Rede de Segurança
Aplica-se a: Exchange Server 2013
Em Microsoft Exchange Server 2013, o principal mecanismo de alta disponibilidade da caixa de correio é o DAG (grupo de disponibilidade de banco de dados). Para obter mais informações sobre DAGs, consulte Gerenciando grupos de disponibilidade de banco de dados. A lixeira de transporte foi introduzida pela primeira vez no Exchange 2007, e foi aprimorada ainda mais no Exchange 2010 para fornecer cópias redundantes de mensagens depois que elas são entregues com êxito em caixas de correio em DAGs. No Exchange 2010, a lixeira de transporte ajudou a proteger contra a perda de dados, mantendo uma fila de mensagens entregues com êxito que não tinham sido replicadas para as cópias passivas do banco de dados da caixa de correio no DAG. Quando um banco de dados de caixa de correio ou uma falha do servidor exigiu a promoção de uma cópia desatualizada do banco de dados da caixa de correio, as mensagens na lixeira de transporte foram automaticamente reapresentadas à nova cópia ativa do banco de dados da caixa de correio.
A lixeira de transporte foi aprimorada no Exchange 2013 e agora é chamada de Safety Net.
Veja como o Safety Net é semelhante à lixeira de transporte no Exchange 2010:
O Safety Net é uma fila associada ao serviço de transporte em um servidor de caixa de correio. Essa fila armazena cópias de mensagens que foram processadas com êxito pelo servidor.
Você pode especificar quanto tempo o Safety Net armazena cópias das mensagens processadas com êxito antes de expirarem e são excluídas automaticamente. O padrão é de dois dias.
Veja como o Safety Net é diferente no Exchange 2013:
A Rede de Segurança não requer DAGs. Para servidores de caixa de correio que não pertencem a um DAGs, o Safety Net armazena cópias das mensagens entregues em outros servidores da Caixa de Correio no site do Active Directory local.
A rede de segurança em si agora é redundante e não é mais um único ponto de falha. Isso apresenta o conceito da Rede de Segurança Primária e da Rede de Segurança das Sombras. Se a Rede de Segurança Primária não estiver disponível por mais de 12 horas, as solicitações de reenviamento se tornarão solicitações de reenviamento de sombra e as mensagens serão re-entregues da Rede de Segurança das Sombras.
A Safety Net assume alguma responsabilidade por meio da redundância de sombras em ambientes DAG. A redundância de sombra não precisa manter outra cópia da mensagem entregue em uma fila de sombras enquanto aguarda que a mensagem entregue seja replicada para as cópias passivas do banco de dados da caixa de correio nos outros servidores da caixa de correio no DAG. A cópia da mensagem entregue já está armazenada na Rede de Segurança, portanto, a mensagem pode ser reenviada da Rede de Segurança, se necessário.
No Exchange 2013, o transporte de alta disponibilidade é mais do que apenas um melhor esforço para redundância de mensagens. O Exchange 2013 tenta garantir a redundância de mensagens. Por causa disso, você não pode especificar um limite de tamanho máximo para o Safety Net. Você só pode especificar quanto tempo o Safety Net armazena mensagens antes de serem excluídas automaticamente.
Como funciona o Safety Net
A redundância de sombra mantém uma cópia redundante da mensagem enquanto a mensagem está em trânsito. O Safety Net mantém uma cópia redundante de uma mensagem depois que a mensagem é processada com êxito. Portanto, a Rede de Segurança começa onde a redundância de sombra termina. Os mesmos conceitos sobre redundância de sombra, incluindo o limite de alta disponibilidade de transporte, mensagens primárias, servidores primários, mensagens de sombra e servidores de sombra também se aplicam ao Safety Net. Para obter mais informações, consulte Redundância de sombra.
