Safety Net

  • Article

S’applique à : Exchange Server 2013

Dans Microsoft Exchange Server 2013, le principal mécanisme de haute disponibilité des boîtes aux lettres est le groupe de disponibilité de base de données (DAG). Pour plus d’informations sur les DAG, consultez Gestion des groupes de disponibilité de base de données. La benne à ordures de transport a été introduite pour la première fois dans Exchange 2007 et a été améliorée dans Exchange 2010 pour fournir des copies redondantes des messages une fois qu’ils ont été correctement remis aux boîtes aux lettres dans les DAG. Dans Exchange 2010, la benne à ordures de transport a permis de se protéger contre la perte de données en conservant une file d’attente de messages correctement remis qui n’avaient pas été répliqués sur les copies de la base de données de boîtes aux lettres passives dans le DAG. Lorsqu'une défaillance de la base de données de boîtes aux lettres ou du serveur exigeait la promotion d'une copie obsolète de la base de données de boîtes aux lettres, les messages contenus dans la benne de transport étaient automatiquement renvoyés à la nouvelle copie active de la base de données de boîtes aux lettres.

La benne à ordures de transport a été améliorée dans Exchange 2013 et s’appelle désormais Safety Net.

Safety Net ressemble à la benne de transport d'Exchange 2010 sur certains points :

  • Safety Net est une file d'attente qui est associée au service de transport sur un serveur de boîtes aux lettres. Cette file d'attente stocke des copies des messages qui ont été correctement traités par le serveur.

  • Vous pouvez spécifier la durée pendant laquelle Safety Net stocke les copies des messages correctement traités avant qu'ils n'expirent et ne soient automatiquement supprimés. La valeur par défaut est 2 jours.

Voici en quoi Le filet de sécurité est différent dans Exchange 2013 :

  • Le réseau de sécurité ne nécessite pas de DAG. Pour les serveurs de boîtes aux lettres qui n’appartiennent pas à des DAG, Safety Net stocke des copies des messages remis sur d’autres serveurs de boîtes aux lettres dans le site Active Directory local.

  • Le filet de sécurité lui-même est désormais redondant et n’est plus un point de défaillance unique. Ceci introduit le concept du filet de sécurité principal et du filet de sécurité fantôme. Si le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures, les demandes de retransmission deviennent des demandes de retransmission de secours et les messages sont retransmis à partir du dispositif de sécurité de secours.

  • Safety Net prend en charge une partie de la redondance de l’ombre dans les environnements DAG. La redondance de l’ombre n’a pas besoin de conserver une autre copie du message remis dans une file d’attente fantôme pendant qu’elle attend que le message remis soit répliqué sur les copies passives de la base de données de boîtes aux lettres sur les autres serveurs de boîtes aux lettres dans le DAG. La copie du message remis est déjà stockée dans Safety Net et le message peut donc être retransmis à partir de Safety Net, si nécessaire.

  • Dans Exchange 2013, la haute disponibilité du transport est plus qu’un simple effort pour la redondance des messages. Exchange 2013 tente de garantir la redondance des messages. Pour cette raison, vous ne pouvez pas spécifier de limite de taille maximale pour le filet de sécurité. Vous pouvez uniquement spécifier la durée pendant laquelle le service Safety Net stocke les messages avant qu’ils ne soient automatiquement supprimés.

Principes de fonctionnement de Safety Net

La redondance de secours conserve une copie redondante du message lorsque le message est en transit. Safety Net conserve une copie redondante d'un message une fois ce dernier correctement traité. Aussi, Safety Net intervient là où finit la redondance de secours. Les mêmes concepts relatifs à la redondance des ombres, y compris la limite de haute disponibilité de transport, les messages principaux, les serveurs principaux, les messages instantanés et les serveurs d’ombre s’appliquent également à Safety Net. Pour plus d'informations, consultez la rubrique Redondance des clichés instantanés.

