Filet de sécurité en Exchange Server
Dans Exchange 2010, la benne à ordures de transport a permis de se protéger contre la perte de données en conservant une file d’attente de messages correctement remis qui n’avaient pas été répliqués sur les copies de la base de données de boîtes aux lettres passives dans le groupe de disponibilité de la base de données (DAG). Lorsqu'une défaillance de la base de données de boîtes aux lettres ou du serveur exigeait la promotion d'une copie obsolète de la base de données de boîtes aux lettres, les messages contenus dans la benne de transport étaient automatiquement renvoyés à la nouvelle copie active de la base de données de boîtes aux lettres.
La benne à ordures de transport a été améliorée dans Exchange 2013 et s’appelle désormais Safety Net. Exchange 2016 et Exchange 2019 présentent ces mêmes améliorations.
Safety Net ressemble à la benne de transport d'Exchange 2010 sur certains points :
Safety Net est une file d'attente qui est associée au service de transport sur un serveur de boîtes aux lettres. Cette file d'attente stocke des copies des messages qui ont été correctement traités par le serveur.
Vous pouvez spécifier la durée pendant laquelle Safety Net stocke les copies des messages correctement traités avant qu'ils n'expirent et ne soient automatiquement supprimés. La valeur par défaut est 2 jours.
Safety Net est une amélioration de la benne de transport d'Exchange 2010 sur certains points :
Safety Net ne nécessite pas de DAG : pour les serveurs de boîtes aux lettres qui n’appartiennent pas à un DAG, Safety Net stocke des copies des messages remis sur d’autres serveurs de boîtes aux lettres dans le site Active Directory local.
Le filet de sécurité lui-même n’est pas un point de défaillance unique : la redondance est fournie à l’aide d’un filet de sécurité principal et d’un filet de sécurité fantôme. Si le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures, les demandes de retransmission deviennent des demandes de retransmission de secours et les messages sont retransmis à partir du dispositif de sécurité de secours.
Safety Net assume une certaine responsabilité de la redondance de l’ombre dans les environnements DAG : la redondance de l’ombre n’a pas besoin de conserver une autre copie du message remis dans une file d’attente fantôme pendant qu’elle attend que le message remis soit répliqué sur les copies passives de la base de données de boîtes aux lettres. La copie du message remis est déjà stockée dans Safety Net et le message peut donc être retransmis à partir de Safety Net, si nécessaire.
Safety Net tente de garantir la redondance des messages : Le réseau de sécurité est plus qu’un simple effort de redondance des messages. Vous ne pouvez donc pas spécifier une limite de taille maximale pour le filet de sécurité. Vous pouvez uniquement spécifier la durée pendant laquelle le service Safety Net stocke les messages avant qu’ils ne soient automatiquement supprimés.
Pour plus d’informations sur les fonctionnalités de haute disponibilité de transport dans Exchange Server, consultez Transport high availability in Exchange Server. Pour plus d’informations sur la redondance des messages en transit, consultez Redondance de l’ombre dans Exchange Server.
Principes de fonctionnement de Safety Net
La redondance de secours conserve une copie redondante du message lorsque le message est en transit. Safety Net conserve une copie redondante d'un message une fois ce dernier correctement traité. Aussi, Safety Net intervient là où finit la redondance de secours. Les concepts relatifs à la redondance de secours, notamment les limites de la haute disponibilité du transport, les messages principaux, les serveurs principaux, les messages instantanés et les serveurs de clichés instantanés s'appliquent également à Safety Net. Pour plus d’informations, consultez Redondance de l’ombre dans Exchange Server.
Le dispositif de sécurité principal existe sur le serveur de boîtes aux lettres qui contenait le message principal avant que le message ne soit correctement traité par le service de transport. Cela peut signifier que le message a été remis au service de remise de transport de boîtes aux lettres sur le serveur de boîtes aux lettres de destination. Ou bien que le message a été relayé via le serveur de boîtes aux lettres dans un site Active Directory conçu comme un site hub pendant son transit vers le groupe de disponibilité de base de données de destination ou le site Active Directory. Une fois traité par le serveur principal, le message principal est déplacé de la file d'attente de remise active vers le dispositif de sécurité principal sur le même serveur.
