Logiciel de sauvegarde du serveur Exchange. Sauvegarde Exchange 2016, 2013 & 2010

Bienvenue > Logiciel de sauvegarde Exchange Server 2019, 2016, 2013 et 2010.

*Cette page concerne uniquement les instances Exchange sur site. Pour la sauvegarde de M365, Bacula Enterprise propose un outil dédié distinct de sauvegarde et de restauration.

En 2026, 45 754 organisations à travers le monde utilisent Microsoft Exchange Server sur site pour gérer leurs communications professionnelles critiques, notamment les e-mails, les calendriers, les contacts et la planification des tâches. Sans sauvegardes régulières d’Exchange, les organisations risquent de perdre définitivement des données critiques de leurs boîtes aux lettres, car une simple panne de serveur ou une attaque par ransomware peut interrompre les opérations indéfiniment et exposer l’entreprise à des violations de conformité et à des sanctions financières. Le courrier électronique est également le principal vecteur d’attaque des ransomwares, ce qui fait d’Exchange l’un des systèmes les plus ciblés sur un réseau d’entreprise.

Étant donné qu’Exchange conserve en permanence une partie de ses données en mémoire et ne les écrit sur le disque qu’à intervalles réguliers, un outil de sauvegarde standard basé sur les fichiers ne pourra pas capturer les données encore présentes en mémoire au moment de l’exécution. En d’autres termes, la sauvegarde aboutit à un instantané incomplet qui ne peut pas être restauré de manière fiable.

Pour sauvegarder Exchange de manière fiable alors qu’il est encore actif, Bacula Enterprise fournit deux plugins de sauvegarde spécialement conçus pour deux scénarios de défaillance distincts. Le plugin VSS coordonne directement ses opérations avec le moteur de base de données Exchange au niveau de la base de données complète. Le plugin EWS coordonne directement ses opérations avec le moteur de base de données Exchange au niveau des éléments individuels.

Le plugin Exchange VSS utilise le service Windows Volume Shadow Copy pour capturer des sauvegardes cohérentes avec l’application au niveau de la base de données pendant qu’Exchange reste en ligne ; c’est l’outil recommandé lorsque l’ensemble du déploiement Exchange a été affecté et que la priorité est de remettre rapidement la base de données complète en ligne.

Backup Exchange EWS

Télécharger l’essai

Le plugin Exchange EWS, quant à lui, utilise l’API Exchange Web Services de Microsoft pour sauvegarder et restaurer des éléments de messagerie individuels au niveau de l’utilisateur, notamment les e-mails, les pièces jointes, les contacts, les tâches et les entrées de calendrier, sans perturber le fonctionnement du serveur Exchange.

Les administrateurs peuvent déployer l’un ou l’autre de ces plugins indépendamment, mais pour bénéficier de la meilleure protection possible de votre environnement Exchange sur site, il est préférable de les exécuter tous les deux ensemble sous le même Bacula Director, qui est le composant central chargé de gérer et de coordonner toutes les opérations de sauvegarde Bacula.

Principales fonctionnalités du logiciel de sauvegarde Bacula Enterprise pour MS Exchange

Si votre organisation a besoin d’une reprise après sinistre complète en cas de panne de serveur ou d’attaque par ransomware, déployez le plugin VSS. En revanche, si votre priorité est de restaurer des messages individuels au niveau de l’utilisateur, le plugin EWS est l’outil spécialement conçu à cet effet. Une fois encore, Bacula Systems recommande d’utiliser les deux plugins conjointement sous le même Bacula Director.

