none
Письма самопроизвольно удаляются из папок пользователей RRS feed

  • Вопрос

  • Коллеги, добрый день!

    MS Exchange Server 2016 Версия: 15.01.1466.003

    Столкнулся с очень не приятно особенностью. 

    Сегодня обратился пользователь с жалобой что не получил от меня письма отправленный полчаса назад.

    Проверив ящик пользователя, просмотрев все папки, нашел письма в удаленных (через восстановление удаленных элементов). Я бы списал это на случайность (пользователь зацепил письмо или еще что либо), но таких писем удаленных в один момент времени оказалось более сотни. Пользователь клянется что ничего не удалял, никаких правил не создавал, да и вообще с почтой только в режиме просмотра работал. 

    Есть ли механизмы определения какой процесс запустил процесс удаления писем? Или как ни будь еще поднять информацию по проблеме?

    Пользователи и раньше единично обращались по поводу пропавшей переписки и я всегда находил их в удаленных. Но я списывал на случайность. А вот оказывается случайности не случайны. 

    И второй вопрос, как запретить пользователю удалять письма из окна "Восстановление удаленных элементов". Что бы обезопасить компанию от потери информации путем целенаправленного удаления.

    Буду признателен за помощь!


    10 января 2019 г. 15:53

Ответы

  • День добрый.

    Включить логирование всех действий пользователей и админа над почтовым ящиком.

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox" -or RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails -eq "RoomMailbox" -or RecipientTypeDetails -eq "DiscoveryMailbox"} | Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 365 -AuditAdmin Update, MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf, Create, UpdateFolderPermission -AuditDelegate Update, SoftDelete, HardDelete, SendAs, Create, UpdateFolderPermissions, MoveToDeletedItems, SendOnBehalf -AuditOwner UpdateFolderPermission, MailboxLogin, Create, SoftDelete, HardDelete, Update, MoveToDeletedItems  

    Бекап, бекуп и бекуп. :)

    14 дней Delete Recovery Dumpster очень жить помогает. 

     
    Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} | Set-Mailbox -SingleItemRecoveryEnabled $true 


    MCITP, MCSE. Regards, Oleg


    17 января 2019 г. 19:11
    Модератор

Все ответы

  • По поводу второго вопроса - включите Single Item Recovery https://docs.microsoft.com/en-us/exchange/recipients/user-mailboxes/single-item-recovery?view=exchserver-2016 Тогда сообщения после удаления из Корзины (Dumpster, скрытая папка п/я Recoverable Items/Deletions, доступная через Восстановление удаленных элементов) будут сохраняться в друго скрытой папке Recoverable Items/Purges (тоже часть Dumpster, но недоступная пользователю), откуда их можно будет при необходимости достать средсвами поиска (например, Search-Mailbox)

    Слава России!

    10 января 2019 г. 18:12
  • Добрый день,

    по поводу оказавшихся в корзине писем.

    Как показала практика, чудес не бывает:

    1. Пользователь сам удаляет письма, но по какой то причине не сознается. Да, с таким сталкивался

    2. Правила почтового ящика. Проверить это просто:

    Get-InboxRule -Mailbox "пользователь с жалобой"

    https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/get-inboxrule?view=exchange-ps


    По поводу второго впороса - Singe Item Recovery это выход из ситуации.

    11 января 2019 г. 2:43
  • 1. Посмотрите ещё в сторону Retention Policy на проблемном пя. Если ситуация с удалением возникает постоянно, то вам нужно включить аудит на пя (в том числе для владельца), возможно после этого причину сразу определите.

    2. Помимо предложенного ещё рекомендую просто почаще делать инкрементальный бэкап (несколько раз в сутки). Если вы включите SIR, то БД начнут "распухать" и нужно иметь достаточное количество свободного места.

    11 января 2019 г. 6:07
  • Добрый день!

    Большое спасибо за ответы! Буду копать 8-)

    11 января 2019 г. 8:47
  • 1. Посмотрите ещё в сторону Retention Policy на проблемном пя. Если ситуация с удалением возникает постоянно, то вам нужно включить аудит на пя (в том числе для владельца), возможно после этого причину сразу определите.

    2. Помимо предложенного ещё рекомендую просто почаще делать инкрементальный бэкап (несколько раз в сутки). Если вы включите SIR, то БД начнут "распухать" и нужно иметь достаточное количество свободного места.


    Чем советуете бэкапится что бы оперативно можно было восстановить базу? Честно говоря большого опыта в этом нет. Эта зараза за мою практику еще ни разу не падала )). Хотя архивы делаю, но целиком виртуальная машина.
    11 января 2019 г. 8:48
  • Самый простой способ защиты базы - Windows Server Backup. Он встроен в ОС и не стоит отдельных денег.

    При этом будут обрезаться транзакционные логи, если не включен circular logging.

    Все остальное:

    • Microsoft System Center - Data Protection Manager
    • Acronis Backup

    стоят денег, а последний продукт очень удобен так как может достаточно просто восстанавливать почтовый ящик без восстановления MDB как в классическом варианте с WSB.

    Нужно помнить самое главное, что Exchange не поддерживает восстановление из снапшотов.

    Иными словами - нельзя просто так взять и восстановить VM с Exchange. Это не поддерживаемая конфигурация.

    Some hypervisors include features for taking snapshots of virtual machines. Virtual machine snapshots capture the state of a virtual machine while it's running. This feature enables you to take multiple snapshots of a virtual machine and then revert the virtual machine to any of the previous states by applying a snapshot to the virtual machine. However, virtual machine snapshots aren't application aware, and using them can have unintended and unexpected consequences for a server application that maintains state data, such as Exchange. As a result, making virtual machine snapshots of an Exchange guest virtual machine isn't supported.
    https://docs.microsoft.com/en-us/exchange/plan-and-deploy/virtualization?view=exchserver-2016

    14 января 2019 г. 7:14
  • 2. Помимо предложенного ещё рекомендую просто почаще делать инкрементальный бэкап (несколько раз в сутки). Если вы включите SIR, то БД начнут "распухать" и нужно иметь достаточное количество свободного места.

    С чего это они распухать-то начнут? Распухать они будут, если включить какой-нибудь вариант удержания (старый добрый Litigation Hold или его более новые аналоги), который блокирует фактическое удаление из п/я. А SIR удаление не запрещает - по истечении срока хранения сообщения из корзины точно так же удаляются, как они и без него бы удалялись - SIR всего лишь блокирует возможность удаления сообщений до истечения этого срока, перемещая удаляемое из корзины в другую папку в той же корзине, только недоступную пользователю

    Слава России!

    14 января 2019 г. 19:04
  • День добрый.

    Включить логирование всех действий пользователей и админа над почтовым ящиком.

    Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox" -or RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails -eq "RoomMailbox" -or RecipientTypeDetails -eq "DiscoveryMailbox"} | Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 365 -AuditAdmin Update, MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf, Create, UpdateFolderPermission -AuditDelegate Update, SoftDelete, HardDelete, SendAs, Create, UpdateFolderPermissions, MoveToDeletedItems, SendOnBehalf -AuditOwner UpdateFolderPermission, MailboxLogin, Create, SoftDelete, HardDelete, Update, MoveToDeletedItems  

    Бекап, бекуп и бекуп. :)

    14 дней Delete Recovery Dumpster очень жить помогает. 

     
    Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} | Set-Mailbox -SingleItemRecoveryEnabled $true 


    MCITP, MCSE. Regards, Oleg


    17 января 2019 г. 19:11
    Модератор