Partilhar via


Rede de Segurança no Exchange Server

No Exchange 2010, o contentor de lixo de transporte ajudou a proteger contra a perda de dados ao manter uma fila de mensagens entregues com êxito que não tinham sido replicadas para as cópias passivas da base de dados de caixa de correio no grupo de disponibilidade da base de dados (DAG). Quando uma base de dados de caixa de correio ou falha no servidor exigiu a promoção de uma cópia desatualizada da base de dados da caixa de correio, as mensagens no contentor de lixo de transporte foram automaticamente submetidas para a nova cópia ativa da base de dados da caixa de correio.

O contentor de transporte foi melhorado no Exchange 2013 e chama-se agora Safety Net. O Exchange 2016 e o Exchange 2019 têm as mesmas melhorias.

Eis como a Rede de Segurança é semelhante ao contentor de lixo de transporte no Exchange 2010:

  • A Rede de Segurança é uma fila associada ao serviço Transporte num servidor de Caixa de Correio. Esta fila armazena cópias de mensagens que foram processadas com êxito pelo servidor.

  • Pode especificar durante quanto tempo a Rede de Segurança armazena cópias das mensagens processadas com êxito antes de expirarem e serem eliminadas automaticamente. A predefinição é 2 dias.

Eis como a Rede de Segurança é melhorada a partir do contentor de lixo de transporte no Exchange 2010:

  • A Rede de Segurança não requer um DAG: para servidores de Caixa de Correio que não pertencem a um DAG, a Safety Net armazena cópias das mensagens entregues noutros servidores de Caixa de Correio no site do Active Directory local.

  • A Própria Rede de Segurança não é um ponto único de falha: a redundância é fornecida com uma Rede de Segurança Primária e uma Rede de Segurança Sombra. Se a Rede de Segurança Primária estiver indisponível durante mais de 12 horas, submeter novamente pedidos torna-se pedidos de reenviação sombra e as mensagens são reenviadas a partir da Rede de Segurança Sombra.

  • A Rede de Segurança assume alguma responsabilidade da redundância sombra em ambientes DAG: a redundância sombra não precisa de manter outra cópia da mensagem entregue numa fila sombra enquanto aguarda que a mensagem entregue seja replicada para as cópias passivas da base de dados da caixa de correio. A cópia da mensagem entregue já está armazenada na Rede de Segurança, pelo que a mensagem pode ser novamente submetida a partir da Rede de Segurança, se necessário.

  • A Rede de Segurança tenta garantir a redundância de mensagens: a Rede de Segurança é mais do que apenas um melhor esforço para a redundância de mensagens, pelo que não pode especificar um limite de tamanho máximo para a Rede de Segurança. Só pode especificar durante quanto tempo a Rede de Segurança armazena mensagens antes de serem eliminadas automaticamente.

Para obter mais informações sobre as funcionalidades de elevada disponibilidade de transporte no Exchange Server, veja Transport high availability in Exchange Server (Transporte de elevada disponibilidade no Exchange Server). Para obter mais informações sobre a redundância de mensagens para mensagens em trânsito, veja Redundância sombra no Exchange Server.

Como funciona a Rede de Segurança

A redundância sombra mantém uma cópia redundante da mensagem enquanto a mensagem está em trânsito. A Rede de Segurança mantém uma cópia redundante de uma mensagem depois de a mensagem ser processada com êxito. Assim, a Rede de Segurança começa onde termina a redundância sombra. os conceitos na redundância sombra, incluindo o limite de elevada disponibilidade de transporte, as mensagens primárias, os servidores primários, as mensagens sombra e os servidores sombra também se aplicam à Rede de Segurança. Para obter mais informações, veja Redundância sombra no Exchange Server.

A Rede de Segurança Primária existe no servidor da Caixa de Correio que manteve a mensagem principal antes de a mensagem ter sido processada com êxito pelo serviço de Transporte. Isto pode significar que a mensagem foi entregue ao serviço de Entrega de Transporte da Caixa de Correio no servidor de caixa de correio de destino. Em alternativa, a mensagem poderia ter sido reencaminhada através do servidor da Caixa de Correio num site do Active Directory designado como um site central a caminho do DAG de destino ou do site do Active Directory. Depois de o servidor primário processar a mensagem primária, a mensagem é movida da fila de entrega ativa para a Rede de Segurança Primária no mesmo servidor.

