安全網
適用於:Exchange Server 2013
在 2013 Microsoft Exchange Server,信箱高可用性的主要機制是資料庫可用性群組 (DAG) 。 如需 DAG 的詳細資訊,請 參閱管理資料庫可用性群組。 傳輸 傾印程式 最初是在 Exchange 2007 中引進,並在 Exchange 2010 中進一步改善,以在成功傳遞至 DAG 中的信箱之後提供備援的郵件複本。 在 Exchange 2010 中,傳輸傾印機藉由維護未複寫到 DAG 中被動信箱資料庫複本的已成功傳遞訊息佇列,協助防止資料遺失。 當信箱資料庫或伺服器失敗需要升級信箱資料庫的過期複本時,傳輸傾印機中的訊息會自動重新提交至信箱資料庫的新使用中複本。
Exchange 2013 已改善傳輸傾印機,現在稱為 Safety Net。
以下說明 Safety Net 與 Exchange 2010 中的傳輸暫放兩者類似之處。
Safety Net 是與信箱伺服器上的傳輸服務相關聯的佇列。 此佇列會儲存伺服器已成功處理的訊息複本。
您可以指定 Safety Net 在成功處理的訊息複本過期並自動刪除之前,儲存其複本的時間長度。 預設值為 2 天。
Exchange 2013 的 Safety Net 有如下的差異:
Safety Net 不需要 DAG。 對於不屬於 DAG 的信箱伺服器,安全網會將傳遞的郵件複本儲存在本機 Active Directory 網站的其他信箱伺服器上。
Safety Net 本身現在已備援,且不再是單一失敗點。 這會介紹 主要安全網 和 陰影安全網的概念。 如果主要安全網無法使用超過 12 小時,重新提交要求會變成陰影重新提交要求,而訊息會從陰影安全網重新傳遞。
Safety Net 會從 DAG 環境中的陰影備援中接管一些責任。 當陰影備援等候傳遞的郵件複寫到 DAG 中其他信箱伺服器上信箱資料庫的被動複本時,陰影備援不需要將另一份傳遞的郵件保留在陰影佇列中。 傳遞的訊息複本已儲存在 Safety Net 中,因此可視需要從 Safety Net 重新提交訊息。
在 Exchange 2013 中,傳輸高可用性不只是訊息備援的最佳工作。 Exchange 2013 嘗試保證訊息備援。 因此,您無法指定 Safety Net 的大小上限。 您只能指定 Safety Net 在自動刪除訊息之前儲存訊息的時間長度。
Safety Net 的運作方式
陰影備援會在訊息傳輸時保留訊息的備援複本。 Safety Net 會在成功處理訊息之後,保留訊息的備援複本。 因此,Safety Net 會從陰影備援結束的位置開始。 陰影備援的相同概念,包括傳輸高可用性界限、主要訊息、主伺服器、陰影訊息和陰影伺服器也適用于安全網。 如需詳細資訊,請參閱陰影備援。
「主要安全網」存在於信箱伺服器上,該伺服器在傳輸服務成功處理郵件之前,會保留主要訊息。 這可能表示訊息已傳遞至目的地信箱伺服器上的信箱傳輸服務。 或者,郵件可能已透過 Active Directory 網站的信箱伺服器轉送,該信箱伺服器會在前往目的地 DAG 或 Active Directory 網站的途中指定為中樞網站。 主伺服器處理主要訊息之後,訊息會從作用中的佇列移至相同伺服器上的 Primary Safety Net。
陰影安全網存在於保存陰影訊息的信箱伺服器上。 在陰影伺服器判斷主伺服器已成功處理主要訊息之後,陰影伺服器會將陰影訊息從陰影佇列移至相同伺服器上的陰影安全網。 雖然這看起來很明顯,但陰影安全網的存在需要啟用陰影備援,而且預設會在 Exchange 2013 中啟用陰影備援。
Safety Net 使用的參數如下表所述。
| 參數 | 預設值 | 描述 |
|---|---|---|
| Set-TransportConfig上的SafetyNetHoldTime | 2 天 | 成功處理主要訊息的時間長度會儲存在「主要安全網」中,而認可的陰影訊息則會儲存在陰影安全網中。 您也可以在 Exchange 系統管理中心指定此值, (電子郵件流程>接收連接器> 的 EAC) 其他選項 .gif) >組織傳輸設定>安全 Net>Safety Net 保留時間。 在Set-TransportService上SafetyNetHoldTime和MessageExpirationTimeout的總和之後,未認可的陰影訊息最終會從陰影安全網過期。 若要避免在 Safety Net 重新提交期間遺失資料,對於信箱資料庫的延遲複本,SafetyNetHoldTime的值必須大於或等於Set-MailboxDatabaseCopy上的ReplayLagTime值。 |
| Set-MailboxDatabaseCopy上的ReplayLagTime | 尚未設定 | 在重新執行已複製到被動資料庫複本的記錄檔之前,Microsoft Exchange 複寫服務應該等待的時間量。 將此參數設定為大於 0 的值,會建立信箱資料庫的延遲複本。 最大值為 14 天。 若要避免在 Safety Net 重新提交期間遺失資料,對於信箱資料庫的延遲複本,ReplayLagTime的值必須小於或等於Set-TransportConfig上的SafetyNetHoldTime值。 |
| Set-TransportService上的MessageExpirationTimeout | 2 天 | 訊息在到期之前,可以在佇列中保留多久的時間。 |
| Set-TransportConfig上的ShadowRedundancyEnabled | $true |
備援安全網需要啟用陰影備援。 |
郵件從 Safety Net 重新傳遞
來自 Safety Net 的郵件重新提交是由管理 DAG 和信箱資料庫複本之 Microsoft Exchange 複寫服務的 Active Manager 元件起始。 不需要手動動作,即可重新提交來自 Safety Net 的訊息。 如需 Active Manager 的相關資訊,請參閱 Active Manager。
有兩種基本的 Safety Net 郵件重新傳遞情況:
- DAG 的信箱資料庫完成自動或手動容錯移轉後。
- 啟動信箱資料庫的延遲副本後。
延遲的信箱資料庫複本或延遲複製是信箱資料庫的被動複本,其中資料庫的更新會刻意延遲,以防止信箱資料庫的邏輯損毀。 如需詳細資訊,請 參閱管理信箱資料庫複本。
這兩種案例之間的唯一顯著差異,是要從 Safety Net 重新提交訊息的時間回溯時間。 一般而言,針對 DAG 中的容錯移轉,信箱資料庫的新使用中複本通常會比舊的使用中複本落後幾分鐘到數小時。 信箱資料庫的延遲複本通常會落後舊的使用中複本數天。
從安全網成功重新提交延遲複本的主要需求是,將訊息儲存在 Safety Net 中的時間量必須大於或等於信箱資料庫延遲複製的延遲時間。 換句話說,Set-TransportConfig上的SafetyNetHoldTime值必須大於或等於Set-MailboxDatabaseCopy上ReplayLagTime的值,以取得延遲的複本。
郵件從陰影 Safety Net 重新傳遞
與郵件從主要 Safety Net 重新傳遞一樣,郵件從陰影 Safety Net 重新傳遞完全自動化進行,不需要任何人工介入。
當 Active Manager 要求在特定期間內從 Safety Net 重新送出訊息時,要求會移至信箱伺服器上的傳輸服務,其中主要安全網會保留所需的時段內的郵件複本。 在大型 Exchange 組織中,可能需要的郵件可能存在於多部信箱伺服器上的 Safety Net 中,特別是當所需的時段很大時。
如果沒有優化,從 Safety Net 重新提交訊息可能會導致大量重複的傳遞。 Exchange 組織內的傳遞重複不是問題,因為重複的郵件偵測會防止信箱使用者看到重複的郵件複本。 但是,將重複的郵件傳遞給 Exchange 組織外部的收件者,將會產生重複的郵件複本。 幸運的是,已在 Exchange 2013 中將來自 Safety Net 的訊息重新提交優化,以減少重複的訊息傳遞。
如果主要安全網一開始沒有回應,或在訊息重新提交期間變得沒有回應,Active Manager 會繼續嘗試連絡它 12 小時,然後才放棄。 12 小時後,廣播會傳送至傳輸高可用性界限中所有信箱伺服器上的傳輸服務,要求在必要信箱資料庫的必要時間間隔內,從 Safety Net 重新提交訊息。 當 Shadow Safety Net 回應時,它只會在所需的時間間隔內重新提交所需信箱資料庫的訊息。