Le dispositif de sécurité de secours existe sur le serveur de boîtes aux lettres qui contenait le message instantané. Une fois que le serveur de clichés instantanés a déterminé que le serveur principal a traité correctement le message principal, il déplace le message instantané de la file d'attente de secours vers le dispositif de sécurité de secours sur le même serveur. Même si cela peut sembler évident, l'existence du dispositif de sécurité de secours requiert l'activation de la redondance de secours (activée par défaut).
Ce tableau décrit les paramètres utilisés par Safety Net.
| Paramètre | Valeur par défaut | Description |
|---|---|---|
| SafetyNetHoldTime sur Set-TransportConfig | 2 jours | Durée de stockage des messages principaux correctement traités dans le dispositif de sécurité principal et des messages instantanés avec accusé de réception dans le dispositif de sécurité de secours. Vous pouvez également spécifier cette valeur dans le Centre d’administration Exchange (EAC) dans Flux> de courrierConnecteurs>de réception Plus d’options Icône Les messages instantanés non reconnus finissent par expirer de Shadow Safety Net après la somme des valeurs des paramètres SafetyNetHoldTime et MessageExpirationTimeout . Pour éviter la perte de données pendant les nouvelles soumissions de Safety Net, la valeur de ce paramètre doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie différée de la base de données de boîtes aux lettres. |
| ReplayLagTime sur Set-MailboxDatabaseCopy | Non configurée | Temps d'attente nécessaire au service de réplication Microsoft Exchange pour relire les fichiers journaux qui ont été copiés vers la copie de la base de données passive. La définition de ce paramètre sur une valeur supérieure à 0 engendre la création d'une copie retardée de la base de données de boîtes aux lettres. La valeur maximale est de 14 jours. Pour éviter la perte de données lors de la soumission de Safety Net, la valeur de ce paramètre pour la copie en retard de la base de données de boîtes aux lettres doit être inférieure ou égale à la valeur de SafetyNetHoldTime sur Set-TransportConfig. |
| MessageExpirationTimeout sur Set-TransportService | 2 jours | La durée de temps pendant laquelle un message peut rester dans une file d'attente avant d'expirer. |
| ShadowRedundancyEnabled sur Set-TransportConfig | $true |
$true: la redondance de l’ombre est activée sur tous les serveurs de boîtes aux lettres de l’organisation. Un dispositif de sécurité redondant requiert l'activation de la redondance des clichés instantanés. |
>Paramètres de transport de l’organisation>Filet> de sécurité Durée de conservation du filet de sécurité. Tailles maximales prises en charge par le filet de sécurité
Dans Microsoft Exchange Server 2019 et 2016, la taille de base de données maximale prise en charge pour la base de données SAFETY Net JET de transport est de 2 To.
Lorsqu’une topologie hub-and-spoke est utilisée, la base de données SAFETY Net JET de transport peut dépasser 2 To. Pour rester dans la limite prise en charge de 2 To, suivez ces instructions :
Les serveurs hub utilisés pour le relais de messages ne peuvent pas être configurés pour remettre des messages aux boîtes aux lettres.
Désactivez le réseau de sécurité sur les serveurs hub utilisés pour le relais de messages. Pour cela, procédez comme suit :
Dans une fenêtre d’invite de commandes, ouvrez le fichier EdgeTransport.exe.config dans le Bloc-notes en exécutant la commande suivante sur le serveur :
Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.configAjoutez la clé suivante dans la section appSettings .
<add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />Quand vous avez terminé, enregistrez et fermez le fichier EdgeTransport.exe.config.
Redémarrez le service Transport Exchange en exécutant la commande suivante :
net stop MSExchangeTransport && net start MSExchangeTransport
Retransmission de messages à partir de Safety Net
Le composant Active Manager du service de réplication Microsoft Exchange (MSExchangeRepl.exe) gère les DAG et les copies de base de données de boîte aux lettres. Les retransmissions de messages à partir de Safety Net ne requièrent aucune action manuelle et sont déclenchées par Active Manager. Pour plus d'informations sur Active Manager, consultez la rubrique Active Manager.
Il existe deux scénarios de base de retransmission de messages Safety Net :
Après le basculement automatique ou manuel d'une base de données de boîtes aux lettres dans un groupe de disponibilité de base de données.
Après l’activation d’une copie retardée d’une base de données de boîtes aux lettres.
Une copie de base de données de boîtes aux lettres retardée ou copie retardée est une copie passive de base de données de boîtes aux lettres dans laquelle des mises à jour de la base de données sont volontairement retardées pour se protéger contre un endommagement logique de la base de données de boîtes aux lettres. Pour plus d’informations, consultez Gérer les copies de base de données de boîtes aux lettres.
La seule différence majeure entre ces deux scénarios est la durée de la période de rétroactivité nécessaire pour retransmettre des messages à partir de Safety Net. En règle générale, pour un basculement de bases de données dans un groupe de disponibilité de base de données, la nouvelle copie active de la base de données de boîtes aux lettres a entre quelques minutes et plusieurs heures de retard par rapport à l'ancienne copie active. Une copie retardée d'une base de données de boîtes aux lettres a généralement plusieurs jours de retard par rapport à l'ancienne copie active.
La principale condition d'une retransmission de messages réussie d'une copie retardée à partir de Safety Net est la durée de stockage des messages dans Safety Net, qui doit être supérieure ou égale au délai d'attente de la copie retardée. En d’autres termes, la valeur de SafetyNetHoldTime sur Set-TransportConfig doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-MailboxDatabaseCopy pour la copie retardée.
Retransmission de messages à partir du dispositif de sécurité de secours
La retransmission des messages à partir du dispositif de sécurité de secours (comme la retransmission de messages à partir du dispositif de sécurité de secours) est entièrement automatisée et ne requière aucune intervention manuelle. Le scénario suivant décrit l'interaction entre le dispositif de sécurité principal et le dispositif de sécurité de secours pendant la retransmission des messages :
Active Manager demande une retransmission des messages à partir de Safety Net pour une base de données de boîtes aux lettres pendant l'intervalle de temps défini (par exemple, 5 h 00-9 h 00). Cependant, le serveur de boîtes aux lettres qui contient le dispositif de sécurité principal s'est bloqué suite à une panne matérielle. Active Manager essaie sans succès de contacter le dispositif de sécurité principal pendant les 12 prochaines heures.
Au bout de 12 heures, Active Manager envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans les limites de haute de disponibilité du transport (le groupe de disponibilité de base de données ou le site Active Directory dans des environnements non-DAG) et recherche d'autres dispositifs de sécurité qui contiennent des messages pour la base de données de boîtes aux lettres cible pour l'intervalle de temps défini. Le dispositif de sécurité de secours répond et retransmet les messages pour la base de données de boîtes aux lettres entre 5 h 00 et 9 h 00.
Quand un dispositif de sécurité de secours répond, il retransmet uniquement les messages pour la base de données de boîtes aux lettres demandée pendant l'intervalle de temps requis. Cette restriction par base de données de boîtes aux lettres et intervalle de temps vous permet de réduire les éventuels problèmes :
Le renvoi des messages à partir de Safety Net peut entraîner des livraisons en double. Ce n'est pas un problème pour les boîtes aux lettres dans l'organisation Exchange, car la détection des doublons de message empêche les utilisateurs de boîtes aux lettres d'afficher les messages en double. Toutefois, la remise de messages en double à des destinataires externes peut entraîner des copies en double des messages affichés par le destinataire.
Les messages instantanés retransmis à partir du dispositif de sécurité de secours requièrent une catégorisation et un traitement complets via le service de transport sur le serveur de boîtes aux lettres. La retransmission de quantités importantes de messages instantanés peut être coûteuse en ressources système de serveur de boîtes aux lettres.
Certains aspects importants doivent être pris en compte pour les messages instantanés stockés dans le dispositif de sécurité de secours :
Le dispositif de sécurité de secours ignore à quel emplacement le serveur principal a transmis le message principal.
Les messages instantanés du dispositif de sécurité de secours ne contiennent que les destinataires de l'enveloppe de message d'origine, et non les destinataires réels auxquels le message principal a été remis (par exemple, le destinataire de l'enveloppe de message peut être un groupe de distribution qui requiert une expansion).
Les messages contenus dans le dispositif de sécurité de secours ne reflètent aucune des mises à jour de messages survenues après le traitement du message par le serveur principal (par exemple, le codage de messages ou la conversion de contenu).
Le scénario suivant décrit ce qu'il se passe si le dispositif de sécurité principal est hors connexion pendant une partie de l'intervalle de renvoi demandé :
La base de données de files d'attente sur le serveur de boîtes aux lettres qui contient le dispositif de sécurité principal est endommagée, et une nouvelle base de données de file d'attente est créée à 7 h 00. Tous les messages principaux stockés dans le dispositif de sécurité principal entre 1 h 00 et 7 h 00 sont perdus, mais le serveur peut néanmoins stocker les copies des messages correctement remis dans Safety Net à partir de 7 h 00.
Active Manager demande la retransmission des messages à partir de Safety Net pour une base de données de boîtes aux lettres durant l'intervalle de temps 1h00-9h00.
Le dispositif de sécurité principal retransmet les messages entre 7h00 et 9h00.
Étant donné que le réseau de sécurité principal n’a pas les messages requis entre 1:00 et 7:00. Le réseau de sécurité principal envoie un message de diffusion au service de transport sur tous les serveurs de boîtes aux lettres dans la limite de haute disponibilité de transport à la recherche d’autres filets de sécurité qui contiennent les messages requis. Le Shadow Safety Net génère une deuxième demande de soumission de la part du réseau de sécurité principal pour soumettre à nouveau les messages instantanés pour la base de données de boîtes aux lettres cible pendant l’intervalle de temps de 1:00 à 7:00.
D'autres problèmes doivent être pris en compte lors de la retransmission de messages à partir de Safety Net :
Toutes les notifications d’état de remise (également appelées DSN, rapports de non-remise, NDR ou messages de rebond) sont supprimées pour les réabonnements de message De sécurité : par exemple, si le message principal a entraîné une notification d’échec de remise, la remise du message resoumise n’est pas remise.
Les utilisateurs supprimés d’un groupe de distribution ne peuvent pas recevoir de message soumis à nouveau lorsque le Shadow Safety Net renvoie le message : par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur B est ensuite supprimé du groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur B. Cependant, le dispositif de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet le message en question. Pendant la retransmission des messages, lorsque le groupe de distribution est étendu, l’utilisateur B n’est plus membre du groupe et ne recevra pas de copie du message retransmis.
Les nouveaux utilisateurs ajoutés à un groupe de distribution peuvent recevoir un ancien message soumis lorsque le Shadow Safety Net renvoie le message : par exemple, un message est envoyé à un groupe contenant l’utilisateur A et l’utilisateur B, et les deux destinataires reçoivent le message. L’utilisateur C est ensuite ajouté au groupe. Ultérieurement, une demande de retransmission à partir du dispositif de sécurité principal est effectuée pour la base de données de boîtes aux lettres qui contient la boîte aux lettres de l’utilisateur C. Toutefois, le serveur de sécurité principal n’est pas disponible pendant plus de 12 heures. Par conséquent, le dispositif de sécurité de secours répond et retransmet les messages en question. Pendant la retransmission des messages, lorsque le groupe de distribution est étendu, l’utilisateur C est membre du groupe et recevra une copie du message retransmis.
Déploiement de Safety Net dans la topologie hub-and-spoke : Safety Net est conçu pour protéger la remise des messages sur les serveurs Exchange hébergeant des boîtes aux lettres des utilisateurs finaux. Les clients qui ont déployé une topologie de routage hub-and-spoke doivent désactiver Safety Net sur les serveurs de transport dans les sites hub pour éviter une augmentation importante de la taille de la base de données de transport dans les emplacements du hub.