Site Resilience Configurations

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-10-29

In den letzten Jahren haben immer mehr Unternehmen erkannt, dass Messaging wesentlich für ihren Erfolg ist. Für zahlreiche Organisationen ist das Messagingsystem im Rahmen der Geschäftskontinuitätspläne erforderlich und muss die Standortflexibilität in der Bereitstellung von Messagingdiensten berücksichtigt werden. Im Wesentlichen beinhalten viele Standortflexibilitätslösungen die Bereitstellung von Sicherungshardware in einem zweiten Datencenter. Daraus ergeben sich häufig die folgenden grundlegenden Fragen:

  • Welcher Servicelevel ist nach Ausfall des Hauptdatencenters erforderlich?

  • Benötigen Benutzer ihre Daten oder nur Messagingdienste?

  • Wie schnell werden die Daten benötigt?

  • Wie viele Benutzer müssen unterstützt werden?

  • Wie sollen die Benutzer auf ihre Daten zugreifen?

  • Wie lautet die Vereinbarung zum Servicelevel (Service Level Agreement, SLA) zur Aktivierung des Ersatzdatencenters?

  • Wie wird das Hauptdatencenter wieder in Betrieb genommen?

  • Sind die Ressourcen für die Standortflexibilitätslösung dediziert?

Wenn Sie diese Fragen beantworten, bildet sich Ihre Messaginglösung für Standortflexibilität heraus. Eine wesentliche Anforderung der Wiederherstellung nach einem Standortausfall besteht in der Erstellung einer Lösung, mit der die erforderlichen Messagingdaten an das Sicherungsdatencenter übergeben werden, das den Messagingdienst hostet.

In diesem Thema werden Einzelheiten zur Standortflexibilitätskonfiguration für die RTM-Verson (Release To Manufacturing) von Microsoft Exchange Server 2007 und Exchange 2007 Service Pack 1 (SP1) beschrieben. Bevor Sie Standortflexibilitätslösungen in Erwägung ziehen, sollten Sie sich mit den folgenden Begriffen vertraut machen:

  • Verteilter Cluster   Auch geografisch verteilter Cluster genannt. Hierbei handelt es sich um eine Clusterkonfiguration, in der Knoten des Clusters in mehreren Datencentern vorhanden sind.

  • Datenbankportabilität   Eine Verwaltungsaufgabe, mit der Postfächer auf einen anderen Server umgeleitet werden können, wenn ihre Hostdatenbank verschoben wird.

  • Verteilter Active Directory-Standort   Active Directory-Standort, der Computer aus mehreren Datencentern enthält (z. B. ein Active Directory-Standort, der mehrere physikalische Standorte umfasst).

  • Active Directory-Standortmitgliedschaft   Mitglied eines bestimten Active Directory-Standorts, basierend auf der primären IP-Adresse des Computers. Wenn die IP-Adresse geändert wird oder neu festgelegt wird, welcher Active Directory-Standort diese IP-Adresse enthält, ändert sich die Mitgliedschaft des Computers in Active Directory.

  • Produktionsdatencenter   Das Datencenter, das die aktiven Server eines Dienstes und die entsprechende Infrastruktur hostet.

  • Aktives Sicherungsdatencenter (Hot Backup)   Ein Sicherungsdatencenter, das unverzüglich bereitsteht, um den Besitz des Dienstes zu übernehmen und seine Übermittlung fortzusetzen. Für die Ausführung des Dienstes an diesem Standort ist keine besondere Konfiguration erforderlich.

  • Bereitschafts-Sicherungsdatencenter (Warm Backup)   Ein Sicherungsdatencenter, in dem Server zur Verfügung stehen, die den Besitz des Dienstes für das Produktionsdatencenter übernehmen. Der Dienst muss in diesem Datencenter manuell aktiviert werden.

  • Potenzielles Sicherungsdatencenter (Cold Backup)   Ein Sicherungsdatencenter, das über die Kapazität und potenziell über die Infrastruktur verfügt, um den Besitz des Dienstes zu übernehmen. Die Ausführung des Dienstes in diesem Datencenter setzt erheblichen Arbeitsaufwand voraus.

  • Dediziert   Server, die für die Unterstützung der Benutzer des primären Datencenters ausgelegt sind.

