вторник, 6 июля 2010 г.

Восстановление удаленных и модифицированных элементов в Exchange 2010

image_thumb17 В прошлой статье – «Поиск в нескольких почтовых ящиках в Exchange 2010» мы начали обсуждать проблему контроля над оборотом конфиденциальных данных, и было рассказано про возможности Exchange 2010 в расследовании утечки информации методом поиска в почтовых ящиках пользователей. Но один лишь поиск определенных фраз не всегда решает задачу, стоящую перед сотрудниками службы внутренней безопасности. Чтобы предупредить удаление или модификацию записей в почтовых ящиках, Exchange 2010 предлагает администраторам функционал Юридического удержания (Litigation Hold) и восстановления отельных элементов (Single item recovery).

Удаление записей в Exchange 2010

Перед тем, как разбираться с техникой восстановления удаленных элементов, давайте посмотрим, как происходит процесс удаления записей из почтовых ящиков Exchange 2010. Его можно проиллюстрировать следующим изображением:

image_thumb1
Рис.1: Процесс удаления записей в Exchange 2010
Из всех папок в почтовом ящике записи сначала удаляются в папку «Удаленные» (1), затем при очистке папки «Удаленные» записи перемещаются в скрытую папку элементов для восстановления Recoverable Items folder\Deletions (2). При включенном режиме юридического удержания, в эту же папку перемещаются записи при их модификации (подпапка Versions) (4). Через 14 дней из подпапки Deletions записи перемещаются в подпапку Purges и удаляются на совсем из базы данных во время работы помощника по обслуживанию почтовых ящиков (Manage Folder Assistant), т.е. по умолчанию каждый день с 01-00 до 09-00. Далее давайте обсудим данные стадии подробнее.
Первое, что нужно знать – это то, что в Exchange существует 2 вида удалений:
  • обратимое удаление (1) – простое удаление записей, при котором элементы перемещаются в папку «Удаленные»;
  • необратимое удаление (2) – осуществляется при удалении элементов из папки «Удаленные», либо путем нажатия сочетания клавиш SHIFT и DELETE.
После выполнения необратимого удаления сообщение перемешается в папку элементов для восстановления (Recoverable Items folder) и пользователь больше его не видит. В этой папке сообщение хранится по умолчанию 14 дней.

Папка элементов для восстановления (Recoverable Items folder)

Папка элементов для восстановления (Recoverable Items folder) – это новая функция Exchange 2010, она заменяет компонент, обычно называемый корзиной в предыдущих версиях.
Папка Recoverable Items folder содержит три дочерних папки:
  • Удаление (Deletions) – сюда перемещаются элементы, удаленные из папки «Удаленные» или безвозвратно удаленные из других папок. Они будут видимы пользователю при использовании средства восстановления удаленных элементов в Outlook.
  • Очистка (Purges) - сюда перемещаются элементы, удаленные из папки «Deletions» и элементы, для которых истек период хранения. Элементы в этой папке не будут видимы пользователям, использующим средство восстановления удаленных элементов. Когда помощник по обслуживанию почтовых ящиков (Managed Folder Assistant) обрабатывает почтовый ящик, элементы в папке «Очистка» удаляются из базы данных, но если ящик находится в режим хранения юридической информации (Litigation Hold), помощник по обслуживанию почтовых ящиков не удаляет элементы из этой папки.
  • Версии (Versions). Когда пользователь Exchange 2010, для которого включен режим хранения юридической информации, меняет отдельные элементы почтового ящика, исходный элемент сохраняется для соблюдения требований обнаружения. Папка «Версии» не отображается для пользователей.
Папки «Очистка» и «Версии» не доступны простым пользователям, но администраторы могут делегировать право доступа к ним путем добавления пользователя в группу ролей RBAC «Управление обнаружением» (Discovery Management), о процедуре добавления пользователей в группы ролей можно прочитать в предыдущей статье «Поиск в нескольких почтовых ящиках».

