Microsoft System Center Data Protection Manager 2010 protège l’ensemble d’un parc informatique grâce à ses agents. Un agent DPM (DPMRA.exe) doit être installé sur chaque serveur ou poste client à protéger. Cet agent joue plusieurs rôles : Il orchestre les sauvegardes et les opérations de restauration en
Mise en Å“uvre de la protection Exchange
s’adressant au service volume Shadow Copy de Windows et aux Writer VSS Exchange 2010. Il interagit également avec le journal USN de NTFS pour être informé des modifications des fichiers et avec le filtre de volume DPM (dpmfltr.sys) qui surveille et note les blocs changeant entre deux sauvegardes. Pour initier la protection des serveurs Exchan ge, la première action consiste donc à déployer cet agent DPM sur l’ensemble des serveurs Exchange à protéger.
Dans le cas d’un DAG, vous devez déployer un agent sur chacun des serveurs membres du DAG que vous souhaitez protéger. Cependant, vous pouvez assurer la protection d’un DAG avec plusieurs serveurs DPM. Par exemple, un serveur DPM A, peut protéger deux des serveurs Exchange membres d’un DAG, alors que DPM B protègera le troisième et dernier membre Exchange de ce Database Availability Group. Ceci présente un avantage indéniable dans les scénarios de longues distances.
La protection de chaque noeud Exchange est assurée par un serveur DPM présent sur le même site géographique, ce qui soulage la bande passante entre les deux sites. L’étape suivante consiste à créer un ou plusieurs groupes de protection sur chacun des serveurs DPM. Dans DPM, les « groupes de protection » sont utilisés pour gérer la protection des sources de données sur les serveurs protégés. Un groupe de protection est un ensemble de sources de données qui partagent la même configuration et le même planning de protection. Un groupe de protection peut inclure des sources de données de plusieurs volumes sur plusieurs serveurs.
Cependant, toutes les sources de données protégées sur le même volume doivent être protégées dans le même groupe de protection. Chaque source de données d’un groupe de protection est appelée « membre ».
Un assistant vous permet de créer les groupes de protection, mais vous pouvez aussi les réaliser via PowerShell. L’assistant « création d’un group de protection » pour Exchange se compose de 10 étapes, parmi lesquelles certaines méritent plus de commentaires.
La première étape importante est la sélection des membres à protéger. A cette étape, vous allez sélectionner les serveurs Exchange pour lesquels la protection sera assurée par le serveur DPM sur lequel le groupe de protection est en cours de création. Pour chaque noeud Exchange, DPM affiche l’ensemble des bases de données disponibles. Les bases déjà protégées ne peuvent plus être sélectionnées.
À ce moment, DPM ne fait aucune différence entre des bases de données actives, et les bases de données passives. Vous pourrez ensuite choisir les options de protection Exchange. Vous pouvez par exemple choisir d’exécuter ESEUtil.exe après chaque synchronisation Express Full, pour vous assurer que les bases de données Exchange tout juste sauvegardées ne sont pas corrompues. Lors de l’étape « spécifier la protection du DAG » vous devrez déterminer le mode de protection à appliquer pour chacune des bases de données que vous aurez choisies de protéger.
Le principe est le suivant :
DPM 2010 propose deux types de protection pour une base données : « Full Backup » ou « Copy backup ». A l’image d’Exchange Server qui dispose d’une seule base de données d’active à un moment donné, DPM ne protège qu’une copie en mode « Full Backup », et toutes les autres copies en mode « Copy Backup ». Seule la sauvegarde « Full Backup » va entraîner la troncation des journaux de transaction sur le serveur Exchange. Bien que le rapprochement entre les deux semble inévitable, le type de protection que vous allez attribuer à une base de données n’est pas dicté par le statut de cette base donnée au niveau Exchange. Ainsi, vous pouvez tout à fait choisir une base de données passive au sens Exchange comme base de données « Full Backup » au niveau DPM.
Quelle base définir en mode Full Backup ?
Le processus de sauvegarde des bases de données Exchange peut avoir un impact notable sur les performances des serveurs Exchange. L’impact sera d’autant plus important qu’il y aura des données à rapatrier dans DPM. Ainsi, si la première réplication des données doit être synchronisée dans DPM, les serveurs Exchange vont être sollicités de manière importante. Cette opération mérite d’être effectuée auprès d’une base de données passive. De la même manière, si la génération de journaux de transaction est importante chaque jour, et que les bases de données Exchange subissent beaucoup de modification, il est préférable de mettre en place une protection Full Backup sur une copie passive Exchange.
Troncation des logs ?
Comme indiqué un peu plus haut, seule une opération de sauvegarde « Express Full » d’une base de données déclarée « Full Backup » entraîne la troncation des journaux de transaction Exchange. Lorsque la base de données a été synchronisée avec succès sur le serveur DPM, le serveur DPM signale au serveur Exchange d’initier une opération de troncation des logs. Ce sont ensuite les services Exchange qui deviennent les seuls responsables de cette opération. Dans le cas d’une configuration en mode simple (non DAG), le Store Writer va tronquer les journaux de transaction. Dans le cas d’un DAG, la troncation des journaux de transaction va être prise en main par le replication writer. Celui-ci doit tout d’abord s’assurer que l’ensemble des journaux de transactions a bien été relayé à toutes les copies des bases de données concernées. Lorsque toutes les bases de données sont à jour, le service de réplication vérifie que les journaux de transaction marqués comme sauvegardés ont bien été appliqués et marqués comme supprimables par la base de données active et l’intégralité des bases de données passives. Ensuite seulement, le replication Writer supprime les journaux de transaction qui ont été récupérés lors de la sauvegarde DPM.
Circular logging ?
Les journaux de transactions circulaires sont désactivés par défaut sur un serveur Exchange Server 2010. Vous ne devez pas les activer, faute de quoi, vous ne pourrez plus mettre en place de protection basée sur Volume Shadow Copy Service. L’activation de Circular Logging, ne permet, entre autres, pas de pratiquer des sauvegardes incrémentielles des données. Après le choix du mode de protection, vous devrez choisir une période de rétention de données.
Vous pouvez, avec DPM, cumuler deux types de protection :
• La protection à court terme, qui privilégie la sauvegarde sur disque
• La protection à long terme, qui privilégie le stockage sur bandes ou sur des services externalisés.
De manière générale, une protection impliquant les deux modes de protection est idéale. Ainsi, les bases de données Exchange peuvent être protégées sur du disque pendant plusieurs semaines, offrant une protection quasi continue et une grande granularité dans les possibilités de restauration. Pour ne pas consommer une quantité de stockage irraisonnable, il convient de coupler cette protection court terme à une protection sur bande, où, chaque fin de semaine une copie intégrale des données sera envoyée surbandes. Vous pouvez ainsi conserver vos données pendant une longue période de temps.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