A Rede de Segurança sombra existe no servidor da Caixa de Correio que contém a mensagem sombra. Depois de o servidor sombra determinar que o servidor primário processou com êxito a mensagem primária, o servidor sombra move a mensagem sombra da fila sombra para a Rede de Segurança sombra no mesmo servidor. Embora possa parecer óbvio, a existência da Rede de Segurança Sombra requer a ativação da redundância sombra (está ativada por predefinição).

Esta tabela descreve os parâmetros que são utilizados pela Safety Net.

Parâmetro Valor padrão Descrição
SafetyNetHoldTime em Set-TransportConfig 2 dias O período de tempo que as mensagens primárias processadas com êxito são armazenadas na Rede de Segurança Primária e as mensagens sombra reconhecidas são armazenadas na Rede de Segurança Sombra.

Também pode especificar este valor no Centro de administração do Exchange (EAC) em Fluxo> de correioÍcone Receber conectores>Mais opções Mais Opções.>Definições de transporte da organização>Rede de> SegurançaTempo de suspensão da Rede de Segurança.

As mensagens sombra não reconhecidas acabam por expirar da Rede de Segurança Sombra após a soma dos valores dos parâmetros SafetyNetHoldTime e MessageExpirationTimeout .

Para evitar a perda de dados durante as reenviações da Rede de Segurança, o valor deste parâmetro tem de ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia atrasada da base de dados da caixa de correio.

ReplayLagTime em Set-MailboxDatabaseCopy Não configurado A quantidade de tempo que o serviço replicação do Microsoft Exchange deve aguardar antes de reproduzir ficheiros de registo que foram copiados para a cópia passiva da base de dados. Definir este parâmetro para um valor superior a 0 cria uma cópia atrasada da base de dados da caixa de correio. O valor máximo é 14 dias.

Para evitar a perda de dados durante a reenviação da Rede de Segurança, o valor deste parâmetro para a cópia atrasada da base de dados da caixa de correio tem de ser menor ou igual ao valor de SafetyNetHoldTime em Set-TransportConfig.

MessageExpirationTimeout em Set-TransportService 2 dias Quanto tempo uma mensagem pode permanecer numa fila antes de expirar.
ShadowRedundancyEnabled em Set-TransportConfig $true $true: a redundância sombra está ativada em todos os servidores da Caixa de Correio na organização.

$false: a redundância sombra está desativada em todos os servidores de transporte da organização.

A redundância para a Rede de Segurança requer a ativação da redundância sombra.

Tamanhos máximos suportados da Rede de Segurança

No Microsoft Exchange Server 2019 e 2016, o tamanho máximo suportado da base de dados para a base de dados Safety Net JET é de 2 TB.

Quando uma topologia hub-and-spoke é utilizada, a base de dados Safety Net JET de transporte pode crescer para além de 2 TB. Para se manter dentro do limite suportado de 2 TB, siga estas diretrizes:

  • Os servidores hub que são utilizados para o reencaminhamento de mensagens não podem ser configurados para entregar mensagens a caixas de correio.

  • Desative a Rede de Segurança nos servidores hub que são utilizados para o reencaminhamento de mensagens. Para fazer isso, siga estas etapas:

    1. Numa janela da Linha de comandos, abra o ficheiro EdgeTransport.exe.config no Bloco de Notas ao executar o seguinte comando no servidor:

      Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config
      
    2. Adicione a seguinte chave na secção appSettings .

      <add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />
      

      Quando tiver terminado, guarde e feche o ficheiro EdgeTransport.exe.config.

    3. Reinicie o serviço transporte do Exchange ao executar o seguinte comando:

      net stop MSExchangeTransport && net start MSExchangeTransport
      

Reenviação de mensagens da Rede de Segurança

O componente Active Manager do serviço de Replicação do Microsoft Exchange (MSExchangeRepl.exe) gere os DAGs e as cópias da base de dados da caixa de correio. As resubmissões de mensagens da Rede de Segurança não requerem ações manuais e são iniciadas pelo Active Manager. Para obter mais informações sobre o Active Manager, consulte Active Manager.

