Сеть безопасности

Область действия: Exchange Server 2013

В Microsoft Exchange Server 2013 основным механизмом обеспечения высокой доступности почтовых ящиков является группа доступности базы данных (DAG). Дополнительные сведения о группах доступности см. в разделе "Управление группами доступности базы данных". Контейнер транспортных дампов впервые появился в Exchange 2007 и был улучшен в Exchange 2010 для предоставления избыточных копий сообщений после успешной доставки в почтовые ящики в daG. В Exchange 2010 контейнер транспортных дампов помог защититься от потери данных, сохраняя очередь успешно доставленных сообщений, которые не реплицируются в пассивные копии баз данных почтовых ящиков в DAG. Когда при сбое сервера или базы данных почтовых ящиков требовалось продвижение устаревшей копии базы данных почтовых ящиков, сообщения в транспортной корзине автоматически повторно отправлялись в новую активную копию базы данных почтовых ящиков.

В Exchange 2013 был улучшен контейнер транспортных дампов, который теперь называется Safety Net.

Чем сеть безопасности похожа на транспортную корзину в Exchange 2010.

  • Сеть безопасности — это очередь, связанная с транспортной службой на сервере почтовых ящиков. В этой очереди хранятся копии сообщений, успешно обработанных сервером.

  • Вы можете указать срок хранения сетью безопасности копий успешно обработанных сообщений до их автоматического удаления. Значение по умолчанию — 2 дней.

Вот как в Exchange 2013 отличается Safety Net:

  • Для Safety Net не требуются группы доступности. Для серверов почтовых ящиков, которые не принадлежат к daG, Safety Net хранит копии доставленных сообщений на других серверах почтовых ящиков на локальном сайте Active Directory.

  • Сама по себе safety Net теперь является избыточной и больше не является единой точкой отказа. В этой статье описывается концепция основной и теневой. Если основная сеть безопасности недоступна более 12 часов, запросы на повторную отправку становятся запросами на теневую повторную отправку и сообщения повторно доставляются из теневой сети безопасности.

  • Safety Net берет на себя часть ответственности за теневую избыточность в средах DAG. Теневой избыточности не нужно хранить еще одну копию доставленного сообщения в теневой очереди, пока оно ожидает репликации доставленного сообщения в пассивные копии базы данных почтовых ящиков на других серверах почтовых ящиков в DAG. Копия доставленного сообщения уже хранится в сети безопасности, следовательно, в случае необходимости сообщение может быть повторно отправлено из сети безопасности.

  • В Exchange 2013 высокая доступность транспорта — это не просто лучший способ обеспечения избыточности сообщений. Exchange 2013 пытается гарантировать избыточность сообщений. Из-за этого вы не можете указать максимальный размер для Safety Net. Вы можете задать только длительность хранения сообщений в сети безопасности перед их автоматическим удалением.

Принцип работы сети безопасности

Теневое резервирование хранит резервную копию сообщения на протяжении его передачи. Сеть безопасности хранит резервную копию сообщения после его успешной обработки. Таким образом, сеть безопасности начинается там, где заканчивается теневое резервирование. Те же основные понятия, связанные с теневой избыточностью, включая границу высокой доступности транспорта, основные сообщения, первичные серверы, теневые сообщения и теневые серверы, также применяются к Safety Net. Дополнительные сведения см. в разделе Теневая избыточность.

Основная сеть безопасности существует на сервере почтовых ящиков, где основное сообщение хранится до того, как будет успешно обработано транспортной службой. Это может означать, что сообщение было доставлено в службу транспорта почтовых ящиков на целевом сервере почтовых ящиков. Или могло быть ретранслировано через сервер почтовых ящиков на сайт Active Directory, который был назначен концентратором на пути к конечной группе обеспечения доступности баз данных почтовых ящиков или сайту Active Directory. После обработки основным сервером основного сообщения сообщение перемещается из активной очереди в основную сеть безопасности на том же сервере.

Теневая сеть безопасности существует на сервере почтовых ящиков, удерживающем теневое сообщение. После того как теневой сервер определяет, что основной сервер успешно обработал основное сообщение, он перемещает теневое сообщение из теневой очереди в теневую сеть безопасности на том же сервере. Хотя это может показаться очевидным, существование теневой сети безопасности требует включения теневой избыточности, а теневая избыточность включена по умолчанию в Exchange 2013.

Параметры, используемые в Safety Net, описаны в следующей таблице.

Параметр Значение по умолчанию Описание
SafetyNetHoldTime по Set-TransportConfig 2 дней Временной период, на протяжении которого успешно обработанные основные сообщения хранятся в основной сети безопасности, а подтвержденные теневые сообщения хранятся в теневой сети безопасности.

Это значение также можно указать в Центре администрирования Exchange (EAC) > >  > > в соединителях получения потока почты. Дополнительные параметры Дополнительные параметры значок организации: параметры транспорта Safety Net > Safety Net.

