Noções Básicas Sobre Redundância de Sombra
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-25
Altas estratégias de disponibilidade para o Exchange focaram na disponibilidade e recuperação de dados armazenados em bases de dados da caixa de correio. Quando você implementa uma solução altamente disponível para seus servidores de Caixa de correio, as mensagens de e-mail não serão perdidas, e elas podem facilmente ser recuperadas depois de um falha, depois que chegam em uma caixa de correio.
No entanto, essas estratégias não se estendem às mensagens enquanto estiverem em trânsito. Se um servidor de Transporte de Hub falhasse durante o processamento de mensagens e não pudesse ser recuperado, poderia haver perda de dados. À medida que o volume de mensagens processadas por servidores de Transporte de Hub aumenta, a perda potencial de dados torna-se uma preocupação crescente para administradores.
O Microsoft Exchange Server 2007 introduziu o recurso de dumpster de transporte para a função do servidor de Transporte de Hub. Um servidor de Transporte de Hub do Exchange 2007 mantem uma fila de mensagens entregues recentemente aos destinatários cujas caixas de correio estão em um servidor de caixas de correio em cluster. Quando ocorre um failover, o servidor de caixas de correio em cluster solicita automaticamente a cada servidor de Transporte de Hub no site do Active Directory para reenviar a mensagem da fila do dumpster de transporte. Isto impede que os e-mails se percam durante o tempo gasto para que o cluster faça failover. Enquanto este fornece um nível básico de redundância de transporte, só disponível para entrega de mensagem em ambiente de replicação contínua de (CCR) e não endereça perda potencial de mensagem quando as mensagens estão em trânsito entre servidores de Transporte de Hub e Transporte de Borda.
O Exchange Server 2010 traz o recurso redundância de sombra para fornecer redundância para mensagens durante todo o tempo em que estiverem em trânsito. A solução envolve uma técnica semelhante ao dumpster de transporte. Com a redundância de sombra, a exclusão de uma mensagem do banco de dados de transporte é atrasada até que o servidor de transporte confirme que todos os próximos saltos da mensagem tenham concluído a entrega. Se qualquer um dos próximos saltos falhar antes de relatar sucesso na entrega, a mensagem será reenviada para entrega para o próximo salto.
A redundância de sombra fornece os seguintes benefícios:
- Elimina a dependência no estado de qualquer servidor de Transporte específico de Hub ou Transporte de Borda. Enquanto existirem caminhos redundantes de mensagem em sua topologia de roteamento, qualquer servidor de transporte se tornará descartável.
- Se um servidor de transporte falha, é possível retirá-lo da produção sem esvaziar suas filas ou mensagens perdidas.
- Se deseja atualizar um servidor de Transporte de Hub ou Transporte de Borda, é possível trazer esse servidor offline a qualquer momento sem o risco de mensagens perdidas.
- Ele elimina a necessidade de redundância de hardware de armazenamento para servidores de transporte.
- Consome menos largura de banda que criar cópias duplicadas de mensagens em servidores múltiplos. O único trânsito adicional de rede gerado com redundância de sombra é a troca de estado de descarte entre servidores de transporte. Status de descarte são as informações que cada servidor de transporte mantém. Indica quando uma mensagem está pronta para ser descartada do banco de dados de transporte.
- Ele oferece resiliência e simplifica a recuperação de uma falha de servidor de transporte.
Redundância de sombra é implementada, estendendo o serviço SMTP. As extensões de serviço permitem que hosts de SMTP negociem suporte de redundância de sombra e troca de estado de descarte para mensagens de sombra.
Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.
Sumário
Componentes de redundância de sombra
Fluxo de mensagens de redundância de sombra
Gerenciador de redundância de sombra
Processamento da mensagem após uma paralisação
Direitos estendidos necessários para redundância de sombra
Componentes de redundância de sombra
A tabela a seguir fornece descrições de todos os componentes de redundância de sombra.