A Rede de Segurança Primária existe no servidor mailbox que mantinha a mensagem primária antes da mensagem ser processada com êxito pelo serviço de transporte. Isso pode significar que a mensagem foi entregue ao serviço de Transporte de Caixa de Correio no servidor de caixa de correio de destino. Ou, a mensagem poderia ter sido retransmitida por meio do servidor mailbox em um site do Active Directory designado como um site do hub a caminho do DAG de destino ou do site do Active Directory. Depois que o servidor primário processa a mensagem primária, a mensagem é movida da fila ativa para a Rede de Segurança Primária no mesmo servidor.
A Rede de Segurança das Sombras existe no servidor da caixa de correio que mantinha a mensagem de sombra. Depois que o servidor sombra determinar que o servidor primário processou com êxito a mensagem primária, o servidor de sombra move a mensagem de sombra da fila de sombras para a Rede de Segurança das Sombras no mesmo servidor. Embora possa parecer óbvio, a existência da Shadow Safety Net requer que a redundância de sombra seja habilitada, e a redundância de sombra é habilitada por padrão no Exchange 2013.
Os parâmetros usados pelo Safety Net são descritos na tabela a seguir.
| Parâmetro | Valor padrão | Descrição |
|---|---|---|
| SafetyNetHoldTime em Set-TransportConfig | 2 dias | As mensagens primárias processadas com êxito são armazenadas na Rede de Segurança Primária e as mensagens de sombra reconhecidas são armazenadas na Shadow Safety Net. Você também pode especificar esse valor no Centro de Administração do Exchange (EAC) no fluxo >de emailReceber conectores>Mais opções Mais opções .gif) detransporte da Organização de Ícones>>Safety Net>Safety Net tempo de espera. As mensagens de sombra não reconhecidas eventualmente expiram da Shadow Safety Net após a soma de SafetyNetHoldTime e MessageExpirationTimeout no Set-TransportService. Para evitar a perda de dados durante os reencontamentos do Safety Net, o valor de SafetyNetHoldTime deve ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia defasada do banco de dados da caixa de correio. |
| ReplayLagTime em Set-MailboxDatabaseCopy | Não configurado | O tempo que o serviço de Replicação do Microsoft Exchange deve aguardar antes de reproduzir arquivos de log copiados para a cópia do banco de dados passivo. Definir esse parâmetro como um valor maior que 0 cria uma cópia defasada do banco de dados da caixa de correio. O valor máximo é de 14 dias. Para evitar a perda de dados durante os reencontamentos do Safety Net, o valor de ReplayLagTime deve ser menor ou igual ao valor de SafetyNetHoldTime em Set-TransportConfig para a cópia defasada do banco de dados da caixa de correio. |
| MessageExpirationTimeout no Set-TransportService | 2 dias | Quanto tempo uma mensagem pode permanecer em uma fila antes de expirar. |
| ShadowRedundancyEnabled em Set-TransportConfig | $true |
Uma Rede de Segurança redundante requer que a redundância de sombra seja habilitada. |
Reenviação de mensagens da Rede de Segurança
As reenviações de mensagens do Safety Net são iniciadas pelo componente Active Manager do serviço de Replicação do Microsoft Exchange que gerencia cópias de banco de dados da caixa de correio e DAGs. Nenhuma ação manual é necessária para reenviar mensagens da Rede de Segurança. Para obter mais informações sobre o Active Manager, consulte Active Manager.
Há dois cenários básicos de resubmissão de mensagem do Safety Net:
- Após o failover automático ou manual de um banco de dados de caixa de correio em um DAG.
- Depois de ativar uma cópia defasada de um banco de dados de caixa de correio.
Uma cópia de banco de dados de caixa de correio defasada ou cópia defasada é uma cópia passiva de um banco de dados de caixa de correio em que as atualizações no banco de dados são intencionalmente atrasadas para proteger contra corrupção lógica do banco de dados da caixa de correio. Para obter mais informações, consulte Gerenciando cópias de banco de dados de caixa de correio.
A única diferença significativa entre os dois cenários é o quão longe no tempo para ir para reenviar mensagens do Safety Net. Normalmente, para failover em um DAG, a nova cópia ativa do banco de dados da caixa de correio normalmente é de vários minutos a várias horas atrás da cópia ativa antiga. Uma cópia defasada de um banco de dados de caixa de correio normalmente está vários dias atrás da cópia ativa antiga.
O principal requisito para a resubmissão bem-sucedida da Safety Net para uma cópia defasada é a quantidade de tempo que as mensagens são armazenadas no Safety Net deve ser maior ou igual ao tempo de atraso da cópia defasada do banco de dados da caixa de correio. Em outras palavras, o valor de SafetyNetHoldTime em Set-TransportConfig deve ser maior ou igual ao valor do ReplayLagTime em Set-MailboxDatabaseCopy para a cópia defasada.
Reenviação de mensagens da Shadow Safety Net
Como a resubmissão de mensagem da Rede de Segurança Primária, as reenviações de mensagens da Shadow Safety Net são totalmente automatizadas e não exigem nenhuma intervenção manual.
Quando o Active Manager solicita a resubmissão de mensagem da Rede de Segurança em um período específico, a solicitação vai para o serviço de transporte nos servidores da caixa de correio em que a Rede de Segurança Primária está segurando as cópias da mensagem para o período de tempo necessário. Em grandes organizações do Exchange, é provável que existam mensagens necessárias no Safety Net em vários servidores de caixa de correio, especialmente se o período de tempo necessário for grande.
Sem otimização, reenviar mensagens da Safety Net resultaria em um número potencialmente grande de entregas duplicadas. As entregas duplicadas na organização do Exchange não são um problema, pois a detecção de mensagens duplicadas impede que os usuários da caixa de correio vejam cópias duplicadas de uma mensagem. Mas a entrega de mensagens duplicadas para destinatários fora da organização do Exchange resultará em cópias duplicadas de mensagens. Felizmente, a resubmissão de mensagens da Safety Net foi otimizada no Exchange 2013 para reduzir a entrega de mensagens duplicadas.
Se a Rede de Segurança Primária não responder inicialmente ou ficar sem resposta durante a resubmissão da mensagem, o Active Manager continuará tentando contatá-la por 12 horas antes de desistir. Após 12 horas, uma transmissão é enviada para o serviço de transporte em todos os servidores da caixa de correio no transporte de alta disponibilidade vinculado solicitando a resubmissão da mensagem da Safety Net para o intervalo de tempo necessário para o banco de dados de caixa de correio necessário. Quando uma Rede de Segurança de Sombra responde, ela reapresenta as mensagens para o banco de dados de caixa de correio necessário somente durante o intervalo de tempo necessário.
Há algumas considerações importantes para as mensagens de sombra armazenadas na Shadow Safety Net:
A Shadow Safety Net não sabe onde o servidor primário transmitiu a mensagem primária.
As mensagens de sombra na Shadow Safety Net contêm apenas destinatários originais do envelope de mensagens, não os destinatários reais em que a mensagem primária foi entregue. Por exemplo, o destinatário do envelope de mensagem pode ser um grupo de distribuição que requer expansão.
As mensagens na Rede de Segurança das Sombras não têm nenhuma das atualizações de mensagem que ocorreram depois que o servidor primário processou a mensagem. Por exemplo, codificação de mensagens ou conversão de conteúdo.
A mensagem de sombra reenviada da Shadow Safety Net exige categorização e processamento completos por meio do serviço de transporte no servidor da caixa de correio. A resubmissão de um grande número de mensagens de sombra da Shadow Safety Net pode ser cara em termos de recursos do servidor da Caixa de Correio. Felizmente, a resubmissão de mensagens de sombra da Shadow Safety Net também é otimizada para que apenas as mensagens na Rede de Segurança das Sombras para o intervalo de tempo solicitado e o banco de dados de caixa de correio solicitado sejam reenviados.
A interação da Rede de Segurança Primária e da Rede de Segurança de Sombra durante a resubmissão da mensagem é descrita no cenário a seguir.
O Active Manager solicita uma resubmissão de mensagens do Safety Net para um banco de dados de caixa de correio para o intervalo de tempo das 5:00 às 9:00. No entanto, o servidor mailbox que contém a Rede de Segurança Primária falhou devido a uma falha de hardware. O Active Manager tenta entrar em contato repetidamente com a Rede de Segurança Primária por 12 horas.