Le dispositif de sécurité principal existe sur le serveur de boîtes aux lettres qui contenait le message principal avant que le message ne soit correctement traité par le service de transport. Cela peut signifier que le message a été remis au service de transport de boîtes aux lettres sur le serveur de boîtes aux lettres de destination. Ou bien que le message a été relayé via le serveur de boîtes aux lettres dans un site Active Directory conçu comme un site hub pendant son transit vers le groupe de disponibilité de base de données de destination ou le site Active Directory. Une fois que le serveur principal a traité le message principal, le message est déplacé de la file d’attente active vers le réseau de sécurité principal sur le même serveur.

Le dispositif de sécurité de secours existe sur le serveur de boîtes aux lettres qui contenait le message instantané. Une fois que le serveur de clichés instantanés a déterminé que le serveur principal a traité correctement le message principal, il déplace le message instantané de la file d'attente de secours vers le dispositif de sécurité de secours sur le même serveur. Bien que cela puisse sembler évident, l’existence du Shadow Safety Net nécessite l’activation de la redondance des ombres, et la redondance des ombres est activée par défaut dans Exchange 2013.

Les paramètres utilisés par Safety Net sont décrits dans le tableau suivant.

Paramètre Valeur par défaut Description
SafetyNetHoldTime sur Set-TransportConfig 2 jours Durée de stockage des messages principaux correctement traités dans le dispositif de sécurité principal et des messages instantanés avec accusé de réception dans le dispositif de sécurité de secours.

Vous pouvez également spécifier cette valeur dans le Centre d’administration Exchange (EAC) à l’adresse Flux> de messagerieConnecteurs>de réception Plus d’optionsIcône Plus d’options Paramètres>> detransport de l’organisationTemps> de conservation du filetde sécurité.

Les messages instantanés non reconnus finissent par expirer de Shadow Safety Net après la somme de SafetyNetHoldTime et MessageExpirationTimeout sur Set-TransportService.

Pour éviter la perte de données pendant les nouvelles soumissions de Safety Net, la valeur de SafetyNetHoldTime doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie différée de la base de données de boîtes aux lettres.
ReplayLagTime sur Set-MailboxDatabaseCopy Non configurée Temps d'attente nécessaire au service de réplication Microsoft Exchange pour relire les fichiers journaux qui ont été copiés vers la copie de la base de données passive. La définition de ce paramètre sur une valeur supérieure à 0 engendre la création d'une copie retardée de la base de données de boîtes aux lettres. La valeur maximale est de 14 jours.

Pour éviter la perte de données pendant les nouvelles soumissions de Safety Net, la valeur de ReplayLagTime doit être inférieure ou égale à la valeur de SafetyNetHoldTime sur Set-TransportConfig pour la copie différée de la base de données de boîtes aux lettres.
MessageExpirationTimeout sur Set-TransportService 2 jours La durée de temps pendant laquelle un message peut rester dans une file d'attente avant d'expirer.
ShadowRedundancyEnabled sur Set-TransportConfig $true
  • $true active la redondance fantôme sur tous les serveurs de transport de l’organisation.
  • $false désactive la redondance fantôme sur tous les serveurs de transport de l’organisation.

Un filet de sécurité redondant nécessite l’activation de la redondance d’ombre.

Retransmission de messages à partir de Safety Net

Les réadmissions de messages à partir de Safety Net sont lancées par le composant Active Manager du service de réplication Microsoft Exchange qui gère les DAG et les copies de base de données de boîtes aux lettres. Aucune action manuelle n’est nécessaire pour soumettre à nouveau des messages à partir de Safety Net. Pour plus d'informations sur Active Manager, consultez la rubrique Active Manager.

Il existe deux scénarios de base de retransmission de messages Safety Net :

  • Après le basculement automatique ou manuel d'une base de données de boîtes aux lettres dans un groupe de disponibilité de base de données.
  • Après avoir activé une copie en retard d’une base de données de boîtes aux lettres.

