规划高可用性和站点恢复

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2016-11-28

MicrosoftExchange Server 2010 包括一个新的用于邮箱恢复的统一框架,该框架包括一些新功能,如数据库可用性组 (DAG) 和邮箱数据库副本。尽管可以快速简单地部署这些新功能,但是必须先进行认真规划,以确保使用这些功能的任何高可用性和站点恢复解决方案可以达到预期目的和满足业务要求。

在规划阶段中,系统结构设计师、管理员和其他主要利益相关方应确定部署的要求;尤其是高可用性和站点恢复的要求。部署这些功能必须满足一些常规要求,还必须满足硬件、软件和网络连接要求。有关 DAG 存储要求的指南,请参阅邮箱服务器存储设计

目录

常规要求

硬件要求

存储要求

软件要求

网络要求

见证服务器要求

规划站点恢复

对数据中心切换的规划

常规要求

在部署 DAG 和创建邮箱数据库副本之前,请确保符合以下系统范围建议:

  • 域名系统 (DNS) 必须在运行。理论上,DNS 服务器应该接受动态更新。如果 DNS 服务器不接受动态更新,则必须为每个 Exchange 服务器创建 DNS 主机 (A) 记录。否则,Exchange 不能正常运行。

  • DAG 中的每个邮箱服务器必须是相同域中的成员服务器。

  • 不支持将同时作为目录服务器的 Exchange 2010 邮箱服务器添加到 DAG。

  • 分配给 DAG 的名称必须是不超过 15 个字符的有效、可用和唯一的计算机名称。

硬件要求

通常,没有特定于 DAG 或邮箱数据库副本的特殊硬件要求。使用的服务器必须符合 Exchange 2010 先决条件Exchange 2010 系统要求主题中规定的所有要求。有关硬件规划信息,请参阅下列主题:

存储要求

通常,没有特定于 DAG 或邮箱数据库副本的特殊存储要求。DAG 不需要也不使用群集托管共享存储。仅当 DAG 配置为使用利用在 Exchange 2010 中内置的第三方复制 API 的解决方案时,才支持在 DAG 中使用群集托管共享存储。有关存储规划信息,请参阅邮箱服务器存储设计

软件要求

Exchange 2010 Standard Edition 和 Exchange 2010 Enterprise Edition 中都提供了 DAG。此外,DAG 可以包含运行 Exchange 2010 Standard Edition 和 Exchange 2010 Enterprise Edition 的混合服务器。

DAG 的每个成员还必须运行相同的操作系统。Exchange 2010 和 Windows Server 2008 R2 操作系统都支持 Windows Server 2008。DAG 的所有成员都必须运行 Windows Server 2008 或 Windows Server 2008 R2。它们不能包含 Windows Server 2008 和 Windows Server 2008 R2 的组合。

除符合安装 Exchange 2010 的先决条件外,还必须符合操作系统要求。DAG 使用 Windows 故障转移群集技术,因此,它们需要 Windows Enterprise 版本。

网络要求

每个 DAG 和每个 DAG 成员都必须符合特定的网络要求。DAG 网络与在 Exchange 的以前版本中使用的公用、混合和专用网络类似。但是,与以前版本不同,在每个 DAG 成员中使用单一网络是一种受支持的配置。此外,该术语已有所更改。每个 DAG 不再使用公用、专用或混合网络,而是使用一个“MAPI 网络”(其他服务器,例如其他 Exchange 2010 服务器、目录服务器等使用该网络与 DAG 成员通信)和零个或多个“复制网络”(这些网络专用于日志传送和种子设定)。

尽管支持一个网络,但我们建议每个 DAG 至少应有两个网络:一个 MAPI 网络和一个复制网络。这可以提供网络和网络路径的冗余,使系统能够区分服务器故障和网络故障。使用单个网络适配器会阻碍系统区分这两种类型的故障。

注释注意:
此内容区中的产品文档在编写时假定每个 DAG 成员至少包含两个网络适配器,每个 DAG 配置一个 MAPI 网络和至少一个复制网络,并且系统能够区分网络故障和服务器故障。

为 DAG 设计网络基础结构时,请考虑下列事项:

  • DAG 的每个成员必须具有至少一个能够与所有其他 DAG 成员通信的网络适配器。如果使用的是单一网络路径,我们建议使用千兆比特的以太网。在每个 DAG 成员中使用单一网络适配器时,需要为复制启用 DAG 网络,并且应将其配置为 MAPI 网络。因为没有其他网络,所以系统还使用 MAPI 网络作为复制网络。此外,在每个 DAG 成员中使用单一网络适配器时,我们建议在设计总体解决方案时考虑单一网络适配器和路径。

  • 在每个 DAG 成员中使用两个网络适配器可提供一个 MAPI 网络和一个复制网络,以及以下恢复行为:

    • 如果故障影响 MAPI 网络,将发生服务器故障转移(假定可以激活健康的邮箱数据库副本)。

    • 在故障影响复制网络时,如果 MAPI 网络未受故障的影响,则日志传送和种子设定操作将恢复为使用 MAPI 网络,MAPI 网络将其 ReplicationEnabled 属性设置为 False 时也是如此。当发生故障的复制网络恢复正常并准备好时恢复日志传送和种子设定操作时,必须手动切换到复制网络。若要将复制从 MAPI 网络更改为还原后的复制网络,可以使用 Suspend-MailboxDatabaseCopy 和 Resume-MailboxDatabaseCopy cmdlet 暂停和恢复连续复制,也可以重新启动 Microsoft Exchange 复制服务。建议使用暂停和恢复操作以避免因重新启动 Microsoft Exchange 复制服务而导致的短时间中断。

  • 每个 DAG 成员都必须具有相同数量的网络。例如,如果计划在一个 DAG 成员中使用单一网络适配器,则 DAG 的所有成员也必须使用单一网络适配器。

  • 每个 DAG 不得有多个 MAPI 网络。MAPI 网络必须提供与其他 Exchange 服务器和其他服务(如 Active Directory 和 DNS)的连接。

  • 可以根据需要添加其他复制网络。通过使用网络适配器成组或类似的技术还可以防止个别网络适配器发生单点故障。但是,即使使用成组,也不能阻止网络本身发生单点故障。

  • 每个 DAG 成员服务器中的每个网络必须在自己的网络子网上。DAG 中的每个服务器可以在不同的子网上,但 MAPI 和复制网络必须可以路由并提供连接,以便于:

    • 每个 DAG 成员服务器中的每个网络位于自己的网络子网上,并且该子网与服务器中每个其他网络使用的子网分离。

    • 每个 DAG 成员服务器的 MAPI 网络可以与每个其他 DAG 成员的 MAPI 网络通信。

    • 每个 DAG 成员服务器的复制网络可以与每个其他 DAG 成员的复制网络通信。

    • 没有直接路由将检测信号通信从一个 DAG 成员服务器上的复制网络传递到另一个 DAG 成员服务器上的 MAPI 网络(反之亦然),在 DAG 中的多个复制网络之间也没有直接路由。

  • 无论 DAG 的每个成员相对于其他 DAG 成员的地理位置如何,每个成员相互之间的往返网络延迟均不得大于 500 毫秒 (ms)。随着承载数据库副本的两个邮箱服务器之间的往返延迟增加,未更新复制的可能性也会增加。无论解决方案的延迟如何,客户都应验证所有 DAG 成员之间的网络是否能够满足部署的数据保护和可用性目标。具有较高延迟值的配置可能需要对 DAG、复制和网络参数进行特殊调整(如增加数据库数或减少每个数据库的邮箱数),才能实现所需目标。

  • 对于多数据中心配置,往返延迟要求可能不是最严格的网络带宽和延迟要求。必须评估网络总负载(其中包括客户端访问、Active Directory、传输、连续复制和其他应用程序通信)以确定您的环境所需的网络要求。

