Exchange2010的目标是降低单项恢复的复杂性和相关的管理成本。在Exchange Server的早期版本中,管理员进行单个项目的恢复有两种方案:垃圾箱(注:原文为dumpster,也有文章译为“转储”,为直观起见,本文采用“垃圾箱”译法。下同)和恢复。但两种方法都有其不足之处。
术语
下面的定义有助于了解本文内容:
•存储软删除-即一个项目已从删除项目文件夹中删除放入到垃圾箱中。
•存储硬删除-即一个项目已经标记为从存储中删除。
•通过Outlook硬删除(按住Shift键删除) -即最终用户执行Shift+Delete操作将一个项目删除。这导致该项目不经过“已删除项目”文件夹,直接放入垃圾箱内。
Exchange的单项恢复早期版本
最终用户的单项恢复功能通过存储垃圾箱实现。管理员以每个数据库或每个邮箱为单位配置垃圾箱。默认情况下,Exchange 2003中删除项目保留7天,Exchange 2007的默认值是14天。
最终用户典型的恢复过程是这样的(见图1):
1.用户收到邮件;
2.用户删除邮件,该邮件被移动到“已删除项目”文件夹中;
3.用户清空“已删除项目”文件夹(或者像Managed Folders/Records Management定期删除“已删除项目”文件夹一样,自动执行删除操作);
4.用户意识到自己需要事先删除的项目,使用Outlook访问“恢复删除项目”;
5.假设已删除的项目的时间戳仍在“已删除项目”保留期内,用户有两种选择:
·用户可以恢复该项目。回收的项目放回到“已删除项目”文件夹;
·用户可以清除已删除的项目。这将导致邮件彻底从用户邮箱中删除。
图1:早期版本的垃圾箱
如果该删除项目的时间戳超出保留期,最终用户则不可能对项目进行恢复。用户必须调用Help Desk,申请对该项目的恢复。这包括:
1.用户知道删除该项目的时间;
2. Exchange管理员能够定位一个包含该项目的备份文件;
3.Exchange管理员将数据库成功恢复到一个恢复存储组;
4. Exchange管理员提取删除项目,并提供给用户。
如果备份是无效的,或者在相关期间没有备份,删除数据是无法恢复的。
另一个需要强调问题是,在Exchange的早期版本中,无法防止最终用户从“恢复删除项目”视图中清除数据,因此,对一个组织而言,必须确保能够避免不必要的风险。
在Exchange Server的早期版本中,基本上每个文件夹中都有一个垃圾箱视图。垃圾箱中的项目(以下简称为“垃圾箱1.0”)存放在它们被软删除或者被 ptagDeletedOnFlag进行时间标记的文件夹中。这些项目作为特例,被排除在Outlook浏览项目之外。此外,作了此标记的数据不能被搜索或索引。
注:用户可以执行shift+delete操作,将邮件直接放入到垃圾箱,而不经过“已删除邮件”文件夹。在Outlook 2007之前,默认情况下,“恢复已删除邮件”工具只在“已删除项目”文件夹的垃圾箱视图中才可见。通过设置DumpsterAlwaysOn的注册表键值(详见http://support.microsoft.com/kb/886205),用户可以启用邮箱中所有文件夹的“恢复已删除邮件”工具,这样Exchange 2003或Exchange 2007邮箱中任意文件夹里的转储数据对用户可见。
Exchange 2010基础架构的主要变化之一就是真正实现避免用户风险。因此,Exchange 2010年必须满足以下要求:
•Exchange必须确保转储数据同邮箱一起迁移;
•转储数据必须编入索引,能够被发现;
•必须限定转储数据的数量;
•必须保证数据只能从垃圾箱中清除;
•Exchange必须跟踪某些内容的修改;
•应保证每个邮箱而不是每个文件夹都有垃圾箱。
为满足这些要求,需要重新构建垃圾箱。Dumpster 1.0和Dumpster 2.0仅是一个视图,而Exchange 2010将其设定为一个称作“可恢复项目”的文件夹,置于用户邮箱的Non-IPM子树之中(注意:这是邮箱的一个隐藏部分,最终用户不能通过任何界面看到它) 。该文件夹有三个子文件夹: 删除文件夹、版本文件夹以及清除文件夹。
“删除”文件夹取代了原有“恢复已删除项目”工具中的ptagDeletedOnFlag视图。用户对一个项目执行了软删除或Outlook硬删除后,该项目被移动到“可恢复项目”或“删除”文件夹中。当用户访问Outlook或 OWA中的“恢复已删除项目”时,RPC客户端访问服务将此请求进行翻译,这时用户就返回到“可恢复项目”或“删除”文件夹视图。
将垃圾箱设置为一个文件夹,满足了三个要求:
•垃圾箱数据已编入索引并可被发现;
•垃圾箱数据可以同邮箱一起迁移;
•垃圾箱数据以每邮箱而非每文件夹为单位存储。从最终用户角度来看,这意味着删除的数据更容易恢复,原因是恢复已删除项目时只须进入邮箱而不用遍历全部文件夹。
为确保能够阻止拒绝服务攻击的大量数据进入垃圾箱,Dumpster 2.0可以进行容量设置。这些设置应用到每个数据库和每个邮箱:
•可恢复项目告警容量(RecoverableItemsWarningQuota)—软限制的默认值为20 GB。可恢复项目文件夹达到此容量时,Exchange管理员将收到一个事件日志警报。容量达到上限之时即发出此警报,之后,每日一次。默认情况下,由于数据库级别的限制,邮箱不设定该属性。受此限制的项目将会按照先入/先出(FIFO)的原则从垃圾箱中删除,也就是说最先到达垃圾箱的项目会首先被删除。例如,一个20GB容量的垃圾箱中最先存放了用户删除掉的50MB的附件,垃圾箱空间用尽时,这个附件将为新近存入的相同大小的文件腾出空间。
•可恢复项目容量(RecoverableItemsQuota)—硬限制的默认值为30 GB。达到此容量时,软限制不再起作用。Exchange管理员将收到一个事件日志警报。容量达到上限之时即发出此警报,之后,每日一次。默认情况下,由于数据库级别的限制,邮箱不设定该属性。
注意:在Exchange 2010中,每个邮箱都同时配有一个存档邮箱,主邮箱和存档邮箱都各有一个垃圾箱。在主邮箱中删除的数据存入主邮箱垃圾箱,而在归档邮箱中删除的数据存入存档垃圾箱内。
Exchange 2010如何满足另外的两个条件,以确保数据不被他人无意或恶意清除,以及如何实现版本追踪呢?Exchange 2010包括两个机制,以满足这些要求:数据短期保存和数据长期保存。
数据短期保存
Exchange 2010能够确保在一段时间内保存邮箱数据。通过运行以下cmdlet可以启用此功能:
Set-Mailbox
注意:启用此功能时,用户将被告知,需要60分钟单项恢复才会生效。
删除数据保存时间可以从已删除项目保留窗口看到。在Exchange 2010中,每个邮箱或每个数据库配置的默认时间是14天。利用以下cmdlet可以改变设置:
对于数据库: Set-MailboxDatabase
对于邮箱: Set-Mailbox
注意:不管用户是否启用单项恢复,在“可恢复项目”文件夹中,日历条目总保存120天。期满时,数据长期保存机制将禁用过期的项目。
这一点同Exchange的早期版本有所不同。短期保存的已删除项目仍被移到“可恢复项目”文件夹内。但是,这些数据在时间戳过期之前不能被清除。即使最终用户试图清除数据,这些数据仍将保留。下面的例子假定是恶意用户所为:
1.用户发送或接收一封非法邮件;
2.用户删除该邮件,邮件被移动到“已删除项目”文件夹;
3.用户清空“已删除项目”文件夹;
4.用户在Outlook或OWA中使用“恢复已删除项目”功能;
5.用户选择前述项目并删除。这时,用户认为已经消除了证据。
这种情况下,用户的工作流是完整无损的。然而,该邮件并未从邮箱存储中清除。相反,邮件已经从可恢复项目/删除文件夹转移到可恢复项目/清除文件夹中。可恢复项目/清除文件夹对最终用户不可见,这意味着他们不能通过“恢复已删除项目”工具看到保存这个文件夹里的数据。
当邮件删除时间戳已超过已删除项目保留窗口期限时,“记录管理”功能将清除该项目。请参阅此示意图2:
图2. Dumpster 2.0
数据短期保存功能不仅能防止在已删除项目保留窗口过期之前清除数据,而且也使版本信息功能发挥了作用。某个项目改变之后,copy-on-write机制将保持该项目的原始版本,原始项目存入可恢复项目/版本文件夹中。此文件夹对最终用户不可见。copy-on-write的触发条件包括:
•对于邮件和信息(IPM.Post*和IPM.Note *),copy-on-write捕获主题、正文、附件、收/发件人、收/发日期的变动。
•对于其他类型的项目,除了在文件夹间转移邮件和已读/未读状态发生变化两种情况外,其他任何变化都将触发copy-on-write。
•自动保存草稿时,不适用copy-on-write机制,以避免过度复制。
有时,用户需要一个较长时期保存数据的方法,甚至是无限期的。最典型的应用就是法律中诉讼中需要保存证据。通过Exchange 2010控制面板(Exchange Control Panel,ECP)或通过Set-Mailbox下的cmdlet对LitigationHoldEnabled参数进行设置,都只可以做到这一点。