	Plugin VSS (au niveau de la base de données)	Plugin EWS (au niveau des éléments individuels)
Couverture de la sauvegarde	Base de données Exchange complète et groupes de stockage incluant les journaux de transactions et la configuration Active Directory	E-mails individuels, pièces jointes, rendez-vous de calendrier, contacts, tâches et structures de dossiers au niveau de la boîte aux lettres
Types de sauvegarde et planification	Sauvegardes complètes et incrémentielles avec planification flexible et politiques de conservation¹*	Sauvegardes complètes, incrémentielles et différentielles avec de multiples capacités de parallélisation et une planification flexible
Capacités de restauration	Restauration complète et de base de données unique	Restauration d’éléments individuels, y compris des e-mails, des pièces jointes, des contacts, des tâches et des entrées de calendrier ; exportation vers le système de fichiers ; restauration dans la boîte aux lettres d’origine ou migration vers une autre destination Exchange
Administration et gestion	Gestion centralisée via BWeb Management Suite (interface graphique, console en ligne de commande et interface Web) ; notifications de tâches et tâches de vérification automatisées	Rapports de restauration conviviaux ; découverte avancée des boîtes aux lettres ; indexation des e-mails pour une navigation basée sur le contenu ; gestion via BWeb Management Suite et la console en ligne de commande
Stockage et infrastructure	Sauvegarde sur disque local, NAS, SAN, bande, stockage cloud (y compris Amazon et Azure) ; chiffrement et compression des données de sauvegarde	Sauvegarde sur disque local, NAS, SAN, bande, stockage cloud, y compris Amazon et Azure ; chiffrement et compression des données de sauvegarde
Confidentialité et filtrage	N/A – Les contrôles de confidentialité sont gérés au niveau d’Exchange. Le plugin VSS sauvegarde l’intégralité de la base de données sans filtrage au niveau des éléments.	Filtrage puissant pour la confidentialité, le spam et la sécurité ; exclusion de messages spécifiques de la sauvegarde dans son intégralité ou uniquement de l’index du catalogue ; contrôle des champs d’en-tête des e-mails indexés ; exportation au format MIME pour la migration vers une autre plateforme de messagerie
Prise en charge des plateformes et des versions	Nécessite Windows Server ; Exchange doit se trouver dans un domaine Active Directory ; mise en cluster prise en charge via les groupes de disponibilité de base de données	Exchange Server sur site ; communication via HTTPS par le biais du point de terminaison EWS ; aucune installation d’agent requise sur le serveur Exchange

¹ Les sauvegardes différentielles ne sont pas prises en charge par le plugin VSS et peuvent entraîner la perte de fichiers journaux de transactions. Veuillez utiliser uniquement des sauvegardes complètes et incrémentielles.

Ce que vous devez savoir avant de déployer les plugins VSS et EWS

Conditions de déploiement

Le plugin VSS nécessite plusieurs étapes de configuration obligatoires sur le serveur Exchange avant l’exécution de la première sauvegarde. Le plugin EWS, en revanche, ne nécessite aucune condition préalable sur le serveur Exchange lui-même et est opérationnel dès que le démon de fichiers Bacula est configuré.

Plugin EWS

Aucun agent ni logiciel supplémentaire ne doit être installé sur le serveur Exchange.
Le plugin s’exécute à partir du démon de fichiers Bacula sur l’hôte client de sauvegarde et communique avec Exchange via HTTPS en passant par le point de terminaison EWS standard.
Les opérations de sauvegarde n’ont aucune incidence sur l’utilisation des ressources du serveur Exchange.

Plugin VSS

La journalisation circulaire doit être désactivée sur chaque base de données Exchange, car elle remplace la gestion du journal des transactions dont dépend le VSS pour assurer la cohérence incrémentielle.
Au moins un fichier de chaque lecteur utilisé par Exchange doit être explicitement inclus dans le « Fileset » de Bacula, car le plugin VSS utilise l’inclusion des lecteurs pour déterminer les volumes à inclure dans l’instantané.
Le mode « Accurate » doit être activé dans la ressource de tâche Bacula, sinon des fichiers risquent d’être omis ou dupliqués lors de la sauvegarde.
Les tâches de sauvegarde VSS doivent s’exécuter en tant que tâches Bacula distinctes des tâches de sauvegarde de fichiers Windows standard, étant donné que le sous-système VSS n’est pas disponible dans l’environnement de restauration à froid WinPE.

Récupération

Le plugin VSS permet de récupérer les données Exchange au niveau de la base de données. Le plugin EWS, quant à lui, effectue la récupération au niveau des éléments individuels, en offrant un contrôle total sur les boîtes aux lettres, les dossiers et les éléments à restaurer.

Plugin EWS

Les e-mails, pièces jointes, contacts, tâches ou entrées de calendrier individuels sont restaurés directement sur le serveur Exchange via HTTPS, sans perturber l’environnement Exchange en cours d’exécution.
Les tâches de restauration ciblent des boîtes aux lettres, des dossiers ou des éléments individuels spécifiques via la configuration du « Fileset », ce qui permet aux administrateurs de ne récupérer que la boîte aux lettres, le dossier ou l’élément concerné.
Les éléments récupérés peuvent être restaurés dans la boîte aux lettres d’origine, déplacés vers un sous-dossier ou migrés vers une autre destination Exchange.
Un rapport de restauration est généré après chaque tâche, confirmant les éléments qui ont été récupérés et avertissant les administrateurs de tout élément que le processus de restauration n’a pas pu atteindre.

Plugin VSS

Le plugin VSS restaure l’intégralité de la base de données Exchange ou des groupes de stockage individuels à leur emplacement d’origine ; Exchange est à nouveau opérationnel dès que les bases de données restaurées sont montées.
Les déploiements Exchange fonctionnant dans des groupes de disponibilité de bases de données sont généralement pris en charge, mais il n’est pas possible de garantir une compatibilité totale avec toutes les configurations de cluster.

Confidentialité et conformité

Le plugin VSS sauvegarde l’intégralité de la base de données Exchange en bloc. Par conséquent, les contrôles de confidentialité doivent être gérés au niveau de l’administration d’Exchange. Le plugin EWS, en revanche, permet aux administrateurs de déterminer précisément quels messages sont sauvegardés, lesquels sont indexés dans le catalogue Bacula et lesquels sont totalement exclus.

Plugin EWS

Le paramètre email_exclude_expr supprime entièrement de la sauvegarde les messages correspondant à l’expression définie, pour les environnements où le contenu de certaines boîtes aux lettres ne doit pas être conservé.
Le paramètre email_exclude_index_expr conserve l’élément dans la sauvegarde mais le supprime de l’index du catalogue Bacula, pour les environnements où les données doivent être conservées mais ne doivent pas être consultables par les administrateurs de sauvegarde.
Le paramètre email_fields_exclude_index limite les champs d’en-tête des e-mails indexés dans le catalogue, pour les déploiements où le catalogage des données de l’expéditeur ou du destinataire soulève des préoccupations liées au RGPD ou à une politique interne.

Plugin VSS

Les données de sauvegarde sont chiffrées au niveau du volume à l’aide des algorithmes AES 128, AES 192 ou AES 256, ce qui assure la protection des sauvegardes de bases de données Exchange tant en transit qu’au repos.
Chaque tâche de sauvegarde VSS peut être vérifiée automatiquement ou via une tâche de vérification manuelle depuis la console Bacula.

Prise en charge de la migration

Les plugins VSS et EWS participent tous deux aux tâches de copie et de migration de Bacula. Les données de sauvegarde sont répliquées vers un stockage secondaire ou migrées entre des pools de stockage sans relecture des données source. Lorsque l’option MIME est activée, le plugin EWS stocke le contenu des éléments au format RFC 2077, qui peut être importé directement dans une autre plateforme de messagerie sans conversion.

Bacula Enterprise : prise en charge complète des plateformes

Sécurité et conformité des sauvegardes

Bacula Enterprise adopte une approche multicouche pour sécuriser les données de sauvegarde Exchange, combinant le chiffrement du transport, la protection au niveau du stockage et la détection des ransomwares au sein d’une même plateforme.

Copies de sauvegarde immuables – Le stockage compatible WORM verrouille les données de sauvegarde afin d’empêcher toute modification ou suppression une fois celles-ci écrites. Aucun chemin d’accès réseau vers les points de restauration n’existe pour un attaquant disposant d’identifiants de service valides.
Chiffrement AES par client – Configurable en AES 128, AES 192 ou AES 256 par client, de la source à la destination de stockage. Une violation de la cible de stockage n’expose que les données de ce client, et non l’ensemble du parc de sauvegarde.
Conformité FIPS 140-3 – Les modules cryptographiques répondent à la norme fédérale requise par les organisations gouvernementales et militaires sur tous les démons pris en charge.
Contrôles d’accès granulaires – Les autorisations des utilisateurs s’appliquent à des tâches spécifiques, des workflows de restauration et des fonctions de gestion. Aucun compte ne dispose d’un accès inutile à l’ensemble de l’environnement de sauvegarde.
Audit complet des activités – Chaque sauvegarde, restauration et modification de configuration est consignée avec l’identité de l’utilisateur et l’horodatage. Les équipes de sécurité disposent d’une piste d’audit ininterrompue pour les enquêtes sur les incidents et les contrôles de conformité.
Intégration SIEM – Les événements de sécurité de l’infrastructure de sauvegarde sont transmis à des plateformes SIEM externes qui intègrent la couche de sauvegarde dans les workflows de réponse aux incidents existants de l’organisation, de sorte que l’environnement de sauvegarde est visible par le SOC.
Prise en charge du cadre réglementaire – Les contrôles de la plateforme sont conformes aux exigences du RGPD, de l’HIPAA, du SOC 2, de la norme PCI DSS et du NIST grâce au chiffrement, à des politiques de conservation configurables et à des journaux d’audit détaillés.