  • Nicht dediziert   Server, die die Benutzer des primären Datencenters sowie Benutzer an anderen Standorten unterstützen.

Begriffe wie Produktion, Warm und Dediziert können zur Beschreibung einer Bereitstellung mit Standortflexibilität kombiniert werden. Ein Produktionsdatencenter, das durch ein dediziertes, größtenteils konfiguriertes Sicherungsdatencenter gesichert wird, würde wie folgt bezeichnet: "Produktion:Warm (Dediziert)".

Standortflexibilität unterstützende Features

Mehrere Features in Exchange 2007 können als Bausteine für eine Standortflexibilitätslösung verwendet werden. Sie lauten wie folgt:

  • Verteilte Cluster, die zur Datenreplikation oder Vereinfachung der Aktivierung des Sicherungsdatencenters verwendet werden können.

  • Datenbankportabilität, die zur Aktivierung replizierter Daten eingesetzt werden kann.

  • Verteilte Active Directory-Standorte, die zur Unterstützung verteilter Cluster oder Aktivierung eines Sicherungsdatencenters eingesetzt werden können.

  • Änderung der Mitgliedschaft eines Computers in einem Active Directory-Standort, die im Rahmen der Aktivierung eines Sicherungsdatencenters durchgeführt werden kann.

  • Regelmäßige Bandsicherungen in Verbindung mit Lagerung außerhalb des Standorts, wodurch Postfachdaten im Sicherungsdatencenter wiederhergestellt werden können.

Ferner stellen Produkte von Drittanbietern Datenreplikation bereit, mit der Daten an ein Sicherungsdatencenter übertragen werden können. Diese Produkte können in Verbindung mit eigenständigen Servern, Wiederherstellungsclustern oder einem verteilten Einzelkopiecluster )SCC) verwendet werden. In diesen Konfigurationen werden Daten vom primären Server oder Cluster auf eine sekundäre Server- bzw. Clusterkonfiguration in einem zweiten Datencenter repliziert. Fällt ein Standort aus, wird der Cluster oder Server im zweiten Datencenter manuell aktiviert.

In Exchange 2007 SP1 wurde ein neues Feature namens fortlaufende Standbyreplikation (Standby Continuous Replication, SCR) hinzugefügt, das insbesondere für Standortflexibilitätsszenarien konzipiert wurde. Wie der Name schon nahelegt, ist die fortlaufende Standbyreplikation (Standby Continuous Replication, SCR) auf Fälle ausgelegt, in denen Standbywiederherstellungsserver verwendet werden bzw. deren Verwendung aktiviert wird. SCR erweitert vorhandene fortlaufende Replikationsfeatures in Exchange 2007 RTM und aktiviert neue Datenverfügbarkeitsszenarien für Postfachserver mit Exchange 2007 SP1. SCR verwendet dieselbe Protokollversand- und -wiedergabetechnologie, die auch von der LCR (Local Continuous Replication) und CCR (Cluster Continuous Replication) verwendet wird, um zusätzliche Bereitstellungsoptionen und -konfigurationen bereitzustellen.

SCR ermöglicht eine Trennung von hoher Verfügbarkeit (sowohl Dienst- als auch Datenverfügbarkeit) und Standortausfallsicherung. SCR kann beispielsweise mit CCR kombiniert werden, um Speichergruppen lokal in einem primären Datacenter (mithilfe von CCR für hohe Verfügbarkeit) und remote in einem sekundären oder Sicherungsdatacenter (mithilfe von SCR für Standortausfallsicherung) zu replizieren. Dieses sekundäre Datacenter kann einen passiven Knoten in einem Failovercluster enthalten, der die SCR-Ziele hostet. Diese Art von Cluster wird als Standbycluster bezeichnet, da sie keine Postfachclusterserver enthält, aber schnell durch einen Ersatz-Postfachclusterserver in einem Wiederherstellungsszenario bereitgestellt werden kann. Wenn das Hauptdatacenter ausfällt oder die Verbindung auf andere Weise unterbrochen wird, können die in diesen SCR-Zielen gehosteten Standbycluster schnell auf dem Standbycluster aktiviert werden.

Weitere Informationen zur SCR finden Sie unter Fortlaufende Standbyreplikation.

