Rede de Segurança em Exchange Server
No Exchange 2010, a lixeira de transporte ajudou a proteger contra a perda de dados mantendo uma fila de mensagens entregues com êxito que não tinham sido replicadas para as cópias passivas do banco de dados de caixa de correio no grupo de disponibilidade de banco de dados (DAG). Quando um banco de dados de caixa de correio ou uma falha do servidor exigiu a promoção de uma cópia desatualizada do banco de dados da caixa de correio, as mensagens na lixeira de transporte foram automaticamente reapresentadas à nova cópia ativa do banco de dados da caixa de correio.
A lixeira de transporte foi aprimorada no Exchange 2013 e agora é chamada de Safety Net. O Exchange 2016 e o Exchange 2019 têm esses mesmos aprimoramentos.
Veja como o Safety Net é semelhante à lixeira de transporte no Exchange 2010:
O Safety Net é uma fila associada ao serviço de transporte em um servidor de caixa de correio. Essa fila armazena cópias de mensagens que foram processadas com êxito pelo servidor.
Você pode especificar quanto tempo o Safety Net armazena cópias das mensagens processadas com êxito antes de expirarem e são excluídas automaticamente. O padrão é de dois dias.
Veja como a Rede de Segurança é aprimorada a partir da lixeira de transporte no Exchange 2010:
O Safety Net não requer um DAG: para servidores de caixa de correio que não pertencem a um DAG, o Safety Net armazena cópias das mensagens entregues em outros servidores da Caixa de Correio no site do Active Directory local.
A Rede de Segurança em si não é um único ponto de falha: a redundância é fornecida usando uma Rede de Segurança Primária e uma Rede de Segurança sombra. Se a Rede de Segurança Primária não estiver disponível por mais de 12 horas, as solicitações de reenviamento se tornarão solicitações de reenviamento de sombra e as mensagens serão re-entregues da Rede de Segurança das Sombras.
O Safety Net assume alguma responsabilidade da redundância de sombra em ambientes DAG: a redundância de sombra não precisa manter outra cópia da mensagem entregue em uma fila de sombras enquanto aguarda que a mensagem entregue seja replicada para as cópias passivas do banco de dados da caixa de correio. A cópia da mensagem entregue já está armazenada na Rede de Segurança, portanto, a mensagem pode ser reenviada da Rede de Segurança, se necessário.
A Rede de Segurança tenta garantir a redundância de mensagens: o Safety Net é mais do que apenas um melhor esforço para redundância de mensagens, portanto, você não pode especificar um limite máximo de tamanho para a Safety Net. Você só pode especificar quanto tempo o Safety Net armazena mensagens antes de serem excluídas automaticamente.
Para obter mais informações sobre recursos de alta disponibilidade de transporte em Exchange Server, consulte Transporte de alta disponibilidade em Exchange Server. Para obter mais informações sobre a redundância de mensagens para mensagens em trânsito, consulte Redundância de sombra no Exchange Server.
Como funciona o Safety Net
A redundância de sombra mantém uma cópia redundante da mensagem enquanto a mensagem está em trânsito. O Safety Net mantém uma cópia redundante de uma mensagem depois que a mensagem é processada com êxito. Portanto, a Rede de Segurança começa onde a redundância de sombra termina. conceitos em redundância de sombra, incluindo o limite de alta disponibilidade de transporte, mensagens primárias, servidores primários, mensagens de sombra e servidores de sombra também se aplicam ao Safety Net. Para obter mais informações, consulte Redundância de sombra em Exchange Server.
A Rede de Segurança Primária existe no servidor mailbox que mantinha a mensagem primária antes da mensagem ser processada com êxito pelo serviço de transporte. Isso pode significar que a mensagem foi entregue ao serviço de Entrega de Transporte da Caixa de Correio no servidor de caixa de correio de destino. Ou, a mensagem poderia ter sido retransmitida por meio do servidor mailbox em um site do Active Directory designado como um site do hub a caminho do DAG de destino ou do site do Active Directory. Depois que o servidor primário processa a mensagem primária, a mensagem é movida da fila de entrega ativa para a Rede de Segurança Primária no mesmo servidor.
A Rede de Segurança das Sombras existe no servidor da caixa de correio que mantinha a mensagem de sombra. Depois que o servidor sombra determinar que o servidor primário processou com êxito a mensagem primária, o servidor de sombra move a mensagem de sombra da fila de sombras para a Rede de Segurança das Sombras no mesmo servidor. Embora possa parecer óbvio, a existência da Shadow Safety Net requer que a redundância de sombra seja habilitada (ela está habilitada por padrão).
Esta tabela descreve os parâmetros usados pelo Safety Net.
| Parâmetro | Valor padrão | Descrição |
|---|---|---|
| SafetyNetHoldTime em Set-TransportConfig | 2 dias | As mensagens primárias processadas com êxito são armazenadas na Rede de Segurança Primária e as mensagens de sombra reconhecidas são armazenadas na Shadow Safety Net. Você também pode especificar esse valor no centro de administração do Exchange (EAC) no fluxo >de emailReceber conectores>Mais opções As mensagens de sombra não reconhecidas eventualmente expiram da Shadow Safety Net após a soma dos valores de parâmetro SafetyNetHoldTime e MessageExpirationTimeout . Para evitar a perda de dados durante os reencontamentos do Safety Net, o valor desse parâmetro deve ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia defasada do banco de dados da caixa de correio. |
| ReplayLagTime em Set-MailboxDatabaseCopy | Não configurado | O tempo que o serviço de Replicação do Microsoft Exchange deve aguardar antes de reproduzir arquivos de log copiados para a cópia do banco de dados passivo. Definir esse parâmetro como um valor maior que 0 cria uma cópia defasada do banco de dados da caixa de correio. O valor máximo é de 14 dias. Para evitar a perda de dados durante os reencontamentos do Safety Net, o valor desse parâmetro para a cópia defasada do banco de dados da caixa de correio deve ser menor ou igual ao valor de SafetyNetHoldTime em Set-TransportConfig. |
| MessageExpirationTimeout no Set-TransportService | 2 dias | Quanto tempo uma mensagem pode permanecer em uma fila antes de expirar. |
| ShadowRedundancyEnabled em Set-TransportConfig | $true |
$true: a redundância de sombra está habilitada em todos os servidores de caixa de correio da organização. A redundância para a Rede de Segurança requer que a redundância de sombra seja habilitada. |
>Configurações de transporte da organização>Rede de Segurança>Tempo de espera da Rede de Segurança. Tamanhos máximos com suporte da Rede de Segurança
Em Microsoft Exchange Server 2019 e 2016, o tamanho máximo do banco de dados com suporte para o banco de dados jet net de transporte é de 2 TB.
Quando uma topologia hub-and-spoke é usada, o banco de dados JET do Safety Net de transporte pode crescer além de 2 TB. Para ficar dentro do limite suportado de 2 TB, siga estas diretrizes:
Os servidores hub usados para retransmissão de mensagens não podem ser configurados para entregar mensagens às caixas de correio.
Desabilitar o Safety Net em servidores hub que são usados para retransmissão de mensagens. Para fazer isso, siga estas etapas:
Em uma janela de prompt de comando, abra o arquivo EdgeTransport.exe.config no Bloco de Notas executando o seguinte comando no servidor:
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.configAdicione a seguinte chave na seção appSettings .
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />Quando terminar, salve e feche o arquivo EdgeTransport.exe.config.
Reinicie o serviço de Transporte do Exchange executando o seguinte comando:
net stop MSExchangeTransport && net start MSExchangeTransport
Reenviação de mensagens da Rede de Segurança
O componente do Active Manager do serviço de replicação do Microsoft Exchange (MSExchangeRepl.exe) gerencia cópias de banco de dados da caixa de correio e DAGs. As reenviações de mensagens da Rede de Segurança não exigem ações manuais e são iniciadas pelo Active Manager. Para obter mais informações sobre o Active Manager, consulte Active Manager.
Há dois cenários básicos de resubmissão de mensagem do Safety Net:
Após o failover automático ou manual de um banco de dados de caixa de correio em um DAG.
Depois de ativar uma cópia defasada de um banco de dados de caixa de correio.
Uma cópia de banco de dados de caixa de correio defasada ou cópia defasada é uma cópia passiva de um banco de dados de caixa de correio em que as atualizações no banco de dados são intencionalmente atrasadas para proteger contra corrupção lógica do banco de dados da caixa de correio. Para obter mais informações, consulte Gerenciar cópias de banco de dados de caixa de correio.
A única diferença significativa entre os dois cenários é o quão longe no tempo para ir para reenviar mensagens do Safety Net. Normalmente, para failover de banco de dados em um DAG, a nova cópia ativa do banco de dados da caixa de correio está em qualquer lugar de vários minutos a várias horas atrás da cópia ativa antiga. Uma cópia defasada de um banco de dados de caixa de correio normalmente está vários dias atrás da cópia ativa antiga.
O principal requisito para a resubmissão de mensagem bem-sucedida da Safety Net para uma cópia defasada é: o tempo em que as mensagens são armazenadas na Rede de Segurança deve ser maior ou igual ao tempo de atraso da cópia defasada. Em outras palavras, o valor de SafetyNetHoldTime em Set-TransportConfig deve ser maior ou igual ao valor do ReplayLagTime em Set-MailboxDatabaseCopy para a cópia defasada.
Reenviação de mensagens da Shadow Safety Net
A resubmissão de mensagem da Shadow Safety Net (como a resubmissão de mensagens da Rede de Segurança Primária) é totalmente automatizada e não requer nenhuma intervenção manual. Este cenário descreve a interação da Rede de Segurança Primária e da Rede de Segurança das Sombras durante a resubmissão da mensagem:
O Active Manager solicita a resubmissão de mensagens do Safety Net para um banco de dados de caixa de correio para o intervalo de tempo especificado (por exemplo, 5:00 às 9:00). No entanto, o servidor mailbox que contém a Rede de Segurança Primária falhou devido a uma falha de hardware. O Active Manager tenta, sem sucesso, entrar em contato com a Rede de Segurança Primária pelas próximas 12 horas.
Após 12 horas, o Active Manager envia uma mensagem de transmissão para o serviço de transporte em todos os servidores de caixa de correio no limite de alta disponibilidade de transporte (o DAG ou o site do Active Directory em ambientes não DAG) procurando outras Redes de Segurança que contêm mensagens para o banco de dados de caixa de correio de destino para o intervalo de tempo especificado. A Shadow Safety Net responde e reapresenta mensagens para o banco de dados da caixa de correio para o intervalo de tempo das 5:00 às 9:00.
Quando uma Rede de Segurança das Sombras responde, ela só reenvia as mensagens para o banco de dados de caixa de correio necessário durante o intervalo de tempo necessário. Essa restrição por banco de dados de caixa de correio e intervalo de tempo ajuda a reduzir esses problemas potenciais:
Reenviar mensagens do Safety Net pode resultar em entregas duplicadas. Isso não é um problema para caixas de correio na organização do Exchange, pois a detecção de mensagens duplicadas impede que os usuários da caixa de correio vejam as mensagens duplicadas. Mas a entrega de mensagens duplicadas para destinatários externos pode resultar em cópias duplicadas de mensagens que o destinatário veria.
As mensagens de sombra resubmetidas da Shadow Safety Net exigem categorização e processamento completos por meio do serviço de transporte no servidor da caixa de correio. A resubmissão de um grande número de mensagens de sombra pode ser cara em termos de recursos do sistema de servidor da Caixa de Correio.
Estas são algumas considerações importantes para as mensagens de sombra armazenadas na Shadow Safety Net:
A Shadow Safety Net não sabe onde o servidor primário transmitiu a mensagem primária.
As mensagens de sombra na Shadow Safety Net contêm apenas destinatários originais do envelope de mensagens, não os destinatários reais em que a mensagem primária foi entregue (por exemplo, o destinatário do envelope de mensagem pode ser um grupo de distribuição que requer expansão).
