Microsoft 365 Exchange-Datenlöschung

In Exchange gibt es zwei Arten des Löschens: vorläufiges und hartes Löschen. Dies gilt sowohl für Postfächer als auch für Elemente innerhalb eines Postfachs.

Vorläufig gelöschte und endgültig gelöschte Postfächer

Ein vorläufig gelöschtes Benutzerpostfach wurde mit dem Microsoft 365 Admin Center oder dem Cmdlet Remove-Mailbox gelöscht und befindet sich immer noch im Microsoft Entra ID-Papierkorb und ist dort seit weniger als 30 Tagen. Ein Postfach kann auf eine der folgenden Arten vorläufig gelöscht werden:

  • Das dem Benutzerpostfach zugeordnete Microsoft Entra-Benutzerkonto wird vorläufig gelöscht (das Benutzerobjekt befindet sich außerhalb des Gültigkeitsbereichs oder im Papierkorbcontainer).
  • Das zugeordnete Microsoft Entra-Benutzerkonto des Benutzerpostfachs wurde endgültig gelöscht, aber das Exchange-Postfach befindet sich unter einem Beweissicherungsverfahren oder einem eDiscovery-Halterecht.
  • Das dem Benutzerpostfach zugeordnete Microsoft Entra-Benutzerkonto wurde innerhalb der letzten 30 Tage gelöscht. Dies ist die maximale Aufbewahrungsdauer, die exchange das Postfach in einem vorläufig gelöschten Zustand hält, bevor es dauerhaft gelöscht und nicht wiederhergestellt werden kann.

Ein endgültig gelöschtes Benutzerpostfach ist ein Postfach, das auf eine der folgenden Arten gelöscht wurde:

  • Das Benutzerpostfach wurde seit mehr als 30 Tagen vorläufig gelöscht, und der zugeordnete Microsoft Entra-Benutzer wurde endgültig gelöscht. Alle Postfachinhalte wie E-Mails, Kontakte und Dateien werden dauerhaft gelöscht.
  • Das dem Benutzerpostfach zugeordnete Benutzerkonto wurde aus der Microsoft Entra-ID endgültig gelöscht. Das Benutzerpostfach wird jetzt vorläufig in Exchange Online gelöscht und bleibt 30 Tage lang vorläufig gelöscht. Wenn innerhalb des Zeitraums von 30 Tagen ein neuer Microsoft Entra-Benutzer aus dem ursprünglichen Empfängerkonto mit demselben ExchangeGuid - oder ArchiveGuid-Konto synchronisiert wird und dieses neue Konto für Exchange lizenziert ist, führt dies zu einer endgültigen Löschung des ursprünglichen Benutzerpostfachs. Alle Postfachinhalte wie E-Mails, Kontakte und Dateien werden dauerhaft gelöscht.
  • Ein vorläufig gelöschtes Postfach wird mithilfe von Remove-Mailbox -PermanentDelete gelöscht.

In den obigen Löschszenarien wird davon ausgegangen, dass sich das Benutzerpostfach in keinem der Haltestatus wie Rechtsstreitigkeiten oder eDiscovery-Haltestatus befindet. Wenn es eine Art von Aufbewahrung für das Postfach gibt, kann das Postfach nicht gelöscht werden. Für alle Empfängertypen von E-Mail-Benutzern werden alle Haltehalteeinstellungen ignoriert und haben keine Auswirkungen auf endgültige Löschungen oder vorläufige Löschungen.

Vorläufig gelöschte und endgültig gelöschte Elemente

Wenn ein Benutzer ein Postfachelement (z. B. eine E-Mail-Nachricht, einen Kontakt, einen Kalendertermin oder eine Aufgabe) löscht, wird das Element in den Ordner "Wiederherstellbare Elemente" und in einen Unterordner namens "Deletions" verschoben. Dies wird als vorläufiges Löschen bezeichnet. Die Aufbewahrungsdauer für gelöschte Elemente im Ordner Löschvorgänge hängt von der Aufbewahrungsdauer für gelöschte Elemente ab, die für das Postfach festgelegt ist. Ein Exchange-Postfach behält gelöschte Elemente standardmäßig 14 Tage lang bei, aber Exchange-Administratoren können diese Einstellung ändern, um den Zeitraum auf maximal 30 Tage zu erhöhen. (Ausführliche Schritte zum Verlängern des Aufbewahrungszeitraums für gelöschte Elemente für ein Exchange-Postfach finden Sie unter Ändern der Aufbewahrungsdauer für dauerhaft gelöschte Elemente für ein Exchange-Postfach.) Benutzer können gelöschte Elemente wiederherstellen oder löschen, bevor die Aufbewahrungszeit für ein gelöschtes Element abläuft. Dazu verwenden sie das Feature "Gelöschte Elemente wiederherstellen" in Microsoft Outlook oder Outlook im Web.

