Archiváljunk az Exchange Server 2010 segítségével–második , befejező rész
Az elso részben áttekintettük az Exchange Server 2010 beépített archiválásra képes funkcióit. Nyitott kérdés az, hogy milyen módon férhetünk hozzá a tárolt adatokhoz. Ígértem, hogy bemutatom azt is miként kapcsolódik ehhez a témakörhöz lazán csatolt módon az Online Archive postaláda. Második, egyben befejezo részben ezeket fogjuk áttekinteni.
A levelek és egyéb postaláda elemek legjobb helye maga a postaláda. A postaláda legjobb helye pedig az Exchange Server. Ha az elemeket a postaládából elmozgatjuk, vagy a postaládát az Exchange rendszerbol eroszakkal elmozgatjuk, akkor azzal magunknak és a felhasználóinknak okozunk további problémákat. A felhasználók praktikusan nem szeretnének különbözo kliens oldali programot használni az archive és a nem archive eléréshez. A felhasználó által elvárt muködés teszi komplikálttá azt a kialakítást, amikor a levelek egy részét kivesszük az Exchange hatókörébol. De tipikusan mi az a helyzet amikor a leveleket és vagy a postaládákat el kell mozgatni az Exchange rendszerbol? A tapasztalatom alapján erre akkor volt szükség, amikor az IT által biztosított tároló kapacitás elérte a fizikai határát, vagyis a drága storage alrendszer betelt. Természetesen soha nem telik be a storage, mert ezt muszakilag a postaláda méretkorlátokkal szabályozzuk. Tehát ténylegesen a postaláda méretkorlátját érjük el eloször. Ilyenkor kényszeruségbol el kellett mozgatni az adatokat. Ennek a kezelésére általában három módszert szoktak alkalmazni a felhasználók:
- Törlés – ezt elég kevesen választják (bevallom én ebbe a táborba tartozom, sokszor a levelek feldolgozása után egybol törlöm oket)
- PST-be mozgatás – elég gyakori megoldás, minden létezo hátrányával együtt
- Harmadik fél által gyártott archiváló eszközbe történo kiszolgáló oldali mozgatás – kiváló megoldás…voltaddig amíg az Exchange Server 2010 nem jelent meg
A harmadik fél által gyártott archiváló eszközbe történo mozgatás legfontosabb filozófiája az, hogy a felhasználó adatait olcsó tároló rendszerekre helyezhetjük, és nem kell a költséges tároló rendszereket erre a célra használni. Mivel az Exchange Server 2010 akár SATA lemezeken is képes muködni, ez az érv jelenleg már nem állja meg helyét. Nincs olyan szempont, ami miatt azt a háttértárat amit az archiváló eszköznek szánunk ne adhatnánk egybol az Exchange Server 2010 alapú rendszerünknek. Tehát ha a teljes tárterületet amit az archiváló berendezésnek szánunk, átadjuk az Exchange Server-nek, akkor a helyszuke mint archiválási ok automatikusan megszunik. Hovatovább elérjük azt az állapotot is, hogy biztosan az adatok a legjobb helyen, egy rendszeren belül vannak. Ezzel megszabadulhatunk a kellemetlenségektol (verziók egyeztetés, több gyártótól származó támogatás komplikációja, kliens oldali bovítmények telepítése és kezelése stb.). Tehát a felhasználók digitális élete lényegesen egyszerubb lesz. Hiszen nem kell semmit másként csinálnia akkor ha “archiválunk”. Egyszeruen mindent ugyanúgy végezhet el, mint eddig. A leveleit tárolja a postaládájában. Vétlen vagy szándékos adatmódosításból származó esetek kezelésére pedig használhatjuk a beépített adatmegorzési képességeket. Ahogy az elozo részben tisztáztuk a kulcs funkció az új dumpster. Módosítás vagy végleges törlés esetén a dumpster megfelelo mappáiban tovább tároljuk az adatokat. De ki és hogyan férhet hozzá a dumpster tartalmához?
