Grundlegendes zum unwiderruflichen Löschen in Exchange 2013

  • Artikel

Gilt für: Exchange Server 2013

Unwiderrufliches Löschen in Exchange 2013

Unwiderrufliches Löschen ist ein Sicherheitsmechanismus, bei dem entweder Nullen oder ein binäres Muster über gelöschte Daten geschrieben werden, sodass ein Wiederherstellen der gelöschten Daten viel schwieriger wird. Eine ESE-Datenbank in Exchange 2013 verwendet Seiten als Speichereinheit und implementiert daher seitennullieren. Das Nullen von Seiten ist standardmäßig aktiviert und kann nicht deaktiviert werden. Vorgänge zu unwiderruflichem Löschen werden im Transaktionsprotokoll festgehalten, sodass unwiderrufliches Löschen für alle Kopien einer Datenbank auf die gleiche Weise ausgeführt wird. Das unwiderrufliche Löschen einer Seite in einer aktiven Datenbank bewirkt daher, dass die Seite in einer passiven Kopie der Datenbank unwiderruflich gelöscht wird.

Hinweis

Es gibt keinen Mechanismus für die Extensible Storage Engine (ESE), um die erneute Verwendung von Nullseiten gegenüber der Zuweisung von neuem Speicherplatz zu priorisieren. Für Tabellen, denen aufeinanderfolgende Speicherbereiche zugeordnet sind, werden fragmentierte oder unwiderruflich gelöschte Seiten absichtlich zugunsten von neuen oder freien aufeinanderfolgenden Seiten übersprungen. Mit diesem Ansatz werden Datenbank-IOPS verringert.

In Exchange 2013 werden durch das unwiderrufliche Löschen die Leistungsbeeinträchtigungen bei Servern verringert, wenn diese Funktionen zum unwiderruflichen Löschen ausführen. Dies umfasst Folgendes:

  • Optimierte Speicher- und Netzwerkkapazität: ESE schreibt einen Seitennulldatensatz in die Transaktionsprotokolldatei, anstatt das gesamte Seitenbild zu protokollieren. Dieser Ansatz bewirkt, dass weniger E/A-Protokollschreibvorgänge erforderlich sind und dass weniger Bandbreite für das Übertragen von Protokolldateien erforderlich ist.
  • Optimierte E/A-Vorgänge für Datenbankdatenträger: In Exchange 2010 RTM und früheren Versionen ist das Nullen der Seiten nur während einer Sicherung oder während der geplanten Wartung aufgetreten und hat erhebliche Datenbankdatenträger-E/A-Vorgänge verursacht. In Exchange 2010 SP1 und höher (einschließlich Exchange 2013) erfolgt das Nullen von Seiten standardmäßig und zur Transaktionszeit. In den meisten Fällen erfolgt das Nullen unmittelbar nach einem endgültigen Löschen. Dieser Entwurf ermöglicht es der Datenbank, die Prüfpunkttiefe der Engine zu nutzen. Diese Funktion stellt sicher, dass modifizierte Seiten für einen bestimmten Zeitraum im Datenbankcache verbleiben. Andere Seitenaktualisierungen, die in näherer Nähe auftreten, führen nicht zu zusätzlichen Datenbankschreib-E/A-Vorgängen. Aufgrund dieses Entwurfs hat das Nullen von Seiten keine signifikanten Auswirkungen auf die Datenbank-E/A, weshalb es standardmäßig aktiviert ist.

Implementierung von unwiderruflichem Löschen in der ESE-Datenbank

Unwiderrufliches Löschen bewirkt, dass ein endgültig gelöschter Datensatz mit einem binären Muster überschrieben wird. Das Muster für seitenbasierte Nullen ist spezifisch für den VORGANG der ESE-Engine und unterscheidet sich bei Laufzeitvorgängen von Wartungsvorgängen. In der folgenden Tabelle sind die Füllmuster zusammengestellt, die für die speziellen Laufzeitvorgänge verwendet werden.

Füllmuster für unwiderrufliches Löschen während der ESE-Laufzeit

ESE-Laufzeitvorgang Füllmuster
Ersetzen R
Datensatz long value delete D
Freigegebener Seitenspeicherplatz H

In der folgenden Tabelle sind die Füllmuster zusammengestellt, die den speziellen Vorgängen entsprechen, die bei der Hintergrundwartung einer ESE-Datenbank ausgeführt werden.

Füllmuster für unwiderrufliches Löschen während der Hintergrundwartung einer ESE-Datenbank

Hintergrundwartungsvorgang für ESE-Datenbank Füllmuster
Datensatz löschen D
Long-Wert löschen L
Freigegebener Seitenspeicherplatz einer teilweise verwendeten Seite Z
Freigegebener Seitenspeicherplatz einer nicht verwendeten Seite U

Hintergrundwartung einer Datenbank

Die Datenbankwartung im Hintergrund ist ein Prozess, bei dem jede Datenbank kontinuierlich überprüft und überprüft wird. Seine primäre Funktion ist das Erstellen von Prüfsummendatenbankseiten, aber es kümmert sich auch um das Bereinigen von Speicherplatz und das Nullen von Datensätzen und Seiten, die aufgrund eines Store-Absturzes nicht auf Null gesetzt wurden. Die Datenbankwartung im Hintergrund verarbeitet ungefähr 1 MB pro Sekunde und Datenbank. Wenn das rechtzeitige Nullen von Seiten eine Priorität ist, können Sie die Datenbankgrößen reduzieren, um sicherzustellen, dass seitennulliert für Absturzwiederherstellungen in einem kürzeren Zeitraum (z. B. 24 Stunden) erfolgt.

