Exchange Server中的安全網
在 Exchange 2010 中, 傳輸傾印機 藉由維護未複寫到資料庫可用性群組中被動信箱資料庫複本的已成功傳遞訊息佇列, (DAG) ,協助防止資料遺失。 當信箱資料庫或伺服器失敗需要升級信箱資料庫的過期複本時,傳輸傾印機中的訊息會自動重新提交至信箱資料庫的新使用中複本。
Exchange 2013 已改善傳輸傾印機,現在稱為 Safety Net。 Exchange 2016 和 Exchange 2019 具有這些相同的改善。
以下說明 Safety Net 與 Exchange 2010 中的傳輸暫放兩者類似之處。
Safety Net 是與信箱伺服器上的傳輸服務相關聯的佇列。 此佇列會儲存伺服器已成功處理的訊息複本。
您可以指定 Safety Net 在成功處理的訊息複本過期並自動刪除之前,儲存其複本的時間長度。 預設值為 2 天。
以下是如何從 Exchange 2010 中的傳輸傾印機改善 Safety Net:
Safety Net 不需要 DAG:對於不屬於 DAG 的信箱伺服器,安全網會將傳遞的郵件複本儲存在本機 Active Directory 網站的其他信箱伺服器上。
Safety Net 本身不是單一失敗點:使用 主要安全網 和 陰影安全網來提供備援。 如果主要安全網無法使用超過 12 小時,重新提交要求會變成陰影重新提交要求,而訊息會從陰影安全網重新傳遞。
Safety Net 會從 DAG 環境中的陰影備援接管一些責任:陰影備援不需要在陰影佇列中保留另一份傳遞的訊息,同時等待傳遞的訊息複寫到信箱資料庫的被動複本。 傳遞的訊息複本已儲存在 Safety Net 中,因此可視需要從 Safety Net 重新提交訊息。
Safety Net 會嘗試保證訊息備援:Safety Net 不只是訊息備援的最佳工作,因此您無法指定 Safety Net 的大小上限。 您只能指定 Safety Net 在自動刪除訊息之前儲存訊息的時間長度。
如需在 Exchange Server 中傳輸高可用性功能的詳細資訊,請參閱在Exchange Server 中傳輸高可用性。 如需傳輸中訊息的訊息備援詳細資訊,請參閱Exchange Server 中的陰影備援。
Safety Net 的運作方式
陰影備援會在訊息傳輸時保留訊息的備援複本。 Safety Net 會在成功處理訊息之後,保留訊息的備援複本。 因此,Safety Net 會從陰影備援結束的位置開始。 陰影備援的概念,包括傳輸高可用性界限、主要訊息、主伺服器、陰影訊息和陰影伺服器也適用于安全網。 如需詳細資訊,請參閱Exchange Server 中的陰影備援。
「主要安全網」存在於信箱伺服器上,該伺服器在傳輸服務成功處理郵件之前,會保留主要訊息。 這可能表示郵件已傳遞至目的地信箱伺服器上的信箱傳輸傳遞服務。 或者,郵件可能已透過 Active Directory 網站的信箱伺服器轉送,該信箱伺服器會在前往目的地 DAG 或 Active Directory 網站的途中指定為中樞網站。 主伺服器處理主要訊息之後,訊息會從作用中的傳遞佇列移至相同伺服器上的 Primary Safety Net。
陰影安全網存在於保存陰影訊息的信箱伺服器上。 在陰影伺服器判斷主伺服器已成功處理主要訊息之後,陰影伺服器會將陰影訊息從陰影佇列移至相同伺服器上的陰影安全網。 雖然這看起來很明顯,但陰影安全網的存在需要啟用陰影備援, (預設會啟用) 。
下表描述 Safety Net 所使用的參數。
| 參數 | 預設值 | 描述 |
|---|---|---|
| Set-TransportConfig上的SafetyNetHoldTime | 2 天 | 成功處理主要訊息的時間長度會儲存在「主要安全網」中,而認可的陰影訊息則會儲存在陰影安全網中。 您也可以在 Exchange 系統管理中心指定此值, (電子郵件流程>接收連接器> 的 EAC) [更多選項 在 SafetyNetHoldTime 和 MessageExpirationTimeout 參數值的總和之後,未認可的陰影訊息最終會從陰影安全網過期。 若要避免在 Safety Net 重新提交期間遺失資料,此參數的值必須大於或等於Set-MailboxDatabaseCopy上ReplayLagTime的值,以取得信箱資料庫的延遲複本。 |
