Strategie di elevata disponibilità

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-08-31

Questo argomento offre un'ampia panoramica dell'elevata disponibilità in Microsoft Exchange Server 2007. Inoltre l'argomento introduce il processo decisionale consigliato per la selezione della soluzione di disponibilità adatta alla propria organizzazione.

I termini disponibilità ed elevata disponibilità hanno diversi significati in base al contesto e ai destinatari. Si riferiscono a una vasta gamma di obiettivi aziendali e requisiti tecnici, dalla disponibilità relativa al solo hardware a quella fondamentale del servizio di messaggistica inteso come un insieme.

In genere le aspettative delle organizzazioni riguardo agli obiettivi della disponibilità si rivelano inappropriate. Non è rara la richiesta di livelli di disponibilità che implicano costi maggiori di quelli che si intendono effettivamente pagare.

Le implicazioni dei costi delle soluzioni maggiormente disponibili includono, in forma esemplificativa, i seguenti componenti:

  • Hardware

  • Software

  • Infrastruttura di rete

  • Formazione

  • Servizi

  • Costi operativi.

Servizi, ossia accordi contrattuali con fornitori di terze parti di servizi o contratti al livello operativo con le divisioni di tecnologie informative nell'organizzazione per fornire e gestire componenti e servizi relativi a tali tecnologie.

Disponibilità

La disponibilità si riferisce al livello di servizio fornito da applicazioni, servizi o sistemi. Nei sistemi a elevata disponibilità, i tempi di inattività, pianificati o meno, risultano minimi. La disponibilità viene spesso definita come la percentuale di tempo durante il quale un servizio o un sistema sono disponibili; ad esempio, il valore 99,9% si riferisce a un servizio che non è disponibile per 8,75 ore all'anno.

Per garantire una maggiore disponibilità, è necessario implementare i meccanismi di tolleranza di errore per mascherare o ridurre al minimo l'impatto di errori dei componenti e delle dipendenze del servizio. La tolleranza di errori si ottiene implementando la ridondanza in punti singoli dei componenti soggetti a un errore.

Nella pianificazione relativa alla disponibilità in Microsoft Exchange, è necessario considerare tutti i componenti che fanno parte dell'infrastruttura che riguarda la messaggistica. È possibile che alcuni componenti siano rappresentati da altri servizi composti da componenti secondari. La disponibilità del servizio di messaggistica è determinata dalla disponibilità di ciascun componente che fa parte dell'infrastruttura.

Definizione dei requisiti di disponibilità

La disponibilità di un servizio rappresenta un problema complesso che interessa molte attività. Esistono molti approcci diversi per il raggiungimento dei livelli richiesti di disponibilità, con le rispettive implicazioni di costi.

Tuttavia, le richieste di disponibilità risultano spesso semplicistiche e le implicazioni dei costi sono frequentemente sottovalutate dai clienti. In tal caso, sono possibili incomprensioni tra il cliente e l'organizzazione di tecnologie informative, nonché livelli di investimenti inappropriati e, infine, insoddisfazione del cliente causata da erronee aspettative.

Un requisito di disponibilità del 99,5% può risultare diverso da un altro requisito di disponibilità equivalente. È possibile che un requisito si riferisca unicamente alla disponibilità della piattaforma hardware, mentre l'altro si riferisca alla disponibilità del servizio end-to-end completo. Inoltre, la stessa definizione di disponibilità di servizio end-to-end completo può variare molto. È importante comprendere bene come viene misurato ciascun requisito di disponibilità. Ad esempio:

  • Se tutti gli hardware e i software nel server primario funzionano correttamente e se le connessioni utenti sono pronte all'accettazione da parte dell'applicazione, la soluzione è considerata disponibile al 100%?

  • Se sono presenti 100 utenti e il 25% di essi non riesce a connettersi a causa di un errore di rete locale, la soluzione è ancora considerata disponibile al 100%?

  • Se uno solo dei 100 utenti riesce a connettersi e a elaborare il lavoro, la soluzione considerata presenta disponibilità dell'1%?

  • Se tutti i 100 utenti riescono a connettersi, ma il servizio è ridotto alla disponibilità di sole due transazioni clienti su tre, oppure se si verifica una diminuzione delle prestazioni, come influisce questo sulle misurazioni di disponibilità?

