Safety Net в Exchange Server

В Exchange 2010 г. транспортный дамптер помог защититься от потери данных, сохраняя очередь успешно доставленных сообщений, которые не реплицируются в пассивные копии баз данных почтовых ящиков в группе доступности базы данных (DAG). Когда при сбое сервера или базы данных почтовых ящиков требовалось продвижение устаревшей копии базы данных почтовых ящиков, сообщения в транспортной корзине автоматически повторно отправлялись в новую активную копию базы данных почтовых ящиков.

В 2013 г. был улучшен контейнер транспортных Exchange дампов, который теперь называется Safety Net. Exchange 2016 и Exchange 2019 имеют те же улучшения.

Чем сеть безопасности похожа на транспортную корзину в Exchange 2010.

  • Сеть безопасности — это очередь, связанная с транспортной службой на сервере почтовых ящиков. В этой очереди хранятся копии сообщений, успешно обработанных сервером.

  • Вы можете указать срок хранения сетью безопасности копий успешно обработанных сообщений до их автоматического удаления. Значение по умолчанию — 2 дней.

Чем сеть безопасности лучше транспортной корзины в Exchange 2010:

  • Для Safety Net не требуется DAG. Для серверов почтовых ящиков, не принадлежащих К DAG, Safety Net сохраняет копии доставленных сообщений на других серверах почтовых ящиков на локальном сайте Active Directory.

  • Сама по себе safety Net не является единой точкой отказа: избыточность обеспечивается с помощью основной и теневой . Если основная сеть безопасности недоступна более 12 часов, запросы на повторную отправку становятся запросами на теневую повторную отправку и сообщения повторно доставляются из теневой сети безопасности.

  • Safety Net берет на себя часть ответственности за теневую избыточность в средах DAG: теневой избыточности не нужно хранить другую копию доставленного сообщения в теневой очереди, пока она ожидает репликации доставленного сообщения в пассивные копии базы данных почтовых ящиков. Копия доставленного сообщения уже хранится в сети безопасности, следовательно, в случае необходимости сообщение может быть повторно отправлено из сети безопасности.

  • Safety Net пытается гарантировать избыточность сообщений: Safety Net — это не просто лучший способ обеспечения избыточности сообщений, поэтому вы не можете указать максимальный размер для Safety Net. Вы можете задать только длительность хранения сообщений в сети безопасности перед их автоматическим удалением.

Дополнительные сведения о функциях высокой доступности транспорта в Exchange Server см. в статье о высокой доступности транспорта в Exchange Server. Дополнительные сведения о избыточности сообщений при передаче см. в разделе "Избыточность теней" в Exchange Server.

Принцип работы сети безопасности

Теневое резервирование хранит резервную копию сообщения на протяжении его передачи. Сеть безопасности хранит резервную копию сообщения после его успешной обработки. Таким образом, сеть безопасности начинается там, где заканчивается теневое резервирование. К сети безопасности применимы те же понятия, что и к теневому резервированию, а именно "граница высокого уровня доступности транспорта", "основные сообщения", "основные серверы", "теневые сообщения", "теневые серверы". Дополнительные сведения см. в разделе "Избыточность теней" в Exchange Server.

Основная сеть безопасности существует на сервере почтовых ящиков, где основное сообщение хранится до того, как будет успешно обработано транспортной службой. Это может означать, что сообщение было доставлено в службу доставки транспорта почтовых ящиков по пути к серверу почтовых ящиков. Или могло быть ретранслировано через сервер почтовых ящиков на сайт Active Directory, который был назначен концентратором на пути к конечной группе обеспечения доступности баз данных почтовых ящиков или сайту Active Directory. После обработки основного сообщения основным сервером оно перемещается из активной очереди доставки в основную сеть безопасности на том же сервере.

Теневая сеть безопасности существует на сервере почтовых ящиков, удерживающем теневое сообщение. После того как теневой сервер определяет, что основной сервер успешно обработал основное сообщение, он перемещает теневое сообщение из теневой очереди в теневую сеть безопасности на том же сервере. Конечно же, существование теневой сети безопасности требует включенного теневого резервирования (включено по умолчанию).

В приведенной ниже таблице описаны параметры, используемые в сети безопасности.

Параметр Значение по умолчанию Описание
SafetyNetHoldTime по Set-TransportConfig 2 дней Временной период, на протяжении которого успешно обработанные основные сообщения хранятся в основной сети безопасности, а подтвержденные теневые сообщения хранятся в теневой сети безопасности.

Это значение также можно указать в Exchange центра администрирования (EAC) > на значке "Получение соединителей потока почты " > . Дополнительные параметры значок "Дополнительные параметры". >Параметры транспорта организации > Safety Net > Время удержания в Safety Net.