  • DAG 网络支持 Internet 协议版本 4 (IPv4) 和 IPv6。仅当同时使用 IPv4 时才支持 IPv6;不支持纯 IPv6 环境。仅当在计算机上同时启用 IPv6 和 IPv4,并且网络支持这两种 IP 地址版本时,才支持使用 IPv6 地址和 IP 地址范围。如果在此配置中部署 Exchange 2010,则所有服务器角色均可在使用 IPv6 地址的设备、服务器和客户端中发送和接收数据。

  • 自动专用 IP 寻址 (APIPA) 是 Microsoft Windows 的一种功能,当网络上没有任何动态主机配置协议 (DHCP) 服务器可用时,它将自动分配 IP 地址。APIPA 地址(包括从 APIPA 地址范围手动分配的地址)不支持由 DAG 或 Exchange 2010 使用。

DAG 名称和 IP 地址要求

在创建过程中,会为每个 DAG 指定一个唯一名称,并分配一个或多个静态 IP 地址,或配置为使用 DHCP。不论使用静态地址还是动态分配的地址,分配给 DAG 的任何 IP 地址必须在 MAPI 网络上。

每个 DAG 在 MAPI 网络上至少需要一个 IP 地址。当 MAPI 网络跨多个子网扩展时,DAG 需要其他 IP 地址。下图说明了 DAG,其中 DAG 中的所有节点在相同子网上都具有 MAPI 网络。

在同一子网上具有 MAPI 网络的数据库可用性组

在此示例中,每个 DAG 成员中的 MAPI 网络都位于 172.19.18 .x 子网上。因此,DAG 在该子网上需要具备单一 IP 地址。

下图显示的 DAG 具有跨以下两个子网扩展的 MAPI 网络:172.19.18.x 和 172.19.19.x

在多个子网上具有 MAPI 网络的数据库可用性组

在此示例中,每个 DAG 成员中的 MAPI 网络都位于单独的子网上。因此,DAG 需要两个 IP 地址,MAPI 网络上每个子网有一个地址。

DAG 的 MAPI 网络每次跨其他子网扩展时,必须为 DAG 配置该子网的其他 IP 地址。为 DAG 配置的每个 IP 地址被分配到 DAG 的基础故障转移群集,并由该群集使用。DAG 的名称也用作基础故障转移群集的名称。

在任何特定时间,DAG 的群集将仅使用分配的 IP 地址之一。当群集 IP 地址和网络名称资源进入联机状态时,Windows 故障转移群集会在 DNS 中注册此 IP 地址。除了使用 IP 地址和网络名称外,在 Active Directory 中还将创建群集名称对象 (CNO)。系统还将在内部使用群集的名称、IP 地址和 CNO 来保护 DAG 进行内部通信。管理员和最终用户不需要对接或连接 DAG 名称或 IP 地址。

注释注意:
尽管群集的 IP 地址和网络名称由系统内部使用,但在提供这些资源的 Exchange 2010 中没有硬性依赖关系。即使基础群集的 IP 地址和网络名称资源处于脱机状态,通过使用 DAG 成员的服务器名称,在 DAG 中仍会发生内部通信。但是,我们建议定期监视这些资源的可用性,以确保它们的脱机时间不超过 30 天。如果基础群集的脱机时间超过 30 天,则 Active Directory 中的垃圾收集机制可能使群集 CNO 帐户无效。

DAG 的网络适配器配置

必须根据预期的用途正确配置每个网络适配器。用于 MAPI 网络的网络适配器的配置与用于复制网络的网络适配器的不同。除正确配置每个网络适配器外,还必须在 Windows 中配置网络连接顺序,以便 MAPI 网络位于连接顺序的顶部。有关如何修改网络连接顺序的详细步骤,请参阅修改协议绑定顺序

MAPI 网络适配器配置

应按照下表中的描述配置供 MAPI 网络使用的网络适配器。

网络功能 设置

Microsoft 网络客户端

已启用

QoS 数据包计划程序

可选启用

Microsoft 网络的文件和打印机共享

启用

Internet 协议版本 6 (TCP/IP v6)