Componentes de redundância de sombra
Componente | Descrição |
---|---|
Mensagem principal |
A mensagem original enviada para transporte para entrega. |
Mensagem de sombra |
A cópia de uma mensagem que um servidor de transporte retem até que confirme que todos os próximos saltos para essa mensagem foram entregues com êxito. |
Servidor principal |
O servidor de transporte está atualmente processando uma mensagem. |
Servidor de sombra |
O servidor de transporte que contém cópias de sombra de uma mensagem depois de entregar a mensagem ao servidor principal. |
Fila de sombra |
A fila que um servidor de transporte usa para armazenar mensagens de sombra. Um servidor de transporte terá filas de sombra separadas para cada salto a que entregou a mensagem principal. |
Status de descarte |
As informações que um servidor de transporte mantem para mensagens de sombra que indicam quando uma mensagem está pronta para ser descartada. |
Notificação de descarte |
A resposta que um servidor de sombra recebe de um servidor principal indicando que uma mensagem está pronta para ser descartada. |
Gerenciador de redundância de sombra |
O componente de transporte que gerencia a redundância de sombra. |
Pulsação |
O processo de servidores de transporte verificando a disponibilidade do outro. |
Retornar ao início
Fluxo de mensagens de redundância de sombra
Para ilustrar o fluxo de correio com redundância de sombra habilitado, considera o cenário simples onde um servidor de Transporte de Hub envia uma mensagem a um servidor de correio de terceiros via um servidor de Transporte de Borda na rede de perímetro.
Fluxo de mensagens com redundância de sombra
Nesse cenário, o fluxo de mensagens vai pelos seguintes estágios:
- O servidor de Transporte de Hub entrega uma mensagem ao servidor de Transporte de Borda.
- O servidor de Transporte de Hub abre uma sessão de SMTP com o servidor de Transporte de Borda.
- O servidor de transporte de Borda anuncia o suporte de redundância de sombra.
- O servidor de Transporte de Hub notifica o servidor de Transporte de Borda para controlar estado de descarte.
- O servidor de transporte de Hub envia a mensagem para o servidor de transporte de Borda.
- O servidor de Transporte de Borda reconhece o recebimento da mensagem e registra o nome do servidor de Transporte de Hub para enviar informações de descarte para a mensagem.
- O servidor de Transporte de Hub move a mensagem à fila de sombra para o servidor de Transporte de Borda e marca o servidor de Transporte de Borda como o servidor principal. O servidor de transporte de Hub se torna o servidor de sombra.
- O servidor de transporte de Borda envia a mensagem para o próximo salto.
- O servidor de Transporte de Borda envia a mensagem para um servidor de email de terceiros.
- O servidor de email de terceiros confirma o recebimento da mensagem.
- O servidor de Transporte de Borda atualiza o estado de descarte para a mensagem como entrega completa.
- O servidor de Transporte de Hub consulta o servidor de Transporte de Borda para estado de descarte (caso de êxito).
- No fim de cada sessão de SMTP com o servidor de Transporte de Borda, o servidor de Transporte de Hub consulta o servidor de Transporte de Borda para estado de descarte em mensagens previamente submetidas. Se o servidor de Transporte de Hub não abriu quaisquer sessões de SMTP com o servidor de Transporte de Borda depois da submissão inicial de mensagem, ele abrirá uma sessão de SMTP com o servidor de Transporte de Borda para consultar apenas o estado de descarte depois de um tempo específico.
- O servidor de Transporte de Borda verifica o estado de descarte local e envia de volta a lista de mensagens que foi entregue, e retira as informações de descarte.
- O servidor de Transporte de Hub exclui a lista de mensagens de sua fila de sombra.
- O servidor de Transporte de Hub consulta o servidor de Transporte de Borda para estado de descarte e submete a mensagem (caso de falha).
Se o servidor de Transporte de Hub não pudere contatar o servidor de Transporte de Borda, o servidor de Transporte de Hub reinicia a função do servidor principal e apresenta de novo as mensagens na fila de sombra.
As mensagens reenviadas são entregues a outro servidor de Transporte de Borda e o fluxo de trabalho inicia a etapa 1.
Dica
Se não há rotas alternativas disponíveis para uma mensagem de sombra (como o segundo servidor de Transporte de Borda mostrou na figura anterior), não será reenviado, mas permanece na fila de sombra.
Para obter mais informações sobre fluxo de mensagens com vários cenários diferentes, consulte Cenários de fluxo de correio de redundância de sombra.
Vários cenários de salto
Se uma mensagem viaja por vários servidores que suportam redundância de sombra, as mensagens de sombra são retidas em um servidor somente até que o próximo servidor no caminho de mensagem confirme a entrega. Para ilustrar como isto funciona, considere uma organização que tem cinco sites Active Directory com servidores de Transporte de Hub instalados. Os sites são ligados um ao outro conforme mostrado na figura a segur. A organização tem sites em Nova Iorque e Londres configurados como sites de hub, então as mensagens de Chicago ou Atlanta precisam passar por servidores de Transporte de Hub nos sites de Nova Iorque e Londres para chegar ao site de Dublin.
Topologia de exemplo para vários cenários de salto
Presuma que uma mensagem é enviada por um operador no site de Chicago a um operador no site de Dublin. Esta mensagem deverá viajar pelo site de Nova Iorque e Londres para chegar a Dublin. Nesse caso, ocorre o seguinte:
- O servidor de Transporte de Hub em Chicago enviará a mensagem ao servidor de Transporte de Hub em Nova Iorque, e reterá uma cópia de sombra da mensagem.
- O servidor de Transporte de Hub de Nova Iorque enviará a mensagem ao servidor de Transporte de Hub em Londres e consulta um estado de descarte para o hub de Chicago.
- O hub de Chicago consulta o hub de Nova Iorque para estado de descarte e recebe a notificação de descarte para a mensagem. Neste momento, ele pode remover a mensagem de sombra do seu banco de dados. Se a mensagem foi entregue de Londres a Dublin não tem um impacto de quando o servidor de Chicago exclui a mensagem de sombra.
Interoperabilidade
Se uma redundância de sombra for usada ou não é decidido enquanto estabelece uma nova conexão SMTP. Se ambos os servidores em uma conexão SMTP suportarem redundância de sombra, o fluxo de trabalho mencionado previamente é usado. No entanto, haverá situações onde os servidores de transporte do Exchange 2010 trocam mensagens com servidores de correio que não suportam redundância de sombra. Estes podem ser servidores de correio de terceiros, versões anteriores do Exchange,ou uma organização do Exchange 2010 que não habilitou redundância de sombra.
Quando um servidor de transporte do Exchange 2010 que suporta redundância de sombra estabelece uma conexão com um servidor que não suporta redundância de sombra, os seguintes acontecimentos acontecem:
- Exchange estabelece uma conexão SMTP para o servidor de destino.
- O servidor de destino não anuncia o suporte à redundância de sombra.
- Uma vez que o servidor de destino não suporta redundância, o Exchange executará o seguinte para cada mensagem:
- Entregar a mensagem para o servidor de destino.
- O Gerente de Redundância de Sombra marcará que a mensagem é entregue ao próximo salto.
- Exclua a mensagem depois que é entregue a todos os saltos.
Quando um servidor que não suporta redundância de sombra estabelece uma conexão com um servidor Exchange 2010, os seguintes eventos acontecem:
- O servidor de envio estabelece uma conexão SMTP com Exchange.
- O Exchange anuncia suporte de redundância de sombra.
- O servidor remetente não suporta redundância de sombra e portanto ele não a usará. Ele fornecerá mensagens para o servidor de Exchange.
- Para cada mensagem que o Exchange recebe, ele fará o seguinte:
- Entrega a mensagem ao próximo salto, ou faz uma cópia de sombra do mesmo.
- Envia confirmação de recebimento para o servidor de envio.
Atraso de Reconhecimento
O princípio principal atrás da redundância de sombra mantem uma cópia da mensagem no salto prévio até que o servidor verifica se ela foi entregue com êxito a todos os próximos saltos. Isto não é possível quando um servidor de transporte do Exchange 2010 recebe uma mensagem de um servidor de correio que não suporta redundância de sombra. Este servidor de correio pode ser um servidor Exchange executando uma versão mais antiga do Exchange, um cliente normal de SMTP, ou um servidor de correio do Exchange na Internet. Neste caso, as tentativas do Exchange para realizar redundância de sombra atrasando a confirmação ao servidor de correio até que verifica que a mensagem com êxito foi entregue com êxito a todos os próximos saltos internamente. Desta maneira, se o servidor do Exchange 2010 falhar, o servidor de envio de correio irá presumir que a mensagem nunca foi entregue ao Exchange e tentará entregar novamente.