Une copie de base de données de boîtes aux lettres retardée ou copie retardée est une copie passive de base de données de boîtes aux lettres dans laquelle des mises à jour de la base de données sont volontairement retardées pour se protéger contre un endommagement logique de la base de données de boîtes aux lettres. Pour plus d'informations, consultez la rubrique Gestion des copies de base de données de boîtes aux lettres.

La seule différence majeure entre ces deux scénarios est la durée de la période de rétroactivité nécessaire pour retransmettre des messages à partir de Safety Net. En règle générale, pour le basculement dans un DAG, la nouvelle copie active de la base de données de boîtes aux lettres est généralement de quelques minutes à plusieurs heures par rapport à l’ancienne copie active. Une copie retardée d'une base de données de boîtes aux lettres a généralement plusieurs jours de retard par rapport à l'ancienne copie active.

La condition principale pour une nouvelle soumission réussie à partir de Safety Net pour une copie en retard est que la durée pendant laquelle les messages sont stockés dans Safety Net doit être supérieure ou égale à la durée de décalage de la copie de la base de données de boîtes aux lettres. En d’autres termes, la valeur de SafetyNetHoldTime sur Set-TransportConfig doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie retardée.

Retransmission de messages à partir du dispositif de sécurité de secours

Comme les réabonnements de messages à partir du principal réseau de sécurité, les réadmissions de messages de Shadow Safety Net sont entièrement automatisées et ne nécessitent aucune intervention manuelle.

Quand Active Manager demande une nouvelle soumission de message de Safety Net sur une période spécifique, la demande est envoyée au service de transport sur les serveurs de boîtes aux lettres où le réseau de sécurité principal contient les copies du message pendant la période requise. Dans les grandes organisations Exchange, il est probable que les messages requis existent dans Safety Net sur plusieurs serveurs de boîtes aux lettres, en particulier si la période requise est longue.

Sans optimisation, la soumission de messages à partir de Safety Net entraînerait potentiellement un grand nombre de remises en double. Les remises en double au sein de l’organisation Exchange ne sont pas un problème, car la détection des messages en double empêche les utilisateurs de boîte aux lettres de voir les copies en double d’un message. Toutefois, la remise de messages en double à des destinataires en dehors de l’organisation Exchange entraîne des copies des messages en double. Heureusement, la nouvelle soumission des messages de Safety Net a été optimisée dans Exchange 2013 pour réduire la remise des messages en double.

Si le réseau de sécurité principal ne répond pas initialement ou ne répond plus lors de la nouvelle soumission du message, Active Manager continue à tenter de le contacter pendant 12 heures avant d’abandonner. Au bout de 12 heures, une diffusion est envoyée au service de transport sur tous les serveurs de boîtes aux lettres dans le cadre de la haute disponibilité de transport, demandant une nouvelle soumission du message de Safety Net pour l’intervalle de temps requis pour la base de données de boîtes aux lettres requise. Lorsqu’un Shadow Safety Net répond, il renvoie les messages de la base de données de boîtes aux lettres requise uniquement pendant l’intervalle de temps requis.

Il existe quelques considérations importantes pour les messages fantômes stockés dans Shadow Safety Net :

  • Le dispositif de sécurité de secours ignore à quel emplacement le serveur principal a transmis le message principal.

  • Les messages instantanés dans Shadow Safety Net contiennent uniquement les destinataires d’enveloppe de message d’origine, et non les destinataires réels où le message principal a été remis. Par exemple, le destinataire de l’enveloppe de message peut être un groupe de distribution qui nécessite une extension.

  • Les messages dans Shadow Safety net n’ont aucune des mises à jour de message qui se sont produites après le traitement du message par le serveur principal. Par exemple, l’encodage de message ou la conversion de contenu.