Il periodo in cui la disponibilità è misurata risulta inoltre rilevante nella definizione della disponibilità. Un requisito di disponibilità del 99,9% nell'arco di tempo di un anno consente 8,75 ore di inattività. Un requisito di disponibilità del 99,9% in una finestra temporale di quattro settimane consente solo 40 minuti di inattività per ciascun periodo.

È inoltre necessario identificare e negoziare i periodi di inattività relativi all'attività di manutenzione pianificata e agli aggiornamenti di Service Pack e del software. La durata del periodo di inattività pianificata tollerabile influisce sulla definizione dei requisiti di disponibilità.

Nella versione di produzione (RTM) di Microsoft Exchange Server 2007 sono incluse nuove funzionalità che consentono di ridurre i costi e aumentare i tempi di attività:

  • Replica continua locale   La replica continua locale (LCR) è una soluzione per ciascun server che utilizza la tecnologia integrata per creare e gestire una copia di un gruppo di archiviazione in un secondo set di dischi connessi allo stesso server del gruppo di archiviazione di produzione. L'LCR consente la distribuzione asincrona e la riproduzione dei registri e un rapido passaggio manuale a una copia dei dati. Per ulteriori informazioni sulla replica continua locale, vedere Replica continua locale.

  • Replica continua cluster   La replica continua cluster (CCR) combina le caratteristiche di replica e riproduzione di Exchange 2007 con le caratteristiche di failover dei servizi Cluster di Microsoft. È una soluzione che può essere distribuita senza un singolo punto di errore in un unico centro dati o tra due centri dati. Per ulteriori informazioni sulla replica continua cluster, vedere Replica continua cluster. La CCR offre diversi vantaggi rispetto ai cluster nelle versioni precedenti di Exchange Server e ai cluster a copia singola in Exchange 2007. Per ulteriori informazioni su questi vantaggi, vedere Vantaggi della replica continua cluster rispetto ai cluster a copia singola.

  • Cluster a copia singola   I cluster a copia singola (SCC), noti nelle versioni precedenti di Exchange Server come archivi cluster condivisi, sono stati modificati e migliorati in modo significativo in Exchange 2007. Per ulteriori informazioni sui cluster a copia singola, vedere Cluster a copia singola.

Microsoft Exchange Server 2007 Service Pack 1 (SP1) aggiunge una funzionalità supplementare, concepita per garantire la resilienza del sito:

  • Replica continua di standby   Replica continua di standby (SCR, Standby continuous replication) è una nuova funzionalità introdotta in Exchange 2007 SP1. Come suggerito dal nome, SCR è concepita per scenari che utilizzano o abilitano l'uso di server di ripristino di standby. SCR amplia le funzioni di replica continua esistenti e abilita nuovi scenari di disponibilità dei dati per i server Cassette postali di Exchange 2007. La replica continua di standby utilizza la stessa spedizione del registro e tecnologia di riproduzione di replica continua locale e replica continua cluster per offrire opzioni e configurazioni di distribuzione supplementari. Questa funzionalità può essere utilizzata per la replica di dati da server Cassette postali autonomi e server di cassette postali in cluster. Per ulteriori informazioni sulla replica continua di standby, vedere Replica continua di standby.

Queste funzionalità offrono possibilità di recupero migliorate e sono in grado di soddisfare una vasta gamma di requisiti di disponibilità. Nella seguente tabella sono elencati vari requisiti di disponibilità e viene fornito un confronto con le soluzioni di ripristino di emergenza di Exchange 2007 che erano disponibili in Exchange Server 2003. Per ulteriori informazioni sulle configurazioni dell'elevata disponibilità per Exchange 2007, vedere Distribuzioni a elevata disponibilità.

Confronto delle soluzioni a elevata disponibilità basato sui requisiti di disponibilità

Requisito di disponibilità Soluzione in Exchange 2003 Soluzione in Exchange 2007 RTM Soluzione in Exchange 2007 SP1

Archiviazione a lungo termine

Backup completi giornalieri Ripristino di backup per ricreare server identici

Backup completi settimanali e backup incrementali giornalieri Ripristino di backup in qualsiasi server

Backup completi settimanali e backup incrementali giornalieri Ripristino di backup in qualsiasi server

Risposta agli errori dell'utente

Impostazione predefinita di sette giorni per il contenitore. Dopo sette giorni, ripristino di backup per ricreare server identici.

Impostazione predefinita di quattordici giorni per il contenitore. Dopo quattordici giorni, ripristino di backup per qualsiasi server.

Impostazione predefinita di quattordici giorni per il contenitore. Dopo quattordici giorni, ripristino di backup per qualsiasi server.

Resilienza rispetto agli errori:

  • Disco

  • Hardware

  • Archiviazione condivisa

Ripristino di backup per ricreare server identici

Replica continua Nessun ripristino necessario

Errore autonomo o errore doppio della replica continua cluster: database temporaneo in una posizione alternativa o portabilità del database.

Replica continua Nessun ripristino necessario

Errore autonomo o errore doppio della replica continua cluster: database temporaneo in una posizione alternativa o portabilità del database.

Resilienza rispetto a problemi gravi a livello di sito

Ripristino di backup per ricreare server identici

Replica continua nel secondo sito Nessun ripristino necessario

Errore autonomo o errore doppio della replica continua cluster: database temporaneo in una posizione alternativa o portabilità del database.

Replica continua di standby nel secondo sito. Nessun ripristino necessario

Attivazione portabilità del database o server di standby.

Scelta della soluzione di disponibilità appropriata

Per migliorare la disponibilità di una distribuzione di Exchange 2007, è possibile utilizzare numerose configurazioni. Per scegliere la soluzione di disponibilità appropriata, è necessario analizzare un insieme di opzioni selezionato e stabilire quale soluzione corrisponde maggiormente ai propri obiettivi aziendali e requisiti di disponibilità. Può essere utile preparare una tabella contenente una sezione per ciascun tipo di errore. In ciascuna sezione della tabella assegnare una riga a ciascuna soluzione che fornisce una strategia di recupero adeguata ai propri requisiti di disponibilità in caso di errore. Indicare nelle colonne, invece, i fattori determinanti della soluzione. Fattori tipici sono:

  • Tempo di recupero

  • Impatto sui dati del recupero

  • Costi associati di hardware e software

  • Costi associati delle risorse

  • Probabilità dell'evento

  • Implicazioni sull'attività aziendale

  • Rischi di complessità

  • Soluzioni di terze parti

  • Pro

  • Contro

Una volta completate queste tabelle, selezionare varie soluzioni per l'analisi dei costi. Per ciascuna soluzione selezionata, elaborare una stima dei costi per cassetta postale, i cui dati possono anche essere riportati in una tabella. Nella tabella dei costi assicurarsi di inserire una riga nella quale indicare la qualità della soluzione rispetto agli obiettivi aziendali. Assicurarsi di valutare diverse soluzioni. Scegliere almeno una soluzione che soddisfi i requisiti, ma che sia diversa dalla soluzione tipica dell'organizzazione.

Infine, prima di scegliere una soluzione, rivedere gli obiettivi aziendali, i requisiti di disponibilità, le soluzioni possibili e l'analisi dei costi. Durante questo processo, considerare i seguenti fattori fondamentali per prendere la decisione più appropriata:

  • Definire chiaramente la priorità degli obiettivi aziendali   La scala di priorità è importante perché alcuni obiettivi potrebbero essere in conflitto.

  • Mettere in discussione convinzioni che potrebbero non essere più attuali   Utilizzare appieno il potenziale di Exchange 2007 durante la fase di progettazione e valutazione. L'esperienza ha dimostrato che le soluzioni più economicamente vantaggiose possono richiedere nuovi approcci ai concetti di backup, archiviazione e utilizzo.

  • Esaminare singoli punti di errore nel sistema di messaggistica   Un'unica copia dei dati delle cassette postali archiviata in un'unica rete di archiviazione SAN (Storage area Network) non implica che i dati siano completamente protetti contro danni ed errori. Questa unica copia di dati può essere soggetta a danni o errori in diversi modi, indipendentemente dalla quantità di ridondanza fornita dalla rete SAN. Con il cluster a copia singola, infatti, un errore della rete SAN può causare perdite di dati corrispondenti a diverse ore di servizio, nonché interruzioni dell'ordine di diversi giorni. La funzione di replica continua cluster è una soluzione di disponibilità in cui si può verificare la perdita di alcuni dati in caso di errore, ma che consente anche di conservare due copie dei dati. Tale funzione compensa la maggior parte della perdita di dati dovuta a un errore del server, grazie a una funzione del server Trasporto Hub denominata dumpster di trasporto. Di conseguenza, in caso di errore hardware i dati delle cassette postali generalmente non vanno persi.

  • Analizzare la gamma di opzioni di archiviazione disponibili per ciascuna soluzione La funzione di replica continua cluster consente alle organizzazioni di utilizzare un'ampia gamma di soluzioni di archiviazione, come una soluzione di archiviazione DAS (Direct Attached Storage). Tale funzione non necessita di un'infrastruttura SAN, il che riduce la complessità e i costi associati. La distribuzione e l'utilizzo di una soluzione di archiviazione DAS, sia SAN che soluzione più economica, risulteranno facilitati.

  • Le funzioni di replica continua cluster e locale consentono di passare dalla strategia tipica di backup completo giornaliero a una strategia di backup completo meno frequente e incrementale giornaliero   Le funzioni di replica continua cluster e locale supportano inoltre un contratto di servizio (SLA, service level agreement) più breve per il recupero dal primo errore. Potrebbe essere necessario prolungare il contratto di servizio per recupero da un errore doppio (entrambe le copie non riuscite o danneggiate) per coprire il contratto di servizio di ripristino corrente. Modifiche come questa possono ridurre drasticamente il costo totale di proprietà (TCO, total cost of ownership), poiché generalmente questo è composto per la maggior parte da costi di backup. Anche il passaggio a una strategia di backup basata su disco può ridurre i costi di backup.

  • Analizzare l'uso della tecnologia di replica continua in Exchange 2007 per creare una soluzione   La funzione di replica continua cluster rende superflua la tecnologia di replica di terze parti. Attualmente questa funzione supporta cluster a due nodi, in cui ciascun nodo mantiene una sola copia di dati. Una soluzione con resilienza del sito basata su questa tecnologia presenta numerosi vantaggi:

    • La funzione di replica continua cluster assicura la disponibilità ai client dei dati delle cassette postali nel centro dati di backup.

    • Con la funzione di replica continua cluster viene spostata una quantità di dati inferiore rispetto a molte soluzioni di terze parti.

    • La funzione di replica continua cluster richiede minori integrazioni per creare una soluzione con resilienza del sito.

  • Creare le tabelle che identificano la procedura di recupero e i costi associati alle varie opzioni   Assicurarsi che la tabella dei costi contenga alcune opzioni in contrasto con le procedure esistenti. Utilizzare i risultati nelle tabelle create per progettare una soluzione in grado di:

    • Fornire la migliore risposta alle esigenze aziendali.

    • Soddisfare le esigenze di costi.

    • Rappresentare un livello di complessità operativa e di distribuzione supportato dall'organizzazione.

Prodotti e componenti di base

La distribuzione di prodotti e componenti deve essere basata sulla possibilità di soddisfare severi requisiti di disponibilità e affidabilità. Prendere in considerazione questi requisiti come fondamento della progettazione di disponibilità. Ulteriori investimenti per raggiungere livelli di disponibilità ancora più elevati saranno sprecati e i livelli di disponibilità non saranno raggiunti se questi prodotti e componenti di base sono inaffidabili e predisposti ai guasti.

Processi di gestione del servizio

Processi di gestione del servizio efficaci contribuiscono a livelli di disponibilità superiori. I processi quali gestione della disponibilità, gestione delle operazioni non consentite, gestione dei problemi e gestione delle modifiche svolgono un ruolo importante nella gestione complessiva del servizio di messaggistica.

Gestione dei sistemi

La gestione dei sistemi deve fornire il monitoraggio, la diagnostica e il ripristino da errori automatico per consentire un rilevamento e una risoluzione rapidi di errori potenziali ed effettivi.