Single item recovery

Как уже было сказано выше, из подпапки Deletions в папке Recoverable Items folder, пользователь самостоятельно может восстановить элементы. Этот процесс называется Single item recovery, по умолчанию он включен, и удаленные сообщения хранятся в течение 14 дней, этот срок можно изменить для всех пользователей в настройках базы данных почтовых ящиков на вкладке Limits:
image_thumb3
Рис.2: Срок хранения удаленных писем в настройках базы данных
Set-MailboxDatabase –Identity <имя базы данных> –DeletedItemRetention <количество дней>
Либо он может быть изменен для конкретного почтового ящика в его свойствах – вкладка Mailbox Settings – Storage Quota:
image_thumb5
Рис.3: Изменение параметров хранения удаленных записей для конкретного почтового ящика.
Set-Mailbox –Identity <имя почтового ящика> –RetainDeletedItemsFor <количество дней>
Функцию Single Item Recovery можно отключить для всех почтовых ящиков на сервере командой:
Get-Mailbox | Set-SingleItemRecovery $True/False
О том, как пользователи могут самостоятельно восстанавливать элементы из папки Recoverable Items folder\Deletions мы поговорим дальше.

Юридическое удержание (Litigation Hold) и Single item recovery

В Exchange Server 2010 функция юридического удержания позволяет добиться следующего:
  • Для пользователей можно включать режим хранения, чтобы поддерживать элементы почтовых ящиков в неизмененном состоянии;
  • Сохраняются элементы почтовых ящиков, удаленные пользователями;
  • Сохраняются элементы почтовых ящиков, автоматически удаляемые службой управления записями обмена сообщениями (MRM);
  • Хранение юридической информации не затрагивает пользователя, так как работа службы управления записями обмена сообщениями не прерывается;
  • Допускается поиск и обнаружение хранимых таким образом элементов.
Для хранения юридической информации также используется папка элементов для восстановления (Recoverable Items folder).
Юридическое удержание может быть включено для отдельного почтового ящика командой:
Set-Mailbox user1@test.local -LitigationHoldEnabled $true
При этом на активацию данной функции может уйти около часа.
В Exchange 2010 SP1 юридическое удержание можно включить через Exchange Control Panel, либо через графическую консоль управления, как показано на рисунках:
image_thumb8
Рис.4: Включение юридического удержания через ECP в Exchange 2010 SP1.
image_thumb9
Рис.5: Включение юридического удержания через EMC в Exchange 2010 SP1.

Сравнение Single item recovery и Litigation Hold

Возможночти восстановления удаленных элементов при помощи функций Single item recovery и Litigation Hold можно сравнить в таблице:
image

Восстановление записей

Для самостоятельного восстановления пользователем записей, которые были необратимо удалены нужно воспользоваться средством восстановления удаленных элементов в MS Outlook, для этого в Outlook 2010 перейдем в меню Папка – раздел Очистка – пункт Восстановление удаленных элементов:
image_thumb12
Рис.6: Восстановление писем из папки Recoverable Items folder\Deletions
Далее нужно выбрать необходимые записи и нажать кнопку Восстановить. В этом же окне можно окончательно удалить записи, в результате чего они будут перемещены в подпапку Recoverable Items folder\Purges и удалены из базы данных при обработке почтового ящика помощником по обслуживанию почтовых ящиков (Manage Folder Assistant).
Что касается содержимого папок Purges и Versions, то их содержимое может просмотреть только член группы Discovery Management, выполнив запрос на поиск в почтовом ящике. О том, как работает поиск по нескольким почтовым ящикам было рассказано в прошлой статье «Поиск в нескольких почтовых ящиках».

Заключение

В результате использования функций Single item recovery и Litigation Hold администраторы серверов Exchange 2010 могут дать пользователям возможность не только восстанавливать случайно удаленные записи, но и в случае необходимости восстанавливать эти записи в оригинальном виде, после их умышленной или не умышленной модификации.
PS. Полный цикл статей по теме “Управление почтовыми ящиками” вы можете скачать в формате PDF.

16 комментариев:

Unknown комментирует...

hi
спасибо за статью. полезно.
однако есть вопрос:
можно ли как-нибудь восстановить удаленный контакт или, например, другой элемент типа записи календаря, задачи и тд?

Алексей Богомолов (Alexx) комментирует...

К сожалению у меня нет ответа на ваш вопрос (

Анонимный комментирует...

Добрый день!
Как можно выбрать все письма за один день для конкретного почтового ящика/пользователя и для всех пользователей?

Unknown комментирует...

