Exchange Serverのセーフティ ネット

  • [アーティクル]

Exchange 2010 では、 トランスポート ダンプは 、データベース可用性グループ (DAG) のパッシブ メールボックス データベース コピーにレプリケートされなかった正常に配信されたメッセージのキューを維持することで、データ損失から保護するのに役立ちました。 メールボックス データベースまたはメールボックス サーバーの障害により、メールボックス データベースの古いコピーの昇格が必要になった場合は、トランスポート収集内のメッセージが、メールボックス データベースの新しいアクティブ コピーに自動的に再送信されます。

トランスポート ダンプは Exchange 2013 で改善され、現在は セーフティ ネットと呼ばれています。 Exchange 2016 と Exchange 2019 には、同じ機能強化があります。

次に、セーフティ ネットと Exchange 2010 のトランスポート収集における類似点を示します。

  • セーフティ ネットは、メールボックス サーバー上のトランスポート サービスに関連付けられたキューです。 このキューにより、サーバーによって正常に処理されたメッセージのコピーが保存されます。

  • 期限切れになり、自動的に削除されるまで、セーフティ ネットが正常に処理されたメッセージのコピーを保存する時間を指定できます。 既定値は 2 日です。

次に、セーフティ ネットが Exchange 2010 のトランスポート収集からどのように改良されたのかを示します。

  • セーフティ ネットは DAG を必要としない: DAG に属していないメールボックス サーバーの場合、Safety Net は配信されたメッセージのコピーをローカル Active Directory サイトの他のメールボックス サーバーに格納します。

  • セーフティ ネット自体は単一障害点ではありません。冗長性は 、プライマリ セーフティ ネットシャドウ セーフティ ネットを使用して提供されます。 プライマリ セーフティ ネットが 12 時間を超えて使用不能になった場合は、再送信要求がシャドウ再送信要求になり、メッセージはシャドウ セーフティ ネットから再配信されます。

  • セーフティ ネットは、DAG 環境のシャドウ冗長性から一部の責任を引き継ぎます。配信されたメッセージがメールボックス データベースのパッシブ コピーにレプリケートされるのを待機している間、シャドウ冗長性は配信されたメッセージの別のコピーをシャドウ キューに保持する必要はありません。 配信されたメッセージのコピーは、既にセーフティ ネットに保存されているため、必要な場合は、メッセージをセーフティ ネットから再送信できます。

  • Safety Net はメッセージの冗長性を保証しようとします。セーフティ ネットはメッセージの冗長性に対するベスト エフォート以上の機能であるため、Safety Net の最大サイズ制限を指定することはできません。 指定できるのは、メッセージが自動的に削除されるまで、セーフティ ネットがそれらのメッセージをどれほどの期間保存するかだけです。

Exchange Serverでのトランスポート高可用性機能の詳細については、「Exchange Serverでのトランスポートの高可用性」を参照してください。 転送中のメッセージのメッセージ冗長性の詳細については、「Exchange Serverのシャドウ冗長性」を参照してください。

セーフティ ネットの機能

シャドウ冗長は、メッセージの送信中ずっと、そのメッセージの冗長コピーを保持します。 メッセージが正常に処理された後には、セーフティ ネットによりメッセージの冗長コピーが保持されます。 したがって、シャドウ冗長が終了したときにセーフティ ネットが開始することになります。 シャドウ冗長に関する概念 (トランスポート高可用性境界、プライマリ メッセージ、プライマリ サーバー、シャドウ メッセージ、シャドウ サーバーを含む) は、セーフティ ネットにも同様に適用されます。 詳細については、「Exchange Serverのシャドウ冗長性」を参照してください。

プライマリ セーフティ ネットは、トランスポート サービスによってメッセージが正常に処理される前にプライマリ メッセージを保持していたメールボックス サーバー上に存在します。 これは、メッセージが、宛先メールボックス サーバー上のメールボックス トランスポート配信サービスに配信されたことを意味している可能性があります。 または、宛先の DAG または Active Directory サイトへの途中のハブ サイトとして指定された Active Directory サイトにあるメールボックス サーバーを介して、メッセージが中継された可能性があります。 プライマリ サーバーによってプライマリ メッセージが処理されると、そのメッセージはアクティブの配信キューから同じサーバー上のプライマリ セーフティ ネットに移動します。

シャドウ セーフティ ネットは、シャドウ メッセージを保持していたメールボックス サーバー上に存在します。 シャドウ サーバーは、プライマリ サーバーによってプライマリ メッセージが正常に処理されたことを判断すると、そのシャドウ メッセージをシャドウ キューから同じサーバー上のシャドウ セーフティ ネットに移動します。 明らかなことですが、シャドウ セーフティ ネットが存在するためには、シャドウ冗長を有効にする必要があります (既定で有効になっています)。

次の表で、セーフティ ネットによって使用されるパラメーターを示します。

パラメーター 既定値 説明
Set-TransportConfigSafetyNetHoldTime 2 日 正常に処理されたプライマリ メッセージがプライマリ セーフティ ネットに保存される時間の長さ、および確認されたシャドウ メッセージがシャドウ セーフティ ネットに保存される時間の長さ。

この値は、Exchange 管理センター (EAC) の [メール フロー>受信コネクタ] [その他のオプション] [その他の>オプション] アイコンで指定することもできます。>組織のトランスポート設定>セーフティ ネット>Safety Net のホールド タイム

未確認のシャドウ メッセージは、 SafetyNetHoldTime パラメーター値と MessageExpirationTimeout パラメーター値の合計の後に、シャドウ セーフティ ネットから最終的に期限切れになります。

Safety Net の再送信中にデータが失われるのを防ぐには、このパラメーターの値が、メールボックス データベースの遅延コピーの Set-MailboxDatabaseCopyReplayLagTime の値以上である必要があります。
Set-MailboxDatabaseCopyReplayLagTime 未構成 パッシブ データベース コピーへコピーされたログ ファイルを再生する前に、Microsoft Exchange レプリケーション サービスが待機する時間。 このパラメーターを 0 よりも大きい値に設定すると、メールボックス データベースの遅延コピーが作成されます。 最大値は 14 日です。

Safety Net の再送信中にデータが失われるのを防ぐには、メールボックス データベースの遅延コピーに対するこのパラメーターの値を、Set-TransportConfigSafetyNetHoldTime の値以下にする必要があります。
Set-TransportServiceMessageExpirationTimeout 2 日 期限前にメッセージがキューに残る時間。
Set-TransportConfigShadowRedundancyEnabled $true $true: 組織内のすべてのメールボックス サーバーでシャドウ冗長性が有効になっています。

$false: 組織内のすべてのトランスポート サーバーでシャドウ冗長性が無効になっています。

セーフティ ネットの冗長性を使用するには、シャドウ冗長を有効にする必要があります。

Safety Net でサポートされる最大サイズ

2019 年と 2016 年Microsoft Exchange Server、トランスポート セーフティ ネット JET データベースでサポートされる最大データベース サイズは 2 TB です。

ハブアンドスポーク トポロジを使用すると、トランスポート セーフティ ネット JET データベースは 2 TB を超える可能性があります。 サポートされている 2 TB の制限内を維持するには、次のガイドラインに従います。

  • メッセージリレーに使用されるハブ サーバーは、メールボックスにメッセージを配信するように構成することはできません。

  • メッセージ リレーに使用されるハブ サーバーで Safety Net を無効にします。 これを行うには、次の手順を実行します。

    1. コマンド プロンプト ウィンドウで、サーバーで次のコマンドを実行して 、メモ帳 でEdgeTransport.exe.config ファイルを開きます。

      Notepad %ExchangeInstallPath%Bin\EdgeTransport.exe.config

    2. appSettings セクションに次のキーを追加します。

      <add key="SafetyNetHoldTimeInterval" value="0.00:00:15" />

      完了したら、EdgeTransport.exe.config ファイルを保存して閉じます。

    3. 次のコマンドを実行して、Exchange トランスポート サービスを再起動します。

      net stop MSExchangeTransport && net start MSExchangeTransport

セーフティ ネットからのメッセージの再送信

Microsoft Exchange レプリケーション サービス (MSExchangeRepl.exe) の Active Manager コンポーネントは、DAG とメールボックス データベースのコピーを管理します。 セーフティ ネットからのメッセージの再送信は、手動での対応を必要とせず、アクティブ マネージャーによって開始されます。 アクティブ マネージャーの詳細については、「アクティブ マネージャー」を参照してください。