Soluzioni speciali con ridondanza completa

L'approccio alla disponibilità continua nell'ordine del 100% richiede soluzioni costose che incorporano la ridondanza completa. La ridondanza è la tecnica di miglioramento della disponibilità mediante componenti duplicati. Per soddisfare severi requisiti di disponibilità, questi componenti devono funzionare autonomamente in parallelo.

Definizione degli obiettivi di disponibilità e dei requisiti di contratto

Il raggiungimento di elevati livelli di disponibilità inizia con la distribuzione di prodotti e componenti di buona qualità. È improbabile, tuttavia, che questi prodotti e componenti da soli riescano a fornire i livelli di disponibilità superiore richiesti. Nel processo di progettazione, gli obiettivi di disponibilità devono essere presi in considerazione ai primissimi stadi dello sviluppo. Questo approccio evita potenziali aumenti dei costi relativi alla rielaborazione, aggiornamenti non pianificati necessari per soddisfare la disponibilità richiesta, strumenti non pianificati per monitorare l'infrastruttura, spese non pianificate per eliminare singoli punti di errore nell'infrastruttura, nella manutenzione e nei servizi.

Uno dei primi passaggi per il raggiungimento della disponibilità elevata è la revisione del contratto di servizio stipulato per la propria organizzazione. Una volta definito un contratto di servizio, è possibile determinare le configurazioni del server e di distribuzione di Exchange 2007 più adatte per il contratto stipulato.

Di seguito vengono fornite le considerazioni principali per la disponibilità elevata in quanto esse sono correlate al ripristino di emergenza:

  • Tempo di inattività consentito   Considera l'inattività massima consentita accettabile per l'organizzazione basata sulla definizione della disponibilità del servizio di Exchange. A seconda della definizione di inattività dell'organizzazione, l'utente ha la possibilità di soddisfare il contratto di servizio dell'organizzazione usando una strategia di ripristino di messaggistica temporanea. La messaggistica temporanea è una strategia di recupero che fornisce agli utenti cassette postali temporanee per consentire l'invio e la ricezione di messaggi di posta elettronica immediatamente dopo un errore grave. Questa strategia consente il ripristino rapido del servizio di posta elettronica nell'attesa del recupero dei dati di cronologia delle cassette postali. Generalmente, il recupero viene eseguito con l'unione dei dati di cronologia e dei dati temporanei delle cassette postali.

  • Tempo di ripristino consentito   Considera il tempo massimo consentito per ogni tipo di operazione di ripristino di emergenza. Ad esempio, è necessario specificare il periodo di tempo approssimativo necessario per ripristinare una cassette postale, un database singolo oppure l'intero server che esegue Exchange 2007.

  • Tolleranza perdita dati   Considera la tolleranza che l'organizzazione ha per la perdita temporanea o permanente dei dati di Exchange. Ad esempio, l'organizzazione può essere in grado di tollerare la perdita temporanea dei dati delle cassette postali dal backup precedente per un periodo di 24 ore, fintanto che gli utenti sono in grado di inviare e ricevere i messaggi entro un periodo di 4 ore. In altri casi, l'utente può voler considerare un requisito più severo, quale la richiesta che tutti i dati di Exchange fino al momento dell'errore siano ripristinati entro 4 ore.

Dopo avere considerato le conseguenze del tempo di inattività sull'organizzazione e avere deciso il livello di attività che si desidera ottenere per l'ambiente di messaggistica, è possibile definire un contratto di servizio. I requisiti dei contratti di servizio determinano il modo in cui elementi quali archiviazione, cluster, backup e ripristino si inseriscono in un'organizzazione.

Quando si valutano i contratti di servizio, è necessario innanzitutto identificare le ore di funzionamento regolare e le aspettative relative al tempo di inattività pianificato. Quindi, accertarsi di determinare le aspettative aziendali relative a disponibilità, prestazioni e recuperabilità, inclusi il tempo di recapito dei messaggi, la percentuale del tempo di attività del server, le dimensioni di archiviazione richieste per ogni utente e i tempi di ripristino di un database di Exchange.

Inoltre, è consigliabile stimare il costo dei tempi di inattività non pianificati, per integrare una tolleranza di errore appropriata nel sistema di messaggistica.

Le funzioni di Exchange 2007 e Windows Server 2003 possono modificare la strutturazione dell'organizzazione in modo da soddisfare i contratti di servizio. Ad esempio, funzioni quali replica continua locale, replica continua cluster, cluster a copia singola, il servizio Copia Shadow del volume (VSS, Volume Shadow Copy Service), gruppi di archiviazione di ripristino, portabilità del database e portabilità temporanea potrebbero consentire all'utente di sfidare i limiti precedentemente imposti dai contratti di servizio.

Nella tabella seguente sono elencati alcune categorie ed elementi specifici che è possibile includere nei contratti di servizio.

Categorie ed elementi in un tipico contratto di servizio a livello aziendale

Categorie dei contratti di servizio Esempi di elementi dei contratti di servizio

Ore di funzionamento

  • Ore di disponibilità per gli utenti del servizio di messaggistica

  • Ore riservate al tempo di inattività pianificato (manutenzione)

  • Quantità di notifiche anticipate per modifiche di rete e altre modifiche che possono interessare gli utenti

Disponibilità del servizio

  • Percentuale di tempo durante la quale i servizi di Exchange sono in esecuzione

  • Percentuale di tempo per l'installazione degli archivi di cassette postali

  • Percentuale di tempo durante il quale i servizi del controller di dominio sono in esecuzione

Prestazioni del sistema

  • Numero di utenti interni attualmente supportati dal sistema di messaggistica

  • Numero di utenti connessi in modalità remota attualmente supportati dal sistema di messaggistica

  • Numero di transazioni di messaggistica supportate per unità di tempo

  • Livello accettabile delle prestazioni come, ad esempio, la latenza sperimentata dagli utenti

Ripristino d'emergenza

  • Tempo concesso per il ripristino di ogni tipo di errore, ad esempio, guasti del singolo database, del server Cassette postali, del controller di dominio e del sito

  • Tempo necessario per fornire un sistema di posta elettronica di backup in modo che gli utenti possano inviare e ricevere messaggi senza accedere ai dati della cronologia (definito anche messaggistica temporanea).

  • Quantità di tempo necessaria per il ripristino dei dati al punto di errore

Servizio di assistenza e supporto

  • Metodi specifici a disposizione degli utenti per contattare il servizio di assistenza

  • Tempo di risposta del servizio di assistenza per diverse classi di problemi

  • Procedure del servizio di assistenza relative alle procedure di escalation dei problemi

Altro

  • Quantità di archiviazione richiesta per utente

  • Numero di utenti che richiedono funzionalità speciali come, ad esempio, l'accesso remoto al sistema di messaggistica

L'inserimento nei contratti di servizio di una serie di misure relative alle prestazioni consente di soddisfare i requisiti di prestazione specifici degli utenti. Ad esempio, in presenza di un'elevata latenza o di una ridotta larghezza di banda disponibile tra i client e i server delle cassette postali, gli utenti vedrebbero il livello delle prestazioni in modo diverso dagli amministratori di sistema. Più precisamente, gli utenti considererebbero il livello delle prestazioni scarso, anche se gli amministratori di sistema lo giudicherebbero accettabile. Occorre pertanto assicurarsi di monitorare i livelli di latenza di I/O.

Nota

Per ogni elemento del contratto di servizio è inoltre necessario determinare gli specifici valori di riferimento delle prestazioni che verranno utilizzati per misurare le prestazioni insieme agli obiettivi di disponibilità. Un altro elemento da determinare è la frequenza con cui vengono fornite le statistiche alla gestione IT o ad altre gestioni.

Definizione del contratto di servizio con i fornitori

Molte aziende che considerano importanti le soluzioni di elevata disponibilità utilizzano i servizi di fornitori di terze parti per raggiungere questi obiettivi di elevata disponibilità. In questi casi, per ottenere un'elevata disponibilità del sistema di messaggistica sono necessari servizi offerti da fornitori esterni di hardware e software. Fornitori incapaci di rispondere alle richieste dell'organizzazione o con personale tecnico poco preparato possono ridurre considerevolmente la disponibilità del sistema di messaggistica.