Lösungen für Standortflexibilität

Eine Organisation kann mehrere Standortflexibilitätslösungen in Erwägung ziehen. In den verbleibenden Abschnitten dieses Themas werden Informationen zu den folgenden Standortflexibilitätslösungen bereitgestellt:

  • Produktion:Kalt (Dediziert)

  • Produktion:Warm (Dediziert)

  • Produktion:Warm (Nicht dediziert) mit zwei Active Directory-Standorten

  • Produktion:Produktion (Nicht dediziert) mit einem Active Directory-Standort

Die in diesem Thema beschriebenen Lösungen setzen voraus, dass die gesamte Messaginginfrastruktur bei Ausfall des Produktionsdatencenters nicht mehr zur Verfügung steht. Das Sicherungsdatencenter muss über eine Internetverbindung und alle erforderlichen Dienste für das Hosten von Exchange verfügen. Ferner sollten die Aktivierungsprozesse von Skripts verarbeitet und regelmäßig getestet werden.

Produktion:Kalt (Dediziert)

Die einfachste Lösung für Flexibilität von Messagingstandorten sieht vor, dass die Organisation über Verträge für Hardware und Einrichtungen verfügt, jedoch nicht über ein aktives Sicherungsdatencenter. Alle Postfachdaten werden regelmäßig gesichert und außerhalb des Standortes gelagert. Active Directory-Daten werden auf ähnliche Weise behandelt. Für die Aktivierung dieser Standortflexibilitätslösung muss Hardware erworben und bereitgestellt werden. Um die Ausfallzeit insgesamt zu verkürzen, kann die Organisation mit Hardwareanbietern Verträge für die beschleunigte Lieferung wichtiger Hardwaregeräte abschließen.

Eine Variante dieser Lösung ist die Geschäftsbeziehung mit einem Anbieter von Notfallwiederherstellungslösungen, der die Hardware aus seinem Hardwarepool zur Verfügung stellen kann. Hierbei können die Sicherungsdaten zur Verkürzung der Wiederherstellungszeit am Standort des Anbieters verwaltet werden. Dedizierter Speicher am Standort des Anbieters kann die Replikationsziele für Postfach- und Active Directory-Daten darstellen.

Der Einfachheit halber ähneln die Konfigurationen, die letztendlich bereitgestellt werden, wahrscheinlich der Produktionsumgebung oder zumindest einem Teil von ihr. In einem Wiederherstellungsprozess wie diesem ist es optimal, mit möglichst bekannter Technologie und vertrauten Beziehungen zu arbeiten.

Produktion:Warm (Dediziert)

In dem Wiederherstellungsmodell "Produktion:Warm (Dediziert)" verfügt das Produktionsdatencenter über ein ausgewiesenes Sicherungsdatencenter mit dedizierten Geräten. Letztere kommen zum Einsatz, wenn das Produktionsdatencenter nicht mehr zur Verfügung steht. Wie bereits erwähnt, wird das Sicherungsdatencenter nicht automatisch aktiviert. Der Administrator muss die Aktivierung manuell vornehmen. Bei Aktivierung werden die dedizierten Sicherungsgeräte und die Infrastruktur neu konfiguriert, um die Bereitstellung des Messagingdienstes zu übernehmen. Die folgende Abbildung veranschaulicht die Konfiguration "Produktion:Warm (Dediziert)".

Beispiel für die Bereitstellung von "Produktion:Warm (Dediziert)"

Produktion:Nicht vollständig ausgestattete Bereitstellung (dediziert)

Die obige Abbildung zeigt das Produktionsdatencenter (A), das die Serverfunktionen Edge-Transport, Hub-Transport, ClientAccess und Mailbox hostet. Das Bereitschafts-Sicherungsdatencenter (Warm Backup) (B) verfügt über dedizierte Sicherungsserver für jede Funktion und für Active Directory. Die Abbildung veranschaulicht, dass mit Ausnahme der Serverfunktion Mailbox für alle Serverfunktionen einfache Redundanz verwendet wird. Die Redundanz der Serverfunktion Mailbox wird durch einen Cluster oder die Konfiguration eines eigenständigen Servers mit einer entsprechenden Replikationslösung bereitgestellt.

Im Folgenden werden mögliche Lösungen für die Redundanz der Serverfunktion Mailbox aufgeführt:

  • Fortlaufende Clusterreplikation (Cluster Continuous Replication, CCR) in einer verteilten Clusterkonfiguration   CCR erstellt und verwaltet mittels Protokollversand eine zweite Kopie der Postfachdaten. Daher verfügt der CCR-Cluster mit zwei Knoten über einen Knoten in jedem Datencenter. In dieser Konfiguration benötigt der Windows-Clusterdienst Subnetze, die über die beiden Standorte verteilt sind. Der verteilte Cluster ermöglicht dem geclusterten Postfachserver die Durchführung eines Failovers einfach durch erneute Registrierung seiner IP-Adresse auf dem Knoten im anderen Datencenter.

  • Einzelkopiecluster (Single Copy Cluster, SCC) mit synchroner Partnerreplikation   Die Partnerreplikation ermöglicht die Existenz von zwei Kopien der Postfachserverdaten im System. Wie bei CCR ist für einen erfolgreichen Clusterfailover ein verteiltes Subnetz erforderlich.

  • Ersatzcluster mit Partnerreplikation   Postfachdaten werden auf einen zweiten Cluster im Sicherungsdatencenter repliziert, und der Dienst wird mit dem Verfahren zur Notfallwiederherstellung des Servers wiederhergestellt. Die Replikation kann synchron oder asynchron sein. Weder Clustering noch ein verteiltes Subnetz ist erforderlich.

  • Ersatzserver mit Partnerreplikation   Postfachdaten werden auf einen zweiten Server im Sicherungsdatencenter repliziert, und der Dienst wird entweder durch Datenbankportabilität oder mit dem Verfahren zur Notfallwiederherstellung des Servers wiederhergestellt. Die Replikation kann synchron oder asynchron sein. Weder Clustering noch ein verteiltes Subnetz ist erforderlich.

  • Fortlaufende lokale Replikation (Local Continuous Replication, LCR) mit einer zweiten in einem zweiten Datencenter gehosteten Kopie   Dies ist keine bevorzugte Lösung, kann aber für einige Organisation ausreichend sein. In dieser Konfiguration wird zum Speichern der passiven Kopie der Daten ein iSCSI-basierter (Internet SCSI) Speicher verwendet. Die Netzwerkeigenschaften der Verbindung müssen zulassen, dass die passive Kopie einigermaßen konsistent mit der aktiven Kopie bleiben kann. In dieser Konfiguration steht LCR für die schnelle lokale Aktivierung nicht zur Verfügung, da die Netzwerkwartezeit und Bandbreite den Clientzugriff wahrscheinlich nicht unterstützt.

Die vorangehende Abbildung veranschaulicht die Verwendung einer Clusterlösung. Dies liegt daran, dass der Postfachserver im Active Directory-Standort des Produktionsdatencenters angezeigt wird. In einer Clusterlösung müssen sich die Netzwerke auf jedem Knoten im Cluster in demselben Subnetz befinden. In einer Lösung ohne Cluster ist die Verwendung eines einzelnen Subnetzes nicht erforderlich, wird jedoch empfohlen. Sie können bei Bedarf ein anderes Subnetz verwenden.

Bei Verwendung einer Clusterlösung lautet der normale Betriebsablauf wie folgt:

  1. Die gesamte eingehende Internet Mail wird über den Edge-Transport-Server in Datencenter A geleitet.

  2. Alle E-Mails, die für Postfachserver des Active Directory-Standortes Redmond-Prod bestimmt sind, werden von den Hub-Transport-Servern in Redmond-Prod verarbeitet.

  3. Die Postfachclusterserver am Active Directory-Standort Redmond-Prod werden auf ihren konfigurierten Konten in Datencenter A oder B gehostet. Die Knoten A und B gehörten zu Redmond-Prod und werden von den Hub-Transport- und Clientzugriffsservern von Redmond-Prod bedient.

  4. Da CCR zwei Knoten unterstützt, muss sich der zweite Knoten in Datencenter B befinden. Dies bedeutet, dass der Ausfall eines aktiven Knotens in Datencenter A erzwingt, dass der Postfachclusterserver in Datencenter B verschoben wird. In diesem Fall wird er auch weiterhin von den Hub-Transport-Servern und Clientzugriffsservern in Datencenter A bedient.

  5. Ein Einzelkopiecluster (SCC) mit drei Servern und zwei Datenkopien kann so konfiguriert werden, dass der Postfachclusterserver bei einem Ausfall in Datencenter A verbleibt, statt auf Datencenter B auszuweichen. Ist der Ausfall jedoch auf den Speicher zurückzuführen, muss der passive Knoten in Datencenter B dennoch aktiviert werden.

Die Anforderungen bezüglich der Netzwerkbandbreite in den beiden Datencentern werden von drei Hauptfaktoren bestimmt:

  • Anforderungen für die Wartezeit des Clusterdienstes   Der Clusterdienst erfordert eine Roundtrip-Wartezeit von nur einer halben Sekunde zwischen den Clusterknoten.

  • Bandbreitenanforderungen für die Replikation   Für CCR ist eine geringere Bandbreite erforderlich, als für die meisten Drittanbieter-Replikationslösungen, da die CCR-Replikation nicht auf dem Kopieren von Datenbanken, sondern auf Protokollversand basiert. Die von einer CCR-Lösung benötigte Bandbreite ist von verschiedenen Faktoren abhängig, die für jede Umgebung eindeutig sind. Die Bandbreitenanforderungen umfassen Bandbreite für Folgendes:

    • Protokollversand

    • Dateisystembenachrichtigungen, durch die der Microsoft Exchange-Replikationsdienst darüber informiert wird, wenn eine neue Protokolldatei für den Versand bereit ist

    • Datenverkehr der Verzeichnisserver

    • Clientdatenverkehr, wenn die Clients sich an demselben physikalischen Standort wie der Postfachclusterserver befinden

    • Datenverkehr des Clustertakts

    • Clusterdatenbank-Aktualisierungen

    • Weitere Anwendungen, die das Netzwerk verwenden

  • Für die Kommunikation zwischen Hub-Transport- und Clientzugriffsservern und zwischen diesen Servern und den von ihnen bedienten Postfachservern ist LAN-Kommunikation erforderlich.   Für Clientzugriffsserver ist diese Anforderung sehr wichtig, da sie Onlinebenutzer versorgen. Der Postfachzugriff auf Domänencontroller erfolgt über eine WAN-Verbindung (Wide Area Network). Die Wartezeit betrifft nur den MAPI-Onlinezugriff.

Die Wartezeit- und Bandbreitenanforderungen sinken möglicherweise, wenn eine Lösung ohne Cluster bereitgestellt wird. Die Netzwerkanforderungen für die Replikation bleiben und sind erheblich. Der Großteil der übrigen Anforderungen trifft jedoch nicht zu, es sei denn, Sie möchten den Sicherungspostfachserver aktivieren, auch wenn das Datencenter A nicht vollständig ausfällt.

Wenn das Produktionsdatencenter ausfällt, kann der Administrator die Nachrichtenübermittlungs- und Messagingdienste mit einer der folgenden Methoden wiederherstellen:

  • Verschieben der Postfachserver in das Sicherungsdatencenter am Active Directory-Standort Redmond-DR

  • Verschieben der Hub-Transport-, Clientzugriffs- und Verzeichnisserver in das Sicherungsdatencenter am Active Directory-Standort Redmond-Prod

Die zweite Vorgehensweise wird empfohlen, da sie die Auswirkungen auf andere Teile der Umgebung minimiert. Beispielsweise muss das Routing von E-Mails in Warteschlangen für Exchange-Server in den Zweigstellen nicht geändert werden. Die Server stellen einfach eine Verbindung zu den richtigen Servern her und stehen dann zur Verfügung.

Die Aktivierung von Datencenter B wird auf hoher Ebene wie folgt durchgeführt:

  1. Die Netzwerkinfrastruktur wird online geschaltet.

  2. Die Active Directory-Infrastruktur wird online geschaltet.

  3. Der verbleibende Postfachserver wird online geschaltet. Bei diesem Schritt kann der Cluster erzwungenermaßen mit dem einzelnen verbleibenden Server online geschaltet werden.

  4. Der Active Directory-Standort Redmond-Prod wird mit den IP-Adressen der Hub-Transport-, Clientzugriffs- und Verzeichnisserver in Redmond-DR aktualisiert.

