Sicherheitsnetz in Exchange Server

In Exchange 2010 schützte der Transport-Dumpster vor Datenverlust, indem er eine Warteschlange mit erfolgreich übermittelten Nachrichten aufrechterhält, die nicht in die passiven Postfachdatenbankkopien in der Datenbankverfügbarkeitsgruppe (DAG) repliziert wurden. Wenn ein Postfachdatenbank- oder Serverfehler die Heraufstufung einer veralteten Kopie der Postfachdatenbank erforderte, wurden die Nachrichten im Transport-Dumpster automatisch an die neue aktive Kopie der Postfachdatenbank gesendet.

Der Transport dumpster wurde im Exchange 2013 verbessert und heißt jetzt Safety Net. Exchange 2016 und Exchange 2019 haben die gleichen Verbesserungen.

So gleichen sich das Sicherheitsnetz und der Transportdumpster in Exchange 2010:

  • Das Sicherheitsnetz ist eine Warteschlange, die mit dem Transportdienst auf einem Postfachserver verbunden ist. In dieser Warteschlange werden Kopien von Nachrichten gespeichert, die vom Server erfolgreich verarbeitet wurden.

  • Sie können angeben, wie lange das Sicherheitsnetz Kopien der erfolgreich verarbeiteten Nachrichten speichert, bevor sie ablaufen und automatisch gelöscht werden. Der Standardwert beträgt 2 Tage.

Dies sind die Verbesserung des Sicherheitsnetzes im Vergleich zum Transportdumpster in Exchange 2010:

  • Safety Net erfordert keine DAG: Für Postfachserver, die keiner DAG angehören, speichert Safety Net Kopien der übermittelten Nachrichten auf anderen Postfachservern am lokalen Active Directory-Standort.

  • Safety Net selbst ist kein einziger Fehlerpunkt: Redundanz wird mithilfe eines primären Sicherheitsnetzes und eines Schattensicherheitsnetzes bereitgestellt. Wenn das primäre Sicherheitsnetz für mehr als 12 Stunden nicht verfügbar ist, werden Anforderungen zur Neuübermittlung zu Anforderungen zur Shadow-Neuübermittlung, und Nachrichten werden aus dem Shadow-Sicherheitsnetz erneut übermittelt.

  • Safety Net übernimmt eine gewisse Verantwortung durch Schattenredundanz in DAG-Umgebungen: Schattenredundanz muss keine weitere Kopie der zugestellten Nachricht in einer Schattenwarteschlange aufbewahren, während sie wartet, bis die zugestellte Nachricht in die passiven Kopien der Postfachdatenbank repliziert wird. Die Kopie der zugestellten Nachricht ist bereits in Safety Net gespeichert, sodass die Nachricht bei Bedarf erneut an Safety Net gesendet werden kann.

  • Safety Net versucht, Nachrichtenredundanz zu garantieren: Safety Net ist mehr als nur ein optimaler Aufwand für Nachrichtenredundanz, sodass Sie keine maximale Größenbeschränkung für Safety Net angeben können. Sie können nur angeben, wie lange Safety Net Nachrichten speichert, bevor sie automatisch gelöscht werden.

Weitere Informationen zu den Transportfunktionen für hohe Verfügbarkeit in Exchange Server finden Sie unter "Hohe Transportverfügbarkeit in Exchange Server". Weitere Informationen zur Nachrichtenredundanz für Nachrichten während der Übertragung finden Sie unter Schattenredundanz in Exchange Server.

Funktionsweise des Sicherheitsnetzes

Für die Shadow-Redundanz wird eine redundante Kopie der Nachricht gespeichert, während die Nachricht übertragen wird. Das Sicherheitsnetz bewahrt eine redundante Kopie einer Nachricht auf, nachdem die Nachricht erfolgreich verarbeitet wurde. Das Sicherheitsnetz setzt also da ein, wo die Shadow-Redundanz endet. Konzepte im Zusammenhang mit Shadow-Redundanz, einschließlich der Grenzen für hohe Transportverfügbarkeit, primäre Nachrichten, primäre Server, Shadow-Nachrichten und Shadow-Server, gelten auch für das Sicherheitsnetz. Weitere Informationen finden Sie unter Schattenredundanz in Exchange Server.

