safety Net armazena cópias das mensagens entregues noutros servidores de Caixa de Correio no site do Active Directory local.
A Própria Rede de Segurança é agora redundante e já não é um ponto único de falha. Esta ação introduz o conceito da Rede de Segurança Primária e da Rede de Segurança Sombra. Se a Rede de Segurança Primária estiver indisponível durante mais de 12 horas, submeter novamente pedidos torna-se pedidos de reenviação sombra e as mensagens são reenviadas a partir da Rede de Segurança Sombra.
A Safety Net assume alguma responsabilidade da redundância sombra em ambientes DAG. A redundância sombra não precisa de manter outra cópia da mensagem entregue numa fila sombra enquanto aguarda que a mensagem entregue seja replicada para as cópias passivas da base de dados da caixa de correio nos outros servidores da Caixa de Correio no DAG. A cópia da mensagem entregue já está armazenada na Rede de Segurança, pelo que a mensagem pode ser novamente submetida a partir da Rede de Segurança, se necessário.
No Exchange 2013, a elevada disponibilidade do transporte é mais do que apenas um melhor esforço para a redundância de mensagens. O Exchange 2013 tenta garantir a redundância de mensagens. Por este motivo, não pode especificar um limite de tamanho máximo para a Rede de Segurança. Só pode especificar durante quanto tempo a Rede de Segurança armazena mensagens antes de serem eliminadas automaticamente.
Como funciona a Rede de Segurança
A redundância sombra mantém uma cópia redundante da mensagem enquanto a mensagem está em trânsito. A Rede de Segurança mantém uma cópia redundante de uma mensagem depois de a mensagem ser processada com êxito. Assim, a Rede de Segurança começa onde termina a redundância sombra. Os mesmos conceitos sobre redundância sombra, incluindo o limite de elevada disponibilidade de transporte, mensagens primárias, servidores primários, mensagens sombra e servidores sombra também se aplicam à Rede de Segurança. Para obter mais informações, consulte Redundância de sombra.
A Rede de Segurança Primária existe no servidor da Caixa de Correio que manteve a mensagem principal antes de a mensagem ter sido processada com êxito pelo serviço de Transporte. Isto pode significar que a mensagem foi entregue ao serviço de Transporte da Caixa de Correio no servidor de caixa de correio de destino. Em alternativa, a mensagem poderia ter sido reencaminhada através do servidor da Caixa de Correio num site do Active Directory designado como um site central a caminho do DAG de destino ou do site do Active Directory. Depois de o servidor primário processar a mensagem primária, a mensagem é movida da fila ativa para a Rede de Segurança Primária no mesmo servidor.
A Rede de Segurança sombra existe no servidor da Caixa de Correio que contém a mensagem sombra. Depois de o servidor sombra determinar que o servidor primário processou com êxito a mensagem primária, o servidor sombra move a mensagem sombra da fila sombra para a Rede de Segurança sombra no mesmo servidor. Embora possa parecer óbvio, a existência da Rede de Segurança Sombra requer a ativação da redundância sombra e a redundância sombra está ativada por predefinição no Exchange 2013.
Os parâmetros utilizados pela Safety Net estão descritos na tabela seguinte.
| Parâmetro | Valor padrão | Descrição |
|---|---|---|
| SafetyNetHoldTime em Set-TransportConfig | 2 dias | O período de tempo que as mensagens primárias processadas com êxito são armazenadas na Rede de Segurança Primária e as mensagens sombra reconhecidas são armazenadas na Rede de Segurança Sombra. Também pode especificar este valor no Centro de administração do Exchange (EAC) em Fluxo> de correioReceber conectores>Mais opções Mais Opções .gif) >Definições de transporte da organização Definições> desuspensãoda Rede de Segurança Da Rede> de Segurança. As mensagens sombra não reconhecidas acabam por expirar da Rede de Segurança Sombra após a soma de SafetyNetHoldTime e MessageExpirationTimeout em Set-TransportService. Para evitar a perda de dados durante as reenviações da Rede de Segurança, o valor de SafetyNetHoldTime tem de ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia atrasada da base de dados da caixa de correio. |
| ReplayLagTime em Set-MailboxDatabaseCopy | Não configurado | A quantidade de tempo que o serviço replicação do Microsoft Exchange deve aguardar antes de reproduzir ficheiros de registo que foram copiados para a cópia passiva da base de dados. Definir este parâmetro para um valor superior a 0 cria uma cópia atrasada da base de dados da caixa de correio. O valor máximo é 14 dias. Para evitar a perda de dados durante as reenviações da Rede de Segurança, o valor de ReplayLagTime tem de ser menor ou igual ao valor de SafetyNetHoldTime em Set-TransportConfig para a cópia atrasada da base de dados da caixa de correio. |
| MessageExpirationTimeout em Set-TransportService | 2 dias | Quanto tempo uma mensagem pode permanecer numa fila antes de expirar. |
| ShadowRedundancyEnabled em Set-TransportConfig | $true |
Uma Rede de Segurança redundante requer a ativação da redundância sombra. |
Reenviação de mensagens da Rede de Segurança
As resubmissões de mensagens da Safety Net são iniciadas pelo componente Active Manager do serviço Replicação do Microsoft Exchange que gere os DAGs e as cópias da base de dados da caixa de correio. Não são necessárias ações manuais para submeter novamente mensagens da Rede de Segurança. Para obter mais informações sobre o Active Manager, consulte Active Manager.