  5. Der MX-Datensatz für die Domänen der Organisation wird mit der IP-Adresse des Edge-Transport-Servers in Datencenter B aktualisiert.

  6. Der neu verschobene Clientzugriffsserver wird einer NLB-Konfiguration (Network Load Balancing, Netzwerklastenausgleich) hinzugefügt.

  7. Der Messagingdienst von Datencenter A ist in Datencenter B wiederhergestellt.

Wenn Datencenter A verfügbar ist, kann Datencenter B auf hoher Ebene wie folgt deaktiviert werden:

  1. Die einzelnen Server in Datencenter A werden online geschaltet. Sie tragen zur Bereitstellung des Dienstes bei, es sei denn, die Exchange-Dienste werden manuell gestoppt oder deaktiviert. Lassen Sie bei der Migration in die andere Richtung zu, dass die Server von Datencenter A online geschaltet sind.

  2. Ermöglichen Sie den Hub-Transport-Servern in Datencenter B die vollständige Verarbeitung ihrer Warteschlangen, und schalten Sie sie dann offline.

  3. Entfernen Sie die Clientzugriffsserver in Datencenter B aus der Netzwerklastenausgleich-Konfiguration. Clients stellen dann eine Verbindung über die Server in Datacenter A her.

  4. Der MX-Datensatz für die Domänen der Organisation wird mit der IP-Adresse des Edge-Transport-Servers in Datencenter A aktualisiert.

  5. Führen Sie die erforderlichen Aktualisierungen der Netzwerkinfrastruktur durch.

  6. Verschieben Sie die Postfachclusterserver in Datencenter A.

  7. Aktualisieren Sie den Active Directory-Standort Redmond-DR mit IP-Adressen der Server, die während der Aktivierung verschoben wurden.

  8. Der Messagingdienst aus Datencenter A wird wiederhergestellt.

Wie bei jeder Lösung für Standortausfälle sollte die Aktivierung des Produktions- und Sicherungsdatencenters von Skripts verarbeitet und regelmäßig getestet werden. Durch die Verwendung einer Clusterlösung für den Postfachserver werden die Aktivierungszeiten für das Sicherungsdatencenter verringert. In anderen Lösungen ist möglicherweise die DNS- (Domain Name System) und Active Directory-Replikation erforderlich, welche sich auf den Zeitpunkt der Wiederaufnahme der Nachrichtenübermittlung und des Clientzugriffs auf Postfächer auswirken kann.

Die Lösung "Produktion:Warm (Dediziert)" bietet den Vorteil, dass die dedizierten Computer einen vorhersagbaren Servicelevel bieten.

Produktion:Warm (Nicht dediziert) mit zwei Active Directory-Standorten

In der Konfiguration "Produktion:Warm (Dediziert)" sind die Edge-Transport-, Hub-Transport- und Clientzugriffsserver im Sicherungsdatencenter als Ersatzressourcen für Datencenter A dediziert. Diese Konfiguration stellt eine erhebliche Investition in Hardware dar, die nicht vollständig genutzt wird. Die folgende Abbildung zeigt ein alternatives Modell.

Beispiel für die Bereitstellung von "Produktion:Warm (Nicht dediziert)"

Beispiel:Nicht vollständig ausgestattete Produktionsbereitstellung (nicht dediziert)

Für die Konfiguration "Produktion:Warm (Nicht dediziert)" wird vorausgesetzt, dass der Administrator die Aktivierung des Sicherheitsdatencenters manuell auslöst. Wenn der Aktivierungsprozess ausgelöst wird, werden einige Geräte und die Infrastruktur im Sicherungsdatencenter zur Übernahme des Messagingdienstes für die Benutzer von Datencenter A neu konfiguriert.

Ebenso wie in der Lösung "Produktion:Warm (Dediziert)" gibt es in der Lösung "Produktion:Warm (Nicht dediziert)" zwei Active Directory-Standorte. Im Gegensatz zur Lösung "Produktion:Warm (Dediziert)" umfassen beide Active Directory-Standorte jedoch das andere Datencenter. Die dedizierten Ressourcen im Sicherungsdatencenter sind zu redundanten Servern für eine andere Produktionskonfiguration im Sicherungsdatencenter geworden. Auf diese Weise stehen diese Ressourcen für die normale Verwendung zur Verfügung. So ergeben sich zwei Produktionsdatencenter, die eine effektive Sicherung für das jeweils andere Datencenter darstellen.