Срок действия неподтвержденных теневых сообщений в конечном итоге истекает из Shadow Safety Net после суммы safetyNetHoldTime и MessageExpirationTimeout в Set-TransportService.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение SafetyNetHoldTime должно быть больше или равно значению ReplayLagTime в Set-MailboxDatabaseCopy для отложенной копии базы данных почтового ящика.
Параметр ReplayLagTime в командлете Set-MailboxDatabaseCopy Не настроено Время ожидания службы репликации Microsoft Exchange перед воспроизведением файлов журнала, скопированных в пассивную копию базы данных. Если для данного параметра установлено значения больше 0, создается изолированная копия базы данных почтовых ящиков. Наибольшее значение — 14 дней.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение ReplayLagTime должно быть меньше или равно значению SafetyNetHoldTime в Set-TransportConfig для отложенной копии базы данных почтового ящика.
MessageExpirationTimeout по Set-TransportService 2 дней Как долго сообщение может оставаться в очереди до истечения срока его действия.
ShadowRedundancyEnabled по Set-TransportConfig $true
  • $true обеспечивает теневую избыточность на всех транспортных серверах в организации.
  • $false отключает теневую избыточность на всех транспортных серверах в организации.

Для избыточной сети безопасности требуется включить теневую избыточность.

Повторная отправка сообщений из сети безопасности

Повторные отправки сообщений из Safety Net инициируются компонентом Active Manager службы репликации Microsoft Exchange, которая управляет группами доступности и копиями баз данных почтовых ящиков. Для повторной отправки сообщений из Safety Net не требуется никаких действий вручную. Дополнительные сведения о компоненте Active Manager см. в разделе Active Manager.

Существует два основных сценария повторной отправки сообщения из сети безопасности.

  • После автоматической или ручной отработки отказа баз данных почтовых ящиков в группе обеспечения доступности баз данных.
  • После активирования отложенной копии базы данных почтового ящика.

Изолированная копия базы данных почтовых ящиков или изолированная копия — это пассивная копия базы данных почтовых ящиков, где обновления базы данных намеренно откладываются для защиты базы данных почтовых ящиков от логического повреждения. Дополнительные сведения см. в разделе "Управление копиями баз данных почтовых ящиков".

Единственная существенная разница между этими двумя сценариями — значение задержки для повторной отправки сообщений из сети безопасности. Как правило, для отработки отказа в DAG новая активная копия базы данных почтовых ящиков обычно отстает от старой активной копии на несколько часов. Изолированная копия базы данных почтовых ящиков обычно отстает от старой активной копии на несколько дней.

Основное требование для успешной повторной отправки из Safety Net для отложенной копии — количество сообщений, хранящихся в Safety Net, должно быть больше или равно времени задержки отложенной копии базы данных почтового ящика. Другими словами, для изолированной копии значение параметра SafetyNetHoldTime в Set-TransportConfig должно превышать значение параметра ReplayLagTime (или быть равным ему) в Set-MailboxDatabaseCopy.

Повторная отправка сообщений из теневой сети безопасности

Как и при повторной отправке сообщений из основной сети безопасности, повторные отправки сообщений из Shadow Safety Net полностью автоматизированы и не требуют вмешательства вручную.

Когда Active Manager запрашивает повторную отправку сообщений из Safety Net в течение определенного периода времени, запрос отправляется в службу транспорта на серверах почтовых ящиков, где основная сеть безопасности содержит копии сообщений в течение требуемого периода времени. В крупных организациях Exchange, скорее всего, необходимые сообщения существуют в Safety Net на нескольких серверах почтовых ящиков, особенно если требуемый период времени велик.

Без оптимизации повторное отправка сообщений из Safety Net приведет к потенциально большому числу повторяющихся доставлять сообщения. Повторяющиеся доставки в организации Exchange не являются проблемой, так как обнаружение повторяющихся сообщений не позволяет пользователям почтовых ящиков видеть повторяющиеся копии сообщения. Однако повторная доставка сообщений получателям за пределами организации Exchange приведет к дублированию копий сообщений. К счастью, повторная отправка сообщений из Safety Net была оптимизирована в Exchange 2013 для сокращения количества повторяющихся сообщений.

Если основная сеть безопасности изначально не отвечает или перестает отвечать во время повторной отправки сообщения, Active Manager продолжает пытаться связаться с ней в течение 12 часов перед отказом. По истечении 12 часов широковещательная рассылка отправляется в службу транспорта на всех серверах почтовых ящиков в транспортной группе высокого уровня доступности с запросом повторной отправки сообщения из Safety Net в течение необходимого интервала времени для необходимой базы данных почтовых ящиков. Когда теневая сеть безопасности отвечает, она повторно отправляет сообщения для необходимой базы данных почтовых ящиков только в течение требуемого интервала времени.