Existem dois cenários básicos de reenviação de mensagens da Rede de Segurança:
- Após a ativação pós-falha automática ou manual de uma base de dados de caixa de correio num DAG.
- Depois de ativar uma cópia atrasada de uma base de dados de caixa de correio.
Uma cópia da base de dados de caixa de correio com atraso ou cópia atrasada é uma cópia passiva de uma base de dados de caixa de correio onde as atualizações à base de dados são intencionalmente atrasadas para proteger contra danos lógicos da base de dados da caixa de correio. Para obter mais informações, consulte Gerir cópias de bases de dados de caixas de correio.
A única diferença significativa entre os dois cenários é a distância anterior no tempo para voltar a submeter mensagens da Safety Net. Normalmente, para a ativação pós-falha num DAG, a nova cópia ativa da base de dados da caixa de correio é normalmente de vários minutos a várias horas atrás da cópia ativa antiga. Normalmente, uma cópia atrasada de uma base de dados de caixa de correio está a vários dias da cópia ativa antiga.
O principal requisito para a remissão com êxito da Rede de Segurança para uma cópia atrasada é que a quantidade de tempo que as mensagens são armazenadas na Rede de Segurança tem de ser maior ou igual ao tempo de atraso da cópia atrasada da base de dados da caixa de correio. Por outras palavras, o valor de SafetyNetHoldTime em Set-TransportConfig tem de ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia com atraso.
Reenviação de mensagens da Rede de Segurança Sombra
Tal como a resubmissão de mensagens da Rede de Segurança Primária, as ressubmissões de mensagens da Rede de Segurança Sombra são totalmente automatizadas e não requerem intervenção manual.
Quando o Active Manager pede a remissão da mensagem da Rede de Segurança durante um período de tempo específico, o pedido é enviado para o serviço Transporte nos servidores da Caixa de Correio onde a Rede de Segurança Primária contém as cópias de mensagens para o período de tempo necessário. Nas grandes organizações do Exchange, é provável que as mensagens necessárias existam na Rede de Segurança em vários servidores de Caixa de Correio, especialmente se o período de tempo necessário for grande.
Sem otimização, a reenviação de mensagens da Safety Net resultaria num número potencialmente grande de entregas duplicadas. As entregas duplicadas na organização do Exchange não são um problema, porque a deteção de mensagens duplicadas impede que os utilizadores da caixa de correio vejam cópias duplicadas de uma mensagem. No entanto, a entrega duplicada de mensagens a destinatários fora da organização do Exchange resultará em cópias duplicadas de mensagens. Felizmente, a remissão de mensagens da Safety Net foi otimizada no Exchange 2013 para reduzir a entrega de mensagens duplicadas.
Se a Rede de Segurança Primária não responder inicialmente ou deixar de responder durante a remissão da mensagem, o Active Manager continua a tentar contactá-la durante 12 horas antes de desistir. Após 12 horas, é enviada uma transmissão para o serviço Transporte em todos os servidores da Caixa de Correio no transporte com elevada disponibilidade vinculado a pedir a remissão da mensagem da Rede de Segurança para o intervalo de tempo necessário para a base de dados de caixa de correio necessária. Quando uma Rede de Segurança Sombra responde, é reenviada as mensagens para a base de dados da caixa de correio necessária apenas durante o intervalo de tempo necessário.
Existem algumas considerações importantes para as mensagens sombra armazenadas na Rede de Segurança Sombra:
A Rede de Segurança sombra não sabe onde o servidor primário transmitiu a mensagem primária.
As mensagens sombra na Rede de Segurança Sombra contêm apenas destinatários de envelopes de mensagens originais e não os destinatários reais onde a mensagem primária foi entregue. Por exemplo, o destinatário do envelope de mensagem pode ser um grupo de distribuição que requer expansão.
As mensagens na rede Shadow Safety não têm nenhuma das atualizações de mensagens que ocorreram após o servidor primário processar a mensagem. Por exemplo, codificação de mensagens ou conversão de conteúdo.
