22 Christophe Leroux IT Architect Microsoft France

22

High Availability

Christophe LerouxIT ArchitectMicrosoft France

33

Agenda

Exchange 2010 High Availability Vision/GoalsExchange 2010 High Availability FeaturesExchange 2010 High Availability Deep DiveDeploying Exchange 2010 High Availability FeaturesTransitioning to Exchange 2010 High AvailabilityHigh Availability Design Examples

44

Vision de la Haute disponibilité Exchange 2010

55

Vision et buts

Vision: délivrer une solution rapide, facile à déployer et à opérer, à cout faible, pouvant s’adapter à l’ensemble des clients.Buts

Délivrer une solution native à Exchange pour adresser la haute disponibilité et la tolérance de siteUtiliser des stockages moins couteux et plus simplesSimplifier l’administration et diminuer les couts de supportAugmenter la disponibilité globaleSupporter Exchange Server 2010 OnlineSupporter de larges boites aux lettres à faible cout

66

DB1

Front End Server

NodeB(passif)

Outlook OWA, ActiveSync, ou Outlook Anywhere

San Jose

Dallas

Standby Cluster

Besoinnd’un outil tier pour monter un site de secours

Complexité de mise en œuvre d’un site de secours et de process de bascule

Nécessité de connaitre le cluster

DB2

DB3

DB4

DB5

DB6

Failover au niveau du serveur

DB1

DB2

DB3La création du cluster est une opération manuelle

Exchange Server 2003

NodeA(actif)

77

DB1

Client Access Server

NodeB(passive)

SCROutlook OWA, ActiveSync, ou Outlook Anywhere

San Jose

Dallas

Standby Cluster

Pas d’interface pour gérer le SCR

Complexité de mise en œuvre d’un site de secours et de process de bascule

Nécessité de connaitre le cluster

DB2

DB3

DB4

DB5

DB6

DB1

DB2

DB3

DB4

DB5

DB6

Failover au niveau du serveur

DB1

DB2

DB3Clustered Mailbox Server can’t co-exist with other roles


NodeA(active) CCR

88

DB2

DB3

DB2

DB3

DB4

DB4

DB5

Client Access Server

Mailbox Server 1

Mailbox Server 2

Mailbox Server 3

Mailbox Server 6

Mailbox Server 4

Dallas

San Jose

Mailbox Server 5

DB5

DB2

DB3

DB4

DB5DB1

DB1DB1

DB1

Failover géré par Exchange

Failover au niveau des bases

Facilité d’extention sur d’autres sites

Tous les clients se connectent au travers des serveurs CAS

DB3

DB5

DB1

Client


99

Fonctionnalités de haute disponibilité d’Exchange 2010

1010

Haute disponibilité Exchange 2010 Terminologie

Haute disponibilité – Solution qui doit apporter une disponibilité des services et données ainsi qu’une reprise automatique en cas de problèmeDisaster Recovery – Process utilisé pour une reprise

manuelle en cas de problèmeResilience de site – Solution de récupération de désastre

utilisé en cas d’indisponibilité d’un site physique*over (switchover/failover) – un “switchover” est une

activation manuelle d’une ou plusieurs bases de données; un failover est une activation automatique d’une ou plusieurs bases de données en cas de problème

1111

Haute disponibilité Exchange 2010 Fonctionnalités

Mailbox Resiliency – Nom d’une solution complète de haute disponibilité ou de résilience de site

Database Mobility – Possibilité de répliquer et remonter une base de données sur un autre serveur de boites aux lettresIncremental Deployment – Possibilité de déployer des

fonctionnalité de haute disponibilité ou de résilience de site après l’installation d’ExchangeExchange Third Party Replication API – API Exchange

permettant à des partenaires de développer une réplication compatible DAG en lieu et place de la solution native d’Exchange

1212

Haute disponibilité Exchange 2010 Fonctionnalités

Database Availability Group – un groupe de serveurs (16 maximum) hébergeant des répliques de bases de données

Mailbox Database Copy – une base de données (EDB + Logs) qui peut être soit active ou passive

RPC Client Access service – Fonctionnalité du rôle CAS permettant à un client MAPI de se connecter

Shadow Redundancy – Fonctionnalité de transport offrant une redondance des messages pour assurer une redondance du transfert

1313

Concepts basés sur Exchange 2007

Extensible Storage Engine (ESE)Bases de données et fichiers de logs

Continuous ReplicationLog shipping Database seedingStore service/Replication serviceDatabase health et status monitoringDivergenceMontage automatique de base