Wenn z. B. in der Abbildung Beispiel für die Bereitstellung von "Produktion:Warm (Nicht dediziert)" Datencenter A ausfällt, werden der Hub-Transport-Server 4, der Clientzugriffsserver 4 und der globale Katalogserver 4 dem Active Directory-Standort Redmond hinzugefügt und stellen den Benutzern des Datencenters A in Verbindung mit dem KnotenB in Redmond den Messagingdienst bereit. Nach dem Standortausfall werden die beiden Produktionsumgebungen jetzt im Vergleich zu ihrem normalen Zustand mit verringerter Kapazität und Redundanz ausgeführt. Vorausgesetzt, dass ihre laufende Auslastung unterstützt werden kann, ist diese Konfiguration akzeptabel. Angenommen, die Internet Mail wird über den Edge-Transport-Server in Datencenter B geleitet. Um einen umfangreichen Ausfall des Datencenters zu überbrücken, hat das Unternehmen Verträge mit Anbietern abgeschlossen, die bei Bedarf schnell zusätzliche Hardware bereitstellen. Die hinzugefügte Hardware kann dann zum Wiederherstellen der Redundanz oder Hinzufügen zusätzlicher Kapazität verwendet werden.

Der Normalbetrieb der Bereitstellungen der Active Directory-Standorte Redmond und Dublin ist in dieser Lösung und in der Lösung "Produktion:Warm (Dediziert)" identisch. Die Netzwerkbandbreite zwischen den beiden Standorten wird von denselben Hauptfaktoren bestimmt, mit der Ausnahme, dass beide Server in Redmond und Dublin gleichzeitig unterstützt werden müssen.

Die Aktivierung des Sicherungsdatencenters erfolgt durch eine der folgenden Methoden:

  • Verschieben des aktiven Knotens und des Postfachclusterservers an den Active Directory-Standort des aktiven Datencenters

  • Verschieben der Hub-Transport-, Clientzugriffs- und Verzeichnisserver im Sicherungsdatencenter an den Active Directory-Standort des ausgefallenen Datencenters.

Die empfohlene Lösung zur Aktivierung ist das Verschieben der Hub-Transport- und Clientzugriffsserver an den Active Directory-Standort des ausgefallenen Datencenters. Die Aktivierung kann so einfach und ohne größere Unterbrechungen erfolgen.

In dieser Lösung wird das Datencenter A auf hoher Ebene wie folgt wiederhergestellt:

  1. Die Netzwerkinfrastruktur wird online geschaltet. Möglicherweise sind keine Änderungen an der Netzwerkinfrastruktur erforderlich, da Internet Mail bereits im Datencenter B eingeht.

  2. Die Active Directory-Infrastruktur für Datencenter A wird online geschaltet (Active Directory-Standort Redmond).

  3. Der verbleibende Postfachserver wird online geschaltet. Bei diesem Schritt kann der Cluster erzwungenermaßen mit dem einzelnen verbleibenden Server online geschaltet werden.

  4. Der Active Directory-Standort Redmond wird mit den IP-Adressen des Hub-Transport-Servers 4, des Clientzugriffsservers 4 und des globalen Katalogservers 4 aktualisiert.

  5. Der Clientzugriffsserver 3 wird der Netzwerklastenausgleich-Konfiguration für Redmond hinzugefügt.

  6. Der Messagingdienst aus Datencenter A wird wiederhergestellt.

Wenn Datencenter A verfügbar ist, kann Datencenter B in seiner normalen Konfiguration auf hoher Ebene wie folgt wiederhergestellt werden:

  1. Die einzelnen Server in Datencenter A werden online geschaltet. Sie tragen zur Bereitstellung des Dienstes bei, es sei denn, die Exchange-Dienste werden manuell gestoppt oder deaktiviert. Lassen Sie bei der Migration in die andere Richtung zu, dass die Server von Datencenter A online geschaltet sind.