As mensagens na Rede de Segurança das Sombras não contêm nenhuma atualização de mensagem que ocorreu depois que o servidor primário processou a mensagem (por exemplo, codificação de mensagens ou conversão de conteúdo).
Este cenário descreve o que acontece se a Rede de Segurança Primária estiver offline durante parte do intervalo de reenviamento solicitado:
O banco de dados de fila no servidor da caixa de correio que contém a Rede de Segurança Primária está corrompido e um novo banco de dados de fila é criado às 7:00. Todas as mensagens primárias armazenadas na Rede de Segurança Primária de 1:00 às 7:00 são perdidas, mas o servidor é capaz de armazenar cópias de mensagens entregues com êxito na Rede de Segurança a partir das 7:00.
O Active Manager solicita uma resubmissão de mensagens da Safety Net para um banco de dados de caixa de correio para o intervalo de tempo 1:00 às 9:00.
A Rede de Segurança Primária reenvia mensagens para o intervalo de tempo das 7:00 às 9:00.
Como a Rede de Segurança Primária não tem as mensagens necessárias para 1:00 às 7:00. a Rede de Segurança Primária envia uma mensagem de transmissão para o serviço de transporte em todos os servidores de caixa de correio no limite de alta disponibilidade de transporte em busca de outras Redes de Segurança que contenham as mensagens necessárias. A Shadow Safety Net gera uma segunda solicitação de reenviamento em nome da Rede de Segurança Primária para reenviar as mensagens de sombra do banco de dados de caixa de correio de destino para o intervalo de tempo de 1:00 às 7:00.
Estes são alguns outros problemas a serem considerados quando as mensagens são reenviadas da Rede de Segurança:
Todas as notificações de status de entrega (também conhecidas como DSNs, relatórios de não entrega, NDRs ou mensagens de salto) são suprimidas para resubmissões de mensagem do Safety Net: Por exemplo, se a mensagem primária resultou em um NDR, a NDR para a mensagem reenviada não será entregue.
Os usuários removidos de um grupo de distribuição podem não receber uma mensagem reenviada quando a Shadow Safety Net reenvia a mensagem: por exemplo, uma mensagem é enviada a um grupo que contém Usuário A e Usuário B e ambos os destinatários recebem a mensagem. O usuário B é posteriormente removido do grupo. Posteriormente, uma solicitação de reenviamento da Rede de Segurança Primária é feita para o banco de dados da caixa de correio que contém a caixa de correio do Usuário B. No entanto, a Rede de Segurança Primária não está disponível por mais de 12 horas, portanto, o servidor Shadow Safety Net responde e reapresenta a mensagem afetada. Durante a resubmissão da mensagem quando o grupo de distribuição for expandido, o usuário B não é mais um membro do grupo e não receberá uma cópia da mensagem resubmitida.
Novos usuários adicionados a um grupo de distribuição podem receber uma mensagem antiga reenviada quando a Shadow Safety Net reenvia a mensagem: por exemplo, uma mensagem é enviada a um grupo que contém Usuário A e Usuário B e ambos os destinatários recebem a mensagem. O usuário C é adicionado posteriormente ao grupo. Posteriormente, uma solicitação de reenviamento da Rede de Segurança Primária é feita para o banco de dados da caixa de correio que contém a caixa de correio do Usuário C. No entanto, o servidor Da Rede de Segurança Primária não está disponível por mais de 12 horas, portanto, o servidor Shadow Safety Net responde e reenvia as mensagens afetadas. Durante a resubmissão da mensagem quando o grupo de distribuição for expandido, o Usuário C agora é um membro do grupo e receberá uma cópia da mensagem resubmitida.
Implantando o Safety Net no Hub e na Topologia do Spoke: o Safety Net foi projetado para proteger a entrega de mensagens nos Servidores do Exchange que hospedam caixas de correio do usuário final. Os clientes que implantaram uma topologia de roteamento de hub e spoke devem desabilitar o Safety Net em servidores de transporte em sites de hub para evitar um grande crescimento no tamanho do banco de dados de transporte em locais do hub.