Die Hintergrundwartung einer Datenbank ist ein kontinuierlicher Vorgang, weshalb weder dessen Start noch dessen Abschluss ein Ereignis zugeordnet ist. Sie können den Fortschritt der Hintergrundwartung einer Datenbank nachverfolgen, indem Sie den Wert eines Leistungsindikators ablesen:

  • MSExchange Database –> Instanzen –> Dauer der Datenbankwartung

Dieser Leistungsindikator gibt an, wie viele Sekunden vergangen sind, seit die letzte Wartung für die jeweilige Datenbank abgeschlossen wurde.

Unwiderrufliches Löschen in einer ESE-Datenbank

In der folgenden Tabelle ist für verschiedene Datenbanklöschszenarien erläutert, wann Funktionen zum unwiderruflichen Löschen ausgeführt werden.

Datenbanklöschszenario ESE-Vorgang und -Zeitrahmen für unwiderrufliches Löschen von Datenbankdaten
  • Szenario 1: Wiederherstellung einzelner Elemente ist deaktiviert, und der Benutzer löscht ein Element aus dem Ordner "Wiederherstellbare Elemente".
  • Szenario 2: Die Wiederherstellung einzelner Elemente ist deaktiviert, und der Aufbewahrungszeitraum für wiederherstellbare Elemente ist auf 0 (null) festgelegt.
  • Szenario 3: Wiederherstellung einzelner Elemente ist aktiviert, und das Element läuft entsprechend dem Aufbewahrungszeitraum für gelöschte Elemente ab.
 Ein asynchroner Thread schreibt ein binäres Muster über die gelöschten Daten. Diese Aktion wird innerhalb von Millisekunden nach dem Datensatzlöschvorgang ausgeführt. Wenn der Store-Prozess in den folgenden Szenarien abstürzt:
  • Während die asynchrone Nullerstellung noch aussteht.
  • Die Versionsspeicherbereinigung wird aufgrund des Versionsspeicherwachstums abgebrochen.

Die Nullerstellung wird abgeschlossen, wenn die Datenbankwartung im Hintergrund diesen Abschnitt der Datenbank verarbeitet.
Szenario für Ansicht: Ablauf von Elementen aus einer Outlook-/Outlook Web App-Ordneransicht (beispielsweise Unterhaltungsansicht) Unwiderrufliches Löschen von Daten wird ausgeführt, wenn die Hintergrundwartung der Datenbank diesen Abschnitt der Datenbank verarbeitet.
Szenario für das Verschieben/Löschen eines Postfachs: Quellpostfach gelöscht (Ablauf des aus dem Dumpster gelöschten Postfachs) Unwiderrufliches Löschen von Daten wird ausgeführt, wenn die Hintergrundwartung der Datenbank diesen Abschnitt der Datenbank verarbeitet.

Überwachen des Verhaltens von unwiderruflichem Löschen

Sie können die Funktionalität von unwiderruflichem Löschen mit den folgenden beiden ESE-Leistungsindikatoren messen und überwachen:

  • MSExchange Database –> Datenbankwartungsseiten auf Null gesetzt: Gibt die Anzahl der Seiten an, die seit dem Aufruf des Leistungsindikators von der Datenbank-Engine auf null gesetzt wurden.
  • MSExchange Database -> Datenbankwartungsseiten auf Null/s: Gibt die Rate an, mit der Seiten auf null gesetzt werden.

Hinweis

Informationen zum Aktivieren dieser Leistungsindikatoren finden Sie unter Aktivieren der erweiterten ESE-Leistungsindikatoren.

Das Nullen von Seiten ist eine Datenbankwartungsfunktion, sodass Leistungsinformationen in den folgenden Leistungsindikatoren enthalten sind:

  • Seitenentullung für Laufzeittransaktionen.
  • Seitenentullung aufgrund der Datenbankwartung im Hintergrund.

Postfachdatentypen ohne unwiderrufliches Löschen

Für die folgenden Postfachdatentypen gibt es keine Regelungen für unwiderrufliches Löschen:

  • Transaktionsprotokolle einer Postfachdatenbank (LOG)

    Wenn Transaktionsprotokolle gelöscht werden (aufgrund einer Kürzung durch Sicherung oder Zirkelprotokollierung), gibt es keinen Prozess, bei dem die Blöcke im NTFS-Dateisystem, in denen die gelöschten Protokolldateien gespeichert wurden, null sind. Es ist wahrscheinlich, dass NTFS diesen freien Speicherplatz für neu erstellte Protokolle schnell wiederverwenden wird, aber es gibt keine Garantie, dass dies geschieht.

  • Inhaltsindex-Katalogdateien

    Exchange 2013 verwendet Search Foundation für suchindizierungsfunktionen. Der Suchindexkatalog besteht aus mehreren Dutzend Dateien, die auf demselben Volume wie die Postfachdatenbankdatei gespeichert sind. Wenn eine Nachricht endgültig aus der Postfachdatenbank gelöscht wird, wird der zugeordnete Inhalt im Suchkatalog nicht sofort gelöscht. Das Löschen von Inhalten erfolgt, wenn Search Foundation eine Schatten- oder Masterzusammenführung vieler kleiner Katalogdateien in einer einzelnen größeren Datei durchführt. Nach Abschluss der Masterzusammenführung werden die kleineren Katalogdateien gelöscht. Es gibt keinen Prozess, bei dem die Blöcke, die die gelöschten Katalogdateien gespeichert haben, null sind.