注意:和数据短期保存一样,启用此功能时,用户也将被告知,需要60分钟单项恢复才会生效。
该功能启用后,记录管理将停止对垃圾箱数据的清除。请考虑以下四种情况:
1.当最终用户从“已删除项目”文件夹删除某项目,或者在Outlook/OWA中通过shift+delete执行了软删除,该项目转移到可恢复项目/删除文件夹,该文件夹可以在其中可以在Outlook /OWA 的“恢复已删除项目”视图中恢复。
2.如果最终用户从“恢复已删除项目”视图中清除数据(即从可恢复项目/删除文件夹中硬删除),该项目将被移动到可恢复项目/清除文件夹。
3. 当“记录管理”功能从可恢复项目/删除文件夹中清除数据时,该项目将被移动到可恢复项目/清除文件夹中。
4.当最终用户修改项目时,原始项目的副本放置在可恢复项目/删除文件夹中(前面的“数据短期保存”一节已作讨论)。
另外,该功能启用后,RecoverableItemsWarningQuota和RecoverableItemsQuota的设置将被忽略。换句话说,因为该功能的启用,垃圾箱容量不再受限,从而确保数据不会被清除以及数据不被存放在垃圾箱。
恢复已清除数据
存放在可恢复项目/清除文件夹内的数据对用户是不可见的。然而,对于Exchange组织内被赋予适当权限的用户,这些数据则被编入索引并可发现。基于角色的访问控制(RBAC ,Role Based Access Control)提供了Discovery Management的功能,允许非技术人员进行安全搜索,但没有提供改变Exchange服务器配置的权限。拥有Discovery Management权限的授权人员或其他Exchange管理员可以利用Exchange 控制面板(ECP)简单易用的搜索界面进行搜索。
当Help Desk收到单项恢复的请求,将采取以下行动:
1.Help Desk或者拥有Discovery Management权限的人员利用ECP对目标用户的邮箱进行搜索,以查找有关数据。该框架支持管理员使用高级查询语法。恢复的数据提取后放置在一个以用户姓名和日期/时间命名的Discovery邮箱内,该邮箱实际上是一个文件夹。
2.然后,管理员通过OWA或Outlook打开Discovery邮箱,验证恢复出的邮件内容是否与最终用户要求的内容一致。
3.管理员利用Exchange命令行将数据从Discovery邮箱导出到目标用户邮箱。数据最后放回到最终用户的邮箱。
4.Help Desk完成操作。
备份与单项恢复
了解了Exchange 2010的特性之后,用户可能还会有这样一个疑问:是否需要单项恢复的备份?答案取决于用户的备份需求和容量规划。
如今,许多客户缩短了已删除项目的存续期,但延长了保留备份文件的时间期限(由14天以至数月甚至数年不等)。
例如,某个客户备份文件的保存期限是90天,而在Exchange中只保留5天。该客户以周为单位进行备份,以便为最终用户提供已删除项目的恢复。如果客户转为使用Exchange 2010,只需提升邮箱垃圾箱的容量,将这个过程转移到Exchange即可:
·用户每个工作日收发邮件100封,平均每个邮件50K;
·启用单项恢复。设置已删除项目保留窗口的保存期限为90天;
·10%的项目做过修改;
·邮箱容量计算:
﹡5工作日* 100邮件= 500邮件/周
﹡清除:
? ⊕500邮件/周* 13周= 6500邮件/保存期
? ⊕6500 邮件* 50KB=318MB
﹡版本:
? ⊕500邮件/周* 13周= 6500邮件/保存期
? ⊕6500邮件* 10% = 650邮件
? ⊕650 邮件* 50KB=32MB
﹡每个邮箱总计需要空间:350MB
通过将每个邮箱的最低容量提升到350MB,进行单项恢复时不再需要备份。单项恢复得以维持并在Exchange中进行。假设前面例子中已删除项目保留期限设置为365天,每个邮箱至少需要额外增加1.4GB的存储空间。
最后,如果合理规划和设计存储子系统,并且正确运用邮箱功能,传统的时间点备份可以交由灾难恢复机制来完成。
结论
Exchange 2010推出了单项恢复的概念。单项恢复保护数据不被清除,并提供版本控制功能(即可以保留该项目的形式不变)。默认情况下,数据在已删除项目保留窗口期限之前不会删除。此外,Exchange 2010提供了一个防止数据删除的长期保存机制。下表概括了Exchange 2010单项恢复的一些功能:
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。