Сеть безопасности в Exchange Server

  • Статья

В Exchange 2010 контейнер транспорта помог защититься от потери данных, поддерживая очередь успешно доставленных сообщений, которые не реплицировались в пассивные копии базы данных почтовых ящиков в группе доступности баз данных (DAG). Когда при сбое сервера или базы данных почтовых ящиков требовалось продвижение устаревшей копии базы данных почтовых ящиков, сообщения в транспортной корзине автоматически повторно отправлялись в новую активную копию базы данных почтовых ящиков.

Контейнер транспорта был улучшен в Exchange 2013 и теперь называется Safety Net. В Exchange 2016 и Exchange 2019 есть те же улучшения.

Чем сеть безопасности похожа на транспортную корзину в Exchange 2010.

  • Сеть безопасности — это очередь, связанная с транспортной службой на сервере почтовых ящиков. В этой очереди хранятся копии сообщений, успешно обработанных сервером.

  • Вы можете указать срок хранения сетью безопасности копий успешно обработанных сообщений до их автоматического удаления. Значение по умолчанию — 2 дней.

Чем сеть безопасности лучше транспортной корзины в Exchange 2010:

  • Safety Net не требует daG. Для серверов почтовых ящиков, которые не принадлежат к daG, Safety Net сохраняет копии доставленных сообщений на других серверах почтовых ящиков на локальном сайте Active Directory.

  • Сеть безопасности сама по себе не является единственной точкой отказа: избыточность обеспечивается с помощью основной сети безопасности и теневой сети безопасности. Если основная сеть безопасности недоступна более 12 часов, запросы на повторную отправку становятся запросами на теневую повторную отправку и сообщения повторно доставляются из теневой сети безопасности.

  • Safety Net берет на себя некоторую ответственность от теневой избыточности в средах DAG. Теневая избыточность не требует хранить другую копию доставленного сообщения в теневой очереди, пока она ожидает репликации доставленного сообщения в пассивные копии базы данных почтовых ящиков. Копия доставленного сообщения уже хранится в сети безопасности, следовательно, в случае необходимости сообщение может быть повторно отправлено из сети безопасности.

  • Safety Net пытается гарантировать избыточность сообщений: Safety Net — это больше, чем просто лучший способ обеспечения избыточности сообщений, поэтому невозможно указать максимальный размер для Safety Net. Вы можете задать только длительность хранения сообщений в сети безопасности перед их автоматическим удалением.

Дополнительные сведения о функциях высокого уровня доступности транспорта в Exchange Server см. в статье Высокий уровень доступности транспорта в Exchange Server. Дополнительные сведения об избыточности сообщений при передаче см. в разделе Теневая избыточность в Exchange Server.

Принцип работы сети безопасности

Теневое резервирование хранит резервную копию сообщения на протяжении его передачи. Сеть безопасности хранит резервную копию сообщения после его успешной обработки. Таким образом, сеть безопасности начинается там, где заканчивается теневое резервирование. К сети безопасности применимы те же понятия, что и к теневому резервированию, а именно "граница высокого уровня доступности транспорта", "основные сообщения", "основные серверы", "теневые сообщения", "теневые серверы". Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server.

Основная сеть безопасности существует на сервере почтовых ящиков, где основное сообщение хранится до того, как будет успешно обработано транспортной службой. Это может означать, что сообщение было доставлено в службу доставки транспорта почтовых ящиков по пути к серверу почтовых ящиков. Или могло быть ретранслировано через сервер почтовых ящиков на сайт Active Directory, который был назначен концентратором на пути к конечной группе обеспечения доступности баз данных почтовых ящиков или сайту Active Directory. После обработки основного сообщения основным сервером оно перемещается из активной очереди доставки в основную сеть безопасности на том же сервере.

Теневая сеть безопасности существует на сервере почтовых ящиков, удерживающем теневое сообщение. После того как теневой сервер определяет, что основной сервер успешно обработал основное сообщение, он перемещает теневое сообщение из теневой очереди в теневую сеть безопасности на том же сервере. Конечно же, существование теневой сети безопасности требует включенного теневого резервирования (включено по умолчанию).

В приведенной ниже таблице описаны параметры, используемые в сети безопасности.

Параметр Значение по умолчанию Описание
SafetyNetHoldTime по Set-TransportConfig 2 дней Временной период, на протяжении которого успешно обработанные основные сообщения хранятся в основной сети безопасности, а подтвержденные теневые сообщения хранятся в теневой сети безопасности.

Это значение также можно указать в Центре администрирования Exchange (EAC) на страницеСоединители полученияпотока >почты>Дополнительные параметрызначок Дополнительные параметры.>Параметры> транспорта организации Safety Net>Время удержания в сети безопасности.