Les messages instantanés ré-soumis à partir de Shadow Safety Net nécessitent une catégorisation et un traitement complets via le service de transport sur le serveur de boîtes aux lettres. La resoumission d’un grand nombre de messages instantanés à partir de Shadow Safety Net peut s’avérer coûteuse en termes de ressources du serveur de boîtes aux lettres. Heureusement, la nouvelle soumission de messages instantanés à partir de Shadow Safety Net est également optimisée de sorte que seuls les messages du Shadow Safety Net pour l’intervalle de temps demandé et la base de données de boîtes aux lettres demandée soient soumis de nouveau.

L’interaction du filet de sécurité principal et du shadow safety net lors de la réadmission du message est décrite dans le scénario suivant.

  1. Active Manager demande une nouvelle soumission de messages de Safety Net pour une base de données de boîtes aux lettres pendant l’intervalle de temps de 5:00 à 9:00. Cependant, le serveur de boîtes aux lettres qui contient le dispositif de sécurité principal s'est bloqué suite à une panne matérielle. Active Manager tente à plusieurs reprises de contacter le principal réseau de sécurité pendant 12 heures.

  2. Après 12 heures, Active Manager envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans la limite de haute disponibilité de transport à la recherche d’autres filets de sécurité qui contiennent des messages pour la base de données de boîtes aux lettres cible pendant l’intervalle de temps de 5:00 à 9:00. Les réponses de Shadow Safety Net sont des messages de soumission de nouveau pour la base de données de boîtes aux lettres pendant l’intervalle de temps de 5:00 à 9:00.

Une interaction intéressante se produit si le réseau de sécurité principal était hors connexion pendant une partie de l’intervalle de soumission demandé, comme décrit dans le scénario suivant.

  1. La base de données de file d’attente sur le serveur de boîtes aux lettres qui contient le réseau de sécurité principal est endommagée et une nouvelle base de données de file d’attente est créée à 7h00. Tous les messages principaux stockés dans le dispositif de sécurité principal entre 1 h 00 et 7 h 00 sont perdus, mais le serveur peut néanmoins stocker les copies des messages correctement remis dans Safety Net à partir de 7 h 00.

  2. Active Manager demande la retransmission des messages à partir de Safety Net pour une base de données de boîtes aux lettres durant l'intervalle de temps 1h00-9h00.

  3. Le dispositif de sécurité principal retransmet les messages entre 7h00 et 9h00.

  4. Le réseau de sécurité principal envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans la limite de haute disponibilité de transport à la recherche d’autres filets de sécurité qui contiennent des messages pour la base de données de boîtes aux lettres cible pendant l’intervalle de temps de 1:00 à 7:00 pour lequel le réseau de sécurité principal n’a aucun message. Le shadow safety net génère une deuxième demande de soumission de la part du réseau de sécurité principal pour soumettre à nouveau les messages fantômes pour la base de données de boîtes aux lettres cible pendant l’intervalle de temps de 1:00 à 7:00.

Il existe d’autres problèmes à prendre en compte lors de la soumission de messages à partir de Safety Net.

  1. Toutes les notifications d’état de remise (DSN) et les rapports de non-remise (NDR) sont supprimés pour les resoumettres de sécurité. Par exemple, si le message principal a entraîné la création d’une notification d’échec de remise, la notification d’échec de remise relative au message retransmis ne sera pas délivrée.

  2. Les utilisateurs supprimés d’un groupe de distribution ne peuvent pas recevoir de message soumis à nouveau lorsque le Shadow Safety Net le renvoie. Par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur B est ensuite supprimé du groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur B. Cependant, le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet le message en question. Lors d’une nouvelle soumission lorsque le groupe de distribution est développé, l’utilisateur B n’est pas membre du groupe et ne reçoit pas de copie du message soumis à nouveau.

  3. Les nouveaux utilisateurs ajoutés à un groupe de distribution peuvent recevoir un ancien message soumis lorsque le Shadow Safety Net le soumettre de nouveau. Par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur C est ensuite ajouté au groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur C. Toutefois, le serveur de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet les messages en question. Lors d’une nouvelle soumission lorsque le groupe de distribution est développé, l’utilisateur C est membre du groupe et reçoit une copie du message soumis à nouveau.