Поделиться через


Сеть безопасности

Применимо к: Exchange Server 2013

В Microsoft Exchange Server 2013 основным механизмом обеспечения высокой доступности почтовых ящиков является группа доступности базы данных (DAG). Дополнительные сведения о группах доступности баз данных см. в разделе Управление группами доступности баз данных. Контейнер транспорта впервые появился в Exchange 2007 и был улучшен в Exchange 2010, чтобы предоставлять избыточные копии сообщений после их успешной доставки в почтовые ящики в dag. В Exchange 2010 контейнер транспорта помог защититься от потери данных, поддерживая очередь успешно доставленных сообщений, которые не реплицировались в пассивные копии базы данных почтовых ящиков в DAG. Когда при сбое сервера или базы данных почтовых ящиков требовалось продвижение устаревшей копии базы данных почтовых ящиков, сообщения в транспортной корзине автоматически повторно отправлялись в новую активную копию базы данных почтовых ящиков.

Контейнер транспорта был улучшен в Exchange 2013 и теперь называется Safety Net.

Чем сеть безопасности похожа на транспортную корзину в Exchange 2010.

  • Сеть безопасности — это очередь, связанная с транспортной службой на сервере почтовых ящиков. В этой очереди хранятся копии сообщений, успешно обработанных сервером.

  • Вы можете указать срок хранения сетью безопасности копий успешно обработанных сообщений до их автоматического удаления. Значение по умолчанию — 2 дней.

Ниже описано, как в Exchange 2013 отличается от safety net.

  • Safety Net не требует dag. Для серверов почтовых ящиков, которые не относятся к daG, Служба Safety Net сохраняет копии доставленных сообщений на других серверах почтовых ящиков на локальном сайте Active Directory.

  • Сама сеть Безопасности теперь является избыточной и больше не является единственной точкой сбоя. Здесь представлена концепция основной сети безопасности и теневой сети безопасности. Если основная сеть безопасности недоступна более 12 часов, запросы на повторную отправку становятся запросами на теневую повторную отправку и сообщения повторно доставляются из теневой сети безопасности.

  • Safety Net берет на себя некоторую ответственность за теневой избыточности в средах DAG. Теневой избыточности не требуется хранить другую копию доставленного сообщения в теневой очереди, пока она ожидает репликации доставленного сообщения в пассивные копии базы данных почтовых ящиков на других серверах почтовых ящиков в DAG. Копия доставленного сообщения уже хранится в сети безопасности, следовательно, в случае необходимости сообщение может быть повторно отправлено из сети безопасности.

  • В Exchange 2013 высокий уровень доступности транспорта — это не просто лучшие усилия для обеспечения избыточности сообщений. Exchange 2013 пытается гарантировать избыточность сообщений. Из-за этого нельзя указать максимальный размер для Safety Net. Вы можете задать только длительность хранения сообщений в сети безопасности перед их автоматическим удалением.

Принцип работы сети безопасности

Теневое резервирование хранит резервную копию сообщения на протяжении его передачи. Сеть безопасности хранит резервную копию сообщения после его успешной обработки. Таким образом, сеть безопасности начинается там, где заканчивается теневое резервирование. Те же понятия, связанные с теневой избыточностью, включая границу высокого уровня доступности транспорта, основные сообщения, первичные серверы, теневые сообщения и теневые серверы, также применяются к Safety Net. Дополнительные сведения см. в разделе Теневая избыточность.

Основная сеть безопасности существует на сервере почтовых ящиков, где основное сообщение хранится до того, как будет успешно обработано транспортной службой. Это может означать, что сообщение было доставлено в службу транспорта почтовых ящиков на целевом сервере почтовых ящиков. Или могло быть ретранслировано через сервер почтовых ящиков на сайт Active Directory, который был назначен концентратором на пути к конечной группе обеспечения доступности баз данных почтовых ящиков или сайту Active Directory. После обработки основного сообщения сервером-получателем сообщение перемещается из активной очереди в основную сеть безопасности на том же сервере.

Теневая сеть безопасности существует на сервере почтовых ящиков, удерживающем теневое сообщение. После того как теневой сервер определяет, что основной сервер успешно обработал основное сообщение, он перемещает теневое сообщение из теневой очереди в теневую сеть безопасности на том же сервере. Хотя это может показаться очевидным, существование Shadow Safety Net требует включения теневой избыточности, а теневая избыточность включена по умолчанию в Exchange 2013.

Параметры, используемые Safety Net, описаны в следующей таблице.

Параметр Значение по умолчанию Описание
SafetyNetHoldTime по Set-TransportConfig 2 дней Временной период, на протяжении которого успешно обработанные основные сообщения хранятся в основной сети безопасности, а подтвержденные теневые сообщения хранятся в теневой сети безопасности.

Это значение также можно указать в Центре администрирования Exchange (EAC) в разделеСоединители полученияпотока >обработки почты>Дополнительные параметрыЗначок>Организация транспортных> параметровВремя удержания Safety Net>Safety Net.

Нераскрытые теневые сообщения в конечном итоге истекают из Shadow Safety Net после суммы значений SafetyNetHoldTime и MessageExpirationTimeout в Set-TransportService.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение SafetyNetHoldTime должно быть больше или равно значению ReplayLagTime в Set-MailboxDatabaseCopy для отстающей копии базы данных почтового ящика.
Параметр ReplayLagTime в командлете Set-MailboxDatabaseCopy Не настроено Время ожидания службы репликации Microsoft Exchange перед воспроизведением файлов журнала, скопированных в пассивную копию базы данных. Если для данного параметра установлено значения больше 0, создается изолированная копия базы данных почтовых ящиков. Наибольшее значение — 14 дней.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение ReplayLagTime должно быть меньше или равно значению SafetyNetHoldTime в Set-TransportConfig для отложенной копии базы данных почтового ящика.
MessageExpirationTimeout по Set-TransportService 2 дней Как долго сообщение может оставаться в очереди до истечения срока его действия.
ShadowRedundancyEnabled по Set-TransportConfig $true
  • $true обеспечивает теневое избыточность на всех транспортных серверах в организации.
  • $false отключает теневое избыточность на всех транспортных серверах в организации.

Избыточность Safety Net требует включения теневой избыточности.

Повторная отправка сообщений из сети безопасности

Повторная отправка сообщений из Safety Net инициируется компонентом Active Manager службы репликации Microsoft Exchange, который управляет dag и копиями базы данных почтовых ящиков. Для повторной отправки сообщений из Safety Net не требуются действия вручную. Дополнительные сведения о компоненте Active Manager см. в разделе Active Manager.

Существует два основных сценария повторной отправки сообщения из сети безопасности.

  • После автоматической или ручной отработки отказа баз данных почтовых ящиков в группе обеспечения доступности баз данных.
  • После того, как вы активируете отстающий экземпляр базы данных почтовых ящиков.

Изолированная копия базы данных почтовых ящиков или изолированная копия — это пассивная копия базы данных почтовых ящиков, где обновления базы данных намеренно откладываются для защиты базы данных почтовых ящиков от логического повреждения. Дополнительные сведения см. в разделе Управление копиями базы данных почтовых ящиков.

Единственная существенная разница между этими двумя сценариями — значение задержки для повторной отправки сообщений из сети безопасности. Как правило, для отработки отказа в DAG новая активная копия базы данных почтовых ящиков обычно отстает от старой активной копии от нескольких минут до нескольких часов. Изолированная копия базы данных почтовых ящиков обычно отстает от старой активной копии на несколько дней.

Основное требование для успешной повторной отправки из Safety Net для отставной копии заключается в том, что время хранения сообщений в Safety Net должно быть больше или равно времени задержки отставание копии базы данных почтового ящика. Другими словами, для изолированной копии значение параметра SafetyNetHoldTime в Set-TransportConfig должно превышать значение параметра ReplayLagTime (или быть равным ему) в Set-MailboxDatabaseCopy.

Повторная отправка сообщений из теневой сети безопасности

Как и повторная отправка сообщений из Основной сети безопасности, повторная отправка сообщений из Shadow Safety Net полностью автоматизирована и не требует вмешательства вручную.

Когда Active Manager запрашивает повторную отправку сообщения из Safety Net в течение определенного периода времени, запрос отправляется в службу транспорта на серверах почтовых ящиков, где основная сеть Safety Net содержит копии сообщений в течение необходимого периода времени. В крупных организациях Exchange, вероятно, необходимые сообщения существуют в Safety Net на нескольких серверах почтовых ящиков, особенно если требуемый период времени велик.

Без оптимизации повторная отправка сообщений из Safety Net приведет к потенциально большому количеству повторяющихся доставок. Повторяющиеся поставки в организации Exchange не являются проблемой, так как обнаружение повторяющихся сообщений не позволяет пользователям почтовых ящиков видеть дубликаты сообщений. Но доставка повторяющихся сообщений получателям за пределами организации Exchange приведет к дублированию копий сообщений. К счастью, повторная отправка сообщений из Safety Net была оптимизирована в Exchange 2013, чтобы сократить количество повторяющихся сообщений.

Если первичная сеть безопасности изначально не отвечает или перестает отвечать на запросы во время повторной отправки сообщения, Active Manager продолжает пытаться связаться с ним в течение 12 часов, прежде чем отказаться от ответа. Через 12 часов широковещательная передача отправляется в службу транспорта на всех серверах почтовых ящиков в транспортном режиме с привязкой к высокой доступности, запрашивая повторную отправку сообщения из Safety Net в течение необходимого интервала времени для требуемой базы данных почтовых ящиков. Когда теневая сеть безопасности отвечает, она повторно отправляет сообщения для требуемой базы данных почтовых ящиков только в течение необходимого интервала времени.

