Rete sicura in Exchange Server
In Exchange 2010, il dumpster del trasporto ha contribuito a proteggere dalla perdita di dati mantenendo una coda di messaggi recapitati correttamente che non erano stati replicati nelle copie passive del database delle cassette postali nel gruppo di disponibilità del database . Quando un errore del database delle cassette postali o del server richiedeva la promozione di una copia obsoleta del database delle cassette postali, i messaggi nel dumpster di trasporto venivano reinviati automaticamente alla nuova copia attiva del database delle cassette postali.
Il dumpster di trasporto è stato migliorato in Exchange 2013 ed è ora chiamato Safety Net. Gli stessi miglioramenti sono stati apportati a Exchange 2016 ed Exchange 2019.
Di seguito vengono descritte le analogie tra Rete sicura e il dumpster di trasporto in Exchange 2010:
Safety Net è una coda associata al servizio Trasporto in un server Cassette postali. Questa coda archivia copie dei messaggi elaborati correttamente dal server.
È possibile specificare la permanenza delle copie dei messaggi elaborati correttamente in Rete sicura prima che scadano e vengano eliminati automaticamente. Il valore predefinito è 2 giorni.
Di seguito vengono descritti i miglioramenti apportati a Rete sicura partendo dal dumpster di trasporto in Exchange 2010:
Safety Net non richiede un dag: per i server Cassette postali che non appartengono a un gruppo di disponibilità del database, Safety Net archivia copie dei messaggi recapitati in altri server Cassette postali nel sito Active Directory locale.
Safety Net non è un singolo punto di errore: la ridondanza viene fornita usando una rete di sicurezza primaria e una rete di sicurezza shadow. Se la Rete sicura primaria non è disponibile per oltre 12 ore, le richieste di reinvio diventano richieste di reinvio shadow e i messaggi vengono recapitati di nuovo dalla Rete sicura shadow.
Safety Net assume alcune responsabilità dalla ridondanza shadow negli ambienti dag: la ridondanza shadow non deve mantenere un'altra copia del messaggio recapitato in una coda shadow mentre attende che il messaggio recapitato venga replicato nelle copie passive del database delle cassette postali. La copia del messaggio recapitato è già memorizzata in Rete sicura, così il messaggio può essere inviato di nuovo da Rete sicura, se necessario.
Safety Net tenta di garantire la ridondanza dei messaggi: Safety Net è più di un semplice sforzo per la ridondanza dei messaggi, quindi non è possibile specificare un limite massimo di dimensioni per Safety Net. È possibile specificare solo per quanto tempo Safety Net archivia i messaggi prima che vengano eliminati automaticamente.
Per altre informazioni sulle funzionalità di disponibilità elevata del trasporto in Exchange Server, vedere Disponibilità elevata del trasporto in Exchange Server. Per altre informazioni sulla ridondanza dei messaggi per i messaggi in transito, vedere Ridondanza shadow in Exchange Server.
Funzionamento di Rete sicura
La ridondanza shadow mantiene una copia ridondante del messaggio mentre questo è in transito. Rete sicura mantiene una copia ridondante di un messaggio dopo che questo è stato elaborato correttamente. In tal modo entra in funzione dove la ridondanza shadow finisce. Gli stessi concetti sulla ridondanza shadow, incluso il limite di disponibilità elevata del trasporto, i messaggi primari, i server primari, i messaggi shadow e i server shadow si applicano anche a Rete sicura. Per altre informazioni, vedere Ridondanza shadow in Exchange Server.
La Rete sicura primaria è presente nel server Cassette postali che ha conservato il messaggio primario prima che venisse elaborato correttamente dal servizio di trasporto. Ne potrebbe risultare che il messaggio sia stato recapitato al servizio Recapito alle cassette postali sul server di destinazione Cassette postali. Oppure che il messaggio sia stato inoltrato tramite il server Cassette postali in un sito Active Directory designato come sito hub nel percorso verso il DAG o il sito Active Directory di destinazione. Dopo che il server primario ha elaborato il messaggio primario, il messaggio viene spostato dalla coda di recapito attiva alla Rete sicura primaria sullo stesso server.
La Rete sicura shadow si trova sul server Cassette postali che ha conservato il messaggio shadow. Dopo che aver determinato che il server primario ha elaborato correttamente il messaggio primario, il server shadow sposta il messaggio shadow dalla coda shadow alla Rete sicura shadow sullo stesso server. Sebbene possa sembrare ovvio, l'esistenza della Rete sicura shadow richiede l'abilitazione della ridondanza shadow (che è abilitata per impostazione predefinita).
Nella tabella seguente sono descritti i parametri che vengono utilizzati dalla Rete sicura.
Parametro | Valore predefinito | Descrizione |
---|---|---|
SafetyNetHoldTime in Set-TransportConfig | 2 giorni | I messaggi primari elaborati correttamente entro il periodo di tempo previsto vengono conservati nella Rete sicura primaria mentre i messaggi shadow riconosciuti vengono memorizzati nella Rete sicura shadow. È anche possibile specificare questo valore nell'interfaccia di amministrazione di Exchange (EAC) inConnettori> di ricezione flusso> di postaIcona Altre opzioni>Impostazioni di trasporto dell'organizzazione>Rete di> sicurezzaTempo di attesa di Safety Net. I messaggi shadow non riconosciuti alla fine scadono da Shadow Safety Net dopo la somma dei valori dei parametri SafetyNetHoldTime e MessageExpirationTimeout . Per evitare la perdita di dati durante la riesecuzione di Safety Net, il valore di questo parametro deve essere maggiore o uguale al valore di ReplayLagTime in Set-MailboxDatabaseCopy per la copia ritardata del database delle cassette postali. |
ReplayLagTime in Set-MailboxDatabaseCopy | Non configurato | La quantità di tempo di attesa del servizio Replica di Microsoft Exchange prima di riprodurre i file di registro copiati nella copia passiva del database. Impostando questo parametro su un valore maggiore di 0, si crea una copia del database delle cassette postali ritardata. Il valore massimo è 14 giorni. Per evitare la perdita di dati durante la riesecuzione di Safety Net, il valore di questo parametro per la copia ritardata del database delle cassette postali deve essere minore o uguale al valore di SafetyNetHoldTime in Set-TransportConfig. |
MessageExpirationTimeout in Set-TransportService | 2 giorni | Quanto tempo un messaggio può rimanere in coda prima della scadenza. |
ShadowRedundancyEnabled in Set-TransportConfig | $true |
$true : la ridondanza shadow è abilitata in tutti i server Cassette postali dell'organizzazione.
La ridondanza per Rete sicura richiede che la ridondanza shadow sia abilitata. |
Dimensioni massime supportate di Safety Net
In Microsoft Exchange Server 2019 e 2016 le dimensioni massime del database supportato per il database JET Safety Net di trasporto sono di 2 TB.
Quando si usa una topologia hub-spoke, il database JET Safety Net di trasporto può superare i 2 TB. Per rimanere entro il limite supportato di 2 TB, seguire queste linee guida:
I server hub usati per l'inoltro dei messaggi non possono essere configurati per recapitare messaggi alle cassette postali.
Disabilitare Safety Net nei server hub usati per l'inoltro dei messaggi. A tal fine, attenersi alla seguente procedura:
In una finestra del prompt dei comandi aprire il file EdgeTransport.exe.config nel Blocco note eseguendo il comando seguente nel server:
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config
Aggiungere la chiave seguente nella sezione appSettings .
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />
Al termine, salvare e chiudere il file EdgeTransport.exe.config.
Riavviare il servizio Exchange Transport eseguendo il comando riportato di seguito:
net stop MSExchangeTransport && net start MSExchangeTransport
Reinvio di messaggi da Rete sicura
Il componente Active Manager del servizio Replica di Microsoft Exchange (MSExchangeRepl.exe) gestisce i dag e le copie del database delle cassette postali. I nuovi invii dei messaggi dalla Rete sicura non richiedono operazioni manuali e vengono avviati dal componente Active Manager. Per ulteriori informazioni su Active Manager, vedere Active Manager.
Esistono due scenari di base di reinvio di messaggi di Rete sicura:
In seguito a failover automatico o manuale di un database delle cassette postali in un DAG.