Olvasói visszajelzés alapján (köszönöm Cérna): az Exchange PowerShell-ben a RecoverableItem kifejezés a dumpster kifejezéssel csereszabatos. Tehát ha a RecoverableItemQuotaWarning értékét állítjuk, akkor a dumpster méretéhez kapcsolódó riasztási küszöböt definiáljuk.
Jogosultság menedzsment
Gyárilag az Exchange Server 2010 elore elkészítve tartalmaz egy Discovery Management nevu szerepkörcsoportot.
Figyeljük meg a szerepkörcsoport legfontosabb tulajdonságait:
- Úgy hívják, hogy Discovery Management
- Két szerepkör tartozik ebbe a szerepkörcsoportba: Legal Hold, Mailbox Search
- Egy Active Directory biztonsági csoport tartozik ehhez a szerepkörcsoporthoz, a biztonsági csoport neve: Organization Management
Tehát aki a Discovery Management nevu biztonsági csoportnak a tagja, o rendelkezik Legal Hold és Mailbox Search jogosultsággal. A Legal Hold szerep birtokában be-/kikapcsolhatjuk a Legal Hold funkciót az Exchange Organizáción belül bármelyik postaládán. A Mailbox Search jogosultság birtokában célzott kereséseket indíthatunk egy vagy több postaládában a teljes Exchange Organizáción belül. A biztonsági csoport alapértelmezésben üres, tehát senki nem rendelkezik ezzel a jogosultsággal az Exchange Organizációban. A célzott keresés természetesen a korábban említett dumpster (Recoverable Items) elemek között is keres, de nem korlátozódik csak arra. Így ez egy elég hasznos funkcióvá válik. Ezeket a kereséseket úgy végezhetjük el, hogy nem lesz teljes hozzáférésünk a cél postaládához, ami biztonsági szempontból nézve kifejezetten kívánatos.
Ezen a ponton gyakori kérdés az, hogy lehet-e korlátozni ezeket a jogokat? Vagyis megvalósítható-e az, hogy a pénzügyi osztály vezetoje, csak a pénzügyi osztályon dolgozók postaládáján rendelkezzen ezekkel a jogosultságokkal? Természetesen a válasz az, hogy IGEN. Ez megvalósítható. Az alapértelmezett, gyárilag létrehozott csoport azonban az Exchange Organizáción belül minden postaládára vonatkozik. Ahhoz, hogy a delegált jogosultságot magunk beállítsuk, a Role-Based-Access-Control (RBAC) megfelelo szintu ismerete szükséges. Ebben a bejegyzésben ezt nem fejtem ki boven, de egy késobbi bejegyzés az RBAC-ról fog szólni.
Keresés indítása
Nézzük, hogy a keresést hogyan indíthatjuk el ha a szükséges jogosultsággal már rendelkezünk:
- A rendszeremben az alapértelmezett Administrator nevu felhasználó kapta meg a jogosultságot, így az Administrator nevében indítjuk a keresést.
- A keresés eszköze az Exchange Control Panel (ECP). Ha a megfelelo jogosultságú felhasználóval indítjuk el az Exchange Control Panel-t, akkor a keresés funkció elérheto a panelen. Ehhez jelentkezzünk be az ECP-re. Az ECP elérése Internet Explorer-bol a https://<CASSERVERNEVE>/ECP elérési útvonalon keresztül történik.
- Az Exchange Control Panel-re bejelentkezve válasszuk ki a menübol a Szabály/Felderítés menüpontot. Innen indíthatjuk, Felderítés (Discovery Search) muveleteket, illetve tájékozódhatunk a korábbi kereséseink eredményérol.
Példák
Most nézzünk egy konkrét példát, amin keresztül az adatmegorzés és a visszakeresés egyaránt jól bemutatható:
- Mailbox1 tulajdonosa elküld egy levelet az Igazgatónak
- Az Igazgató nevu postaládán az elozo részben bekapcsoltuk a Litigation Hold funkciót.
