セーフティ ネット

製品: Exchange Server 2013

Microsoft Exchange Server 2013 では、メールボックスの高可用性の主なメカニズムは、データベース可用性グループ (DAG) です。 DAG の詳細については、「 データベース可用性グループの管理」を参照してください。 トランスポート ダンプは Exchange 2007 で初めて導入され、メッセージが DAG のメールボックスに正常に配信された後、メッセージの冗長コピーを提供するように Exchange 2010 でさらに改善されました。 Exchange 2010 では、トランスポート ダンプは、DAG 内のパッシブ メールボックス データベース コピーにレプリケートされなかった正常に配信されたメッセージのキューを維持することで、データ損失から保護するのに役立ちました。 メールボックス データベースまたはメールボックス サーバーの障害により、メールボックス データベースの古いコピーの昇格が必要になった場合は、トランスポート収集内のメッセージが、メールボックス データベースの新しいアクティブ コピーに自動的に再送信されます。

トランスポート ダンプは Exchange 2013 で改善され、現在は Safety Net と呼ばれています。

次に、セーフティ ネットと Exchange 2010 のトランスポート収集における類似点を示します。

  • セーフティ ネットは、メールボックス サーバー上のトランスポート サービスに関連付けられたキューです。 このキューにより、サーバーによって正常に処理されたメッセージのコピーが保存されます。

  • 期限切れになり、自動的に削除されるまで、セーフティ ネットが正常に処理されたメッセージのコピーを保存する時間を指定できます。 既定値は 2 日です。

Exchange 2013 でのセーフティ ネットの違いを次に示します。

  • Safety Net には DAG は必要ありません。 DAG に属していないメールボックス サーバーの場合、Safety Net は配信されたメッセージのコピーをローカル Active Directory サイト内の他のメールボックス サーバーに格納します。

  • セーフティ ネット自体は冗長になり、単一障害点ではなくなりました。 ここでは、 プライマリ セーフティ ネット とシャドウ セーフティ ネットの概念について説明 します。 プライマリ セーフティ ネットが 12 時間を超えて使用不能になった場合は、再送信要求がシャドウ再送信要求になり、メッセージはシャドウ セーフティ ネットから再配信されます。

  • Safety Net は、DAG 環境のシャドウ冗長性から何らかの責任を引き継ぎます。 シャドウ冗長性は、配信されたメッセージの別のコピーをシャドウ キューに保持する必要はありません。また、配信されたメッセージが DAG 内の他のメールボックス サーバー上のメールボックス データベースのパッシブ コピーにレプリケートされるのを待機します。 配信されたメッセージのコピーは、既にセーフティ ネットに保存されているため、必要な場合は、メッセージをセーフティ ネットから再送信できます。

  • Exchange 2013 では、トランスポートの高可用性は、メッセージの冗長性に関するベスト エフォートだけではありません。 Exchange 2013 はメッセージの冗長性を保証しようとします。 このため、Safety Net の最大サイズ制限を指定することはできません。 指定できるのは、メッセージが自動的に削除されるまで、セーフティ ネットがそれらのメッセージをどれほどの期間保存するかだけです。

セーフティ ネットの機能

シャドウ冗長は、メッセージの送信中ずっと、そのメッセージの冗長コピーを保持します。 メッセージが正常に処理された後には、セーフティ ネットによりメッセージの冗長コピーが保持されます。 したがって、シャドウ冗長が終了したときにセーフティ ネットが開始することになります。 トランスポート高可用性境界、プライマリ メッセージ、プライマリ サーバー、シャドウ メッセージ、シャドウ サーバーなど、シャドウ冗長性に関する同じ概念は、Safety Net にも適用されます。 詳細については、「シャドウ冗長」を参照してください。

