Safety Net dans Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment Safety Net est utilisé dans Exchange 2016 pour se protéger contre une perte de données en tenant à jour une file d’attente de messages remis qui n’avaient pas été répliqués vers les copies de base de données de boîtes aux lettres passives.

Dans Exchange 2010, la benne de transport permettait de se protéger contre une perte de données en tenant à jour une file d’attente de messages remis qui n’avaient pas été répliqués vers les copies de base de données de boîtes aux lettres passives du groupe de disponibilité de base de données (DAG). Lorsqu’une défaillance de la base de données de boîtes aux lettres ou du serveur exigeait la promotion d’une copie obsolète de la base de données de boîtes aux lettres, les messages contenus dans la benne de transport étaient automatiquement renvoyés à la nouvelle copie active de la base de données de boîtes aux lettres.

La benne de transport a été améliorée dans Exchange 2013 et s’appelle désormais Safety Net. Exchange 2016 présente les mêmes améliorations.

Safety Net ressemble à la benne de transport d'Exchange 2010 sur certains points :

  • Safety Net est une file d'attente qui est associée au service de transport sur un serveur de boîtes aux lettres. Cette file d'attente stocke des copies des messages qui ont été correctement traités par le serveur.

  • Vous pouvez spécifier la durée pendant laquelle Safety Net stocke les copies des messages correctement traités avant qu'ils n'expirent et ne soient automatiquement supprimés. La valeur par défaut est 2 jours.

Safety Net est une amélioration de la benne de transport d’Exchange 2010 sur certains points :

  • Safety Net ne nécessite pas de groupes de disponibilité de base de données Pour les serveurs de boîtes aux lettres qui n’appartiennent pas à un groupe de disponibilité de base de données, Safety Net stocke les copies des messages remis sur d’autres serveurs de boîtes aux lettres dans le site Active Directory local.

  • Safety Net lui-même ne constitue pas un point de défaillance unique.   La redondance est fournie par un dispositif de sécurité principal et un dispositif de sécurité de secours. Si le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures, les demandes de retransmission deviennent des demandes de retransmission de secours et les messages sont retransmis à partir du dispositif de sécurité de secours.

  • Safety Net assume une part de responsabilité en ce qui concerne la redondance de secours dans les environnements DAG   La redondance de secours n’a pas besoin de conserver une autre copie du message remis dans une file d’attente de secours lorsqu’elle attend que le message remis soit répliqué sur les copies passives de la base de données de boîtes aux lettres sur les autres serveurs de boîtes aux lettres du DAG. La copie du message remis est déjà stockée dans Safety Net et le message peut donc être retransmis à partir de Safety Net, si nécessaire.

  • Safety Net tente de garantir la redondance des messages   Safety Net est bien plus qu’un effort optimal de redondance des messages. Pour cette raison, vous ne pouvez pas spécifier une taille limite maximale pour Safety Net. Vous pouvez uniquement déterminer la durée pendant laquelle Safety Net stocke les messages avant qu’ils ne soient automatiquement supprimés.

Pour plus d’informations sur les fonctionnalités de haute disponibilité de transport dans Exchange 2016, consultez la rubrique Haute disponibilité de transport. Pour plus d’informations sur la redondance des messages pour les messages en transit, consultez la rubrique Redondance des clichés instantanés dans Exchange 2016.

La redondance de secours conserve une copie redondante du message lorsque le message est en transit. Safety Net conserve une copie redondante d’un message une fois ce dernier correctement traité. Aussi, Safety Net intervient là où finit la redondance de secours. Les concepts relatifs à la redondance de secours, notamment les limites de la haute disponibilité du transport, les messages principaux, les serveurs principaux, les messages instantanés et les serveurs de clichés instantanés s’appliquent également à Safety Net. Pour plus d’informations, consultez la rubrique Redondance des clichés instantanés dans Exchange 2016.

Le dispositif de sécurité principal existe sur le serveur de boîtes aux lettres qui contenait le message principal avant que le message ne soit correctement traité par le service de transport. Cela peut signifier que le message a été remis au service de remise de transport de boîtes aux lettres sur le serveur de boîtes aux lettres de destination. Ou bien que le message a été relayé via le serveur de boîtes aux lettres dans un site Active Directory conçu comme un site hub pendant son transit vers le groupe de disponibilité de base de données de destination ou le site Active Directory. Une fois traité par le serveur principal, le message principal est déplacé de la file d’attente de remise active vers le dispositif de sécurité principal sur le même serveur.

Le dispositif de sécurité de secours existe sur le serveur de boîtes aux lettres qui contenait le message instantané. Une fois que le serveur de clichés instantanés a déterminé que le serveur principal a traité correctement le message principal, il déplace le message instantané de la file d’attente de secours vers le dispositif de sécurité de secours sur le même serveur. Même si cela peut sembler évident, l’existence du dispositif de sécurité de secours requiert l’activation de la redondance de secours (activée par défaut).