- A levél az Igazgató postaládájába megérkezett
- A levél az Igazgató postaládájából véglegesen törlésre kerül.
- A végleges törlés mit is jelent? Azt jelenti, hogy az elem egybol a a dumpster deletions mappájába kerül. Az általános törlés esetében eloször a Törölt Elemek mappába kerül, majd ha onnan is töröljük akkor kerül csak át a dumpster\deletions mappába. Outlook vagy Outlook Web App segítségével ez az elem még a felhasználó által helyreállítható. Azonban, hogy megmutassam az erejét a funkciónak, ezt az elemet a Deletions mappából is töröljük. Ehhez válasszuk ki azon a mappán állva (esetünkben az Inbox) a szalagról a Foldert majd a Recover Deleted Items menüpontot. Jelöljük ki a levelet és kattintsunk a törlés gombra.
- Ezzel az elemet a dumpster deletions mappájából töröltük. Ha nem használjuk az Exchange Server 2010 adatmegorzési funkcióit (emlékezzünk az elozo részben tárgyaltakra) akkor a levél többé nem állítható helyre. Az Igazgató postaládán azonban a funkció engedélyezve van. Így az utolsó törlés azt eredményezte, hogy a levél a dumpster\Purges mappába került át.
- Ezt a levelet a Discovery Management jogosultságunk birtokában megkereshetjük. Ehhez jelentkezzünk be a szükséges jogosultsággal rendelkezo felhasználóval az Exchange Control Panel-re a korábbiakban ismertetett módon és navigáljunk a Felderítés menüpontra.
- Indítsunk el egy új keresést.
- A kulcsszavakhoz adjuk meg az „átállás” kifejezést.
- A keresést korlátozhatnánk feladó és címzett személyre, azonban ezt a lehetoséget most nem használjuk
- A keresést korlátozhatnánk dátumtartományra, azonban ezt a lehetoséget most nem használjuk, ilyenkor dátumtartománytól függetlenül végezzük a keresést
- Leszukíthetjük a keresést egy vagy több postaládára. Ebben az esetben nem az összes csak a meghatározott postaládában fogunk keresni. Esetünkben tudjuk, hogy az Igazgató postaládájából tunt el a levél, így beállítjuk, hogy a keresés csak az Igazgató postaládáján történjen.
- Legvégül a keresésnek adhatunk egy nevet valamint dönthetünk a
- keresés típusáról ami lehet a találatok becslése, vagy a találati eredmények másolása - a becslés esetében egy összefoglalást kapunk arról, hogy a keresési feltételeinknek hány elem felelt meg. A másolás kérése esetében egy meghatározott postaládába a keresési feltétellel egyezo elemeket az Exchange átmásolja.
- a teljes köru naplózás használatáról - a teljes köru naplózás esetében egy részletes naplóállományt is csatol az Exchange az eredményhez, amit a késobbiekben bemutatok.
- egyedi eredmények beállításról – ha azt szeretnénk, hogy a dumpster\Versions mappában található elemeket is másolja az Exchange a Discovery Search Mailbox-ba akkor ne válasszuk ki az Egyedi eredmények opciót. Ha a keresést az “Egyedi eredmények” opcióval indítjuk, akkor a Versions mappából az eredményt nem fogja átmásolni az Exchange a Discovery Search Mailbox-ba.
- Mivel ez a keresés aszinkron muvelet, ezért kényelmes, ha e-mail alapú értesítést kérünk a keresés befejezésérol. A környezetemben használt beállítás a következo ábrán látható:
- A Mentés parancs segítségével a feladatot elmenthetjük és a keresés automatikusan elindul.
- A keresés befejeztével az Exchange a beállításunknak megfeleloen e-mail értesítést küld, amiben a keresés legfontosabb paraméterei, valamint a keresés eredménye is szerepel
- A keresés során azt kértük, hogy az eredményt másolja át az Exchange a “Discovery Search Mailbox” nevu postaládába. Minden Exchange Server 2010 környezetben legalább egy ilyen postaláda van (továbbiakat létrehozhatunk igény szerint). A Discovery Management jogosultsággal rendelkezo felhasználók elérhetik ezt a postaládát, akár Outlook akár Outlook Web App segítségével. A keresések tartalmát így megtekinthetik.