Concepts de quorum de witnessConcepts des failover et switchover

1414

Concepts supprimés dans Exchange 2010

Storage GroupsIdentifications des bases de données en fonction des

serveurs auxquelles est sont attachéesNom du serveur faisant parti du nom des bases de donnéesClustered Mailbox Servers

Pre-installation du Windows Failover ClusterLancement des étapes d’installation dans le mode clusterDéplacement d’un réseau CMS entre les serveursStockage partagé

Limite de deux copies pour la HABesoin de deux réseaux

Concepts de public, privé et réseau mixte

1515

Changement de stratégie HA/Backup

Suppression accidentelle de

données

Panne d’un Data Center

Erreur d’un administrateur

Corruption d’une boite

Rétention de longue durée

Fonctionnalité Exchange 2010

Mailbox Resiliency

Single Item Recovery

Personal Archive + Retention Policies

Lagged Copy

Récupération rapideRedondance de données

Garantie de récupération de données

Redémarrage avec étant antérieur

Autre boite pour données anciennes

Avantage

Récu

péra

tion

rapi

deRé

tenti

on d

’info

rmati

ons

Panne HW/SW

1616

Concepts avancés de la haute disponibilité Exchange 2010

1717

Principes de la HA Exchange 2010

Database Availability GroupServeurBases de donnéesCopy de basesActive ManagerRPC Client Access

DAG

copy copy

AM

SVR

copy copy

AM

SVR

DB DB

RPC CAS

RPC CAS

1818

Database Availability Group (DAG)

Principe élémentaire de haute disponibilité et de résilience de siteUn groupe de 16 serveurs maxi pouvant partager des répliques

de bases de donnéesBasé sur Windows Failover Cluster

Gère les membres ( membre d’un DAG = nœud)Utilise le heartbeat entre les membres du DAGL’ Active Manager stocke les informations dans la base de donnée du cluster

Définit la frontière pour:La réplication des bases de donnéesBase de donnée et serveur *oversActive Manager

1919

Besoins du DAG

Windows Server 2008 SP2 Enterprise Edition ou Windows Server 2008 R2 Enterprise EditionExchange Server 2010 Standard Edition ou Exchange Server

2010 Enterprise EditionStandard supporte jusqu’à 5 bases par serveurEnterprise supporte jusqu’à 100 bases par serveur

Au moins une carte réseau par membre du DAG

2020

Active Manager

Composant Exchange qui gère les *oversEst actif sur tous les serveurs du DAGSélectionne la meilleure copie lors d’un failoverEst la source de référence pour savoir où une base de

données est activeStocke les informations dans la base clusterFourni les informations aux autres composants

Exchange (RPC Client Access et Hub Transport)Deux rôles Active Manager : PAM et SAM

Les clients Active Managers tournent sur les CAS et Hub

2121

Active Manager

Primary Active Manager (PAM)Tourne sur le nœud qui détient le group clusterRécupère les changements de topologiePrend les décisions lors des pannes de serveursSélectionne la meilleur base de donnée lors des bascules

Standby Active Manager (SAM)Tourne sur l’ensemble des nœuds du DAGRépond au demandes pour savoir qui a la copie active d’une base de

données

Les deux rôles sont nécessaires pour disposer d’une redémarrage automatique sur erreur

Si le service de réplication est arrêté, le redémarrage automatique ne fonctionne pas

2222

Active ManagerSélection de la copie active d’une base de données

Active Manager sélectionne la “meilleure’ copie pouvant devenir active quand une erreur survient sur une base

1. Ignore les serveurs qui ne sont pas joignable ou dont l’activité est temporairement bloquée

2. Trie les copies classé dans l’ordre d’une perte minimal d’informations

3. Supprime les entrées concernant les bases qui ne sont pas éligible à la bascule

4. Sélectionne la base devant devenir active en fonction du tri réalisé

2323

Catalog HealthyCopy status Healthy, DisconnectedAndHealthy,

DisconnectedAndResynchronizing, orSeedingSource

CopyQueueLength < 10

Catalog CrawlingCopy status Healthy, DisconnectedAndHealthy,


CopyQueueLength < 10







CopyQueueLength < 10ReplayQueueLength < 50



CopyQueueLength < 10ReplayQueueLength < 50



ReplayQueueLength < 50

Copy status Healthy, DisconnectedAndHealthy,DisconnectedAndResynchronizing, orSeedingSource





Copy status Healthy, DisconnectedAndHealthy,DisconnectedAndResynchronizing, orSeedingSource

Active ManagerSélection de la copie active d’une base de données

Active Manager selectionne la “meilleurs” copie pouvant devenir active

5678910

2424

Principe de redémarrage automatique

Quand une panne survient au niveau d’une base de données:Active Manager détermines la meilleure copie à activerLe service de réplication du serveur cible essaye de copier les fichiers de log manquant

Si la copie a réussi, la base de données va démarrer sans aucune perte de donnéesSi la copie ne fonctionne pas, la base va démarrer en se basant sur le paramétrage AutoDatabaseMountDial

La base montée va générer de nouveau fichiers de logs (utilisant la même séquence de log)Le service de requête du Transport Dumpster initie une demande de récupération des messages perdusQuand le serveur ou la base initiale est remontée, il détecte une divergence et détermine s’il doit effectuer une resynchronisation incrémentale ou complète

2525

Cycle de vie d’un DAG

Le DAG est créé initialement comme un objet vide dans l’Active Directory

Un nom est donné au DAG ainsi qu’une ou plusieurs adresses IP (ou configuré pour utiliser DHCP)

Quand le premier serveur MBX est ajouté au DAG:Un cluster Windows est créé avec un quorum “Node Majority” et portant le nom du DAGLe serveur est ajouté à l’objet DAG stocké dans Active Directory Active DirectoryLe nom et l’adresse IP du DAG sont enregistrés dans le DNSLa base de données du DAG est mise à jour avec les informations sur les bases de données et l’état des bases.

2626


Quand d’autres roles MBX sont ajoutés au DAGLe serveur rejoint le cluster portant le nom du DAGLe type de modèle de quorum est automatiquement mis à

jourNode Majority - DAGs avec un nombre impair de membresNode et File Share Majority - DAGs avec un nombre pair de

membresLa ressource “File share witness”, le répertoire et le partage sont

automatiquement créé quand nécessaire

Le serveur est ajouté à l’objet DAG dans Active DirectoryLa base do données du cluster DAG est mise à jour avec les

bases de données configurées et leurs états

2727


Après ajout des serveurs dans le DAG, il faut:Configurer le DAG

Encryption réseauCompression réseau

Configurer les réseaux du DAGSous-réseauxActivation/désactivation du trafic MAPI / réplications

Créer les copies des bases de donnéesLe “Seeding” est réalisé automatiquement

Surveiller l’état des bases de données

2828


Avant de supprimer un serveur d’un DAG, il faut supprimer l’ensemble des copies de bases de donnéesQuand un serveur est supprimé d’un DAG:

Le serveur est supprimé du clusterLe quorum est ajouté en fonction du nombre de noeuds

restantLe serveur est supprimé de l’objet DAG d’Active Directory

Avant de pouvoir supprimer un DAG, il faut supprimer l’ensemble des serveurs qui le compose

2929

Déploiement des fonctionnalités Exchange 2010 HA

3030

Déploiement Exchange 2007 et précédents (CCR/SCC)1. Préparation du matériel, installation

de l’OS et mise à jourPour le SCC: configuration du

stockage2. Construction du Cluster windows

Pour le SCC: configuration du stockage

3. Configuration du quorum, du file share witness, et des réseaux public etprivate

4. Lancement du Setup est installation du role mailbox sur le cluster

5. Configuration du rôle mailboxPour le SCC: configuration des

dépendances des ressources disques6. Test des bascules

Déploiement des fonctionnalités Exchange 2010 HADéploiement Exchange 2007 et précédents (CCR/SCC)

Déploiement incrémental d’Exchange 2010

1. Préparation du matériel, installation de l’OS et mise à jour

Pour le SCC: configuration du stockage

2. Construction du Cluster windowsPour le SCC: configuration du

stockage3. Configuration du quorum, du file share

witness, et des réseaux public etprivate

4. Lancement du Setup est installation du role mailbox sur le cluster

5. Configuration du rôle mailboxPour le SCC: configuration des

dépendances des ressources disques6. Test des bascules

1. Préparation du matériel, installation de l’OS et mise à jour

2. Lancement du Setup pour installation du rôle Mailbox

3. Création du DAG est réplication des bases

4. Test des bascules

3131

Déploiement incrémental d’Exchange 2010

Création du DAGNew-DatabaseAvailabilityGroup -Name DAG1 –WitnessServer EXHUB1 -WitnessDirectory C:\DAG1FSW -DatabaseAvailablityGroupIpAddresses 10.0.0.8