| Set-MailboxDatabaseCopy上的ReplayLagTime | 尚未設定 | 在重新執行已複製到被動資料庫複本的記錄檔之前,Microsoft Exchange 複寫服務應該等待的時間量。 將此參數設定為大於 0 的值,會建立信箱資料庫的延遲複本。 最大值為 14 天。 為了避免在 Safety Net 重新提交期間遺失資料,信箱資料庫延遲複本的這個參數值必須小於或等於Set-TransportConfig上的SafetyNetHoldTime值。 |
| Set-TransportService上的MessageExpirationTimeout | 2 天 | 訊息在到期之前,可以在佇列中保留多久的時間。 |
| Set-TransportConfig上的ShadowRedundancyEnabled | $true |
$true:組織中的所有信箱伺服器上都會啟用陰影備援。 Safety Net 的備援需要啟用陰影備援。 |
![] 圖示。](../../exchangeserver/media/itpro_eac_moreoptionsicon.png?view=exchserver-2019)
>組織傳輸設定>Safety Net>Safety Net 保留時間。 Safety Net 支援的大小上限
在 2019 和 2016 Microsoft Exchange Server,傳輸安全 Net JET 資料庫支援的資料庫大小上限為 2 TB。
使用中樞和輪輻拓撲時,傳輸安全 Net JET 資料庫可以成長超過 2 TB。 若要保持在支援的 2 TB 限制內,請遵循下列指導方針:
用於訊息轉送的中樞伺服器無法設定為將訊息傳遞至信箱。
在用於訊息轉送的中樞伺服器上停用 Safety Net。 如果要執行這項操作,請依照下列步驟執行:
在 [命令提示字元] 視窗中,在伺服器上執行下列命令,以在 記事本 中開啟EdgeTransport.exe.config檔案:
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config在 appSettings 區段中新增下列金鑰。
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />完成後,儲存並關閉 EdgeTransport.exe.config 檔案。
執行下列命令,重新啟動 Exchange Transport 服務:
net stop MSExchangeTransport && net start MSExchangeTransport
郵件從 Safety Net 重新傳遞
Microsoft Exchange 複寫服務 (MSExchangeRepl.exe 的 Active Manager 元件) 管理 DAG 和信箱資料庫複本。 從 Safety Net 重新提交訊息不需要手動動作,而且是由 Active Manager 起始。 如需 Active Manager 的相關資訊,請參閱 Active Manager。
有兩種基本的 Safety Net 郵件重新傳遞情況:
DAG 的信箱資料庫完成自動或手動容錯移轉後。
啟用信箱資料庫的延遲複本之後。
延遲的信箱資料庫複本或延遲複製是信箱資料庫的被動複本,其中資料庫的更新會刻意延遲,以防止信箱資料庫的邏輯損毀。 如需詳細資訊,請 參閱管理信箱資料庫複本。
這兩種案例之間的唯一顯著差異,是要從 Safety Net 重新提交訊息的時間回溯時間。 一般而言,針對 DAG 中的資料庫容錯移轉,信箱資料庫的新使用中複本會比舊的使用中複本落後幾分鐘到數小時。 信箱資料庫的延遲複本通常會落後舊的使用中複本數天。
從安全網成功重新提交延遲複本訊息的主要需求是:儲存在 Safety Net 中訊息的時間長度必須大於或等於延遲複製的延遲時間。 換句話說,Set-TransportConfig上的SafetyNetHoldTime值必須大於或等於Set-MailboxDatabaseCopy上ReplayLagTime的值,以取得延遲的複本。
郵件從陰影 Safety Net 重新傳遞
從陰影安全網重新送出訊息 (例如從主要安全網) 重新送出訊息、完全自動化,而且不需要手動介入。 此案例描述在訊息重新提交期間主要安全網與陰影安全網的互動:
Active Manager 會要求信箱資料庫的訊息重新送出給安全網,時間間隔 (例如 5:00 到 9:00) 。 不過,保存主要安全網的信箱伺服器已因為硬體故障而損毀。 Active Manager 在接下來的 12 小時內嘗試連絡主要安全網失敗。
