454 4.7.0 temporärer Authentifizierungsfehler in Exchange Server

Ursprüngliche KB-Nummer:   979174

Problembeschreibung

In einer Exchange Server-Umgebung stecken einige e-Mail-Nachrichten in einer Remotezustellungswarteschlange, die an einen anderen internen Exchange-Server in der Exchange-Organisation übertragen werden sollte.

Wenn Sie das Tool Warteschlangenanzeige aus dem Knoten Toolbox in der Exchange-Verwaltungskonsole öffnen, wird im Feld letzte Fehler eine Fehlermeldung angezeigt, die der folgenden ähnelt:

451 4.4.0 primäre Ziel-IP-Adresse reagierte mit: "454 4.7.0 Temporary Authentication Failure." Versuchtes Failover auf alternativen Host, jedoch nicht erfolgreich. Es sind keine alternativen Hosts vorhanden, oder die Zustellung konnte nicht auf allen Alternativen Hosts ausgeführt werden.

Darüber hinaus können Sie die folgende Fehlermeldung in der Anwendungsprotokolldatei auf dem Exchange-Server finden, der die e-Mail-Nachricht empfängt:

Ereignistyp: Error-Ereignisquelle: MSExchangeTransport-Ereigniskategorie: SmtpReceive-Ereignis-ID: 1035 Beschreibung: Fehler bei der eingehenden Authentifizierung mit Fehler IllegalMessage für den Standard des Empfangsconnectors <Server> . Der Authentifizierungsmechanismus lautet ExchangeAuth. Die Quell-IP-Adresse des Clients, der versucht hat, sich bei Microsoft Exchange zu authentifizieren, lautet [SourceIPAddress].

Ursache

Dieses Problem tritt auf, wenn sich der Exchange-Server nicht mit dem Exchange-Remoteserver authentifizieren kann. Für Exchange-Server ist die Authentifizierung für die Weiterleitung interner Benutzer Nachrichten zwischen Servern erforderlich. Das Problem kann auf einen der folgenden Gründe zurückzuführen sein:

  • Auf dem Exchange-Server treten Zeitsynchronisierungsprobleme auf.
  • Zwischen den Domänencontrollern ist ein Replikationsproblem aufgetreten.
  • Auf dem Exchange-Server treten Probleme mit dem Dienstprinzipalnamen (Service Principal Name, SPN) auf.
  • Die erforderlichen TCP/UDP-Ports für das Kerberos-Protokoll werden durch die Firewall blockiert.

Lösung

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Überprüfen Sie die Uhr auf beiden Servern und Domänencontrollern, die zur Authentifizierung der Server verwendet werden können. Alle Uhren sollten innerhalb von 5 Minuten von einem anderen synchronisiert werden.

  2. Erzwingen Sie die Replikation zwischen Domänencontrollern , um festzustellen, ob ein Replikationsproblem vorliegt.

  3. Stellen Sie sicher, dass der Dienstprinzipal Name (Service Principal Name, SPN) für SMTPSVC auf dem Zielserver ordnungsgemäß registriert ist.

    • Stellen Sie sicher, dass die SMTP und- SMTPSVC Einträge dem Computerkonto mithilfe des SetSPN-Tools ordnungsgemäß hinzugefügt werden. Zum Beispiel:

      SetSPN-L <ExchangeServerName>
      SMTP <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • Suchen Sie mit dem Setspn-Tool nach doppelten SPNs. Es sollte jeweils nur einen Eintrag geben:

      Setspn-x
      Verarbeitungs Eintrag 0
      0-Gruppe doppelter SPNs gefunden.

  4. Stellen Sie sicher, dass die für Kerberos erforderlichen Ports aktiviert sind.

  5. Wenn die vorherigen Schritte nicht funktionieren, können Sie die Protokollierung für Kerberos auf dem Server aktivieren, der die Ereignis 1035-Nachricht registriert, die möglicherweise zusätzliche Informationen bereitstellt. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, dann auf Ausführen, geben Sie Regeditein, und wählen Sie dann OKaus.
    2. Suchen Sie den Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. Klicken Sie im Menü Bearbeiten auf neu, und wählen Sie dann DWORD-Wertaus.
    4. Geben Sie im Detailbereich den neuen Wert LogLevelein, und drücken Sie dann die EingabeTaste.
    5. Klicken Sie mit der rechten Maustaste auf LogLevel, und wählen Sie dann ändernaus.
    6. Wählen Sie im Dialogfeld DWORD-Wert bearbeiten unter Basisdie Option Decimalaus.
    7. Geben Sie im Feld Wertdaten den Wert 1ein, und wählen Sie dann OKaus.
    8. Schließen Sie den Registrierungs-Editor.
    9. Überprüfen Sie erneut das System Ereignisprotokoll auf etwaige Kerberos-Fehler.
  6. Überprüfen Sie im Exchange Server Ziel die Empfangsconnectors, die interne e-Mail-Nachrichten empfangen, und stellen Sie sicher, dass die Exchange-Authentifizierung aktiviert ist.