Das primäre Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die primäre Nachricht vorhanden war, bevor sie erfolgreich vom Transportdienst verarbeitet wurde. Dies könnte bedeuten, dass die Nachricht an den Postfachtransport-Übermittlungsdienst auf dem Zielpostfachserver zugestellt wurde. Die Nachricht könnte aber auch über den Postfachserver an einem Active Directory-Standort weitergeleitet worden sein, der als Hubstandort auf dem Weg zur Ziel-DAG oder zum Active Directory-Standort vorgesehen ist. Nachdem der primäre Server die primäre Nachricht verarbeitet hat, wird die Nachricht von der aktiven Warteschlange in das primäre Sicherheitsnetz auf demselben Server verschoben.

Das Shadow-Sicherheitsnetz befindet sich auf dem Postfachserver, auf dem die Shadow-Nachricht vorhanden war. Sobald der Shadow-Server ermittelt, dass der primäre Server die primäre Nachricht erfolgreich verarbeitet hat, verschiebt der Shadow-Server die Shadow-Nachricht aus der Shadow-Warteschlange in das Shadow-Sicherheitsnetz auf demselben Server. Es liegt nahe, dass für das Vorhandensein des Shadow-Sicherheitsnetzes die Shadow-Redundanz aktiviert sein muss (Shadow-Redundanz ist standardmäßig aktiviert).

Diese Tabelle beschreibt die Parameter, die vom Sicherheitsnetz verwendet werden.

Parameter Standardwert Beschreibung
SafetyNetHoldTime für Set-TransportConfig 2 Tage Die Zeit, für die erfolgreich verarbeitete primäre Nachrichten im primären Sicherheitsnetz und bestätigte Shadow-Nachrichten im Shadow-Sicherheitsnetz gespeichert werden.

Sie können diesen Wert auch im Exchange Admin Center (EAC) bei Nachrichtenfluss-Empfangsconnectors > > angeben . Weitere Optionen Weitere Optionen Symbol. >Organisationstransporteinstellungen > Sicherheitsnetz > Sicherheitsnetz-Haltedauer.

Nicht bekannte Schattenmeldungen laufen nach der Summe der Parameterwerte SafetyNetHoldTime und MessageExpirationTimeout schließlich von Shadow Safety Net ab.

Um Datenverluste während der erneuten Übermittlung von Safety Net zu vermeiden, muss der Wert dieses Parameters größer oder gleich dem Wert von ReplayLagTime auf Set-MailboxDatabaseCopy für die verzögerte Kopie der Postfachdatenbank sein.

ReplayLagTime für Set-MailboxDatabaseCopy Nicht konfiguriert Der Zeitraum, den der Microsoft Exchange-Replikationsdienst abwarten soll, bevor mit der Wiedergabe von Protokolldateien begonnen wird, die in die passive Datenbankkopie kopiert wurden. Wenn Sie diesen Parameter auf einen Wert größer als 0 festlegen, wird eine verzögerte Kopie der Postfachdatenbank erstellt. Der Höchstwert ist 14 Tage.

Um Datenverluste während der erneuten Übermittlung von Safety Net zu vermeiden, muss der Wert dieses Parameters für die verzögerte Kopie der Postfachdatenbank kleiner oder gleich dem Wert von SafetyNetHoldTime in Set-TransportConfig sein.

MessageExpirationTimeout für Set-TransportService 2 Tage Gibt an, wie lange eine Nachricht in einer Warteschlange verbleiben kann, bevor sie abläuft.
ShadowRedundancyEnabled für Set-TransportConfig $true $true: Schattenredundanz ist auf allen Postfachservern in der Organisation aktiviert.

$false: Schattenredundanz ist auf allen Transportservern in der Organisation deaktiviert.

Für Redundanz beim Sicherheitsnetz muss Shadow-Redundanz aktiviert sein.

Maximal unterstützte Sicherheitsnetzgrößen

In Microsoft Exchange Server 2019 und 2016 beträgt die maximal unterstützte Datenbankgröße für die Transportsicherheitsnetz-JET-Datenbank 2 TB.

Wenn eine Hub-and-Spoke-Topologie verwendet wird, kann die Transport Safety Net JET-Datenbank über 2 TB wachsen. Befolgen Sie die folgenden Richtlinien, um den unterstützten Grenzwert von 2 TB einzuhalten:

  • Hubserver, die für das Nachrichtenrelay verwendet werden, können nicht so konfiguriert werden, dass Nachrichten an Postfächer übermittelt werden.

  • Deaktivieren Sie Safety Net auf Hubservern, die für das Nachrichtenrelay verwendet werden. Gehen Sie dazu wie folgt vor:

    1. Öffnen Sie in einem Eingabeaufforderungsfenster die EdgeTransport.exe.config Datei in Editor, indem Sie den folgenden Befehl auf dem Server ausführen:

      Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config
      
    2. Fügen Sie den folgenden Schlüssel im Abschnitt "appSettings " hinzu.

      <add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />
      

      Speichern und schließen Sie die Datei „EdgeTransport.exe.config" nach Abschluss des Vorgangs.

    3. Starten Sie den Exchange-Transport-Dienst erneut, indem Sie den folgenden Befehl ausführen:

      net stop MSExchangeTransport && net start MSExchangeTransport
      

Erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz

Die Active Manager-Komponente des Microsoft Exchange-Replikationsdiensts (MSExchangeRepl.exe) verwaltet DAGs und Postfachdatenbankkopien. Erneute Nachrichtenübermittlungen aus Safety Net erfordern keine manuellen Aktionen und werden vom aktiven Manager initiiert. Weitere Informationen zu Active Manager finden Sie in Active Manager.

Es gibt zwei grundlegende Szenarien für die erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz:

  • Nach dem automatischen oder manuellen Failover einer Postfachdatenbank in einer DAG.

  • Nachdem Sie eine verzögerte Kopie einer Postfachdatenbank aktivieren.

Eine verzögerte Postfachdatenbankkopie oder verzögerte Kopie ist eine passive Kopie einer Postfachdatenbank, bei der Aktualisierungen der Datenbank absichtlich verzögert werden, um einen Schutz vor logischer Beschädigung der Datenbank zu bieten. Weitere Informationen finden Sie unter Verwalten von Postfachdatenbankkopien.

Der einzige signifikante Unterschied zwischen den beiden Szenarien ist der Zeitraum, für den Nachrichten aus dem Sicherheitsnetz erneut übermittelt werden. Bei einem Datenbank-Failover in einer DAG ist die neue aktive Kopie üblicherweise wenige Minuten bis einige Stunden älter als die alte aktive Kopie. Eine verzögerte Kopie einer Postfachdatenbank ist meist mehrere Tage älter als die alte aktive Kopie.

Bei einer verzögerten Kopie ist die wichtigste Anforderung für eine erfolgreiche erneute Übermittlung einer Nachricht aus dem Sicherheitsnetz, dass die Dauer, für die Nachrichten im Sicherheitsnetz gespeichert sind, größer oder gleich der Verzögerung der verzögerten Kopie sein muss. Anders ausgedrückt, muss der Wert von SafetyNetHoldTime für Set-TransportConfig größer oder gleich dem Wert von ReplayLagTime für Set-MailboxDatabaseCopy für die verzögerte Kopie sein.