セーフティ ネットのメッセージ再送信には、2 つの基本的なシナリオがあります。

  • DAG のメールボックス データベースの自動フェールオーバーまたは手動フェールオーバーの後。

  • メールボックス データベースの遅延コピーをアクティブにした後。

被覆メールボックス データベース コピー被覆コピー)は、データベースに対する更新を意図的に遅らせることにより、メールボックス データベースの論理的破損を阻止しする、メールボックス データベースのパッシブ コピーです。 詳細については、「 メールボックス データベースのコピーを管理する」を参照してください。

2 つのシナリオ間での唯一の大きな違いは、セーフティ ネットからメッセージを再送信するために戻る時間の長さです。 一般的に、DAG におけるデータベース フェールオーバーの場合、メールボックス データベースの新しいアクティブ コピーは、古いアクティブ コピーよりも数分から数時間後のものです。 メールボックス データベースの遅延コピーは一般的に、古いアクティブ コピーの数日後のものです。

遅延コピーのためにメッセージをセーフティ ネットから正常に再送信するための主な必要条件は、メッセージがセーフティ ネットに保存されている期間が、遅延コピーの遅延時間以上であることです。 言い換えると、Set-TransportConfigSafetyNetHoldTime の値は、遅延コピーの Set-MailboxDatabaseCopyReplayLagTime の値以上である必要があります。

シャドウ セーフティ ネットからのメッセージの再送信

シャドウ セーフティ ネットからのメッセージの再送信は (プライマリ セーフティ ネットからのメッセージの再送信と同様に)、完全に自動化されており、手動での介入は必要ありません。 次のシナリオでは、メッセージの再送信中におけるプライマリ セーフティ ネットとシャドウ セーフティ ネットのやり取りについて説明します。

  1. アクティブ マネージャーが、あるメールボックス データベースの指定した期間 (たとえば、午前 5 時から午前 9 時) のメッセージを、セーフティ ネットから再送信するよう要求します。 しかし、プライマリ セーフティ ネットがあるメールボックス サーバーは、ハードウェア障害によりクラッシュしました。 アクティブ マネージャーは、続く 12 時間はプライマリ セーフティ ネットとの通信を試行しますが、失敗します。

  2. 12 時間が経過すると、アクティブ マネージャーは、トランスポート高可用性境界 (DAG または非 DAG 環境内の Active Directory サイト) 内の全メールボックス サーバー上のトランスポート サービスにブロードキャスト メッセージを送信し、対象のメールボックス データベースの指定した期間のメッセージを保持している他のセーフティ ネットを検索します。 そしてシャドウ セーフティ ネットがそれに応答し、メールボックス データベースの午前 5 時から午前 9 時のメッセージを再送信します。

シャドウ セーフティ ネットは応答すると、要求されたメールボックス データベースの要求された期間中のメッセージだけを再送信します。 このメールボックス データベースと期間の制約によって、次に挙げる潜在的な問題が軽減されます。

  • Safety Net からメッセージを再送信すると、配信が重複する可能性があります。 これは Exchange 組織内のメールボックスの問題ではありません。重複メッセージの検出により、メールボックス ユーザーに重複メッセージが表示されないためです。 ただし、外部受信者へのメッセージ配信が重複すると、受信者に表示されるメッセージのコピーが重複する可能性があります。

  • シャドウ セーフティ ネットから再送信されたシャドウ メッセージには、メールボックス サーバー上のトランスポート サービスを介した完全な分類と処理が必要です。 多数のシャドウ メッセージが再送信された場合は、メールボックス サーバーのシステム リソースという点でコストが高くなる可能性があります。

シャドウ セーフティ ネットに保存されるシャドウ メッセージについて、いくつかの重要な注意事項があります。

  • シャドウ セーフティ ネットは、プライマリ サーバーがプライマリ メッセージを送信した場所を認識していません。

  • シャドウ セーフティ ネットのシャドウ メッセージには元のメッセージ エンベロープ受信者のみが含まれており、プライマリ メッセージが配信された実際の受信者は含まれていません (たとえば、メッセージ エンベロープ受信者は、展開を必要とする配布グループである場合があります)。

  • シャドウ セーフティ ネットのメッセージには、プライマリ サーバーがメッセージを処理した後に発生したメッセージの更新は含まれていません (たとえば、メッセージ エンコーディングやコンテンツ変換などがあります)。

次のシナリオでは、要求された再送信の間隔の間に、プライマリ セーフティ ネットがオフラインになった場合の動作について説明します。

  1. プライマリ セーフティ ネットを保持するメールボックス サーバー上のキュー データベースが破損し、新しいキュー データベースが午前 7 時に作成されました。 午前 1 時から午前 7 時の間にプライマリ セーフティ ネットに保存されたすべてのプライマリ メッセージは失われますが、午前 7 時以降、サーバーは正常に配信されたメッセージのコピーをセーフティ ネットに保存できます。

  2. Active Manager が、午前 1 時~午前 9 時の時間間隔におけるメールボックス データベースのセーフティ ネットからのメッセージの再送信を要求します。

  3. プライマリ セーフティ ネットは、午前 7 時~午前 9 時の時間間隔におけるメッセージを再送信します。

  4. プライマリ セーフティ ネットには、1:00 から 7:00 に必要なメッセージがないためです。 プライマリ セーフティ ネットは、トランスポート高可用性境界内のすべてのメールボックス サーバー上のトランスポート サービスにブロードキャスト メッセージを送信し、必要なメッセージを含む他のセーフティ ネットを探します。 シャドウ セーフティ ネットは、プライマリ セーフティ ネットに代わって 2 回目の再送信要求を生成し、1:00 から 7:00 までの期間、ターゲット メールボックス データベースのシャドウ メッセージを再送信します。

セーフティ ネットからメッセージが再送信される場合に注意すべきその他のいくつかの問題点を以下に示します。

  • Safety Net メッセージの再送信では、すべての配信状態通知 (DSN、配信不能レポート、NDR、バウンス メッセージとも呼ばれます) は抑制されます。たとえば、プライマリ メッセージが NDR になった場合、再送信されたメッセージの NDR は配信されません。

  • シャドウ セーフティ ネットがメッセージを再送信すると、配布グループから削除されたユーザーは再送信メッセージを受け取らない場合があります。たとえば、ユーザー A とユーザー B を含むグループにメッセージが送信され、両方の受信者がメッセージを受信します。 続いてユーザー B がグループから削除されます。 その後、ユーザー B のメールボックスを保持するメールボックス データベースに対して、プライマリ セーフティ ネットからの再送信要求が作成されます。 しかし、プライマリ セーフティ ネットが使用不能になった時間が 12 時間を超えたため、シャドウ セーフティ ネット サーバーが応答し、影響を受けたメッセージを再送信します。 メッセージの再送信中に配布グループが展開されたとき、ユーザー B は既にグループのメンバーではないため、再送信されたメッセージのコピーは受信しません。

  • 配布グループに追加された新しいユーザーは、シャドウ セーフティ ネットがメッセージを再送信したときに、古い再送信メッセージを受け取る場合があります。たとえば、ユーザー A とユーザー B を含むグループにメッセージが送信され、両方の受信者がメッセージを受信します。 続いてユーザー C がグループに追加されます。 その後、ユーザー C のメールボックスを保持するメールボックス データベースに対して、プライマリ セーフティ ネットからの再送信要求が作成されます。 しかし、プライマリ セーフティ ネット サーバーが使用不能になった時間が 12 時間を超えたため、シャドウ セーフティ ネット サーバーが応答し、影響を受けたメッセージを再送信します。 メッセージの再送信中に配布グループが展開されたとき、ユーザー C は今はグループのメンバーになっているため、再送信されたメッセージのコピーを受信します。

  • ハブ アンド スポーク トポロジでのセーフティ ネットの展開: セーフティ ネットは、エンド ユーザー メールボックスをホストする Exchange Server でのメッセージ配信を保護するように設計されています。 ハブ アンド スポーク ルーティング トポロジを展開しているお客様は、ハブ サイト内のトランスポート サーバーで Safety Net を無効にして、ハブの場所でのトランスポート データベースのサイズが大幅に増加しないようにする必要があります。