Existem dois cenários básicos de reenviação de mensagens da Rede de Segurança:

  • Após a ativação pós-falha automática ou manual de uma base de dados de caixa de correio num DAG.

  • Depois de ativar uma cópia atrasada de uma base de dados de caixa de correio.

Uma cópia da base de dados de caixa de correio com atraso ou cópia atrasada é uma cópia passiva de uma base de dados de caixa de correio onde as atualizações à base de dados são intencionalmente atrasadas para proteger contra danos lógicos da base de dados da caixa de correio. Para obter mais informações, consulte Gerir cópias da base de dados da caixa de correio.

A única diferença significativa entre os dois cenários é a distância anterior no tempo para voltar a submeter mensagens da Safety Net. Normalmente, para a ativação pós-falha da base de dados num DAG, a nova cópia ativa da base de dados da caixa de correio está em qualquer lugar entre vários minutos e várias horas atrás da cópia ativa antiga. Normalmente, uma cópia atrasada de uma base de dados de caixa de correio está a vários dias da cópia ativa antiga.

O principal requisito para a resubmissão de mensagens com êxito da Safety Net para uma cópia atrasada é: o período de tempo em que as mensagens são armazenadas na Rede de Segurança tem de ser maior ou igual ao tempo de atraso da cópia com atraso. Por outras palavras, o valor de SafetyNetHoldTime em Set-TransportConfig tem de ser maior ou igual ao valor de ReplayLagTime em Set-MailboxDatabaseCopy para a cópia com atraso.

Reenviação de mensagens da Rede de Segurança Sombra

A resubmissão de mensagens da Rede de Segurança Sombra (como a remissão de mensagens da Rede de Segurança Primária) é totalmente automatizada e não requer intervenção manual. Este cenário descreve a interação da Rede de Segurança Primária e da Rede de Segurança Sombra durante a resubmissão de mensagens:

  1. O Active Manager pede a remissão de mensagens da Rede de Segurança para uma base de dados de caixa de correio para o intervalo de tempo especificado (por exemplo, 5:00 a 9:00). No entanto, o servidor da Caixa de Correio que detém a Rede de Segurança Primária falhou devido a uma falha de hardware. O Active Manager tenta, sem êxito, contactar a Rede de Segurança Primária durante as próximas 12 horas.

  2. Após 12 horas, o Active Manager envia uma mensagem de difusão para o serviço transporte em todos os servidores de Caixa de Correio no limite de elevada disponibilidade de transporte (o site DAG ou Active Directory em ambientes não DAG) à procura de outras Redes de Segurança que contenham mensagens para a base de dados da caixa de correio de destino para o intervalo de tempo especificado. A Rede de Segurança Sombra responde e reenvia mensagens para a base de dados da caixa de correio para o intervalo de tempo entre 5:00 e 9:00.

Quando uma Rede de Segurança Sombra responde, só é reenviada as mensagens para a base de dados da caixa de correio necessária durante o intervalo de tempo necessário. Esta restrição por base de dados de caixa de correio e intervalo de tempo ajuda a reduzir estes potenciais problemas:

  • A reenviação de mensagens da Safety Net pode resultar em entregas duplicadas. Este não é um problema para caixas de correio na organização do Exchange, porque a deteção de mensagens duplicadas impede que os utilizadores da caixa de correio vejam as mensagens duplicadas. No entanto, a entrega de mensagens duplicadas para destinatários externos pode resultar em cópias duplicadas de mensagens que o destinatário veria.

  • As mensagens sombra reenviadas da Rede de Segurança Sombra requerem categorização e processamento completos através do serviço Transporte no servidor da Caixa de Correio. A nova subscrição de um grande número de mensagens sombra pode ser dispendiosa em termos de recursos do sistema de servidor da Caixa de Correio.

Estas são algumas considerações importantes para as mensagens sombra armazenadas na Rede de Segurança Sombra:

  • A Rede de Segurança sombra não sabe onde o servidor primário transmitiu a mensagem primária.

  • As mensagens sombra na Rede de Segurança Sombra contêm apenas destinatários de envelopes de mensagens originais, não os destinatários reais onde a mensagem primária foi entregue (por exemplo, o destinatário do envelope de mensagem pode ser um grupo de distribuição que requer expansão).