New-DatabaseAvailabilityGroup -Name DAG2 -DatabaseAvailablityGroupIpAddresses 10.0.0.8,192.168.0.8

Ajout du premier serveur dans le DAGAdd-DatabaseAvailbilityGroupServer -Identity DAG1 -MailboxServer EXMBX1

Ajout du second serveur dans le DAGAdd-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXMBX2

Ajout d’une copie de base de donnéesAdd-MailboxDatabaseCopy -Identity MBXDB1 -MailboxServer EXMBX3

3232

Migration vers une solution HA Exchange 2010

3333

Transition Steps

Vérification des prérequis Exchange 2010Déploiement des serveurs Exchange 2010Utilisation des fonctionnalités de déplacement de boites

aux lettres d’Exchange 2010Migrations non supportées

Mise à jour sur place depuis les versions précédentesImpossibilité d’utiliser le portage de bases de données entre des

serveurs Exchange 2010 et non Exchange 2010Backup et restore depuis les versions précédentes d’Exchange

2010Utilisation de la réplication entre Exchange 2010 et Exchange

2007

3434

Exemples d’architecture HA sous Exchange Server 2010

3535

Client AccessHub

TransportMailbox

Client AccessHub

TransportMailbox

Les membres des DAG peuvent héberger d’autres rôles

Répartiteur de charge matériel

DB1

DB2

DB3

DB2

DB1

DB2

DB3

Un DAG deux nœuds doit utiliser un stockage en RAID

Exemple d’architecture HAScenario Branch Office / Petite structure

8 cœurs processeurs recommandés avec un maximum de 64Go RAM

Role UM co-localisé non recommandé

3636

Un seul site

3 Copies

Database Availability Group

DB1 DB2 DB3

DB5 DB6

DB1 DB2 DB3

DB4 DB5 DB6

DB1 DB2 DB3

DB4 DB5 DB6DB4

MailboxServer 1

MailboxServer 2

MailboxServer 3

3 Noeuds

X

CAS NLB Farm

AD: Dublin

XJBOD

2 serveurs HS-> activation manuelle du 3ème serveur

Dans une configuration à 3 serveurs, le Quorum est perduLes DAGs avec plus de noeuds supportent plus de pannes

Exemple de HADouble secours– Maintenance + panne de base

3737

• Un seul site• 4 Noeuds• 3 copies• JBOD


DB2 DB3

DB5DB4

DB7 DB8 DB1

DB2 DB3 DB4

MailboxServer 1

DB5 DB6 DB7

DB8 DB1 DB2

MailboxServer 2

MailboxServer 3

X

CAS NLB Farm

AD: Dublin

DB3 DB4 DB5

DB6 DB7 DB8

MailboxServer 4

DB1 XDB6

• Mise à jour du serveur 1• Panne du serveur 2• Mise à jour du serveur 1

terminée• 2 copies HS

Exemple de HATriple secours– Maintenance + panne de serveur +panne de base

3838

Exemple de HA6 Serveurs

DB1 DB1

DB1 DB2 DB3 DB4 DB5 DB6





Legend

Active copy Passive copy Spare Disk






Mbx Server 1

24,000 Mailboxes

4,000 Active Mbxs/Svr6 Servers, 3 Copies = double server failure resiliency

8 Cores48 GB RAM

8 Cores48 GB RAM

2GB Mailbox Size.1 IOPS/Mailbox

1TB 7.2k SATA disks

Online Spares (3)

Battery Backed Caching Array Controller

Heavy Profile: 100 Messages/day

JBOD: 48 Disks/node


Mbx Server 2

DB52 DB53

DB61 DB62

DB70 DB71

DB79 DB80

DB88 DB89

DB31 DB32

DB34 DB35

DB37 DB38

DB40 DB41

DB43 DB44

DB54

DB63

DB72

DB81

DB90

DB33

DB36

DB39

DB42

DB45

MAPI network

Replication network

4,000 Active Mbxs/Svr1st failure: ~5,000 active2nd failure: 6,000 activeSoft active limit: 24

288 disks total30 TB of db space

3939

Conclusion

Meilleur solution de HA de bout en boutSolution identique pour la HA et le site de secoursPlus facile et plus simple à déployerRéduction du TCO grâce aux changement d’architecture de

stockageSupport de larges boites aux lettres pour un coût inférieur

4040

Questions / Réponses

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,

IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Documents

22 Christophe Leroux IT Architect Microsoft France