Após 12 horas, o Active Manager envia uma mensagem de transmissão para o serviço de transporte em todos os servidores de caixa de correio no limite de alta disponibilidade de transporte procurando outras Redes de Segurança que contêm mensagens para o banco de dados de caixa de correio de destino para o intervalo de tempo das 5:00 às 9:00. As respostas da Shadow Safety Net são reenvia as mensagens para o banco de dados da caixa de correio para o intervalo de tempo das 5:00 às 9:00.
Uma interação interessante ocorre se a Rede de Segurança Primária estiver offline durante parte do intervalo de reenviamento solicitado, conforme descrito no cenário a seguir.
O banco de dados de fila no servidor da caixa de correio que contém a Rede de Segurança Primária está corrompido e um novo banco de dados de fila é criado às 7:00. Todas as mensagens primárias armazenadas na Rede de Segurança Primária de 1:00 às 7:00 são perdidas, mas o servidor é capaz de armazenar cópias de mensagens entregues com êxito na Rede de Segurança a partir das 7:00.
O Active Manager solicita uma resubmissão de mensagens da Safety Net para um banco de dados de caixa de correio para o intervalo de tempo 1:00 às 9:00.
A Rede de Segurança Primária reenvia mensagens para o intervalo de tempo das 7:00 às 9:00.
A Rede de Segurança Primária envia uma mensagem de transmissão para o serviço de transporte em todos os servidores de caixa de correio no limite de alta disponibilidade de transporte procurando outras Redes de Segurança que contêm mensagens para o banco de dados de caixa de correio de destino para o intervalo de tempo 1:00 às 7:00 para o qual a Rede de Segurança Primária não tem nenhuma mensagem. A Shadow Safety Net gera uma segunda solicitação de reenviamento em nome da Rede de Segurança Primária para reenviar as mensagens de sombra para o banco de dados da caixa de correio de destino para o intervalo de tempo de 1:00 às 7:00.
Há alguns outros problemas a serem considerados quando as mensagens são reenviadas da Rede de Segurança.
Todas as notificações de status de entrega (DSNs) e NDRs (relatórios de não entrega) são suprimidas para reenviamentos da Rede de Segurança. Por exemplo, se a mensagem primária resultou em um NDR, o NDR para a mensagem resubmitida não será entregue.
Os usuários removidos de um grupo de distribuição podem não receber uma mensagem reenviada quando a Shadow Safety Net reenvia a mensagem. Por exemplo, uma mensagem é enviada para um grupo que contém Usuário A e Usuário B e ambos os destinatários recebem a mensagem. O usuário B é posteriormente removido do grupo. Posteriormente, uma solicitação de reenviamento da Rede de Segurança Primária é feita para o banco de dados da caixa de correio que contém a caixa de correio do Usuário B. No entanto, a Rede de Segurança Primária não está disponível por mais de 12 horas, portanto, o servidor Shadow Safety Net responde e reapresenta a mensagem afetada. Durante a resubmissão quando o grupo de distribuição for expandido, o Usuário B não é membro do grupo e não receberá uma cópia da mensagem resubmitida.
Novos usuários adicionados a um grupo de distribuição podem receber uma mensagem antiga reenviada quando a Shadow Safety Net reenvia a mensagem. Por exemplo, uma mensagem é enviada para um grupo que contém Usuário A e Usuário B e ambos os destinatários recebem a mensagem. O usuário C é adicionado posteriormente ao grupo. Posteriormente, uma solicitação de reenviamento da Rede de Segurança Primária é feita para o banco de dados da caixa de correio que contém a caixa de correio do Usuário C. No entanto, o servidor Da Rede de Segurança Primária não está disponível por mais de 12 horas, portanto, o servidor Shadow Safety Net responde e reenvia as mensagens afetadas. Durante a resubmissão quando o grupo de distribuição for expandido, o Usuário C é um membro do grupo e receberá uma cópia da mensagem resubmitida.