Срок хранения неподтвержденных теневых сообщений в теневой сети безопасности истекает после сложения значений параметров SafetyNetHoldTime и MessageExpirationTimeout.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение этого параметра должно быть больше или равно значению ReplayLagTime в Set-MailboxDatabaseCopy для отстающей копии базы данных почтового ящика.
Параметр ReplayLagTime в командлете Set-MailboxDatabaseCopy Не настроено Время ожидания службы репликации Microsoft Exchange перед воспроизведением файлов журнала, скопированных в пассивную копию базы данных. Если для данного параметра установлено значения больше 0, создается изолированная копия базы данных почтовых ящиков. Наибольшее значение — 14 дней.

Чтобы избежать потери данных во время повторной отправки Safety Net, значение этого параметра для отстающей копии базы данных почтовых ящиков должно быть меньше или равно значению SafetyNetHoldTime в Set-TransportConfig.
MessageExpirationTimeout по Set-TransportService 2 дней Как долго сообщение может оставаться в очереди до истечения срока его действия.
ShadowRedundancyEnabled по Set-TransportConfig $true $true: на всех серверах почтовых ящиков в организации включена теневая избыточность.

$false: Теневая избыточность отключена на всех транспортных серверах в организации.

Резервирование сети безопасности требует включенного теневого резервирования.

Максимальные поддерживаемые размеры в Safety Net

В Microsoft Exchange Server 2019 и 2016 годах максимальный поддерживаемый размер базы данных Safety Net JET для транспорта составляет 2 ТБ.

При использовании звездообразной топологии транспортная база данных Safety Net JET может превысить 2 ТБ. Чтобы не превышать поддерживаемое ограничение в 2 ТБ, следуйте приведенным ниже рекомендациям.

  • Серверы-концентраторы, используемые для ретрансляции сообщений, не могут быть настроены для доставки сообщений в почтовые ящики.

  • Отключите Safety Net на центральных серверах, используемых для ретрансляции сообщений. Для этого выполните следующие действия:

    1. В окне командной строки откройте файл EdgeTransport.exe.config в Блокноте , выполнив на сервере следующую команду:

      Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config

    2. Добавьте следующий ключ в раздел appSettings .

      <add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />

      Закончив, сохраните и закройте файл EdgeTransport.exe.config.

    3. Перезапустите службу Транспорт Exchange, выполнив следующую команду:

      net stop MSExchangeTransport && net start MSExchangeTransport

Повторная отправка сообщений из сети безопасности

Компонент Active Manager службы репликации Microsoft Exchange (MSExchangeRepl.exe) управляет dag и копиями базы данных почтовых ящиков. Повторная отправка сообщений из сети безопасности не требует действий, выполняемых вручную, и запускается компонентом Active Manager. Дополнительные сведения о компоненте Active Manager см. в разделе Active Manager.

Существует два основных сценария повторной отправки сообщения из сети безопасности.

  • После автоматической или ручной отработки отказа баз данных почтовых ящиков в группе обеспечения доступности баз данных.

  • После активации изолированной копии базы данных почтовых ящиков.

Изолированная копия базы данных почтовых ящиков или изолированная копия — это пассивная копия базы данных почтовых ящиков, где обновления базы данных намеренно откладываются для защиты базы данных почтовых ящиков от логического повреждения. Дополнительные сведения см. в разделе Управление копиями базы данных почтовых ящиков.

Единственная существенная разница между этими двумя сценариями — значение задержки для повторной отправки сообщений из сети безопасности. Как правило, для отработки отказа базы данных в группе обеспечения доступности баз данных разница во времени между новой и старой активными копиями баз данных почтовых ящиков составляет от нескольких минут до нескольких часов. Изолированная копия базы данных почтовых ящиков обычно отстает от старой активной копии на несколько дней.

Главное требование для успешной повторной отправки изолированной копии из сети безопасности — время хранения сообщений в сети безопасности должно превышать или быть равным интервалу задержки изолированной копии. Другими словами, для изолированной копии значение параметра SafetyNetHoldTime в Set-TransportConfig должно превышать значение параметра ReplayLagTime (или быть равным ему) в Set-MailboxDatabaseCopy.

Повторная отправка сообщений из теневой сети безопасности

Как и в случае с основной сетью безопасности, повторная отправка сообщений из теневой сети безопасности полностью автоматическая и не требует ручного вмешательства. Этот сценарий описывает взаимодействие основной и теневой сетей безопасности в процессе повторной отправки сообщений.

  1. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за определенный временной интервал (например, 05:00–09:00). Однако на сервере почтовых ящиков, хранящем основную сеть безопасности, произошел сбой из-за сбоя оборудования. В течение следующих 12 часов Active Manager безуспешно пытается установить связь с основной сетью безопасности.

  2. По прошествии 12 часов Active Manager отправляет широковещательное сообщение в транспортную службу на всех серверах почтовых ящиков в границах высокого уровня доступности транспорта (группа обеспечения доступности баз данных или сайт Active Directory в средах без таких групп) в поисках сетей безопасности, содержащих сообщения для целевой базы данных почтовых ящиков за указанный интервал времени. Ответом теневой сети безопасности служит повторная отправка сообщений для базы данных почтовых ящиков за период времени с 05:00 до 09:00.