Существуют некоторые важные рекомендации по теневым сообщениям, хранящимся в Shadow Safety Net:

  • Теневая сеть безопасности не владеет информацией о том, куда основной сервер передал основное сообщение.

  • Теневые сообщения в Shadow Safety Net содержат только исходных получателей конвертов сообщений, а не фактических получателей, куда было доставлено основное сообщение. Например, получатель конверта сообщения может быть группой рассылки, требующей расширения.

  • Сообщения в shadow safety net не имеют обновлений сообщений, которые произошли после обработки сообщения основным сервером. Например, кодирование сообщений или преобразование содержимого.

Теневое сообщение, повторно отправленное из Shadow Safety Net, требует полной классификации и обработки через транспортную службу на сервере почтовых ящиков. Повторное перечисление большого количества теневых сообщений из Shadow Safety Net может быть дорогостоящим с точки зрения ресурсов сервера почтовых ящиков. К счастью, повторная отправка теневых сообщений из Shadow Safety Net также оптимизирована, поэтому повторно отправляются только сообщения в Shadow Safety Net за запрошенный интервал времени и запрошенную базу данных почтовых ящиков.

Взаимодействие primary Safety Net и Shadow Safety Net во время повторного отправки сообщения описано в следующем сценарии.

  1. Active Manager запрашивает повторную отправку сообщений из Safety Net для базы данных почтовых ящиков с интервалом времени с 5:00 до 9:00. Однако на сервере почтовых ящиков, хранящем основную сеть безопасности, произошел сбой из-за сбоя оборудования. Active Manager неоднократно пытается связаться с Основной сетью безопасности в течение 12 часов.

  2. Через 12 часов Active Manager отправляет широковещательное сообщение в транспортную службу на всех серверах почтовых ящиков в пределах границы высокой доступности транспорта в поисках других сетей Безопасности, содержащих сообщения для целевой базы данных почтовых ящиков с интервалом времени с 5:00 до 9:00. Теневая сеть безопасности отвечает повторно отправляет сообщения для базы данных почтовых ящиков с интервалом времени с 5:00 до 9:00.

Интересное взаимодействие происходит, если основная сеть безопасности находилась в автономном режиме во время запрошенного интервала повторной отправки, как описано в следующем сценарии.

  1. База данных очередей на сервере почтовых ящиков, на котором хранится первичная сеть Безопасности, повреждена, и в 7:00 создается новая база данных очередей. Все основные сообщения, которые хранились в основной сети безопасности с 01:00 до 07:00, утеряны, но сервер способен хранить копии успешно доставленных сообщений в сети безопасности, начиная с 07:00.

  2. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за временной интервал 01:00–09:00.

  3. Основная сеть безопасности повторно оправляет сообщения за временной интервал 07:00–09:00.

  4. Основная сеть безопасности отправляет широковещательное сообщение в транспортную службу на всех серверах почтовых ящиков в пределах границы высокого уровня доступности транспорта, в поисках других сетей безопасности, содержащих сообщения для целевой базы данных почтовых ящиков за интервал времени с 1:00 до 7:00, для которых основная сеть безопасности не содержит сообщения. Shadow Safety Net создает второй запрос на повторную отправку от имени основной сети безопасности для повторного отправки теневых сообщений для целевой базы данных почтовых ящиков с интервалом времени с 1:00 до 7:00.

Существует ряд других проблем, которые следует учитывать при повторной отправке сообщений из Safety Net.

  1. Все уведомления о состоянии доставки (DSN) и отчеты о недоставках (NDR) подавляются для повторной отправки Safety Net. Например, если основное сообщение сгенерировало отчет о недоставке, для повторно отправленного сообщения этот отчет доставлен не будет.

  2. Пользователи, удаленные из группы рассылки, могут не получать повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение. Например, сообщение отправляется в группу, содержащую пользователей A и пользователя B, и оба получателя получают его. Пользователь B впоследствии удаляется из группы. Позже для базы данных почтовых ящиков, в которой хранится почтовый ящик пользователя B, будет выполнен запрос на повторную отправку из основной сети Safety Net. Однако основная сеть безопасности недоступна более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутое сообщение. Во время повторной отправки при развертывании группы рассылки пользователь Б не является членом группы и не получит копию повторно отправленного сообщения.

  3. Новые пользователи, добавленные в группу рассылки, могут получать старое повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение. Например, сообщение отправляется в группу, содержащую пользователей A и пользователя B, и оба получателя получают его. Пользователь C впоследствии добавляется в группу. Позже для базы данных почтового ящика, в которой хранится почтовый ящик пользователя C, будет выполнен запрос на повторную отправку из основной сети Safety Net. Однако основной сервер Safety Net недоступен более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутые сообщения. Во время повторной отправки при развертывании группы рассылки пользователь C является членом группы и получит копию повторно отправленного сообщения.