  2. Ermöglichen Sie Hub-Transport-Server 4 die vollständige Verarbeitung seiner Warteschlangen, und schalten Sie ihn dann offline.

  3. Entfernen Sie den Clientzugriffsserver 4 aus der Netzwerklastenausgleich-Konfiguration. Clients können noch immer Verbindungen zu den Servern in Datencenter A herstellen.

  4. Führen Sie die erforderlichen Aktualisierungen der Netzwerkinfrastruktur durch.

  5. Verschieben Sie den Postfachclusterserver in Datencenter A.

  6. Aktualisieren Sie den Active Directory-Standort Dublin mit IP-Adressen der Server, die während der Aktivierung verschoben wurden.

  7. Der ursprüngliche Zustand beider Datencenter ist wiederhergestellt.

Wie bei jeder Lösung für Standortausfälle sollte die Aktivierung des Produktions- und Sicherungsdatencenters von Skripts verarbeitet und regelmäßig getestet werden. Durch die Verwendung einer Clusterlösung für den Postfachserver werden die Aktivierungszeiten für das Sicherungsdatencenter verringert. In anderen Lösungen mit Postfächern ist möglicherweise die DNS- und Active Directory-Replikation erforderlich, welche sich auf den Zeitpunkt der Wiederaufnahme der Nachrichtenübermittlung und des Clientzugriffs auf Postfächer auswirken kann.

In dieser Lösung können die Server, die Standortflexibilität bieten, in den Normalbetrieb integriert werden. Auf diese Weise können die Kosten der Standortflexibilitätslösung verringert werden, jedoch mit dem Risiko, die vollständige Systemlast nicht aufrecht erhalten zu können, wenn dies erforderlich ist. Wenn beispielsweise die Auslastung der Hub-Transport-Server in Datencenter B auf 80 % der Kapazität anwächst, wird die Kapazität der Hub-Transport-Server durch Aktivierung des Sicherheitsdatencenters für A überschritten. Bei dieser Lösung müssen Administratoren die Systemauslastung mit der Zeit sorgfältig nachhalten, um sicherzustellen, dass die Lösung sinnvoll ist. Nimmt die Auslastung zu, müssen Sie neue Hardware beschaffen und bereitstellen.

Produktion:Produktion (Nicht dediziert) mit einem Active Directory-Standort

Organisationen, die eine Lösung benötigen, welche die automatische Aktivierung eines Sicherungsstandorts unterstützt, müssen die Lösung "Produktion:Produktion (Nicht dediziert)" bereitstellen. Diese Lösung stellt redundante Server an einem einzelnen Active Directory-Standort bereit, der beide Datencenter umfasst (siehe folgende Abbildung).

Beispiel für die Bereitstellung von "Produktion:Produktion (Nicht dediziert)"

Produktion:Produktionsbereitstellung (nicht dediziert)

Diese Lösung stellt die Ressourcen beider Datencenter an einem einzelnen Active Directory-Standort bereit. Alle Ressourcen am Standort können nahezu jede Anforderung erfüllen. Beispielsweise kann ein Edge-Transport-Server in Datencenter A einen Hub-Transport-Server in Datencenter B verwenden, um eine Nachricht an einen Benutzer zu übermitteln, dessen Postfach sich auf einem in Datencenter A gehosteten Postfachclusterserver befindet. Auf ähnliche Weise gibt es standardmäßig kein Lokalitätsprinzip für Active Directory-Datenverkehr. Aus diesen Gründen wird diese Lösung nicht empfohlen.

Die Aktivierung des Sicherungsdatencenters ähnelt der Wiederherstellung mehrerer Serverausfälle. Bei der Wiederherstellung über Aktivierung muss der Dienst auf den ausgefallenen Servern wiederhergestellt werden. Bei den nicht dedizierten Lösungen wurde es bereits erwähnt: Mangelhafte Kapazitätsverwaltung kann dazu führen, dass die Auslastung die Dienstkapazität nach dem Ausfall eines Datencenters überschreitet. Administratoren müssen sicherstellen, dass die Lösung die voraussichtliche Auslastung nach dem Ausfall eines Datencenters unterstützen kann. Andernfalls kann der Ausfall eines einzelnen Datencenters den Ausfall des gesamten Messagingdienstes verursachen.