Erneute Übermittlung von Nachrichten aus dem Shadow-Sicherheitsnetz

Die erneute Übermittlung von Nachrichten aus dem Shadow-Sicherheitsnetz ist wie auch die erneute Übermittlung von Nachrichten aus dem primären Sicherheitsnetz vollständig automatisiert. Manuelle Eingriffe sind nicht erforderlich. In diesem Szenario wird die Interaktion des primären Sicherheitsnetzes und des Shadow-Sicherheitsnetzes während der erneuten Übermittlung von Nachrichten beschrieben:

  1. Active Manager fordert die erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz für eine Postfachdatenbank für einen bestimmten Zeitraum (zum Beispiel von 05:00 bis 9:00 Uhr) an. Der Postfachserver mit dem primären Sicherheitsnetz ist jedoch aufgrund eines Hardwareausfalls abgestürzt. Active Manager versucht für die nächsten 12 Stunden ohne Erfolg, Kontakt mit dem primären Sicherheitsnetz aufzunehmen.

  2. Nach 12 Stunden sendet Active Manger eine Nachricht an den Transportdienst auf allen Postfachservern innerhalb der Grenzen für hohe Transportverfügbarkeit (DAG oder Active Directory-Standort in Umgebungen ohne DAG), um ein anderes Sicherheitsnetz zu finden, das die Nachrichten für die Zielpostfachdatenbank für den angegebenen Zeitraum enthält. Das Shadow-Sicherheitsnetz reagiert und sendet Nachrichten für die Postfachdatenbank für den Zeitraum von 5:00 bis 9:00 Uhr erneut.

Wenn ein Shadow-Sicherheitsnetz reagiert, werden nur die Nachrichten für die erforderliche Postfachdatenbank für den erforderlichen Zeitraum erneut übermittelt. Diese Einschränkung von Postfachdatenbank und Zeitraum hilft Ihnen dabei, diese potenziellen Probleme zu reduzieren:

  • Beim erneuten Senden von Nachrichten aus dem Sicherheitsnetz kann es zu doppelten Übermittlungen kommen. Für Postfächer in der Exchange-Organisation ist dies kein Problem, da die Erkennung doppelter Nachrichten verhindert, dass Postfachbenutzer die doppelten Nachrichten angezeigt bekommen. Die doppelte Nachrichtenübermittlung an externe Empfänger kann jedoch dazu führen, dass dem Empfänger doppelte Kopien von Nachrichten angezeigt werden.

  • Aus dem Shadow-Sicherheitsnetz erneut übermittelte Shadow-Nachrichten müssen durch den Transportdienst auf dem Postfachserver vollständig kategorisiert und verarbeitet werden. Die erneute Übermittlung einer großen Anzahl von Shadow-Nachrichten kann die Systemressourcen des Postfachservers stark beanspruchen.

Es gibt einige wichtige Überlegungen für die Shadow-Nachrichten, die im Shadow-Sicherheitsnetz gespeichert werden:

  • Im Shadow-Sicherheitsnetz gibt es keine Angabe dazu, wohin der primäre Server die primäre Nachricht übertragen hat.

  • Die Shadow-Nachrichten im Shadow-Sicherheitsnetz enthalten nur die ursprünglichen Empfänger im Nachrichtenumschlag, nicht die tatsächlichen Empfänger, an die die primäre Nachricht zugestellt wurde. Der Empfänger im Nachrichtenumschlag kann beispielsweise eine Verteilergruppe sein, die erweitert werden muss.

  • Die Nachrichten im Shadow-Sicherheitsnetz enthalten keine Aktualisierungen der Nachrichten, die nach der Verarbeitung der Nachrichten auf dem primären Server vorgenommen wurden (zum Beispiel Nachrichtencodierung oder Inhaltskonvertierung).

Dieses Szenario beschreibt, was passiert, wenn das primäre Sicherheitsnetz während eines Teils des angeforderten Zeitraums für das erneute Senden offline ist:

  1. Die Warteschlangendatenbank auf dem Postfachserver mit dem primären Sicherheitsnetz ist beschädigt, und eine neue Warteschlangendatenbank wird um 7:00 Uhr erstellt. Alle primären Nachrichten, die im primären Sicherheitsnetz von 1:00 Uhr bis 7:00 Uhr gespeichert wurden, sind verloren, aber der Server kann Kopien erfolgreich an das Sicherheitsnetz zugestellter Nachrichten ab 7:00 Uhr speichern.