No entanto, a entrega da mensagem para os próximos saltos pode levar um longo tempo devido à complexidade de sua infraestrutura de roteamento, ou a falha de um dos próximos saltos. Neste caso, para impedir a sessão de SMTP a partir do tempo limite, o servidor de transporte do Exchange 2010 irá enviar um aviso ao servidor de correio de envio. Neste caso, a redundância de email não é garantida, mas é um melhor esforço. Por exemplo, uma mensagem pode ser perdida na seguinte situação: Um servidor de email da Internet transmite uma mensagem para um servidor de transporte de borda. O servidor de Transporte de Borda não pode se comunicar com o servidor de Transporte de Hub devido a um problema de rede e confirma o recebimento da mensagem para o servidor de email da Internet. O servidor de Transporte de Borda, em seguida, falha e não pode ser recuperado antes que o problema da rede seja resolvido. Neste ponto, a mensagem é perdida.
O valor de tempo de inativideade de reconhecimento de retardo é controlado pelo atributo MaxAcknowledgementDelay de cada conector de recebimento. O valor padrão é 30 segundos. Para saber mais sobre esse recurso, consulte Configurar Redundância de Sombra.
Retornar ao início
Gerenciador de redundância de sombra
O Gerenciador de redundância de sombra é o componente central de um servidor de transporte do Exchange 2010 responsável pela gestão de redundância de sombra.
O Gerenciador de redundância de sombra é responsável por manter as seguintes informações para todas as mensagens principais que um servidor está processando atualmente:
- O servidor de sombra para cada mensagem principal que está sendo processado.
- O status de descarte a ser enviado a servidores de sombra.
O Gerenciador de redundância de sombra é responsável pelo seguinte para todas as mensagens de sombra que um servidor tem em suas filas de sombra:
- Manter a lista de servidores principais para cada mensagem de sombra.
- Verificar a disponibilidade de cada servidor principal para o qual uma mensagem de sombra é colocada na fila de espera.
- Processamento de notificações de descarte de servidores principais.
- Remover as mensagens de sombra no banco de dados depois que todas as notificações de descarte esperadas forem recebidas.
- Decidir quando o servidor de sombra deve tomar posse de mensagens de sombra, tornando-se um servidor principal.
Além disso, o Gerenciador de redundância de sombra também é responsável pela gestão dos contadores de desempenho relacionados com a redundância de sombra.
Pulsação
O Gerenciador de redundância de sombra utiliza pulsação para determinar a disponibilidade dos servidores para os quais as mensagens de sombra são enfileiradas. Durante a sessão de SMTP entre dois servidores que suportam redundância de sombra, o servidor que inicia a conexão consulta o servidor de destino para estado de descarte das mensagens enviadas anteriormente ao servidor. O servidor de início realiza isso emitindo um comando XQUERYDISCARD. Em resposta, o servidor de destino retorna as notificações de descarte. Este intercâmbio entre os dois servidores é usado como a pulsação para redundância de sombra.
Há um valor de tempo limite para a pulsação. Se nenhuma conexão for estabelecida para um servidor para o qual o Gerenciador de redundância de sombra está mantendo uma fila de sombra para esse período, o servidor tentará estabelecer uma conexão SMTP com o servidor principal especificamente para consultar o estado de descarte e zerar o cronômetro. O valor de tempo limite é controlado pelo parâmetro ShadowHeartbeatTimeoutInterval do cmdlet Set-TransportConfig, e é definido para 300 segundos por padrão.
Se o servidor não puder estabelecer uma conexão com um servidor principal quando o valor de tempo limite é atingido, ele irá zerar o cronômetro e tentar novamente. Se o valor de tempo limite for atingido três vezes consecutivas, o servidor irá concluir que o servidor principal falhou e vai assumir a propriedade das mensagens de sombra e começar a gerar notificações para se desfazer delas para enviar para o servidor principal que falhou. O número de tempos limites que um servidor irá esperar antes de decidir se um servidor principal não é controlado pelo parâmetro do ShadowHeartbeatRetryCount cmdlet Set-TransportConfig.
Para saber mais sobre como configurar a pulsação da redundância de sombra, consulte Configurar Redundância de Sombra.