In seguito all'attivazione di una copia ritardata di un database delle cassette postali.
Una copia ritardata del database delle cassette postali o una copia ritardata è una copia passiva di un database delle cassette postali in cui gli aggiornamenti al database vengono intenzionalmente ritardati per la protezione dal danneggiamento logico del database delle cassette postali. Per altre informazioni, vedere Gestire le copie del database delle cassette postali.
L'unica differenza significativa tra i due scenari è quanto è necessario andare indietro nel tempo per reinviare i messaggi da Rete sicura. Per il failover del database in un DAG, la nuova copia attiva del database delle cassette postali è in genere da diversi minuti a diverse ore antecedente alla vecchia copia attiva. Una copia ritardata del database delle cassette postali è in genere di diverse ore antecedente alla vecchia copia attiva.
Il requisito principale per un reinvio dei messaggi corretto da Rete sicura per una copia ritardata è che la permanenza dei messaggi in Rete sicura deve essere superiore o uguale al ritardo della copia ritardata. In altre parole, il valore di SafetyNetHoldTime in Set-TransportConfig deve essere maggiore o uguale al valore di ReplayLagTime in Set-MailboxDatabaseCopy per la copia ritardata.
Reinvio di messaggi dalla Rete sicura shadow
I reinvii dei messaggi dalla Rete sicura shadow (come i reinvii dalla Rete sicura primaria) sono completamente automatizzati e non richiedono interventi manuali. Questo scenario descrive l'interazione tra la Rete sicura primaria e la Rete sicura shadow durante il reinvio dei messaggi:
Active Manager richiede un reinvio dei messaggi dalla Rete sicura per un database delle cassette postali per l'intervallo di tempo specificato (ad esempio, 05:00-09:00). Il server Cassette postali su cui si trova la Rete sicura primaria ha tuttavia subito un arresto anomalo a causa di un errore dell'hardware. Active Manager tenta di contattare la Rete sicura primaria per le successive 12 ore con esito negativo.
Trascorse le 12 ore, Active Manger invia un messaggio di trasmissione al servizio di trasporto su tutti i server Cassette postali entro il limite di disponibilità elevata del trasporto (il DAG o il sito Active Directory in ambienti non DAG) alla ricerca di altre reti sicure che contengano i messaggi per il database delle cassette postali di destinazione per l'intervallo di tempo specificato. La Rete sicura shadow risponde e reinvia i messaggi per il database delle cassette postali per l'intervallo di tempo compreso tra le 05:00 e le 09:00.
Quando una Rete sicura shadow risponde, reinvia i messaggi per il database delle cassette postali richiesto solo durante l'intervallo di tempo richiesto. Questa limitazione del database delle cassette postali e dell'intervallo di tempo consente di ridurre i potenziali problemi:
Il nuovo invio dei messaggi dalla Rete sicura potrebbe provocare recapiti duplicati. Non si tratta di un problema per le cassette postali nell'organizzazione Exchange, perché il rilevamento di messaggi duplicati impedisce agli utenti delle cassette postali di visualizzare i messaggi duplicati. Il recapito dei messaggi duplicati a destinatari esterni, tuttavia, potrebbe fare in modo che il destinatario visualizzi copie dei messaggi duplicati.
I messaggi shadow reinviati dalla Rete sicura shadow richiedono classificazione ed elaborazione complete tramite il servizio di trasporto sul server Cassette postali. Il reinvio di una quantità notevole di messaggi shadow può essere dispendioso in termini di impiego di risorse per il server Cassette postali.
È necessario tenere presenti alcune considerazioni importanti per i messaggi shadow archiviati nella Rete sicura shadow:
La Rete sicura shadow non conosce il punto in cui il server primario ha trasmesso il messaggio primario.
I messaggi shadow nella Rete sicura shadow contengono soltanto i destinatari della busta del messaggio originale e non i destinatari effettivi a cui è stato recapitato il messaggio primario. Il destinatario di una busta del messaggio potrebbe, ad esempio, essere un gruppo di distribuzione che richiede espansione.
I messaggi nella Rete sicura shadow non contengono gli aggiornamenti dei messaggi avvenuti dopo l'elaborazione del messaggio da parte del server primario (ad esempio, la codifica del messaggio o la conversione del contenuto).
Questo scenario descrive cosa accade se ka Rete sicura primaria è offline durante una parte dell'intervallo per il reinvio richiesto:
Il database della coda nel server Cassette postali che contiene la rete di sicurezza primaria è danneggiato e un nuovo database della coda viene creato alle 7:00. Tutti i messaggi primari archiviati nella rete di sicurezza primaria dalle 1:00 alle 7:00 vanno persi, ma il server è in grado di archiviare copie dei messaggi recapitati correttamente in Safety Net a partire dalle 7:00.
Active Manager richiede un reinvio dei messaggi da Rete sicura per un database delle cassette postali per l'intervallo di tempo tra l'1:00 e le 9:00.
La Rete sicura primaria reinvia i messaggi per l'intervallo di tempo tra le 7:00 e le 9:00.
Poiché la rete di sicurezza primaria non dispone dei messaggi necessari per le 1:00-7:00. La rete di sicurezza primaria invia un messaggio di trasmissione al servizio trasporto in tutti i server Cassette postali nel limite di disponibilità elevata del trasporto alla ricerca di altre reti di sicurezza che contengono i messaggi necessari. Shadow Safety Net genera una seconda richiesta di invio per conto della rete di sicurezza primaria per inviare nuovamente i messaggi shadow per il database delle cassette postali di destinazione per l'intervallo di tempo da 1:00 a 7:00.
Ci sono altre questioni da considerare quando i messaggi vengono reinviati da Rete sicura:
Tutte le notifiche sullo stato del recapito (note anche come DSN, report di mancato recapito, rapporti di mancato recapito o messaggi di mancato recapito) vengono eliminate per le reinviazioni di messaggi safety net: ad esempio, se il messaggio primario ha generato un rapporto di mancato recapito, il rapporto di mancato recapito per il messaggio inviato di nuovo non verrà recapitato.
Gli utenti rimossi da un gruppo di distribuzione potrebbero non ricevere un messaggio inviato di nuovo quando Shadow Safety Net invia nuovamente il messaggio: ad esempio, un messaggio viene inviato a un gruppo contenente l'utente A e l'utente B e entrambi i destinatari ricevono il messaggio. L'utente B viene successivamente rimosso dal gruppo. In seguito viene inoltrata una richiesta di reinvio dalla Rete sicura primaria per il database delle cassette postali in cui si trova la cassetta postale dell'utente B. La Rete sicura primaria non è tuttavia disponibile per oltre 12 ore quindi il server della Rete sicura shadow risponde e reinvia il messaggio in questione. Durante il reinvio, quando il gruppo di distribuzione viene espanso, l'utente B non è più un membro del gruppo e non riceverà una copia del messaggio reinviato.
I nuovi utenti aggiunti a un gruppo di distribuzione possono ricevere un vecchio messaggio inviato di nuovo quando Shadow Safety Net invia nuovamente il messaggio: ad esempio, un messaggio viene inviato a un gruppo contenente l'utente A e l'utente B e entrambi i destinatari ricevono il messaggio. L'utente C viene successivamente aggiunto al gruppo. In seguito viene inoltrata una richiesta di reinvio dalla Rete sicura primaria per il database delle cassette postali in cui si trova la cassetta postale dell'utente C. Il server della Rete sicura primaria non è tuttavia disponibile per oltre 12 ore quindi il server della Rete sicura shadow risponde e reinvia i messaggi in questione. Durante il reinvio, quando il gruppo di distribuzione viene espanso, l'utente C è ora un membro del gruppo e riceverà una copia del messaggio reinviato.
Distribuzione di Safety Net nell'hub e topologia spoke: Safety Net è progettato per proteggere il recapito dei messaggi nei server Exchange che ospitano le cassette postali degli utenti finali. I clienti che hanno distribuito una topologia di routing hub e spoke devono disabilitare La rete di sicurezza nei server di trasporto nei siti hub per evitare un aumento elevato delle dimensioni del database di trasporto nelle posizioni hub.