Wenn ein Benutzer ein gelöschtes Element mithilfe der Funktion "Gelöschte Elemente wiederherstellen" in Outlook oder Outlook im Web löscht, wird dies als endgültiges Löschen bezeichnet. In Exchange ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird, sodass ein Administrator weiterhin hart gelöschte Elemente wiederherstellen kann, bevor der Aufbewahrungszeitraum für gelöschte Elemente abläuft. Zudem werden Kopien des ursprünglichen Elements, wenn die Wiederherstellung einzelner Elemente aktiviert ist, beibehalten, sofern die Nachricht durch einen Benutzer oder Prozess geändert wird.

Seitenentullung

Nulling ist ein Sicherheitsmechanismus, der entweder Nullen oder ein binäres Muster über gelöschte Daten schreibt, sodass die gelöschten Daten schwieriger wiederhergestellt werden können. In Exchange verwenden Postfachdatenbanken Seiten als Speichereinheit und implementieren einen Überschreibungsprozess, der als Seitenentullung bezeichnet wird. Das Nullen von Seiten ist standardmäßig aktiviert und kann nicht von Kunden oder Microsoft deaktiviert werden. Page Zeroing-Vorgänge werden in den Transaktionsprotokolldateien aufgezeichnet, sodass alle Kopien einer bestimmten Datenbank auf ähnliche Weise auf Seiten null gesetzt werden. Durch das Nullen einer Seite in einer aktiven Datenbankkopie wird die Seite bei passiven Kopien der Datenbank auf null gesetzt.

Durch das Nullen von Seiten wird ein binäres Muster über hart gelöschte Datensätze geschrieben. Das Seitennull-Muster ist spezifisch für ESE-Vorgänge (Extensible Storage Engine) (der Name der internen Datenbank-Engine, die von Servern in Exchange verwendet wird), und es unterscheidet sich für Laufzeitvorgänge im Vergleich zu Datenbankwartungsvorgängen im Hintergrund. (Die Datenbankwartung im Hintergrund ist ein Prozess, bei dem jede Datenbank kontinuierlich überprüft und überprüft wird. Seine primäre Funktion ist die Verwendung von Prüfsummendatenbankseiten, aber es kümmert sich auch um das Bereinigen von Speicherplatz und das Nullen von Datensätzen und Seiten, die aufgrund eines Store-Absturzes nicht auf Null gesetzt wurden.)

In der folgenden Tabelle sind die Füllmuster zusammengestellt, die für die speziellen Laufzeitvorgänge verwendet werden.

ESE-Laufzeitvorgang Füllmuster
Ersetzen R
Datensatz/Long-Wert löschen D
Freigegebener Seitenspeicherplatz H

In der folgenden Tabelle sind die Füllmuster zusammengestellt, die den speziellen Vorgängen entsprechen, die bei der Hintergrundwartung einer ESE-Datenbank ausgeführt werden.

Hintergrundwartungsvorgang für ESE-Datenbank Füllmuster
Datensatz löschen D
Long-Wert löschen L
Freigegebener Seitenspeicherplatz einer teilweise verwendeten Seite Z
Freigegebener Seitenspeicherplatz einer nicht verwendeten Seite U

Prozess zum Nullen von Seiten

Der Prozess für das Nullen von Seiten hängt vom Löschszenario ab. In der folgenden Tabelle ist für verschiedene Datenbanklöschszenarien erläutert, wann Funktionen zum unwiderruflichen Löschen ausgeführt werden.

Datenbanklöschszenario ESE-Vorgang und -Zeitrahmen für unwiderrufliches Löschen von Datenbankdaten
Das Element läuft basierend auf dem Aufbewahrungszeitraum für gelöschte Elemente ab. Ein asynchroner Thread schreibt ein binäres Muster über die gelöschten Daten. Diese Aktion wird innerhalb von Millisekunden nach dem Datensatzlöschvorgang ausgeführt. Wenn der Store-Prozess abstürzt, während die asynchrone Nulling-Arbeit noch aussteht (oder die Versionsspeicherbereinigung aufgrund einer Zunahme des Versionsspeichers abgebrochen wird), wird das Nulling abgeschlossen, wenn die Hintergrunddatenbankwartung diesen Abschnitt der Datenbank verarbeitet.
Ansichtsszenario: Ablauf von Elementen aus Outlook/Outlook in der Webordneransicht (z. B. Unterhaltungsansicht) Unwiderrufliches Löschen von Daten wird ausgeführt, wenn die Hintergrundwartung der Datenbank diesen Abschnitt der Datenbank verarbeitet.
Postfach verschieben/Postfach löschen Szenario: Quellpostfach gelöscht (Ablauf des gelöschten Postfachs) Unwiderrufliches Löschen von Daten wird ausgeführt, wenn die Hintergrundwartung der Datenbank diesen Abschnitt der Datenbank verarbeitet.