可选启用

Internet 协议版本 4 (TCP/IP v4)

已启用

链路层拓扑发现映射器 I/O 驱动程序

已启用

链路层拓扑发现响应程序

已启用

MAPI 网络适配器的 TCP/IP v4 属性配置如下:

  • 可以手动分配 DAG 成员的 MAPI 网络的 IP 地址,或将其配置为使用 DHCP。如果使用 DHCP,我们建议对服务器的 IP 地址使用持久保留。

  • MAPI 网络通常使用默认网关,尽管不需要网关。

  • 必须配置至少一个 DNS 服务器地址。为实现冗余,建议使用多个 DNS 服务器。

  • 应选中“在 DNS 中注册此连接地址”复选框。

复制网络适配器配置

应按照下表中的描述配置供复制网络使用的网络适配器。

网络功能 设置

Microsoft 网络客户端

已禁用

QoS 数据包计划程序

可选启用

Microsoft 网络的文件和打印机共享

已禁用

Internet 协议版本 6 (TCP/IP v6)

可选启用

Internet 协议版本 4 (TCP/IP v4)

已启用

链路层拓扑发现映射器 I/O 驱动程序

已启用

链路层拓扑发现响应程序

已启用

复制网络适配器的 TCP/IP v4 属性配置如下:

  • 可以手动分配 DAG 成员的复制网络的 IP 地址,或将其配置为使用 DHCP。如果使用 DHCP,我们建议对服务器的 IP 地址使用持久保留。

  • 复制网络通常没有默认网关,如果 MAPI 网络有默认网关,则其他网络不应有默认网关。可以使用持久的静态路由配置复制网络上的网络通信路由,将网络通信路由到使用网关地址的其他 DAG 成员上的相应网络,该网关地址具有在复制网络之间路由的能力。与此路由不匹配的所有其他通信都将由在 MAPI 网络的适配器上配置的默认网关处理。

  • 不应配置 DNS 服务器地址。

  • 不应选中“在 DNS 中注册此连接地址”复选框。

常规要求

见证服务器要求

“见证服务器”是 DAG 外部的服务器,当 DAG 的成员数为偶数时,使用该服务器来实现和维护仲裁。DAG 的成员数为奇数时,则不使用见证服务器。成员为偶数的所有 DAG 都将使用见证服务器。见证服务器可以是运行 Windows Server 的任何计算机。不要求见证服务器的 Windows Server 操作系统版本与 DAG 成员使用的操作系统匹配。

仲裁在 DAG 下的群集级别维护。当 DAG 的大多数成员处于联机状态,并且可以与 DAG 的其他联机成员通信时,DAG 才进行仲裁。此仲裁概念是 Windows 故障转移群集中仲裁概念的一个方面。在故障转移群集中与仲裁相关的必需方面是“仲裁资源”。仲裁资源是故障转移群集内部的资源,它可为导致群集状态和成员身份决策提供一种仲裁方法。仲裁资源还为存储配置信息提供了永久存储区。仲裁资源的配套组件是“仲裁日志”,它是群集的配置数据库。仲裁日志包含以下信息:哪些服务器是群集的成员,群集中安装了哪些资源,以及这些资源的状态(例如,联机或脱机)。

每个 DAG 成员对如何配置 DAG 的基础群集应具有一致的视图,这一点至关重要。仲裁充当了与群集相关的所有配置信息的权威性存储库。仲裁还用作关系断开裁判,以避免“网络分区”症状。网络分区症状是在 DAG 成员无法相互通信(但能够正常运行)时发生的一种情况。始终要求大多数 DAG 成员(在 DAG 成员为偶数时使用 DAG 见证服务器)可用并处于交互状态,使 DAG 能够正常工作,这样即可防止网络分区症状。

规划站点恢复

越来越多的业务人员认识到,每天访问可靠而又可用的邮件系统是其成功的基础。对于许多组织而言,邮件系统是业务连续性计划的一部分,并且在设计邮件服务部署时应考虑站点恢复。基本上,许多站点恢复解决方案都涉及在第二个数据中心中部署硬件。