プライマリ セーフティ ネットは、トランスポート サービスによってメッセージが正常に処理される前にプライマリ メッセージを保持していたメールボックス サーバー上に存在します。 これは、メッセージが宛先メールボックス サーバーのメールボックス トランスポート サービスに配信されたことを意味する可能性があります。 または、宛先の DAG または Active Directory サイトへの途中のハブ サイトとして指定された Active Directory サイトにあるメールボックス サーバーを介して、メッセージが中継された可能性があります。 プライマリ サーバーがプライマリ メッセージを処理すると、メッセージはアクティブ キューから同じサーバー上のプライマリ セーフティ ネットに移動されます。

シャドウ セーフティ ネットは、シャドウ メッセージを保持していたメールボックス サーバー上に存在します。 シャドウ サーバーは、プライマリ サーバーによってプライマリ メッセージが正常に処理されたことを判断すると、そのシャドウ メッセージをシャドウ キューから同じサーバー上のシャドウ セーフティ ネットに移動します。 明らかなように見えるかもしれませんが、シャドウ セーフティ ネットの存在にはシャドウ冗長性を有効にする必要があり、Exchange 2013 ではシャドウ冗長性が既定で有効になっています。

Safety Net で使用されるパラメーターを次の表に示します。

パラメーター 既定値 説明
Set-TransportConfigSafetyNetHoldTime 2 日 正常に処理されたプライマリ メッセージがプライマリ セーフティ ネットに保存される時間の長さ、および確認されたシャドウ メッセージがシャドウ セーフティ ネットに保存される時間の長さ。

この値は、Exchange 管理センター (EAC) のメール フロー>Receive コネクタ>その他のオプション [その他のオプション] アイコン>[組織化トランスポートの設定]>、[セーフ ネット>セーフ ネットの保留時間] で指定することもできます。

未確認のシャドウ メッセージは、最終的に、Set-TransportServiceSafetyNetHoldTimeMessageExpirationTimeout の合計の後にシャドウ セーフティ ネットから期限切れになります。

Safety Net の再送信中にデータが失われるのを防ぐには、メールボックス データベースの遅延コピーの Set-MailboxDatabaseCopyReplayLagTime の値以上にする必要があります。
Set-MailboxDatabaseCopyReplayLagTime 未構成 パッシブ データベース コピーへコピーされたログ ファイルを再生する前に、Microsoft Exchange レプリケーション サービスが待機する時間。 このパラメーターを 0 よりも大きい値に設定すると、メールボックス データベースの遅延コピーが作成されます。 最大値は 14 日です。

Safety Net の再送信中にデータが失われるのを防ぐには、メールボックス データベースの遅延コピーに対して、Set-TransportConfigSafetyNetHoldTime の値以下にする必要があります。
Set-TransportServiceMessageExpirationTimeout 2 日 期限前にメッセージがキューに残る時間。
Set-TransportConfigShadowRedundancyEnabled $true
  • $true では、組織内のすべてのトランスポート サーバーでシャドウ冗長性が有効になります。
  • $false は、組織内のすべてのトランスポート サーバーのシャドウ冗長性を無効にします。

冗長セーフティ ネットでは、シャドウ冗長性を有効にする必要があります。

セーフティ ネットからのメッセージの再送信

Safety Net からのメッセージ再送信は、DAG とメールボックス データベースのコピーを管理する Microsoft Exchange レプリケーション サービスの Active Manager コンポーネントによって開始されます。 Safety Net からメッセージを再送信するために手動で操作する必要はありません。 アクティブ マネージャーの詳細については、「アクティブ マネージャー」を参照してください。

セーフティ ネットのメッセージ再送信には、2 つの基本的なシナリオがあります。

  • DAG のメールボックス データベースの自動フェールオーバーまたは手動フェールオーバーの後。
  • メールボックス データベースの遅延コピーをアクティブにした後。

被覆メールボックス データベース コピー被覆コピー)は、データベースに対する更新を意図的に遅らせることにより、メールボックス データベースの論理的破損を阻止しする、メールボックス データベースのパッシブ コピーです。 詳細については、「メールボックス データベースのコピーの管理」を参照してください。

2 つのシナリオ間での唯一の大きな違いは、セーフティ ネットからメッセージを再送信するために戻る時間の長さです。 通常、DAG でのフェールオーバーの場合、メールボックス データベースの新しいアクティブ コピーは、通常、古いアクティブ なコピーの数分から数時間後です。 メールボックス データベースの遅延コピーは一般的に、古いアクティブ コピーの数日後のものです。

遅延コピーに対する Safety Net からの再送信を成功させる主な要件は、メッセージがセーフティ ネットに格納される時間が、メールボックス データベースの遅延コピーのラグ タイム以上である必要がある時間です。 言い換えると、Set-TransportConfigSafetyNetHoldTime の値は、遅延コピーの Set-MailboxDatabaseCopyReplayLagTime の値以上である必要があります。

シャドウ セーフティ ネットからのメッセージの再送信

プライマリ セーフティ ネットからのメッセージ再送信と同様に、シャドウ セーフティ ネットからのメッセージ再送信は完全に自動化されており、手動による介入は必要ありません。

Active Manager が特定の期間にわたってセーフティ ネットからメッセージの再送信を要求すると、要求は、プライマリ セーフティ ネットが必要な期間メッセージ コピーを保持しているメールボックス サーバー上のトランスポート サービスに送信されます。 大規模な Exchange 組織では、特に必要な期間が長い場合は、必要なメッセージが複数のメールボックス サーバーのセーフティ ネットに存在する可能性があります。

最適化がないと、Safety Net からメッセージを再送信すると、大量の重複配信が発生する可能性があります。 Exchange 組織内の重複配信は、重複メッセージ検出によってメールボックス ユーザーにメッセージの重複コピーが表示されないため、問題になりません。 ただし、Exchange 組織外の受信者へのメッセージ配信が重複すると、メッセージのコピーが重複します。 幸いなことに、セーフティ ネットからのメッセージの再送信は、Exchange 2013 で最適化され、重複するメッセージ配信を減らしています。

プライマリ セーフティ ネットが最初に応答しない場合、またはメッセージの再送信中に応答しなくなった場合、Active Manager は 12 時間その接続を試み続けてから、終了します。 12 時間後、ブロードキャストは、トランスポート高可用性バインド内のすべてのメールボックス サーバー上のトランスポート サービスに送信され、必要なメールボックス データベースに必要な期間、Safety Net からのメッセージの再送信を要求します。 シャドウ セーフティ ネットが応答すると、必要な期間だけ、必要なメールボックス データベースのメッセージが再送信されます。

シャドウ セーフティ ネットに格納されているシャドウ メッセージには、いくつかの重要な考慮事項があります。

  • シャドウ セーフティ ネットは、プライマリ サーバーがプライマリ メッセージを送信した場所を認識していません。

  • シャドウ セーフティ ネットのシャドウ メッセージには元のメッセージ エンベロープ受信者のみが含まれ、プライマリ メッセージが配信された実際の受信者は含まれません。 たとえば、メッセージ エンベロープ受信者は、展開を必要とする配布グループである可能性があります。

  • シャドウ セーフティ ネットのメッセージには、プライマリ サーバーがメッセージを処理した後に発生したメッセージ更新プログラムはありません。 たとえば、メッセージエンコードやコンテンツ変換などです。

シャドウ セーフティ ネットから再送信されたシャドウ メッセージには、メールボックス サーバー上のトランスポート サービスを通じて完全な分類と処理が必要です。 シャドウ セーフティ ネットからの多数のシャドウ メッセージの再送信は、メールボックス サーバー リソースの観点からコストがかかる場合があります。 幸いなことに、シャドウ セーフティ ネットからのシャドウ メッセージの再送信も最適化されているため、要求された時間間隔のシャドウ セーフティ ネット内のメッセージのみが再送信され、要求されたメールボックス データベースが再送信されます。

メッセージの再送信中のプライマリ セーフティ ネットとシャドウ セーフティ ネットの相互作用については、次のシナリオで説明します。

  1. Active Manager は、5:00 から 9:00 の間、メールボックス データベースに対して Safety Net からメッセージの再送信を要求します。 しかし、プライマリ セーフティ ネットがあるメールボックス サーバーは、ハードウェア障害によりクラッシュしました。 Active Manager は、プライマリ セーフティ ネットへの 12 時間の接続を繰り返し試行します。