  2. Active Manager fordert eine erneute Übermittlung von Nachrichten aus dem Sicherheitsnetz für eine Postfachdatenbank für den Zeitraum von 1:00 bis 9:00 Uhr an.

  3. Das primäre Sicherheitsnetz übermittelt die Nachrichten für den Zeitraum von 7:00 bis 9:00 Uhr erneut.

  4. Da das primäre Sicherheitsnetz nicht über die angeforderten Nachrichten für den Zeitraum zwischen 01:00 und 07:00 Uhr verfügt, sendet das primäre Sicherheitsnetz eine Nachricht an den Transportdienst auf allen Postfachservern innerhalb der Grenzen für hohe Transportverfügbarkeit, um andere Sicherheitsnetze zu finden, die die erforderlichen Nachrichten enthalten. Das Shadow-Sicherheitsnetz generiert im Namen des primären Sicherheitsnetzes eine zweite Anforderung zur erneuten Übermittlung, um die Shadow-Nachrichten für die Zielpostfachdatenbank für den Zeitraum von 1:00 bis 7:00 Uhr erneut zu übermitteln.

Sie müssen einige weitere Probleme bedenken, wenn Nachrichten aus dem Sicherheitsnetz erneut übermittelt werden:

  • Alle Zustellungsstatusbenachrichtigungen (auch bekannt als DSNs, Unzustellbarkeitsberichte, Unzustellbarkeitsberichte oder Unzustellbarkeitsnachrichten) werden für erneute Übermittlungen von Safety Net-Nachrichten unterdrückt: Wenn die primäre Nachricht z. B. zu einem NDR geführt hat, wird der NDR für die erneut gesendete Nachricht nicht übermittelt.

  • Benutzer, die aus einer Verteilergruppe entfernt wurden, erhalten möglicherweise keine erneut gesendete Nachricht, wenn shadow Safety Net die Nachricht erneut sendet: Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger erhalten die Nachricht. Benutzer B wird anschließend aus der Gruppe entfernt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank gestellt, die das Postfach von Benutzer B enthält. Das primäre Sicherheitsnetz ist jedoch für mehr als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffene Nachricht erneut übergibt. Während der erneuten Übermittlung von Nachrichten, wenn die Verteilergruppe erweitert wird, ist Benutzer B kein Mitglied der Gruppe mehr und erhält keine Kopie der erneut gesendeten Nachricht.

  • Neue Benutzer, die einer Verteilergruppe hinzugefügt wurden, erhalten möglicherweise eine alte erneut gesendete Nachricht, wenn die Nachricht von Shadow Safety Net erneut übermittelt wird: Beispielsweise wird eine Nachricht an eine Gruppe gesendet, die Benutzer A und Benutzer B enthält, und beide Empfänger erhalten die Nachricht. Benutzer C wird anschließend der Gruppe hinzugefügt. Später wird eine erneute Übermittlungsanforderung von Primary Safety Net für die Postfachdatenbank gestellt, die das Postfach von Benutzer C enthält. Der primäre Safety Net-Server ist jedoch für mehr als 12 Stunden nicht verfügbar, sodass der Shadow Safety Net-Server antwortet und die betroffenen Nachrichten erneut übergibt. Während der erneuten Übermittlung von Nachrichten, wenn die Verteilergruppe erweitert wird, ist Benutzer C jetzt Mitglied der Gruppe und erhält eine Kopie der erneut gesendeten Nachricht.

  • Bereitstellen von Safety Net in Hub and Spoke Topology: Safety Net wurde entwickelt, um die Nachrichtenübermittlung auf Exchange Servern zu schützen, auf denen Endbenutzerpostfächer gehostet werden. Kunden, die eine Hub- und Spoke-Routingtopologie bereitgestellt haben, sollten Safety Net auf Transportservern an Hubstandorten deaktivieren, um eine große Zunahme der Größe der Transportdatenbank an Hubstandorten zu vermeiden.