最终,DAG 的总体设计(其中包括 DAG 的成员数和邮箱数据库副本数)将取决于每个组织的包括各种故障情形的恢复服务级别协议 (SLA)。在规划阶段中,解决方案的结构设计师和管理员将确定部署要求,尤其是站点恢复要求。他们确定要使用的位置和所需的恢复 SLA 目标。SLA 将确定两个特定的元素,这两个元素应是设计高可用性和站点恢复解决方案的基础:恢复时间目标 (RTO) 和恢复点目标 (RPO)。这两个值都以分钟为单位度量。RTO 是还原服务所需的时间。RPO 指在完成恢复操作之后数据的新旧程度。还可以将 SLA 定义为在解决主数据中心的问题之后,将还原为完整服务。

解决方案的结构设计师和管理员还将确定哪一组用户需要站点恢复保护,并确定多站点解决方案是活动/被动配置还是活动/活动配置。在活动/被动配置中,备用数据中心中通常不驻留任何用户。在活动/活动配置中,用户同时驻留在两个位置,在该解决方案中,数据库总数中有一定的百分比在第二个数据中心的首选活动位置。当一个数据中心的用户的服务出现故障时,将在另一数据中心中激活这些用户。

构造适当的 SLA 通常需要考虑以下基本问题:

  • 主数据中心出现故障后,需要什么级别的服务?

  • 用户是需要数据服务还是仅需要邮件服务?

  • 急需数据的程度怎样?

  • 必须支持多少用户?

  • 用户如何访问自已的数据?

  • 备用数据中心激活服务级别协议 (SLA) 是什么?

  • 服务如何移回主数据中心?

  • 资源是否专用于站点恢复解决方案?

通过回答这些问题,您实际上已经开始为邮件解决方案构建站点恢复设计的大致框架。从站点故障进行恢复的核心要求是:创建解决方案,将必要的邮件数据放入承载备用邮件服务的备用数据中心。

命名空间规划

部署站点恢复配置时,Exchange 2010 将更改计划命名空间设计的方式。正确的命名空间计划是数据中心成功切换的关键。从命名空间角度看,在站点恢复配置中使用的每个数据中心都被视为活动数据中心。因此,每个数据中心对于该站点中的各种 Exchange 2010 服务都需要自己的唯一命名空间,其中包括 Outlook Web App、Outlook Anywhere、Exchange ActiveSync、Exchange Web 服务、RPC 客户端访问、邮局协议版本 3 (POP3)、Internet 邮件访问协议版本 4 (IMAP4) 和简单邮件传输协议 (SMTP) 的命名空间。此外,其中一个数据中心还承载 Autodiscover 的命名空间。此设计还使您能够执行从主数据中心到第二个数据中心的单一数据库切换,以便作为数据中心切换的验证和实践的一部分来验证第二个数据中心的配置。

作为最佳实践,我们建议使用“拆分 DNS”作为客户端使用的 Exchange 主机名。拆分 DNS 指的是一种 DNS 服务器配置,其中内部 DNS 服务器返回主机名的内部 IP 地址,外部(面向 Internet)DNS 服务器返回同一主机名的公用 IP 地址。由于使用拆分 DNS 时,在内部和外部使用相同的主机名,因此这一策略可以最大程度地减少所需的主机名数量。

下图说明了站点恢复配置的命名空间规划。

站点恢复 DAG 部署的命名空间

如上所示,每个数据中心都使用单独的唯一命名空间,并且每个命名空间在这些命名空间的拆分 DNS 配置中都包含 DNS 服务器。雷蒙德数据中心(视为主数据中心)配置了一个命名空间 protocol.contoso.com。波特兰数据中心配置了一个命名空间 protocol.standby.contoso.com。命名空间可以包括备用标志,如示例图中所示,它们可以基于地区命名(例如 protocol.portland.contoso.com),也可以基于适合组织需要的其他命名约定来命名。不论使用哪种命名约定,关键一点是每个数据中心都需要有自己的唯一命名空间。