As mensagens sombra reenviadas da Rede de Segurança Sombra requerem categorização e processamento completos através do serviço Transporte no servidor da Caixa de Correio. A nova subscrição de um grande número de mensagens sombra da Rede de Segurança Sombra pode ser dispendiosa em termos de recursos do servidor da Caixa de Correio. Felizmente, a resubmissão de mensagens sombra da Rede de Segurança Sombra também está otimizada, pelo que apenas as mensagens na Rede de Segurança Sombra para o intervalo de tempo pedido e a base de dados da caixa de correio pedida são novamente submetidas.
A interação da Rede de Segurança Primária e da Rede de Segurança Sombra durante a remissão de mensagens é descrita no cenário seguinte.
O Active Manager pede uma nova submissão de mensagens da Rede de Segurança para uma base de dados de caixa de correio para o intervalo de tempo entre 5:00 e 9:00. No entanto, o servidor da Caixa de Correio que detém a Rede de Segurança Primária falhou devido a uma falha de hardware. O Active Manager tenta contactar repetidamente a Rede de Segurança Primária durante 12 horas.
Após 12 horas, o Active Manager envia uma mensagem de difusão para o serviço transporte em todos os servidores da Caixa de Correio no limite de elevada disponibilidade do transporte à procura de outras Redes de Segurança que contenham mensagens para a base de dados da caixa de correio de destino para o intervalo de tempo 5:00 a 9:00. As respostas da Rede de Segurança Sombra são mensagens submetidas novamente para a base de dados da caixa de correio para o intervalo de tempo entre as 5:00 e as 9:00.
Ocorre uma interação interessante se a Rede de Segurança Primária estiver offline durante parte do intervalo de reenvio pedido, conforme descrito no cenário seguinte.
A base de dados de fila no servidor da Caixa de Correio que contém a Rede de Segurança Primária está danificada e é criada uma nova base de dados de fila às 7:00. Todas as mensagens principais armazenadas na Rede de Segurança Primária das 1:00 às 7:00 são perdidas, mas o servidor consegue armazenar cópias de mensagens entregues com êxito na Rede de Segurança a partir das 7:00.
O Active Manager pede uma nova submissão de mensagens da Rede de Segurança para uma base de dados de caixa de correio para o intervalo de tempo entre 1:00 e 9:00.
A Rede de Segurança Primária reenvia mensagens para o intervalo de tempo das 7:00 às 9:00.
A Rede de Segurança Primária envia uma mensagem de difusão para o serviço transporte em todos os servidores de Caixa de Correio no limite de elevada disponibilidade do transporte, procurando outras Redes de Segurança que contenham mensagens para a base de dados da caixa de correio de destino para o intervalo de tempo 1:00 a 7:00 para o qual a Rede de Segurança Primária não tem nenhuma mensagem. A Rede de Segurança Sombra gera um segundo pedido de reenviação em nome da Rede de Segurança Primária para submeter novamente as mensagens sombra para a base de dados da caixa de correio de destino para o intervalo de tempo de 1:00 a 7:00.
Existem outros problemas a ter em conta quando as mensagens são reenviadas da Rede de Segurança.
Todas as notificações de estado de entrega (DSNs) e os relatórios de entrega sem fins lucrativos (NDRs) são suprimidos para as reenviações da Rede de Segurança. Por exemplo, se a mensagem primária resultar num NDR, o NDR da mensagem reenviada não será entregue.
Os utilizadores removidos de um grupo de distribuição poderão não receber uma mensagem reenviada quando a Rede de Segurança Sombra voltar a submeter a mensagem. Por exemplo, uma mensagem é enviada para um grupo que contém o Utilizador A e o Utilizador B e ambos os destinatários recebem a mensagem. Posteriormente, o utilizador B é removido do grupo. Mais tarde, é feito um pedido de reenviação da Rede de Segurança Primária para a base de dados da caixa de correio que contém a caixa de correio do Utilizador B. No entanto, a Rede de Segurança Primária está indisponível durante mais de 12 horas, pelo que o servidor Shadow Safety Net responde e reenvia a mensagem afetada. Durante a remissão quando o grupo de distribuição é expandido, o Utilizador B não é membro do grupo e não receberá uma cópia da mensagem reenviada.
Os Novos Utilizadores adicionados a um grupo de distribuição podem receber uma mensagem novamente submetida antiga quando a Rede de Segurança Sombra voltar a submeter a mensagem. Por exemplo, uma mensagem é enviada para um grupo que contém o Utilizador A e o Utilizador B e ambos os destinatários recebem a mensagem. Posteriormente, o utilizador C é adicionado ao grupo. Mais tarde, é feito um pedido de nova subscrição da Rede de Segurança Primária para a base de dados da caixa de correio que contém a caixa de correio do Utilizador C. No entanto, o servidor Da Rede de Segurança Primária está indisponível durante mais de 12 horas, pelo que o servidor Shadow Safety Net responde e reenvia as mensagens afetadas. Durante a remissão quando o grupo de distribuição é expandido, o Utilizador C é membro do grupo e receberá uma cópia da mensagem reenviada.