Configurando o Single Item Recovery no Exchange Server 2013
Fernando Lugão Veltem
Agosto, 2014
Visão Geral
A função Single Item Recovery adiciona mais uma camada de proteção das mensagens, protegendo contra deleção acidental ou maliciosa as mensagens. Esta feature protege contra alterações nas mensagens, salvando a mensagem original antes de aplicar a modificação na mensagem.
Com a função habilitada é possível restaurar mensagens diretamente da base sem a necessidade de restaurar backups das bases.
O Single Item Recovery utiliza a estrutura do Exchange de Recoverable Items folder para armazenar todas as mensagens apagas ou alteradas pelo usuário. O Recoverable Items folder fica armazenada em uma estrutura non-IPM em cada mailbox, esta estrutura de armazenamento contem informações operacionais sobre a caixa e não é exibida no Outlook, Outlook Web App ou qualquer outro cliente de correio.
Como o armazenamento Recoverable Items folder é hospedado em cada mailbox, quando uma caixa é movida de uma base de dados para outra todas as informações do Single Item Recovery são preservadas. Esta arquitetura também ajuda o Exchange rastrear alterações nos itens executadas pelos usuários.
Todos os itens deletados permacem no Recoverable Items folder pelo período de retenção configurado, por padrão 14 dias. Após este período o item é removido permanentemente da base
Habilitando o Single Item Recovery
A configuração desta função é realizada no nível de caixa de mensagem, para ativar a função é necessário utilizar o cmdlet Set-Mailbox
Set-Mailbox User05 -SingleItemRecoveryEnabled $true
Recuperando uma Mensagem
O restore de itens deletados não pode ser executado pelos usuários, os administradores da organização precisam realizar este procedimento.
Para realizar uma pesquisa nos mailboxes dos usuários é utilizado o cmdlet Search-Mailbox, mas antes de executar o comando é necessário adicionar permissão para os administradores realizarem a pesquisa nos mailboxes da organização.
O usuário que realizará as pesquisas deve fazer parte do grupo Discovery Management do Exchange. Acesse o console de administração do Active Directory, em Microsoft Exchange Security Groups localize o grupo Discovery Management e adicione o usuário que será responsável pelas pesquisas.
É preciso entrar novamente no Management Shell para que a permissão seja aplicada ao usuário.
Para realizar uma pesquisa na mailbox User01 por uma mensagem enviada pelo usuário User02 execute o cmdlet.
Search-Mailbox User01 -SearchQuery "from:'User02'" -TargetMailbox "Discovery Search Mailbox" -TargetFolder "User01 Recovery" -LogLevel Full
Para retornar a mensagem para a caixa do usuário final execute novamente o cmdlet com o –TargetMailbox o User01.
Search-Mailbox "Discovery Search Mailbox" -SearchQuery "from:'User02'" -TargetMailbox User01 -TargetFolder "User01 Recovery" -LogLevel Full
Verifique na caixa do usuário que a pasta User01 Recovery foi criada e que o email copiado para ela
Outra opção é exportar as mensagens para um arquivo pst para ser manipulado no Outlook. Para executar esse procedimento é necessário um compartilhamento de rede.
É necessário conceder permissão ao usuário conectar e exportar o conteúdo de uma mailbox para PST. Execute o cmdlet para conceder ao usuário Administrator permissão de exportar conteúdo:
New-ManagementRoleAssignment –Role “Mailbox Import Export” –User “Administrator”
Feche o Management Shell e abra novamente para aplicar as novas permissões e execute o cmdlet para exportar o conteúdo do Search-Mailbox executado acima
New-MailboxExportRequest -Mailbox "Discovery Search Mailbox" -SourceRootFolder "User01 Recovery" -FilePath \\hm03cas\PST\User01Recovery.pst
Alterando o Padrão de Criação das Caixas
Para alterar o padrão das configurações dos usuários podemos utilizar o componente do Exchange 2013 chamado Cmdlet Extension Agent.
A configuração dos agentes são habilitadas em toda a organização, isso significa que quando o agente for habilitado ele será executado em todos os servidores Exchange 2013.
Configurando o Arquivo de Configuração
Antes de habilitar as extenções é necessário configurar o arquivo XML que será usado para estender as os cmdlets. Na pasta <Instalação Exchange>\V15\Bin\CmdletExtensionAgents é criado um arquivo de configuração como exemplo chamado ScriptingAgentConfig.xml.sample. No caminho padrão da instalação o arquivo é localizado na pasta C:\Program Files\Microsoft\Exchange Server\V15\Bin\CmdletExtensionAgents
Renomeie este arquivo para ScriptingAgentConfig.xml e configure o conteúdo do XML como o script:
<?xml version="1.0" encoding="utf-8" ?>
<Configuration version="1.0">
<Feature Name="MailboxProvisioning" Cmdlets="New-Mailbox">
<ApiCall Name="OnComplete">
If($succeeded) {
$Name= $provisioningHandler.UserSpecifiedParameters["Name"]
Set-Mailbox -Identity $Name -SingleItemRecoveryEnabled $true
}
</ApiCall>
</Feature>
</Configuration>
O mesmo arquivo deve estar presente em todos os servidores de Exchange Server da sua organização, caso contrario o processo de criação de novos usuários irá falhar
Habilitando o Agente
Para habilitar os agentes na organização execute o cmdlet
Enable-CmdletExtensionAgent "Scripting Agent"
Para verificar as configurações do agente
Get-CmdletExtensionAgent "Scripting Agent"
Testando as Configurações
Com o agente habilitado todos os novos usuários criados terão o Single Item Recovery habilitado,
Utilize o cmdlet para visualizar as configurações dos usuários
Get-Mailbox <Nome do Usuário> | FL SingleItemRecoveryEnabled,RetainDeletedItemsFor,RetainDeletedItemsUntilBackup
Com a configuração todas as novas caixas dos usuários terão o Single Item Recovery habilitado, inclusive as criadas pelo Exchange Admin Center.
O tempo que os objetos são mantidos pode ser configurado ao nível da base de dados, garantido que todos os usuários estão protegidos.
Referência
- https://technet.microsoft.com/en-us/library/dd335054.aspx
- https://technet.microsoft.com/en-us/library/dd297951.aspx
- https://technet.microsoft.com/en-us/library/dd298167.aspx
- https://technet.microsoft.com/en-us/library/ee364755(v=exchg.150).aspx
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem