454 4.7.0 dočasný neúspěšný pokus o ověření na serveru Exchange

Původní číslo KB:   979174

Příznaky

V prostředí systému Exchange Server jsou některé e-mailové zprávy zablokovány ve vzdálené frontě doručení, které by měly být přeneseny na jiný interní server Exchange v organizaci Exchange.

Pokud otevřete nástroj prohlížeč front z uzlu Sada nástrojů v konzoli Exchange Management Console, zobrazí se v poli Poslední chyba chybová zpráva podobná této:

451 4.4.0 primární cílová IP adresa odpověděla na: "454 4.7.0 chyba s dočasným ověřením." Pokus o převzetí služeb při selhání alternativního hostitele, který se ale nezdařil. Buď nejsou k dispozici žádní alternativní hostitelé, nebo doručení všem alternativním hostitelům selhalo.

Navíc se může v souboru protokolu aplikace na serveru Exchange, který přijímá e-mailovou zprávu, zobrazit následující chybová zpráva:

Typ události: Chyba zdroj události: MSExchangeTransport kategorie události: SmtpReceive ID události: 1035 Popis: ověřování příchozích zpráv se nezdařilo. Chyba IllegalMessage pro výchozí příjem konektoru <Server> . Ověřovací mechanismus je ExchangeAuth. Zdrojová IP adresa klienta, který se pokusil ověřit na Microsoft Exchange, je [SourceIPAddress].

Příčina

Tento problém nastane, když se Exchange Server nemůže ověřit pomocí vzdáleného serveru Exchange. Servery Exchange vyžadují k směrování interních zpráv mezi servery ověřování. Problém může být způsoben některou z následujících příčin:

  • V serveru Exchange dochází k problémům se synchronizací.
  • Mezi řadiči domény je problém s replikací.
  • Server Exchange má problémy s hlavním názvem služby (SPN).
  • Požadované porty TCP/UDP pro protokol Kerberos jsou blokovány bránou firewall.

Řešení

Tento problém vyřešíte takto:

  1. Zkontrolujte hodiny na serverech i řadičích domény, které se můžou používat k ověřování serverů. Všechny hodiny je třeba synchronizovat do 5 minut od sebe.

  2. Vynuťte replikaci mezi řadiči domény a zjistěte, jestli se vyskytl problém s replikací.

  3. Ověřte, že je hlavní název služby (SPN) na SMTPSVC cílovém serveru správně zaregistrován.

    • SMTP SMTPSVC Pomocí nástroje Setspn se ujistěte, že jsou položky v účtu počítače správně přidané. Příklad:

      SetSPN-L <ExchangeServerName>
      Služba <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • Zkontrolujte duplicitní názvy SPN pomocí nástroje SetSPN. Mělo by existovat pouze jedna položka:

      SetSPN-x
      Zpracování položky 0
      Našla se 0 skupina duplicitních SPN.

  4. Ověřte, že jsou povolené porty vyžadované pro protokol Kerberos.

  5. Pokud předchozí kroky nefungují, můžete zapnout protokolování protokolu Kerberos na serveru, který zaregistruje zprávu události 1035, která může poskytovat další informace. Postupujte takto:

    1. Vyberte Start, vyberte Spustit, zadejte Regedita pak vyberte OK.
    2. Vyhledejte klíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. V nabídce Úpravy přejděte na Novýa pak vyberte Hodnota DWORD.
    4. V podokně podrobností zadejte novou hodnotu LogLevela stiskněte ENTER.
    5. Klikněte pravým tlačítkem na položku LogLevela pak vyberte změnit.
    6. V dialogovém okně Upravit hodnotu DWORD vyberte v části základmožnost desetinné číslo.
    7. Do pole Údaj hodnoty zadejte hodnotu 1a pak vyberte OK.
    8. Zavřete Editor registru.
    9. Zkontrolujte, zda protokol systémových událostí neobsahuje chyby protokolu Kerberos.
  6. V cílovém serveru Exchange zkontrolujte konektory pro příjem, které přijímají interní e-mailové zprávy, a ujistěte se, že mají povolené ověřování serverem Exchange.