FailbackURL 配置

某些 Web 浏览器(包括 Microsoft Internet Explorer)会在每个浏览器会话过程中维护一个 DNS 名称缓存,该缓存独立于操作系统提供的 DNS 缓存。在发生数据中心切换后对主数据中心进行故障回复的过程中,Web 浏览器对此独立缓存的使用可能会导致出现 Outlook Web App 用户登录循环,这种情况下,用户会反复重定向到同一个 URL。

在故障回复过程中,Outlook Web App 命名空间的 IP 地址会在 DNS 中从备用数据中心中的终结点更改回主数据中心中的原始终结点。在 DNS 记录的 TTL 过期后,甚至是在清除了操作系统的 DNS 缓存之后,维持其自己的独立名称缓存的 Web 浏览器可以继续连接到备用数据中心中的终结点,即使命名空间托管在主数据中心中也是如此。

通常,关闭 Web 浏览器足以清除其独立名称缓存并防止出现登录循环。但是,若要为所有 Web 浏览器和 Outlook Web App 用户缓解此问题,可以配置 Outlook Web App 虚拟目录的 FailbackURL 属性。FailbackUrl 参数指定 Outlook Web App 用于在对主站点进行故障回复之后连接到客户端访问服务器的主机名称。此命名空间需要指向原始客户端访问服务器的 IP 地址的独立 DNS 条目。FailbackUrl 参数的值必须不同于 Outlook Web App 虚拟目录的 ExternalUrl 参数值。当 Outlook Web App 用户提供其凭据时,客户端访问服务器会检测重定向 URL 是否为用户所访问的同一个 URL。如果 URL 相同,则客户端访问服务器会检查是否配置了 FailbackUrl 参数:

  • 如果配置了 FailbackUrl 参数,则它会将用户重定向到该 URL,用户通过该 URL 应能够访问 Outlook Web App。

  • 如果未配置 FailbackUrl 参数,则用户会收到一条错误消息,该消息指示服务器配置更改临时阻止访问其邮箱。该消息会指示用户关闭所有浏览器窗口(从而清除浏览器的名称缓存),并在几分钟后重试。

证书规划

在单一数据中心部署 DAG 时,证书不存在唯一或特殊的设计注意事项。但是,在站点恢复配置中跨多个数据中心扩展 DAG 时,对于证书有一些具体注意事项。通常,证书设计依赖于正在使用的客户端,以及使用证书的其他应用程序的证书要求。不过在证书的类型和数量方面,应遵循一些特定建议和最佳做法。

作为最佳实践,应当将用于客户端访问服务器、反向代理服务器和传输服务器(边距和集线器)的证书数减少到最低限度。我们建议在每个数据中心中为所有这些服务端点使用单一证书。此方法将可使所需的证书数达到最少,从而减少解决方案的成本和复杂性。

对于 Outlook Anywhere 客户端,我们建议对每个数据中心使用单一主题备用名称 (SAN) 证书,并在该证书中包括多个主机名称。为确保在数据库、服务器或数据中心切换之后 Outlook Anywhere 的连接性,必须在每个证书上使用相同的证书主体名称,并使用 Microsoft 标准格式 (msstd) 为 Outlook 提供程序配置对象 Active Directory 配置相同的主体名称。例如,如果使用证书主体名称 mail.contoso.com,则可以按如下方式配置属性:

Set-OutlookProvider EXPR -CertPrincipalName "msstd:mail.contoso.com"

与 Exchange 集成的某些应用程序具有特定的证书要求,这些应用程序可能需要使用其他证书。Exchange 2010 可以与 Office Communications Server (OCS) 共存。OCS 需要 1024 位或更高版本的证书,这些证书使用 OCS 服务器名称作为证书主体名称。因为将 OCS 服务器名称用作证书主体名称会阻止 Outlook Anywhere 正常工作,所以需要在 OCS 环境中使用其他单独证书。