Ce tableau décrit les paramètres utilisés par Safety Net.

 

Paramètre Valeur par défaut Description

SafetyNetHoldTime sur Set-TransportConfig

2 jours

Durée de stockage des messages principaux correctement traités dans le dispositif de sécurité principal et des messages instantanés avec accusé de réception dans le dispositif de sécurité de secours.

Vous pouvez également spécifier cette valeur dans l’Centre d’administration Exchange (CAE), sous Flux de messagerie > Connecteurs de réception > Autres optionsIcône Options supplémentaires > Paramètres de transport de l’organisation > Safety Net > Temps de retenue du dispositif de sécurité.

Les messages instantanés sans accusé de réception finissent par expirer à partir du dispositif de sécurité de secours après la somme des valeurs des paramètres SafetyNetHoldTime et MessageExpirationTimeout.

Pour éviter la perte de données durant les retransmissions Safety Net, la valeur de ce paramètre doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie retardée de la base de données de boîtes aux lettres.

ReplayLagTime sur Set-MailboxDatabaseCopy

Non configurée

Temps d’attente nécessaire au service de réplication Microsoft Exchange pour relire les fichiers journaux qui ont été copiés vers la copie de la base de données passive. La définition de ce paramètre sur une valeur supérieure à 0 engendre la création d’une copie retardée de la base de données de boîtes aux lettres. La valeur maximale est de 14 jours.

Pour éviter la perte de données durant les retransmissions Safety Net, la valeur de ce paramètre doit être inférieure ou égale à la valeur de SafetyNetHoldTime sur Set-TransportConfig pour la copie retardée de la base de données de boîtes aux lettres.

MessageExpirationTimeout sur Set-TransportService

2 jours

La durée de temps pendant laquelle un message peut rester dans une file d'attente avant d'expirer.

ShadowRedundancyEnabled sur Set-TransportConfig

$true

  • $true   La redondance des clichés instantanés est activée sur tous les serveurs de boîtes aux lettres dans l’organisation.

  • $false   La redondance des clichés instantanés est désactivée sur tous les serveurs de transport dans l’organisation.

Un dispositif de sécurité redondant requiert l’activation de la redondance des clichés instantanés.

Le composant Active Manager du service de réplication de Microsoft Exchange (MRS) gère les groupes de disponibilité de base de données et les copies de la base de données de boîtes aux lettres. Les retransmissions de messages à partir de Safety Net ne requièrent aucune action manuelle et sont déclenchées par Active Manager. Pour plus d’informations sur Active Manager, consultez la rubrique Active Manager.

Il existe deux scénarios de base de retransmission de messages Safety Net :

  • Après le basculement automatique ou manuel d'une base de données de boîtes aux lettres dans un groupe de disponibilité de base de données.

  • Après l’activation d’une copie retardée d’une base de données de boîtes aux lettres.

Une copie de base de données de boîtes aux lettres retardée ou copie retardée est une copie passive de base de données de boîtes aux lettres dans laquelle des mises à jour de la base de données sont volontairement retardées pour se protéger contre un endommagement logique de la base de données de boîtes aux lettres. Pour plus d'informations, consultez la rubrique Gestion des copies de base de données de boîtes aux lettres.

La seule différence majeure entre ces deux scénarios est la durée de la période de rétroactivité nécessaire pour retransmettre des messages à partir de Safety Net. En règle générale, pour un basculement de bases de données dans un groupe de disponibilité de base de données, la nouvelle copie active de la base de données de boîtes aux lettres a entre quelques minutes et plusieurs heures de retard par rapport à l’ancienne copie active. Une copie retardée d’une base de données de boîtes aux lettres a généralement plusieurs jours de retard par rapport à l’ancienne copie active.

La principale condition d’une retransmission de messages réussie d’une copie retardée à partir de Safety Net est la durée de stockage des messages dans Safety Net, qui doit être supérieure ou égale au délai d’attente de la copie retardée. En d’autres termes, la valeur de SafetyNetHoldTime sur Set-TransportConfig doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie retardée.

La retransmission des messages à partir du dispositif de sécurité de secours (comme la retransmission de messages à partir du dispositif de sécurité de secours) est entièrement automatisée et ne requière aucune intervention manuelle. Le scénario suivant décrit l’interaction entre le dispositif de sécurité principal et le dispositif de sécurité de secours pendant la retransmission des messages :

  1. Active Manager demande une retransmission des messages à partir de Safety Net pour une base de données de boîtes aux lettres pendant l’intervalle de temps défini (par exemple, 5 h 00-9 h 00). Cependant, le serveur de boîtes aux lettres qui contient le dispositif de sécurité principal s’est bloqué suite à une panne matérielle. Active Manager essaie sans succès de contacter le dispositif de sécurité principal pendant les 12 prochaines heures.