  2. 12 時間後、Active Manager はトランスポート高可用性境界内のすべてのメールボックス サーバー上のトランスポート サービスにブロードキャスト メッセージを送信し、5:00 から 9:00 の間、ターゲット メールボックス データベースのメッセージを含む他のセーフティ ネットを探します。 シャドウ セーフティ ネットが応答すると、メールボックス データベースのメッセージが 5:00 から 9:00 の時間間隔で再送信されます。

次のシナリオで説明するように、要求された再送信間隔の一部でプライマリ セーフティ ネットがオフラインであった場合、興味深いやり取りが発生します。

  1. プライマリ セーフティ ネットを保持するメールボックス サーバー上のキュー データベースが破損しており、7:00 に新しいキュー データベースが作成されます。 午前 1 時から午前 7 時の間にプライマリ セーフティ ネットに保存されたすべてのプライマリ メッセージは失われますが、午前 7 時以降、サーバーは正常に配信されたメッセージのコピーをセーフティ ネットに保存できます。

  2. Active Manager が、午前 1 時~午前 9 時の時間間隔におけるメールボックス データベースのセーフティ ネットからのメッセージの再送信を要求します。

  3. プライマリ セーフティ ネットは、午前 7 時~午前 9 時の時間間隔におけるメッセージを再送信します。

  4. プライマリ セーフティ ネットは、トランスポート高可用性境界内のすべてのメールボックス サーバー上のトランスポート サービスにブロードキャスト メッセージを送信し、プライマリ セーフティ ネットにメッセージがない 1:00 から 7:00 の間、ターゲット メールボックス データベースのメッセージを含む他のセーフティ ネットを探します。 シャドウ セーフティ ネットは、ターゲット メールボックス データベースのシャドウ メッセージを 1:00 から 7:00 に再送信するために、プライマリ セーフティ ネットに代わって 2 回目の再送信要求を生成します。

メッセージが Safety Net から再送信される場合に考慮すべきその他の問題がいくつかあります。

  1. Safety Net の再送信では、すべての配信状態通知 (DSN) と配信不能レポート (NDR) が抑制されます。 たとえば、プライマリ メッセージにより NDR が生成された場合、再送信されたメッセージの NDR は配信されません。

  2. 配布グループから削除されたユーザーは、シャドウ セーフティ ネットがメッセージを再送信したときに再送信されたメッセージを受け取らない場合があります。 たとえば、ユーザー A とユーザー B を含むグループにメッセージが送信され、両方の受信者がメッセージを受信します。 続いてユーザー B がグループから削除されます。 その後、ユーザー B のメールボックスを保持するメールボックス データベースに対して、プライマリ セーフティ ネットからの再送信要求が作成されます。 しかし、プライマリ セーフティ ネットが使用不能になった時間が 12 時間を超えたため、シャドウ セーフティ ネット サーバーが応答し、影響を受けたメッセージを再送信します。 配布グループが展開されたときに再送信中、ユーザー B はグループのメンバーではなく、再送信されたメッセージのコピーを受け取りません。

  3. 配布グループに追加された新しいユーザーは、シャドウ セーフティ ネットがメッセージを再送信したときに、古い再送信されたメッセージを受け取ることがあります。 たとえば、ユーザー A とユーザー B を含むグループにメッセージが送信され、両方の受信者がメッセージを受信します。 続いてユーザー C がグループに追加されます。 その後、ユーザー C のメールボックスを保持するメールボックス データベースに対して、プライマリ セーフティ ネットからの再送信要求が作成されます。 しかし、プライマリ セーフティ ネット サーバーが使用不能になった時間が 12 時間を超えたため、シャドウ セーフティ ネット サーバーが応答し、影響を受けたメッセージを再送信します。 配布グループが展開されたときに再送信中に、ユーザー C はグループのメンバーであり、再送信されたメッセージのコピーを受け取ります。