Когда теневая сеть безопасности отвечает, она повторно отправляет сообщения для требуемой базы данных почтовых ящиков только на протяжении требуемого периода времени. Это ограничение по базе данных почтовых ящиков и временному интервалу помогает уменьшить количество таких потенциальных проблем:

  • Повторная отправка сообщений из сети безопасности может привести к дублирующимся сообщениям. Это не проблема для почтовых ящиков в организации Exchange, поскольку система определения повторяющихся сообщений скрывает дублирующиеся сообщения от пользователя почтового ящика. Однако внешние пользователи могут увидеть несколько одинаковых повторяющихся сообщений.

  • Теневые сообщения, повторно отправленные из теневой сети безопасности, требуют полной классификации и обработки через службу транспорта на сервере почтовых ящиков. Повторная отправка большого количества теневых сообщений может быть дорогой в плане ресурсов сервера почтовых ящиков.

Необходимо учесть несколько важных рекомендаций относительно теневых сообщений, хранящихся в теневой сети безопасности.

  • Теневая сеть безопасности не владеет информацией о том, куда основной сервер передал основное сообщение.

  • Теневые сообщения в теневой сети безопасности содержат только получателей конверта исходного сообщения, а не фактических получателей, которым было доставлено основное сообщение (например, получателем конверта сообщения может быть группа рассылки, требующая развертывания).

  • В сообщениях теневой сети безопасности нет обновлений сообщения, появившихся после его обработки основным сервером (например, шифрования сообщения или преобразования содержимого).

Этот сценарий описывает, что происходит, если основная сеть безопасности работает автономно во время запрошенного интервала на повторную отправку:

  1. База данных очереди на сервере почтовых ящиков, хранящем основную сеть безопасности, повреждена, а новая база данных очереди создана в 07:00. Все основные сообщения, которые хранились в основной сети безопасности с 01:00 до 07:00, утеряны, но сервер способен хранить копии успешно доставленных сообщений в сети безопасности, начиная с 07:00.

  2. Active Manager запрашивает повторную отправку сообщений из сети безопасности для базы данных почтовых ящиков за временной интервал 01:00–09:00.

  3. Основная сеть безопасности повторно оправляет сообщения за временной интервал 07:00–09:00.

  4. Поскольку основная сеть безопасности не содержит необходимых сообщений с 1:00 до 7:00. Основная сеть безопасности отправляет широковещательное сообщение в транспортную службу на всех серверах почтовых ящиков в пределах границы высокой доступности транспорта в поисках других сетей безопасности, содержащих необходимые сообщения. Shadow Safety Net создает второй запрос на повторную отправку от имени основной сети безопасности для повторной отправки теневых сообщений для целевой базы данных почтовых ящиков за интервал времени с 1:00 до 7:00.

При повторной отправке сообщений из сети безопасности также следует принимать во внимание и другие аспекты:

  • Все уведомления о состоянии доставки (также известные как dsn, отчеты о недоставке, недоставки или сообщения о недоставке) подавляются для повторной отправки сообщений Safety Net. Например, если основное сообщение привело к недоставке, недоставка для повторно отправленного сообщения не будет доставлена.

  • Пользователи, удаленные из группы рассылки, могут не получить повторно отправленное сообщение, когда Shadow Safety Net повторно отправляет сообщение: например, сообщение отправляется группе, содержащей пользователей A и пользователя B, и оба получателя получают это сообщение. Пользователь B впоследствии удаляется из группы. Позже для базы данных почтовых ящиков, в которой хранится почтовый ящик пользователя B, будет выполнен запрос на повторную отправку из основной сети Safety Net. Однако основная сеть безопасности недоступна более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутое сообщение. Во время повторной отправки сообщения при развертывании группы рассылки пользователь Б больше не является членом группы и не получит копию повторно отправленного сообщения.

  • Новые пользователи, добавленные в группу рассылки, могут получать старое повторно отправленное сообщение, когда теневая сеть безопасности повторно отправляет сообщение: например, сообщение отправляется группе, содержащей пользователя A и пользователя B, и оба получателя получают сообщение. Пользователь C впоследствии добавляется в группу. Позже для базы данных почтовых ящиков, в которой хранится почтовый ящик пользователя C, будет выполнен запрос на повторную отправку из основной сети Safety Net. Однако основной сервер Safety Net недоступен более 12 часов, поэтому сервер Shadow Safety Net отвечает и повторно отправляет затронутые сообщения. Во время повторной отправки сообщения при развертывании группы рассылки пользователь C теперь является членом группы и получит копию повторно отправленного сообщения.

  • Развертывание Safety Net в звездообразной топологии: Safety Net предназначена для защиты доставки сообщений на серверах Exchange Server, на которые размещаются почтовые ящики конечных пользователей. Клиенты, которые развернули топологию звездообразной маршрутизации, должны отключить Safety Net на транспортных серверах на центральных сайтах, чтобы избежать значительного увеличения размера транспортной базы данных в расположениях концентраторов.