Срок хранения неподтвержденных теневых сообщений в теневой сети безопасности истекает после сложения значений параметров SafetyNetHoldTime и MessageExpirationTimeout.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение этого параметра должно быть больше или равно значению ReplayLagTime в Set-MailboxDatabaseCopy для неавторизованной копии базы данных почтового ящика.

Параметр ReplayLagTime в командлете Set-MailboxDatabaseCopy Не настроено Время ожидания службы репликации Microsoft Exchange перед воспроизведением файлов журнала, скопированных в пассивную копию базы данных. Если для данного параметра установлено значения больше 0, создается изолированная копия базы данных почтовых ящиков. Наибольшее значение — 14 дней.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение этого параметра для отложенной копии базы данных почтового ящика должно быть меньше или равно значению SafetyNetHoldTime в Set-TransportConfig.

MessageExpirationTimeout по Set-TransportService 2 дней Как долго сообщение может оставаться в очереди до истечения срока его действия.
ShadowRedundancyEnabled по Set-TransportConfig $true $true: Теневая избыточность включена на всех серверах почтовых ящиков в организации.

$false: теневая избыточность отключена на всех транспортных серверах в организации.

Резервирование сети безопасности требует включенного теневого резервирования.

Максимальный поддерживаемый размер Safety Net

В Microsoft Exchange Server 2019 и 2016 года максимальный поддерживаемый размер базы данных transport Safety Net JET составляет 2 ТБ.

При использовании звездообразной топологии база данных transport Safety Net JET может превышать 2 ТБ. Чтобы оставаться в пределах поддерживаемого ограничения в 2 ТБ, следуйте приведенным ниже рекомендациям.

  • Серверы концентратора, используемые для ретрансляции сообщений, не могут быть настроены для доставки сообщений в почтовые ящики.

  • Отключите Safety Net на серверах концентратора, используемых для ретрансляции сообщений. Для этого выполните следующие действия:

    1. В окне командной строки откройте файл EdgeTransport.exe.config в Блокнот, выполнив следующую команду на сервере:

      Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config
      
    2. Добавьте следующий ключ в раздел appSettings .

      <add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />
      

      Закончив, сохраните и закройте файл EdgeTransport.exe.config.

    3. Перезапустите службу Транспорт Exchange, выполнив следующую команду:

      net stop MSExchangeTransport && net start MSExchangeTransport
      

Повторная отправка сообщений из сети безопасности

Компонент Active Manager службы Exchange Майкрософт (MSExchangeRepl.exe) управляет группами доступности и копиями баз данных почтовых ящиков. Повторная отправка сообщений из сети безопасности не требует действий, выполняемых вручную, и запускается компонентом Active Manager. Дополнительные сведения о компоненте Active Manager см. в разделе Active Manager.

Существует два основных сценария повторной отправки сообщения из сети безопасности.

  • После автоматической или ручной отработки отказа баз данных почтовых ящиков в группе обеспечения доступности баз данных.

  • После активации изолированной копии базы данных почтовых ящиков.

Изолированная копия базы данных почтовых ящиков или изолированная копия — это пассивная копия базы данных почтовых ящиков, где обновления базы данных намеренно откладываются для защиты базы данных почтовых ящиков от логического повреждения. Дополнительные сведения см. в разделе "Управление копиями баз данных почтовых ящиков".

Единственная существенная разница между этими двумя сценариями — значение задержки для повторной отправки сообщений из сети безопасности. Как правило, для отработки отказа базы данных в группе обеспечения доступности баз данных разница во времени между новой и старой активными копиями баз данных почтовых ящиков составляет от нескольких минут до нескольких часов. Изолированная копия базы данных почтовых ящиков обычно отстает от старой активной копии на несколько дней.

Главное требование для успешной повторной отправки изолированной копии из сети безопасности — время хранения сообщений в сети безопасности должно превышать или быть равным интервалу задержки изолированной копии. Другими словами, для изолированной копии значение параметра SafetyNetHoldTime в Set-TransportConfig должно превышать значение параметра ReplayLagTime (или быть равным ему) в Set-MailboxDatabaseCopy.

Повторная отправка сообщений из теневой сети безопасности

Как и в случае с основной сетью безопасности, повторная отправка сообщений из теневой сети безопасности полностью автоматическая и не требует ручного вмешательства. Этот сценарий описывает взаимодействие основной и теневой сетей безопасности в процессе повторной отправки сообщений.

  1. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за определенный временной интервал (например, 05:00-09:00). Однако на сервере почтовых ящиков, хранящем основную сеть безопасности, произошел сбой из-за сбоя оборудования. В течение следующих 12 часов Active Manager безуспешно пытается установить связь с основной сетью безопасности.

  2. По прошествии 12 часов Active Manager отправляет широковещательное сообщение в транспортную службу на всех серверах почтовых ящиков в границах высокого уровня доступности транспорта (группа обеспечения доступности баз данных или сайт Active Directory в средах без таких групп) в поисках сетей безопасности, содержащих сообщения для целевой базы данных почтовых ящиков за указанный интервал времени. Ответом теневой сети безопасности служит повторная отправка сообщений для базы данных почтовых ящиков за период времени с 05:00 до 09:00.