有关使用 SAN 证书进行 Exchange 2010 客户端访问的详细信息,请参阅配置 SSL 证书使用多个客户端访问服务器主机名称

网络规划

除了必须满足每个 DAG 和属于 DAG 成员的每个服务器的特定网络要求外,还有一些特定于站点恢复配置的要求和建议。与所有 DAG 一样,无论 DAG 成员部署在单个站点还是多个站点,DAG 成员之间的往返返回网络延迟均不得大于 500 毫秒 (ms)。此外,对于跨多个站点扩展的 DAG 还有一些特定的配置设置建议:

  • MAPI 网络应独立于复制网络Windows 网络策略、Windows 防火墙策略或路由器访问控制列表 (ACL) 应当用于阻止 MAPI 网络与复制网络之间的通信。此配置是防止网络检测信号交叉对话所必需的。

  • 面向客户端的 DNS 记录应有 5 分钟的生存时间 (TTL) 客户端体验的停机时间长短不仅依赖于切换的速度,还依赖于 DNS 复制的速度,以及客户端查询 DNS 更新信息的速度。应将所有 Exchange 客户端服务(包括内部和外部 DNS 服务器中的 Outlook Web App、Exchange ActiveSync、Exchange Web 服务、Outlook Anywhere、SMTP、POP3、IMAP4 和 RPC 客户端访问)的 DNS 记录的生存时间设置为 5 分钟。

  • 使用静态路由配置跨复制网络的连接 若要在每个复制网络适配器之间提供网络连接,请使用持久静态路由。使用静态 IP 地址时,这是对每个 DAG 成员执行的一次性快速配置。如果在使用 DHCP 为复制网络获取 IP 地址,则还可以使用它为复制分配静态路由,从而简化配置过程。

常规网站恢复规划

除上面列出的针对高可用性的要求外,在站点恢复配置中部署 Exchange 2010(例如,跨多个数据中心扩展 DAG)还有一些其他建议。在计划阶段中,哪些问题会直接影响站点恢复解决方案的成功。例如,糟糕的命名空间设计可以导致证书出现问题,不正确的证书配置可能阻止用户访问服务。

为了尽可能缩短激活第二个数据中心所需的时间,并允许第二个数据中心承载故障数据中心的服务端点,必须完成适当的规划。例如:

  • 必须充分理解和记录站点恢复解决方案的服务级别协议 (SLA) 目标。

  • 第二个数据中心中的服务器必须具有足够的容量,以便承载两个数据中心的组合用户群。

  • 第二个数据中心必须启用在主数据中心中提供的所有服务(除非这些服务未作为站点恢复 SLA 的一部分包括在内)。这包括 Active Directory、网络基础结构(DNS 和 TCP/IP 等)、电话服务(如果使用的是统一消息)和站点基础结构(电源、散热等)。

  • 为使某些服务能够服务于发生故障的数据中心中的用户,必须为这些服务必须配置了正确的服务器证书。有些服务不允许实例化(例如,POP3 和 IMAP4),只允许使用单一证书。在这些情况下,证书要么必须是一个包括多个名称的主题备用名称 (SAN) 证书,要么必须是非常相似的多个名称,以便能够使用通配符证书(假定组织的安全策略允许使用通配符证书)。

  • 在第二个数据中心中必须定义必要的服务。例如,如果第一个数据中心在不同的传输服务器上有三个不同的 SMTP URL,那么必须在第二个数据中心中定义合适的配置,使至少一个(如果不是全部三个)传输服务器承载工作负荷。

  • 要支持数据中心切换,必须已配置了必要的网络。这可能意味着,确保配置了负载平衡,配置了全局 DNS,并且启用了配置适当路由的 Internet 连接。

  • 必须了解支持数据中心切换所需的 DNS 更改策略。必须定义和记录特定的 DNS 更改(包括其生存时间 (TTL) 设置),才能支持有效的 SLA。

  • 还必须建立测试解决方案的策略,并将其包括在 SLA 中。定期验证部署是保证部署的质量和实用性不随时间的推移而降级的唯一方式。在验证部署之后,我们建议明确记录直接影响解决方案成功的配置部分。此外,还建议围绕这些部署部分加强更改管理过程。