Postfachdatentypen ohne Seitenentullung

Für die folgenden Postfachdatentypen gibt es keine Vorkehrungen für das Nullen von Seiten:

  • Transaktionsprotokolle der Postfachdatenbank : Wenn Transaktionsprotokolle im Rahmen des normalen Vorgangs gelöscht werden, gibt es keinen Prozess, der die Blöcke im Dateisystem, in denen die gelöschten Protokolldateien gespeichert wurden, auf null festgelegt wird. Es ist wahrscheinlich, dass das Dateisystem diesen freien Speicherplatz für neu erstellte Protokolle schnell wieder verwendet, aber es gibt keine Garantie, dass dies geschieht.
  • Inhaltsindexkatalogdateien : Exchange verwendet Search Foundation (auch als FAST bezeichnet) für die Suchindizierungsfunktion. Der Suchindexkatalog besteht aus mehreren Dutzend Dateien, die auf demselben Volume wie die Postfachdatenbankdatei gespeichert sind. Wenn eine Nachricht endgültig aus der Postfachdatenbank gelöscht wird, wird der zugeordnete Inhalt im Suchkatalog nicht sofort gelöscht. Das Löschen von Inhalten tritt auf, wenn Search Foundation einen Schatten (oder master merge) vieler kleiner Katalogdateien in einer einzelnen größeren Datei durchführt. Nach Abschluss der Masterzusammenführung werden die kleineren Katalogdateien gelöscht. Es gibt keinen Prozess, bei dem die Blöcke, die die gelöschten Katalogdateien gespeichert haben, null sind.

Fortlaufende Replikation

Kontinuierliche Replikation (auch als Protokollversand und -wiedergabe bezeichnet) ist eine Technologie in Exchange, die Kopien jeder Postfachdatenbank erstellt und verwaltet, um Hochverfügbarkeit, Standortresilienz und Notfallwiederherstellung zu gewährleisten. Die fortlaufende Replikation verwendet die Unterstützung für die Wiederherstellung von Exchange Server-Datenbankabstürzen, um Eine Technologie bereitzustellen, die eine asynchrone Aktualisierung einer oder mehrerer Kopien einer Postfachdatenbank durchführt. Jeder Postfachserver zeichnet Datenbankupdates, die für eine aktive Datenbank (z. B. Benutzer-E-Mail-Aktivitäten) vorgenommen wurden, als Protokolldatensätze in einem sequenziellen Satz von 1-MB-Transaktionsprotokolldateien auf. Dieser Satz von Dateien wird als Protokollstream bezeichnet. Bei der kontinuierlichen Replikation wird der Protokollstream auch verwendet, um eine oder mehrere Kopien einer Datenbank asynchron zu aktualisieren. Dies wird erreicht, indem die Protokolle an einen Speicherort übertragen werden, der eine passive Kopie der aktiven Datenbank enthält, und diese dann in die passive Datenbankkopie wiedergegeben werden. Wenn alle Protokolle aus der aktiven Datenbank für eine passive Kopie der Datenbank wiedergegeben werden, sind die beiden Datenbanken gleichwertig, und durch diesen Prozess werden alle physischen Änderungen, die an einer aktiven Datenbank vorgenommen wurden, in alle passiven Kopien dieser Datenbank repliziert.

Jede Löschung aus einer Postfachdatenbank, unabhängig davon, ob ein Postfachelement oder ein gesamtes Postfach, und ob ein vorläufiges oder ein endgültiges Löschen, stellt eine physische Änderung an der aktiven Datenbank dar. Das Nullen von Seiten umfasst auch physische Änderungen an der aktiven Datenbank. Diese Änderungen werden über einen Prozess, der als fortlaufende Replikation bezeichnet wird, in die Protokolldateien geschrieben. Wenn diese Protokolldateien für passive Kopien der Datenbank wiedergegeben werden, werden dieselben physischen Änderungen an diesen passiven Datenbanken vorgenommen.