Stockage et restauration

Une stratégie de sauvegarde contre les ransomwares échoue si la restauration elle-même est lente, n’a pas été testée ou se limite à une seule voie. Bacula offre aux administrateurs plusieurs options de restauration indépendantes, de sorte qu’aucun point de défaillance unique ne puisse empêcher la restauration.

Bande hors réseau – Les volumes de bande éjectés de la bibliothèque et stockés hors ligne sont physiquement inaccessibles à toute attaque provenant du réseau. Aucune compromission des identifiants, aussi profonde soit-elle, ne peut atteindre une bande éjectée.
Tâches de copie de sauvegarde. Les points de restauration sont écrits sur une cible de stockage distincte, avec des identifiants indépendants et une politique de conservation différente. Un jeu de sauvegarde principal corrompu ou supprimé n’affecte pas les points de restauration de la tâche de copie.
Restauration à froid – Bacula restaure un serveur complet à partir de zéro, y compris le système d’exploitation, les applications et les données, sans nécessiter d’installation manuelle préalable. Les systèmes Linux et Windows sont pris en charge, avec le support UEFI et EFI.
Plusieurs types de cibles de stockage – Les sauvegardes s’écrivent sur disque local, NAS, SAN, bibliothèques de bandes et stockage objet dans le cloud, y compris S3, Azure et Google Cloud, au sein d’une seule et même politique. Les organisations mettent en œuvre la règle 3-2-1-1 sans avoir à gérer des outils distincts pour chaque destination.
Workflows de stockage hiérarchisé – Les données se déplacent automatiquement entre les niveaux de stockage à mesure qu’elles vieillissent, conservant les points de restauration récents sur un stockage rapide tandis que les données plus anciennes sont transférées vers des destinations moins coûteuses ou hors ligne.
Réplication géographique des sauvegardes – Les jeux de sauvegarde sont copiés vers des emplacements de stockage géographiquement distincts. Une panne à l’échelle d’un site n’entraîne pas la perte des points de restauration.
Validation automatisée de la restauration – La restaurabilité est confirmée par des tests automatisés, et les administrateurs de sauvegarde savent que les points de restauration sont utilisables avant qu’un incident ne les oblige à se poser la question.

Couverture multi-environnements

Les ransomwares ne font aucune distinction entre les types de charges de travail. Bacula protège les serveurs physiques, les machines virtuelles, les conteneurs, les bases de données et les infrastructures cloud grâce à un moteur de politiques et une piste d’audit uniques.

Virtualisation multi-plateforme – L’intégration native couvre VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV et OpenStack, avec une application cohérente des politiques sur tous les hyperviseurs.
Prise en charge des conteneurs et des environnements cloud natifs – La protection complète des environnements Docker, Kubernetes et OpenShift inclut des sauvegardes de volumes persistants et des instantanés cohérents au niveau des applications.
Sauvegarde de bases de données – La prise en charge de la sauvegarde à chaud couvre Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona et IBM DB2 avec une cohérence transactionnelle totale. Les sauvegardes de bases de données sont fiables pour la restauration, et pas seulement pour le stockage.
Protection des applications SaaS – Microsoft 365, Google Workspace et Exchange Online sont protégés grâce à une capacité de restauration granulaire allant jusqu’aux e-mails et entrées de calendrier individuels.
Intégration du stockage multicloud – La prise en charge native couvre les interfaces S3, Azure, Google Cloud, Oracle Cloud et Glacier. Les organisations ne sont pas liées à un seul fournisseur de cloud pour le stockage de sauvegarde.
Environnement Windows – Le système de fichiers chiffrés Windows, Microsoft VSS avec MS SQL Server et Exchange, Active Directory et les instantanés de points de montage fonctionnent tous sous un seul agent Windows.

Gestion et administration des sauvegardes

B Suite de gestion Web. L’interface graphique Web principale de Bacula permet de gérer la configuration des tâches, la surveillance, la génération de rapports et l’analyse de sécurité de l’ensemble de l’environnement de sauvegarde à partir d’une interface unique.
Une évolutivité sans limites. La même architecture de plateforme permet de gérer des environnements allant d’une poignée de serveurs à des déploiements comptant des milliers de serveurs, le tout sous un seul plan de gestion.
Isolation des locataires. Les MSP et les grandes entreprises partitionnent l’environnement de sauvegarde en unités gérées indépendamment. Chaque unité dispose de sa propre configuration, de ses propres politiques et de ses propres contrôles d’accès.
Intégration de systèmes externes. Bacula se connecte à des outils de surveillance, à des systèmes de tickets informatiques et à des services d’annuaire, notamment LDAP et Active Directory. Aucun développement personnalisé n’est requis.
Licences indépendantes du volume. Les frais de licence sont basés sur la taille de l’environnement, et non sur le volume de données. La capacité de sauvegarde augmente sans entraîner de coûts supplémentaires.

Foire aux questions

Pourquoi les sauvegardes standard au niveau des fichiers ne sont-elles pas adaptées à Exchange Server ?

Parce qu’Exchange conserve en permanence une partie de ses données en mémoire et ne les écrit sur le disque qu’à intervalles réguliers. Un outil de sauvegarde générique qui copie directement les fichiers depuis un disque ne prendra pas en compte les données encore présentes en mémoire au moment de l’exécution, ce qui produira un instantané incomplet ne pouvant pas être restauré de manière fiable.

Quelle est la différence entre le plugin VSS et le plugin EWS ?

Le plugin VSS fonctionne au niveau de la base de données et constitue l’outil idéal lorsque l’ensemble du déploiement Exchange doit être restauré rapidement après un sinistre. Le plugin EWS fonctionne au niveau des éléments et constitue l’outil idéal lorsqu’un e-mail, un contact, une tâche ou une entrée de calendrier spécifique doit être restauré sans toucher à la base de données. Pour une protection Exchange sur site optimale, Bacula Systems recommande d’utiliser les deux plugins conjointement.

Dois-je arrêter le serveur Exchange pour effectuer une sauvegarde ?

Non. Le plugin VSS utilise le service Windows Volume Shadow Copy pour capturer des instantanés de base de données cohérents avec les applications pendant qu’Exchange continue de fonctionner. Le plugin EWS communique avec le serveur Exchange en production via HTTPS et ne nécessite pas l’arrêt d’Exchange à aucun moment pendant la sauvegarde.

Dois-je désactiver la journalisation circulaire pour la sauvegarde du serveur Exchange ?

Oui. La journalisation circulaire doit être désactivée sur chaque base de données Exchange avant l’exécution de la première sauvegarde VSS. La journalisation circulaire remplace la gestion du journal des transactions dont dépend le module d’écriture VSS Exchange de Windows pour assurer la cohérence des sauvegardes incrémentielles.

Puis-je restaurer un seul e-mail sans restaurer l’intégralité de la base de données Exchange ?

Oui. Le plugin EWS restaure des e-mails, des pièces jointes, des contacts, des tâches ou des entrées de calendrier individuels directement sur le serveur Exchange sans toucher à la base de données.

Quel est le niveau de sécurité des données de sauvegarde Exchange dans Bacula Enterprise ?

Les données de sauvegarde sont chiffrées lors de leur transfert entre le démon de fichiers Bacula et le démon de stockage via TLS. Les données au repos sont chiffrées au niveau du volume à l’aide des algorithmes AES 128, AES 192 ou AES 256. Le démon de fichiers Bacula ne détient aucun identifiant permettant d’accéder directement aux cibles de stockage, ce qui signifie qu’un hôte Exchange compromis ne peut pas lire, modifier ou supprimer les données de sauvegarde stockées sur le démon de stockage Bacula.