常规要求

对数据中心切换的规划

正确规划和准备不仅涉及第二个数据中心资源的部署(如活动客户端访问和集线器传输服务器),而且涉及作为数据中心切换操作的一部分预配置这些资源,从而使所需的更改达到最低限度。

注释注意:
第二个数据中心需要客户端访问和集线器传输服务,即使阻止第二个数据中心中的邮箱数据库自动激活也如此。这些服务是执行数据库切换以及在第二个数据中心测试和验证服务和数据所必需的。

为更好地了解数据中心切换过程的工作方式,了解 Exchange 2010 数据中心切换的基本操作非常有用。

如下图所示,站点恢复部署包括一个在两个数据中心中都有成员的 DAG。

成员位于两个数据中心中的数据库可用性组

跨多个数据中心扩展 DAG 时,应对其进行相应设计,使大多数 DAG 成员都在主数据中心,或者,在每个数据中心都具有相同数量的成员时,使主数据中心承载见证服务器。此设计可保证在主数据中心提供服务,即使两个数据中心之间的网络连接发生故障时也如此。不过,这还意味着主数据中心发生故障时,将失去对第二个数据中心中的成员的仲裁。

还可能会发生部分数据中心故障。如果主数据中心因失去足够的功能而阻碍有效的服务和管理,则应执行数据中心切换来激活第二个数据中心。激活过程涉及管理员将部分操作状态的幸存服务器配置为停止服务。然后可以在第二个数据中心继续激活。这样可以防止同时尝试和操作两组服务。

由于仲裁丢失,第二个数据中心中的 DAG 成员将无法自动联机。因此,在第二个数据中心中激活邮箱服务器还需要一个强制 DAG 成员服务器创建仲裁的步骤,这时将从 DAG 内部删除(仅临时删除)故障数据中心中的服务器。这可以提供一个稳定的部分服务解决方案,能够体验某种级别的其他故障,并能继续正常工作。

注释注意:
能够体验其他故障的一个先决条件是 DAG 至少有四个成员,并且这四个成员分布在两个 Active Directory 站点之间(即每个数据中心至少有两个成员)。

这是用于在第二个数据中心中重新建立邮箱角色功能的基本过程。激活第二个数据中心中的其他角色不涉及对第二个数据中心中受影响服务器的显式操作。相反,第二个数据中心中的服务器将成为通常由主数据中心承载的那些服务的服务端点。例如,通常在主数据中心驻留的用户可以使用 https://mail.contoso.com/owa 连接到 Outlook Web App。在数据中心发生故障之后,这些服务端点作为切换操作的一部分移动到第二个数据中心中的端点。在切换操作过程中,主数据中心的服务端点将重新定向到第二个数据中心中的相同服务的备用 IP 地址。在切换过程中,这可以减少必须对 Active Directory 中存储的配置信息进行更改的次数。通常,可以通过两种方法来完成此步骤:

  • 更新 DNS 记录;或

  • 重新配置 DNS 和负载平衡器以启用和禁用备选 IP 地址,从而在数据中心之间移动服务。

必须建立一个测试解决方案的策略。必须将其包括在 SLA 中。定期验证部署是保证部署不随时间的推移而降级的唯一方式。

认真完成这些规划步骤对成功进行数据中心切换有着立竿见影的效果。例如,糟糕的命名空间设计可能会导致证书出现问题,不正确的证书配置则可能会阻止用户访问服务。

在验证部署之后,我们建议明确记录直接影响成功进行数据中心切换的所有配置部分。此外,还应围绕这些部署部分加强更改管理过程。

有关数据中心切换(包括激活辅助数据中心和重新激活发生故障的(主)数据中心)的详细信息,请参阅数据中心切换

常规要求

 © 2010 Microsoft Corporation。保留所有权利。