  • As mensagens na rede Shadow Safety não contêm quaisquer atualizações de mensagens que ocorreram após o servidor primário ter processado a mensagem (por exemplo, codificação de mensagens ou conversão de conteúdo).

Este cenário descreve o que acontece se a Rede de Segurança Primária estiver offline durante parte do intervalo de reenviação pedido:

  1. A base de dados de fila no servidor da Caixa de Correio que contém a Rede de Segurança Primária está danificada e é criada uma nova base de dados de fila às 7:00. Todas as mensagens principais armazenadas na Rede de Segurança Primária das 1:00 às 7:00 são perdidas, mas o servidor consegue armazenar cópias de mensagens entregues com êxito na Rede de Segurança a partir das 7:00.

  2. O Active Manager pede uma nova submissão de mensagens da Rede de Segurança para uma base de dados de caixa de correio para o intervalo de tempo entre 1:00 e 9:00.

  3. A Rede de Segurança Primária reenvia mensagens para o intervalo de tempo das 7:00 às 9:00.

  4. Uma vez que a Rede de Segurança Primária não tem as mensagens necessárias para as 1:00 às 7:00. A Rede de Segurança Primária envia uma mensagem de difusão para o serviço transporte em todos os servidores de Caixa de Correio no limite de elevada disponibilidade do transporte à procura de outras Redes de Segurança que contenham as mensagens necessárias. A Rede de Segurança Sombra gera um segundo pedido de reenviação em nome da Rede de Segurança Primária para submeter novamente as mensagens sombra para a base de dados da caixa de correio de destino para o intervalo de tempo 1:00 a 7:00.

Estes são outros problemas a ter em conta quando as mensagens são reenviadas da Rede de Segurança:

  • Todas as notificações de estado de entrega (também conhecidas como DSNs, relatórios de entrega sem êxito, NDRs ou mensagens de devolução) são suprimidas para resubmissões de mensagens da Rede de Segurança: por exemplo, se a mensagem principal resultar num NDR, o NDR da mensagem reenviada não será entregue.

  • Os utilizadores removidos de um grupo de distribuição poderão não receber uma mensagem reenviada quando a Rede de Segurança Sombra submeter novamente a mensagem: Por exemplo, uma mensagem é enviada para um grupo que contém o Utilizador A e o Utilizador B e ambos os destinatários recebem a mensagem. Posteriormente, o utilizador B é removido do grupo. Mais tarde, é feito um pedido de reenviação da Rede de Segurança Primária para a base de dados da caixa de correio que contém a caixa de correio do Utilizador B. No entanto, a Rede de Segurança Primária está indisponível durante mais de 12 horas, pelo que o servidor Shadow Safety Net responde e reenvia a mensagem afetada. Durante a remissão da mensagem quando o grupo de distribuição é expandido, o Utilizador B já não é membro do grupo e não receberá uma cópia da mensagem reenviada.

  • Os Novos Utilizadores adicionados a um grupo de distribuição podem receber uma mensagem novamente submetida antiga quando a Rede de Segurança Sombra submeter novamente a mensagem: por exemplo, uma mensagem é enviada para um grupo que contém o Utilizador A e o Utilizador B e ambos os destinatários recebem a mensagem. Posteriormente, o utilizador C é adicionado ao grupo. Mais tarde, é feito um pedido de nova subscrição da Rede de Segurança Primária para a base de dados da caixa de correio que contém a caixa de correio do Utilizador C. No entanto, o servidor Da Rede de Segurança Primária está indisponível durante mais de 12 horas, pelo que o servidor Shadow Safety Net responde e reenvia as mensagens afetadas. Durante a remissão da mensagem quando o grupo de distribuição é expandido, o Utilizador C é agora membro do grupo e receberá uma cópia da mensagem reenviada.

  • Implementar a Rede de Segurança na Topologia hub-and-spoke: a Rede de Segurança foi concebida para proteger a entrega de mensagens em Servidores Exchange que alojam caixas de correio de utilizador final. Os clientes que implementaram uma topologia de encaminhamento hub-and-spoke devem desativar a Rede de Segurança nos servidores de transporte nos sites centrais para evitar um grande crescimento do tamanho da base de dados de transporte nas localizações dos hubs.