Assicurarsi di concordare un contratto di servizio con ciascuno dei fornitori principali. In tal modo è possibile garantire che il sistema di messaggistica funzioni secondo le specifiche, supporti la crescita richiesta e sia disponibile in base a uno standard specifico. L'assenza di un contratto di servizio può aumentare significativamente il tempo durante il quale il sistema di messaggistica non sarà disponibile.

Importante

Assicurarsi che i dipendenti dell'organizzazione siano a conoscenza dei termini di ogni contratto di servizio. Ad esempio, molti contratti di servizio dei fornitori di hardware contengono clausole che consentono solo al personale tecnico del fornitore o a membri accreditati dell'organizzazione di aprire l'alloggiamento del server. La mancata osservanza di questa clausola può essere giudicata una violazione del contratto di servizio e risultare in un annullamento delle responsabilità e delle garanzie del fornitore.

Oltre a negoziare contratti di servizio con i fornitori principali, è importante anche verificare periodicamente le procedure di escalation con esercitazioni di richiesta di supporto. Per confermare che si dispone delle informazioni di contatto più recenti, assicurarsi di verificare anche i numeri dei cercapersone e i numeri di telefono dei destinatari.

Considerazioni per la disponibilità

Si consiglia di prendere in considerazione quanto segue per determinare i requisiti di disponibilità:

  • Comprendere la vulnerabilità ai guasti del progetto di infrastruttura proposto. Accertarsi che non vi siano singoli punti di errore. Un punto di errore singolo è un qualsiasi componente all'interno dell'infrastruttura di messaggistica che non abbia capacità di ridondanza e possa incidere sull'utente in caso di errore. La progettazione tecnica proposta per la soluzione deve coprire l'intera configurazione end-to-end.

  • Prendere in considerazione i livelli di disponibilità minimi richiesti dall'azienda per il servizio di messaggistica e i livelli minimi di affidabilità, manutenzione e servizi per ogni componente dell'infrastruttura di messaggistica.

  • Prendere in considerazione la possibilità di testare o simulare nuovi componenti per accertarsi che soddisfino i requisiti specificati. Per valutare la conformità dei nuovi componenti all'interno della progettazione con i requisiti specificati, è importante che il regime di prova promosso assicuri il rispetto della disponibilità prevista. Il test deve essere eseguito anche in caso di manutenzione dei componenti. Prendere seriamente in considerazione gli strumenti di simulazione per generare la richiesta dell'utente prevista per il nuovo servizio IT al fine di accertarsi che i componenti continuino a funzionare anche in condizioni di elevati volumi e sovraccarico.

Considerazioni per una disponibilità elevata

Una soluzione di messaggistica a disponibilità elevata richiede l'investimento in una soluzione di monitoraggio, in processi di gestione del servizio, in strumenti di gestione dei sistemi, nella ridondanza, nonché la loro distribuzione. Per distribuzioni altamente disponibili, è importante che non esistano singoli punti di errore all'interno della configurazione end-to-end. La progettazione per una disponibilità elevata deve prendere in considerazione l'eliminazione dei singoli punti di errore e la fornitura di componenti alternativi per garantire interruzioni minime delle operazioni aziendali in caso di guasto di un componente. La progettazione deve inoltre eliminare o ridurre al minimo gli effetti dei tempi di inattività pianificati delle operazioni aziendali, generalmente necessari per agevolare le attività di manutenzione, quali l'implementazione di modifiche all'infrastruttura. I criteri di ripristino devono definire un ripristino e una reintegrazione del servizio rapidi come obiettivi chiave nell'ambito della progettazione della fase di ripristino.

Quando si sviluppa un piano di distribuzione per la soluzione di messaggistica, è necessario identificare gli obiettivi della soluzione. Si tratta di un'operazione fondamentale al momento della progettazione delle caratteristiche di disponibilità della soluzione. Non è raro che gli obiettivi di un'azienda siano contrastanti. Ad esempio, gli obiettivi di disponibilità possono esigere il 100% della disponibilità, mentre vengono richiesti gli ultimi aggiornamenti di protezione da applicare entro il periodo di disponibilità di una settimana. I costi rappresentano spesso un ulteriore fattore che crea conflitti nei piani di distribuzione. Il miglior approccio per identificare la soluzione appropriata per l'azienda consiste nel seguire una metodologia di pianificazione in grado di identificare i requisiti dell'azienda e di valutare le opzioni disponibili in base a tali requisiti.

Per raggiungere un livello elevato di disponibilità, è necessario focalizzarsi costantemente sulle pratiche operative dell'organizzazione. È necessario comprendere tutte le cause delle interruzioni e, quando possono essere impedite apportando cambiamenti ai processi, applicare tutte le modifiche opportune.

Un altro fattore chiave nell'ottimizzazione della disponibilità è costituito da un monitoraggio proattivo dell'ambiente Exchange. In questo modo è possibile identificare le aree che presentano problemi all'interno del sistema prima che provochino errori e interruzioni. Inoltre, il monitoraggio consente di avvisare il personale operativo relativamente ai problemi che non vengono risolti automaticamente dal sistema. In situazioni del genere, una risposta tempestiva può ridurre la durata dell'interruzione, aumentando la disponibilità.

In Exchange 2007 le dipendenze vengono posizionate nell'infrastruttura all'interno di un centro dati. Ne deriva che la disponibilità di Exchange è associata alla disponibilità trasmessa dalle dipendenze. È consigliabile che le organizzazioni stabiliscano contratti di servizio per ciascuna dipendenza. Nel contratto di servizio devono essere specificati la disponibilità del servizio fornito e il tempo di recupero quando si verifica un errore. Ad esempio, il servizio directory di Active Directory è una dipendenza fondamentale per Exchange. È probabile che gli obiettivi di disponibilità di Exchange non verranno raggiunti se la disponibilità di Exchange è inferiore a tali obiettivi.

La disponibilità di Exchange 2007 dipende dalla disponibilità di altri servizi all'interno dell'infrastruttura IT. Per mantenere operativo Exchange è necessario che servizi quali Active Directory e i servizi di rete funzionino. La disponibilità di tali servizi influisce direttamente sulla disponibilità di Exchange. È pertanto necessario assicurarsi che i requisiti di disponibilità di Exchange non superino quelli delle dipendenze. Il tipico elenco di dipendenze è:

  • Active Directory

  • Domain Name System

  • Rete TCP/IP

  • Sottosistema di archiviazione

  • Servizi di backup

  • Servizi di monitoraggio

  • Infrastruttura centro dati (alimentazione e sistema di condizionamento aria)

Dopo aver definito i propri obiettivi aziendali e i contratti di servizio per le dipendenze di Exchange, si consiglia di stilare un elenco iniziale di requisiti di disponibilità per i servizi di messaggistica. L'elenco dovrebbe contenere ciascuna categoria generale di errore e l'obiettivo temporale di recupero (RTO, Recovery Time Object). Per gli errori relativi ai dati, l'elenco dovrebbe includere un'indicazione dell'impatto dell'errore sui dati, in cui viene specificato l'obiettivo per il punto di recupero (RPO, Recovery Point Object). L'RPO identifica l'impatto sui dati specificando la durata che definisce il livello di dati disponibili in seguito all'operazione di recupero. Tra gli errori che devono essere presi in considerazione, sono compresi:

  • perdita di un singolo elemento di posta

  • perdita di una singola cassetta postale

  • perdita o danneggiamento del database

  • errore del disco

  • errore o danneggiamento del volume del disco

  • errore nell'unità di archiviazione

  • errore del server

  • perdita della connettività di rete

  • errore del centro dati

In molte organizzazioni, i requisiti di disponibilità definiti variano in base al tipo di utente. Ad esempio, alcuni utenti possono utilizzare il sistema di messaggistica per tenere traccia delle consegne o delle vendite, mentre altri per i messaggi di minore importanza. Il valore dell'RTO e dell'RPO per gli utenti che utilizzano il sistema di messaggistica per processi critici deve essere il più basso possibile, mentre per gli utenti che si basano sul sistema di messaggistica per processi non critici può essere superiore.

Ulteriori informazioni

Per ulteriori informazioni sulla resilienza del sito per Exchange 2007, vedere Site Resilience Configurations.