Существуют некоторые важные аспекты для теневых сообщений, хранящихся в теневой сети безопасности.

  • Теневая сеть безопасности не владеет информацией о том, куда основной сервер передал основное сообщение.

  • Теневые сообщения в Shadow Safety Net содержат только исходных получателей конвертов, а не фактических получателей, куда было доставлено основное сообщение. Например, получателем конверта сообщения может быть группа рассылки, которая требует расширения.

  • В сообщениях в Shadow Safety Net нет обновлений сообщений, произошедших после обработки сообщения сервером-источником. Например, кодирование сообщений или преобразование содержимого.

Для повторной отправки теневых сообщений из Shadow Safety Net требуется полная классификация и обработка через службу транспорта на сервере почтовых ящиков. Повторная отправка большого количества теневых сообщений из Shadow Safety Net может быть ресурсоемкой с точки зрения ресурсов сервера почтовых ящиков. К счастью, повторная отправка теневых сообщений из Shadow Safety Net также оптимизирована, поэтому повторно отправляется только сообщения в теневой сети безопасности для запрошенного интервала времени и запрашиваемой базы данных почтовых ящиков.

Взаимодействие основной и теневой safety Net во время повторной отправки сообщений описано в следующем сценарии.

  1. Active Manager запрашивает повторную отправку сообщений из Safety Net для базы данных почтовых ящиков в течение интервала времени с 5:00 до 9:00. Однако на сервере почтовых ящиков, хранящем основную сеть безопасности, произошел сбой из-за сбоя оборудования. Active Manager несколько раз пытается связаться с основной сетью безопасности в течение 12 часов.

  2. Через 12 часов Active Manager отправляет в службу транспорта широковещательное сообщение на всех серверах почтовых ящиков в области высокой доступности транспорта в поиске других safety Nets, содержащих сообщения для целевой базы данных почтовых ящиков в течение интервала времени с 5:00 до 9:00. Теневая сеть безопасности отправляет сообщения для базы данных почтовых ящиков в течение интервала времени с 5:00 до 9:00.

Интересное взаимодействие возникает, если основная сеть безопасности была отключена во время интервала повторной отправки запроса, как описано в следующем сценарии.

  1. База данных очередей на сервере почтовых ящиков, на котором содержится основная сеть безопасности, повреждена, и в 7:00 создается новая база данных очереди. Все основные сообщения, которые хранились в основной сети безопасности с 01:00 до 07:00, утеряны, но сервер способен хранить копии успешно доставленных сообщений в сети безопасности, начиная с 07:00.

  2. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за временной интервал 01:00–09:00.

  3. Основная сеть безопасности повторно оправляет сообщения за временной интервал 07:00–09:00.

  4. Основная сеть безопасности отправляет широковещательное сообщение в службу транспорта на всех серверах почтовых ящиков в области высокой доступности транспорта в поиске других safety Nets, содержащих сообщения для целевой базы данных почтовых ящиков в течение интервала времени с 1:00 до 7:00, для которого основная сеть безопасности не имеет сообщения. Shadow Safety Net создает второй запрос повторной отправки от имени основной сети безопасности для повторной отправки теневых сообщений для целевой базы данных почтовых ящиков в течение интервала времени с 1:00 до 7:00.

Существуют и другие проблемы, которые следует учитывать при повторной отправке сообщений из Safety Net.

  1. Все уведомления о состоянии доставки (DSN) и отчеты о недоставке (NDR) подавляются для повторной отправки в Safety Net. Например, если основное сообщение сгенерировало отчет о недоставке, для повторно отправленного сообщения этот отчет доставлен не будет.

  2. Пользователи, удаленные из группы рассылки, могут не получать повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение. Например, сообщение отправляется группе, содержащей пользователей A и B, и оба получателя получают сообщение. Пользователь Б впоследствии удаляется из группы. Позже для базы данных почтовых ящиков, содержащей почтовый ящик пользователя B, выполняется повторный запрос из Primary Safety Net. Однако основная сеть безопасности недоступна более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутое сообщение. Во время повторной отправки при развертывании группы рассылки пользователь Б не является членом группы и не получает копию повторно отправленного сообщения.

  3. Новые пользователи, добавленные в группу рассылки, могут получать старое повторно отправленное сообщение, когда shadow Safety Net повторно отправляет сообщение. Например, сообщение отправляется группе, содержащей пользователей A и B, и оба получателя получают сообщение. Пользователь C впоследствии добавляется в группу. Позже для базы данных почтовых ящиков, содержащей почтовый ящик пользователя C, выполняется повторный запрос от Primary Safety Net. Однако сервер primary Safety Net недоступен более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутые сообщения. Во время повторной отправки при развертывании группы рассылки пользователь C является членом группы и получит копию повторно отправленного сообщения.