Когда теневая сеть безопасности отвечает, она повторно отправляет сообщения для требуемой базы данных почтовых ящиков только на протяжении требуемого периода времени. Это ограничение по базе данных почтовых ящиков и временному интервалу помогает уменьшить количество таких потенциальных проблем:

  • Повторная отправка сообщений из сети безопасности может привести к дублирующимся сообщениям. Это не проблема для почтовых ящиков в организации Exchange, поскольку система определения повторяющихся сообщений скрывает дублирующиеся сообщения от пользователя почтового ящика. Однако внешние пользователи могут увидеть несколько одинаковых повторяющихся сообщений.

  • Теневые сообщения, повторно отправленные из теневой сети безопасности, требуют полной классификации и обработки через службу транспорта на сервере почтовых ящиков. Повторная отправка большого количества теневых сообщений может быть дорогой в плане ресурсов сервера почтовых ящиков.

Необходимо учесть несколько важных рекомендаций относительно теневых сообщений, хранящихся в теневой сети безопасности.

  • Теневая сеть безопасности не владеет информацией о том, куда основной сервер передал основное сообщение.

  • Теневые сообщения в теневой сети безопасности содержат только получателей конверта исходного сообщения, а не фактических получателей, которым было доставлено основное сообщение (например, получателем конверта сообщения может быть группа рассылки, требующая развертывания).

  • В сообщениях теневой сети безопасности нет обновлений сообщения, появившихся после его обработки основным сервером (например, шифрования сообщения или преобразования содержимого).

Этот сценарий описывает, что происходит, если основная сеть безопасности работает автономно во время запрошенного интервала на повторную отправку:

  1. База данных очереди на сервере почтовых ящиков, хранящем основную сеть безопасности, повреждена, а новая база данных очереди создана в 07:00. Все основные сообщения, которые хранились в основной сети безопасности с 01:00 до 07:00, утеряны, но сервер способен хранить копии успешно доставленных сообщений в сети безопасности, начиная с 07:00.

  2. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за временной интервал 01:00–09:00.

  3. Основная сеть безопасности повторно оправляет сообщения за временной интервал 07:00–09:00.

  4. Так как в основной сети безопасности нет требуемых сообщений за временной интервал с 01:00 до 07:00, основная сеть безопасности отправляет широковещательное сообщение в службу транспорта на всех серверах почтовых ящиков в границах высокого уровня доступности транспорта в поисках других сетей безопасности, содержащих требуемые сообщения. От имени основной сети безопасности теневая сеть безопасности формирует второй запрос на повторную отправку теневых сообщений для целевой базы данных почтовых ящиков за временной интервал с 01:00 до 07:00.

При повторной отправке сообщений из сети безопасности также следует принимать во внимание и другие аспекты:

  • Все уведомления о состоянии доставки (также известные как DSN, отчеты о недоставке, отчеты о недоставке или сообщения о недоставке) подавляются для повторной отправки сообщений Safety Net. Например, если основное сообщение привело к NDR, отчет о недоставке для повторно отправленного сообщения не будет доставлен.

  • Пользователи, удаленные из группы рассылки, могут не получать повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение: например, сообщение отправляется группе, содержащей пользователя A и пользователя B, и оба получателя получают сообщение. Пользователь Б впоследствии удаляется из группы. Позже для базы данных почтовых ящиков, содержащей почтовый ящик пользователя B, выполняется повторный запрос из Primary Safety Net. Однако основная сеть безопасности недоступна более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутое сообщение. Во время повторной отправки сообщения при развертывании группы рассылки пользователь Б больше не является членом группы и не получает копию повторно отправленного сообщения.

  • Новые пользователи, добавленные в группу рассылки, могут получать старое повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение: например, сообщение отправляется группе, содержащей пользователей A и Пользователя Б, и оба получателя получают сообщение. Пользователь C впоследствии добавляется в группу. Позже для базы данных почтовых ящиков, содержащей почтовый ящик пользователя C, выполняется повторный запрос от Primary Safety Net. Однако сервер primary Safety Net недоступен более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутые сообщения. Во время повторной отправки сообщения при развертывании группы рассылки пользователь C теперь является членом группы и получит копию повторно отправленного сообщения.

  • Развертывание Сети безопасности в звездообразной топологии. Она предназначена для защиты доставки сообщений на Exchange серверов, на которых размещены почтовые ящики конечных пользователей. Клиенты, которые развернули звездообразную топологию маршрутизации, должны отключить Safety Net на транспортных серверах на центральных сайтах, чтобы избежать большого роста размера транспортной базы данных в расположениях концентраторов.