12 小時後,Active Manager 會將廣播訊息傳送至傳輸高可用性界限中所有信箱伺服器上的傳輸服務, (非 DAG 環境中的 DAG 或 Active Directory 月臺,) 尋找包含指定時間間隔之目標信箱資料庫訊息的其他安全網。 Shadow Safety Net 會在時間間隔 5:00 到 9:00 內,回應並重新提交信箱資料庫的訊息。
當 Shadow Safety Net 回應時,它只會在必要的時間間隔內重新提交所需信箱資料庫的訊息。 信箱資料庫和時間間隔的這項限制有助於減少下列潛在問題:
從 Safety Net 重新提交訊息可能會導致傳遞重複。 這不是 Exchange 組織中的信箱問題,因為重複的郵件偵測會防止信箱使用者看到重複的郵件。 但是,將重複的郵件傳遞給外部收件者可能會導致收件者會看到的訊息複本重複。
從陰影安全網重新提交陰影訊息需要透過信箱伺服器上的傳輸服務進行完整分類和處理。 就信箱伺服器系統資源而言,重新提交大量陰影訊息的成本可能很高。
這些是儲存在陰影安全網中之陰影訊息的一些重要考慮:
陰影 Safety Net 不知道主要伺服器將主要郵件傳遞到何處。
Shadow Safety Net 中的陰影訊息只包含原始的郵件信封收件者,而不是主要訊息傳遞 (例如,郵件信封收件者可能是需要擴充) 的通訊群組。
Shadow Safety net 中的訊息不包含主伺服器處理訊息 (之後發生的任何訊息更新,例如訊息編碼或內容轉換) 。
此案例描述在要求重新提交間隔的一部分,如果主要安全網離線時會發生什麼情況:
保存 Primary Safety Net 之信箱伺服器上的佇列資料庫已損毀,且會在 7:00 建立新的佇列資料庫。 從 1:00 到 7:00 儲存在主要安全網中的所有主要訊息都會遺失,但伺服器能夠從 7:00 開始,將成功傳遞的訊息複本儲存在 Safety Net 中。
Active Manager 要求在 1:00 到 9:00 的時間間隔內,從 Safety Net 針對信箱資料庫重新傳遞郵件。
主要 Safety Net 在 7:00 到 9:00 的時間間隔內重新傳遞郵件。
因為主要安全網沒有 1:00 到 7:00 的必要訊息。 主要安全網會將廣播訊息傳送至傳輸高可用性界限中所有信箱伺服器上的傳輸服務,尋找包含必要訊息的其他安全網。 Shadow Safety Net 會代表主要安全網產生第二次重新提交要求,以在時間間隔 1:00 到 7:00 之間重新提交目標信箱資料庫的陰影訊息。
以下是從 Safety Net 重新提交訊息時要考慮的一些其他問題:
所有傳遞狀態通知 (也稱為 DSN、非傳遞報告、NDR 或退回訊息) 會針對安全 Net 訊息重新提交進行隱藏:例如,如果主要訊息產生 NDR,則不會傳遞重新提交訊息的 NDR。
當 Shadow Safety Net 重新提交訊息時,從通訊群組中移除的使用者可能不會收到重新提交的訊息:例如,訊息會傳送至包含使用者 A 和使用者 B 的群組,而且這兩個收件者都會收到訊息。 使用者 B 隨後會從群組中移除。 稍後,會針對保存使用者 B 信箱的信箱資料庫提出來自 Primary Safety Net 的重新提交要求。 不過,主要安全網無法使用超過 12 小時,因此 Shadow Safety Net 伺服器會回應並重新提交受影響的訊息。 當通訊群組展開時,在訊息重新提交期間,使用者 B 不再是群組的成員,而且不會收到重新提交訊息的複本。
當 Shadow Safety Net 重新提交訊息時,新增至通訊群組的新使用者可能會收到舊的重新提交訊息:例如,訊息會傳送至包含使用者 A 和使用者 B 的群組,而這兩個收件者都會收到訊息。 使用者 C 隨後會新增至群組。 稍後,系統會針對保存使用者 C 信箱的信箱資料庫,提出來自 Primary Safety Net 的重新提交要求。 不過,主要安全網伺服器無法使用超過 12 小時,因此 Shadow Safety Net 伺服器會回應並重新提交受影響的訊息。 在擴充通訊群組時重新提交訊息期間,User C 現在是群組的成員,且會收到重新提交訊息的複本。
在中樞和輪輻拓撲中部署 Safety Net:Safety Net 是設計來保護裝載使用者信箱之 Exchange Server 上的郵件傳遞。 已部署中樞和輪輻路由拓撲的客戶應該停用中樞月臺中傳輸伺服器上的安全網,以避免中樞位置的傳輸資料庫大小大幅成長。