Добрый день.
Спасибо за Ваш блог.
А что можно сделать для экстренного освобождения места на диске?
Ситуация:
Есть 2 хранилища, расположенные на разных дисках (назовем их "Большое" и "Маленькое").
На одном из дисков заканчивается место (стало меньше 1 Гб), поэтому приостановилась обработка почтовой очереди для ящиков хранилища "Маленькое".
Я переместил один из ящиков с маленького хранилища в большое. Запрос выполнился, но место не освободилось, т.к. в параметрах маленького хранилища указано хранение удаленных сообщений в течении 14 дней. Но в данном случае хранение удаленных сообщений не нужно, т.к. ящик перемещен в другое хранилище.
Я выставил значение 0 в поле "Хранить удаленные сообщения..." и выполнил команду
Start-ManagedFolderAssistant -Identity "Перемещенный ящик".
И ничего не произошло.
Как можно в таки случаях форсировать удаление сообщений?
Спасибо.

Алексей Богомолов (Alexx) комментирует...

1. Скорее всего у вас на диске большую часть пространства занимают логи, так что выставите Circular Logging для базы (если ещё не сделали) и они сами удалятся.
2. Файл базы данных edb может только расти, уменьшить его удаляя сообщения не возможно. В таком случае в базе просто появляется свободное место, которое заполняется новыми данными. Чтобы уменьшить сам файл базы данных, его надо дефрагментировать, а это значит отключить базу + надо около 110% свободного места на диске, т.к. в процессе дефрагментации создается новый такой файл.
В вашем случае лучше сделать перенос ящиков в другую (новую) базу - New Local Move Request, а эту базу удалить.

Unknown комментирует...

Алексей, спасибо.
Циклическое ведение журнала уже было включено.

Анонимный комментирует...

здравствуйте, извините за оффтоп: хотелось бы услышать ваше мнение о включении Circular Logging; плюсы и минусы. прочитал что могут возникнуть проблемы с включенным циклическим ведением журнала при восстановление базы из фулл VSS бекапа, сделанным стандартными средстави ОС (https://social.technet.microsoft.com/Forums/ru-RU/a2ac5560-1bea-4402-92ac-c7d65f1c5965/-?forum=oldexch)

Алексей Богомолов (Alexx) комментирует...

Циклическое ведение логов обрезает все логи (что очевидно), соответственно при восстановлении из любого бэкапа вы не сможете получить полностью актуальную версию базы, только версию на момент бэкапа. Не думаю, что включение циклического ведения это хорошая идея без DAG`a, лучше делайте Full backup почаще, логи сами будут обрезаться.

Анонимный комментирует...

Алексей, большое спасибо за рекомендации.

Анонимный комментирует...

Помогите пожалуйста! В мою почту залезли и специально удалили всю переписку ,даже в папках. Не могу восстановить, вкладка восстановить удаленные элементы серого цвета, не работает, как быть!? Помогите!!!!!!!!!!!

Алексей Богомолов (Alexx) комментирует...

Посмотрите через утилиту MFCMAPI папку Recoverable Items Folder, если там ни чего нет, то восстановить можно только из бэкапа.

Анонимный комментирует...

Добрый день, Алексей!
Подскажите, можно каким нибудь образом скрыть кнопку
"Удалить выбранные элементы" в разделе "Восстановление удаленных элементов"?
Спасибо

Анонимный комментирует...

У вас там опечатка: Восстановления отельных элементов

Unknown комментирует...
Этот комментарий был удален автором.
Unknown комментирует...

Здравствуйте, люблю читать ваши статьи, у меня недавно случилась проблема- если пользователь удалил почту с сотового, возможно ли восстановить их через этот способ папка-восстановление через компьютер? С того момента прошло около недели.

После того как пользователь удалил входящие около 4тыс, перестала работать данная почта выдает слуд ошибки:

В OWA выдает ошибки - при попытке использования почтового ящика произошла ошибка.

В outlook 2010 выдает ошибку -Невозможно открыть почтовые файлы используемые по умолчанию. Чтобы получить возможность синхронизации папок с файлом данных Outlook(Ost)Небходимо подключиться к серверу microsoft exchange с текущим профилем.

Alexey Bogomolov комментирует...

очень странно... удаление писем в ящике не должно привести к такому поведению. Попробуйте вот это https://technet.microsoft.com/ru-ru/library/ff625221(v=exchg.141).aspx

Отправить комментарий