Retornar ao início
Processamento da mensagem após uma paralisação
A redundância de sombra minimiza a perda de mensagem devido a Interrupções de servidor. Quando um servidor de transporte volta a ficar online após uma interrupção, há dois cenários:
- O servidor volta a ficar on-line com um banco de dados de transporte novos Neste cenário, o banco de dados de transporte é irrecuperável, devido à corrupção de dados ou falha de hardware. Neste caso, porque o servidor de transporte terá um novo banco de dados de identificação, que será reconhecido como uma nova rota de transporte dos servidores na organização. Isto também se aplica à situação em que um servidor não pôde ser recuperado, e um novo servidor foi configurado como uma substituição.
- O servidor volta a ficar on-line com o mesmo banco de dados de transporte Neste cenário, o servidor de transporte especial não falhou, mas estava off-line por um longo período de tempo. Por exemplo, uma falha na placa de rede, ou um tempo de manutenção no servidor causaria este cenário.
A tabela abaixo resume como o transporte reage a esses dois cenários quando a redundância de sombra é habilitada. Para maior clareza, suponha que o servidor que teve uma interrupção é nomeado Hub01.
Processamento de mensagens em cenários de recuperação
Cenário de recuperação | Ações executadas para mensagens que têm rotas alternativas | Ações realizadas para mensagens sem rotas alternativas |
---|---|---|
Hub01 estiver on-line novamente com um novo banco de dados. |
Quando Hub01 ficar indisponível, cada servidor que tenha mensagens de sombra consultadas para Hub01 vai assumir a propriedade dessas mensagens e reenviá-las. As mensagens, em seguida, são entregues aos seus destinos usando rotas alternativas. O atraso total para mensagens é ao produto do intervalo de tempo limite de pulsação e a conta de repetição de pulsação configurada na sua organização. |
Essas mensagens permanecem na fila de sombra em cada servidor que tem mensagens de sombra enfileiradas para Hub01. Quando o Hub01 volta a ficar on-line com um novo banco de dados de identificação, os servidores de sombra descobrem que ele é um novo banco de dados e enviem novamente as mensagens que estão na fila de sombra para Hub01. Isso é equivalente a, de repente, descobrir uma rota alternativa para essas mensagens. O atraso total das mensagens depende da duração da interrupção. |
Hub01 estiver on-line novamente com o mesmo banco de dados. |
Hub01 fornecerão as mensagens em suas filas. Isso resultará na entrega duplicada dessas mensagens. Os usuários de caixa de correio do Exchange não verão mensagens duplicadas devido à detecção de mensagem duplicada. No entanto, os destinatários em sistemas externos podem receber cópias duplicadas. O atraso total para mensagens é ao produto do intervalo de tempo limite de pulsação e a conta de repetição de pulsação configurada na sua organização. |
Hub 01 entregará as mensagens nas suas filas e, em seguida, enviará notificações de descarte aos servidores de sombra. O atraso total das mensagens depende da duração da interrupção. |
Retornar ao início
Direitos estendidos necessários para redundância de sombra
O Exchange 2010 apresenta os dois direitos estendidos a seguir, necessários para redundância de sombra:
- ms-Exch-SMTP-Accept-XSHADOW
- ms-Exch-SMTP-Send-XSHADOW
Quando uma conexão SMTP é estabelecida com um servidor de transporte do Exchange 2010, ele anunciará suporte de redundância de sombra se o direito estendido do ms-Exch-SMTP-Accept-XSHADOW existe no conector de Recebimento a ser usado. Além disso, o mecanismo de autenticação em um conector de Recebimento deve ser a autenticação do Servidor do Exchange ou Protegido Externamente.
Quando um servidor de transporte do Exchange 2010 estabelece uma conexão SMTP com outro servidor que anuncia o suporte de redundância de sombra, ele emitirá um comando XSHADOW apenas se a sessão tiver concedido o direito estendido do ms-Exch-SMTP-Send-XSHADOW.
Por padrão, esses direitos estendidos são concedidos ao grupo de Servidores do Exchange de todos os conectores internos de Envio e conectores de Recebimento.
Dica
A redundância de Sombra pode ser permitida ou inutilizada para a organização inteira usando o parâmetro do ShadowRedundancyEnabled do cmdlet Set-TransportConfig. Essa configuração substitui os direitos estendidos descritos nesta seção. Se a redundância de sombra for inutilizada para a organização, o Exchange não anunciará suporte de redundância de sombra ou emitirá comandos XSHADOW mesmo se os direitos estendidos necessários forem concedidos à sessão SMTP.
Retornar ao início