對於陰影 Safety Net 中儲存的陰影郵件有一些重要考量:
陰影 Safety Net 不知道主要伺服器將主要郵件傳遞到何處。
Shadow Safety Net 中的陰影訊息只包含原始郵件信封收件者,而非傳遞主要郵件的實際收件者。 例如,郵件信封收件者可能是需要擴充的通訊群組。
陰影安全網中的訊息沒有任何在主伺服器處理訊息之後發生的訊息更新。 例如,訊息編碼或內容轉換。
從陰影安全網重新提交陰影訊息需要透過信箱伺服器上的傳輸服務進行完整分類和處理。 從陰影安全網重新提交大量陰影訊息,在信箱伺服器資源方面可能很昂貴。 幸運的是,從陰影安全網重新提交陰影訊息也已優化,因此只會重新提交陰影安全網中所要求時間間隔和所要求信箱資料庫中的訊息。
主要 Safety Net 與陰影 Safety Net 在郵件重新傳遞期間進行的互動如下所述。
Active Manager 會要求在 5:00 到 9:00 的時間間隔內,從安全網重新提交信箱資料庫的訊息。 不過,保存主要安全網的信箱伺服器已因為硬體故障而損毀。 Active Manager 重複嘗試連絡主要安全網 12 小時。
經過 12 小時後,Active Manger 將向傳輸高可用性界限中所有信箱伺服器的傳輸服務發出廣播郵件,在時間間隔 5:00 到 9:00 內針對目標信箱資料庫尋找其他包含郵件的 Safety Net。 陰影 Safety Net 回應是在時間間隔 5:00 到 9:00 內針對信箱資料庫重新傳遞的郵件。
如果主要 Safety Net 在如下所述的必要重新傳遞間隔內離線,將出現特別的互動情況。
信箱伺服器上保存主要安全網的佇列資料庫已損毀,且會在 7:00 建立新的佇列資料庫。 從 1:00 到 7:00 儲存在主要安全網中的所有主要訊息都會遺失,但伺服器能夠從 7:00 開始,將成功傳遞的訊息複本儲存在 Safety Net 中。
Active Manager 要求在 1:00 到 9:00 的時間間隔內,從 Safety Net 針對信箱資料庫重新傳遞郵件。
主要 Safety Net 在 7:00 到 9:00 的時間間隔內重新傳遞郵件。
「主要安全網」會將廣播訊息傳送至傳輸高可用性界限中所有信箱伺服器上的傳輸服務,尋找其他安全網,其中包含主要安全網沒有訊息之時間間隔 1:00 到 7:00 的目標信箱資料庫訊息。 Shadow Safety Net 會代表主要安全網產生第二次重新提交要求,以在時間間隔 1:00 到 7:00 之間重新提交目標信箱資料庫的陰影訊息。
從 Safety Net 重新傳遞郵件時,有一些問題必須考量。
安全網重新提交會隱藏所有傳遞狀態通知 (DSN) 和非傳遞報告 (DDR) 。 例如,如果主要訊息產生 NDR,則不會傳遞重新提交訊息的 NDR。
當陰影安全網重新提交訊息時,從通訊群組移除的使用者可能不會收到重新提交的訊息。 例如,訊息會傳送至包含使用者 A 和使用者 B 的群組,而兩個收件者都會接收訊息。 使用者 B 隨後會從群組中移除。 稍後,會針對保存使用者 B 信箱的信箱資料庫提出來自 Primary Safety Net 的重新提交要求。 不過,主要安全網無法使用超過 12 小時,因此 Shadow Safety Net 伺服器會回應並重新提交受影響的訊息。 在擴充通訊群組時重新提交期間,使用者 B 不是群組的成員,且不會收到重新提交訊息的複本。
當陰影安全網重新提交訊息時,新增至通訊群組的新使用者可能會收到舊的重新提交訊息。 例如,訊息會傳送至包含使用者 A 和使用者 B 的群組,而兩個收件者都會接收訊息。 使用者 C 隨後會新增至群組。 稍後,系統會針對保存使用者 C 信箱的信箱資料庫,提出來自 Primary Safety Net 的重新提交要求。 不過,主要安全網伺服器無法使用超過 12 小時,因此 Shadow Safety Net 伺服器會回應並重新提交受影響的訊息。 在擴充通訊群組時重新提交期間,User C 是群組的成員,而且會收到重新提交訊息的複本。