TBLine Cerified Mimecast Reseller

Voorkom Microsoft Exchange 'split brain'

Wat is split brain?

De Exchangedatabase kan beveiligd worden door een kopie te maken op een fysieke of virtuele server. Hiervoor zijn de Exchangedatabase High Availability en Distaster Recovery technieken zoals cluster-replicatie (Exchange 2007) of Database Availability Groups (Exchange 2010) beschikbaar. Een server is de 'eigenaar' van de database en verwerkt alle wijzigingen in de master-copy, terwijl een tweede server de mutaties ontvangt en deze verwerkt in de stand-by kopie. Het is van groot belang dat slechts één database actief is en gemuteerd wordt. Wanneer beide kopieën, om wat voor reden dan ook, actief worden en naar beiden wordt weggeschreven, dan ontstaat een situatie die 'split brain' wordt genoemd. Split brain betekent dus dat er twee ongelijke kopieën van de gegevens (twee 'hersenen') zijn waarbij niet kan worden vastgesteld welke de juiste is. Aangezien Exchange geen mechanisme heeft om de wijzigingen tussen de twee exemplaren te vergelijken en samen te voegen, zijn de herstelopties vrij beperkt. Vaak is de enige mogelijkheid het probleem te accepteren door één kopie te kiezen als hoofdkopie en waarschijnlijk alle gemaakte wijzigingen in de tweede kopie te verliezen.

Voorzieningen in Exchange 2010

Bij Exchange 2010 Database Availability Groups of bij een cluster verspreid over twee locaties kan met de 'file-share witness' split brain worden voorkomen. Dit is een standaard Windows-server met een gedeelde map, die toegankelijk is voor beide databaseservers, waarin de huidige status van elke server en database wordt vastgelegd. De methode werkt op de volgende manier: één van de twee database servers is de eigenaar van de gegevens omdat die de meerderheid heeft, ofwel quorum. De file-share witness server en de databaseserver heeft twee stemmen, tegenover de tweede database server met slechts een stem. Als de eerste databaseserver down gaat, maar file-share witness niet, dan kan een nieuw quorum worden bereikt door samen te werken met de tweede databaseserver. Deze heeft een kopie van de gegevens en staat de database toe te switchen naar die tweede server.

Methode niet waterdicht

Het quorum principe is niet waterdicht. Enkele voorbeelden: Een netwerkkabel wordt losgekoppeld van de eerste databaseserver of een switch-poort wordt per ongeluk wordt uitgeschakeld? De witness-server draait nog steeds en ook de tweede Exchangeserver met de kopie. Beide servers kunnen de eerste Exchangeserver met de actieve database niet meer zien of bereiken en zij veronderstellen dat de server down is. De witness server kan, samen met de tweede databaseserver, een nieuw quorum vormen en de tweede server activeert zijn kopie van de database. Zodra de netwerkverbinding van de eerste server, die nooit echt down is geweest, weer online komt, kan de split brain situatie ontstaan.   In een gevirtualiseerde omgeving nemen de risico's sterk toe. Een virtuele netwerkpoort op de eerste Exchangeserver kan worden uitgeschakeld en weer worden aangeschakeld nadat een fail-over heeft plaatsgevonden naar de tweede server. Een SAN herstart terwijl de eerste Exchangeserver nog actief was. De Exchangeserver was gevirtualiseerd met VMware, en VMware 'pauzeert' de virtual machine tijdelijk totdat de opslag weer online komt. De file-share witness wordt niet gepauzeerd en een fail-over naar de tweede server wordt automatisch uitgevoerd. Na herstart van het SAN en VMware constateert dat het weer "gezond" is, wordt automatisch de eerste Exchangeserver hervat. Deze server is niet op de hoogte van alles wat er sindsdien gebeurd was. De server neemt aan dat de tijd gestopt was en dat de database nog steeds voor hem actief is, terwijl deze tijdens een mutatie onderbroken werd. Dit resulteert in een corrupte database te wijten aan split-brain. Een switch van een Exchange-omgeving naar een tweede datacenter als gevolg van een stroomstoring in de eerste. Wanneer de spanning terugkomt kan de Exchange server opgestart worden voordat de WAN- verbinding weer actief is. Aangezien deze zich in het primaire datacenter bevindt, die ook de witness- server host, ontvangt de Exchange server automatisch quorum. Omdat het de andere Exchange server niet kan zien, denkt de server vervolgens dat het veilig is om de database te activeren.

Oplossingen

Er zijn oplossingen zoals de Database Activation Coordination) eigenschap die toegevoegd is aan Exchange, of met Power Shell uitsluiten dat de tweede Exchange databaseserver databases activeert, of de hypervisor configureren dat de Exchange server niet pauzeert maar reboot, of het plaatsen van de witness-server in een derde datacenter, of de configuratie van een alternatieve file-share witness in het tweede datacenter. Geen enkele oplossingen adresseert alle foutsituaties en elke situatie vraagt een specifieke oplossing waarbij specialistische deskundigheid nodig is. "Split brain" is zeker een serieus risico die beschadiging of verlies van gegevens kan veroorzaken. Met Mimecast is de inrichting van een kopie van de Exchange-database niet nodig en wordt in alle foutsituaties een split brain voorkomen zonder complexe oplossingen. Dit artikel heeft als bron het artikel geschreven door SPS, Continuïteit in IT, meer over SPS zie www.sps.nl.
Mimecast • E-mailbeveiliging • E-mailarchivering • E-mailcontinuďteit • File archivering • Unified Email Management • Lync archivering • Grote bestanden verzenden • Mobiele Apps Vraag offerte Downloads • Whitepapers • Analistrapporten • Brochures • Solution Briefs • Video's Nieuws • Persberichten • Nieuwsberichten • Inside Mimecast Over ons • TBLine en Mimecast • Contact
Klik op afbeelding om te vergroten
Klik op afbeelding om te vergroten
Klik op afbeelding om te vergroten
Oplossingen • Microsoft Exchange • Office 365 • Productiviteit en mobiliteit • Compliance • Postini verlaten • Fusies en acquisities
Home  Nieuws  >  Nieuwsberichten  >  Voorkom Microsoft Exchange ‘split brain’
Mimecast Oplossingen Downloads Nieuws Over ons Vraag offerte