- A keresés eredményének tárolásához létrehozott mappa gyökerében egy levelet láthatunk, ami tartalmazza a keresés legfontosabb paramétereit. A kibovített keresés miatt egy mellékletet is találhatunk a levélben.
- A mellékletben található egy CSV fájl. A fájl a talált elemrol / elemekrol a legfontosabb információkat tartalmazza. Többek között látható, hogy melyik mappában találta meg a keresés az elemet. A demóban ez a Purges mappa, ahogy azt korábban “megjósoltuk”:
- A keresési mappát kibontva, a keresés végeredményeként átmásolt elemet láthatjuk, esetünkben a korábban eltuntnek vélt levelet
A keresési funkció használata elég egyszeru és kényelmes. A keresési funkció hasznos lehet a véletlen adattörlések kivédésére valamint a szabályozóknak való megfeleloségre egyaránt. A véletlen törlésekbol eredo elem visszaállításra nagyságrendekkel gyorsabb és egyszerubb, mint a hagyományos mentoeszközök használata. Tételezzük fel azt, hogy ezt az elemet az Igazgató postaládájába vissza kell állítanunk. Egyszeruen exportálhatjuk az elemet és visszahelyezhetjük az Igazgató postaládájába. Egyszeru és nagyszeru funkció.
Érdemes azt még megemlíteni, hogy a keresés a levél törzsében és a levél mellékleteiben is képes keresni. Minden olyan mellékletben amihez tartozóan feltelepítettük az IFilter kiegészítést. Az összes Office fájlformátumhoz ingyenesen hozzáférheto az IFilter pack (Bing it), ahogy a leggyakoribb fájlformátumokhoz a gyártók szintén publikálják a saját megoldásukat.
Végezetül térjünk vissza az Archive postaládára. Az elso részben definiáltam, hogy az Online Archive postaláda mire való és mire nem való. Hogy kapcsolódik az Online Archive az adatmegorzési funkciókhoz lazán csatolt módon? Az Exchange Server 2010 konfigurációjába létrehozhatunk megorzési házirendeket (Retention Policy). Ezekhez a megorzési házirendekhez eseményeket rendelhetünk. Egy lehetséges esemény az, hogy meghatározott ido után az Exchange kiszolgáló automatikusan mozgassa át az elemet az Online Archive postaládába. Így együtt a megorzési szabályokkal, az Online Archive postaládával és az Exchange Server 2010 kifinomult adatmegorzési képességeivel a belso és külso szabályozóknak, a felhasználói igényeknek egyaránt egyszeruen és könnyen megfelelhetünk, mindezt úgy, hogy további költséges szoftver és hardware beruházásokra nincs szükség.
Ezzel az Archiválási funkció végére érkeztünk és több érdekes témakört is kinyitottunk, ezek közé tartozik: Role-Based-Access-Control, az olcsó storage használata, a megorzési szabályok. A következo blog bejegyzéseimben ezekrol és még sok más érdekes funkcióról fogok írni. Szívesen veszek bármilyen témajavaslatot.
Comments
- Anonymous
January 01, 2003
Third party archiválókhoz szokván egy kicsit nehezen esett le, hogy az archív nem feltétlenül egy kazal tape... Aztán elkezdtem próbálkozni (legal - hold),minden csínytevést kipróbáltam amire egy felhasználó képes. Ez bizony a gyakorlatban is hibátlan. A Discovery Search pedig szuper. - Anonymous
January 01, 2003
Tudjuk, hogy ez nem marketingről szól. Ha Zoli nem, hát én azért megemlítem, hogy nem kell venned az archiváláshoz egy türet licenszet... - Anonymous
September 15, 2011
Ha nem is lenne Exchange 2010-em, akkor is kerítenék egyett, úgy megjött a kedvem az archiváláshoz!!! :)