  2. Au bout de 12 heures, Active Manager envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans les limites de haute de disponibilité du transport (le groupe de disponibilité de base de données ou le site Active Directory dans des environnements non-DAG) et recherche d’autres dispositifs de sécurité qui contiennent des messages pour la base de données de boîtes aux lettres cible pour l’intervalle de temps défini. Le dispositif de sécurité de secours répond et retransmet les messages pour la base de données de boîtes aux lettres entre 5 h 00 et 9 h 00.

Quand un dispositif de sécurité de secours répond, il retransmet uniquement les messages pour la base de données de boîtes aux lettres demandée pendant l’intervalle de temps requis. Cette restriction par base de données de boîtes aux lettres et intervalle de temps vous permet de réduire les éventuels problèmes :

  • Le renvoi des messages à partir de Safety Net peut entraîner des livraisons en double. Ce n’est pas un problème pour les boîtes aux lettres dans l’organisation Exchange, car la détection des doublons de message empêche les utilisateurs de boîtes aux lettres d’afficher les messages en double. Toutefois, la remise de messages en double à des destinataires externes peut entraîner des copies en double des messages affichés par le destinataire.

  • Les messages instantanés retransmis à partir du dispositif de sécurité de secours requièrent une catégorisation et un traitement complets via le service de transport sur le serveur de boîtes aux lettres. La retransmission de quantités importantes de messages instantanés peut être coûteuse en ressources système de serveur de boîtes aux lettres.

Certains aspects importants doivent être pris en compte pour les messages instantanés stockés dans le dispositif de sécurité de secours :

  • Le dispositif de sécurité de secours ignore à quel emplacement le serveur principal a transmis le message principal.

  • Les messages instantanés du dispositif de sécurité de secours ne contiennent que les destinataires de l’enveloppe de message d’origine, et non les destinataires réels auxquels le message principal a été remis (par exemple, le destinataire de l’enveloppe de message peut être un groupe de distribution qui requiert une expansion).

  • Les messages contenus dans le dispositif de sécurité de secours ne reflètent aucune des mises à jour de messages survenues après le traitement du message par le serveur principal (par exemple, le codage de messages ou la conversion de contenu).

Le scénario suivant décrit ce qu’il se passe si le dispositif de sécurité principal est hors connexion pendant une partie de l’intervalle de renvoi demandé :

  1. La base de données de files d’attente sur le serveur de boîtes aux lettres qui contient le dispositif de sécurité principal est endommagée, et une nouvelle base de données de file d’attente est créée à 7 h 00. Tous les messages principaux stockés dans le dispositif de sécurité principal entre 1 h 00 et 7 h 00 sont perdus, mais le serveur peut néanmoins stocker les copies des messages correctement remis dans Safety Net à partir de 7 h 00.

  2. Active Manager demande la retransmission des messages à partir de Safety Net pour une base de données de boîtes aux lettres durant l'intervalle de temps 1h00-9h00.

  3. Le dispositif de sécurité principal retransmet les messages entre 7h00 et 9h00.

  4. Étant donné que le dispositif de sécurité principal ne contient pas les messages requis entre 1 h 00 à 7 h 00, il envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans les limites de haute disponibilité du transport et recherche d’autres dispositifs de sécurité qui contiennent les messages requis. Le dispositif de sécurité de secours génère une deuxième demande de retransmission pour le compte du dispositif de sécurité principal afin de retransmettre les messages instantanés pour la base de données de boîtes aux lettres cible entre 1 h 00 et 7 h 00.

D’autres problèmes doivent être pris en compte lors de la retransmission de messages à partir de Safety Net :

  • Toutes les notifications d’état de remise (aussi appelées DSN, notifications d’échec de remise ou notifications de non-remise) sont supprimées pour les retransmissions de messages Safety Net   Par exemple, si le message principal a entraîné la création d’une notification d’échec de remise, la notification d’échec de remise relative au message retransmis ne sera pas délivrée.

  • Il est possible que les utilisateurs supprimés d’un groupe de distribution ne reçoivent pas un message retransmis lorsque le dispositif de sécurité de secours retransmet le message   Par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur B est ensuite supprimé du groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur B. Cependant, le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet le message en question. Pendant la retransmission des messages, lorsque le groupe de distribution est étendu, l’utilisateur B n’est plus membre du groupe et ne recevra pas de copie du message retransmis.

  • Les nouveaux utilisateurs ajoutés à un groupe de distribution peuvent éventuellement recevoir un ancien message retransmis lorsque le dispositif de sécurité de secours retransmet le message   Par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur C est ensuite ajouté au groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur C. Toutefois, le serveur de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet les messages en question. Pendant la retransmission des messages, lorsque le groupe de distribution est étendu, l’utilisateur C est membre du groupe et recevra une copie du message retransmis.

 
Afficher: