כשל אימות זמני של 454 4.7.0 ב-Exchange Server

מספר KB מקורי:   979174

מאפייני הבעיה

בסביבת Exchange server, הודעות דואר אלקטרוני מסוימות תקועות בתור מסירה מרוחק שאמור היה להיות מועבר לשרת פנימי אחר של Exchange בארגון Exchange.

אם אתה פותח את הכלי ' מציג התורים ' מתוך צומת ארגז הכלים במסוף הניהול של Exchange, השדה ' שגיאה אחרונה ' מציג הודעת שגיאה הדומה להודעה הבאה:

451 4.4.0 היעד הראשי של כתובת ה-IP של היעד השיב: "454 4.7.0 כשל זמני של אימות". נעשה ניסיון להיכשל במעבר למארח חלופי, אך לא הצליח. לא קיימים מארחים חלופיים, או שמסירת המסירה לכל המארחים החלופיים.

בנוסף, ייתכן שתמצא את הודעת השגיאה הבאה בקובץ יומן היישומים ב-Exchange server המקבל את הודעת הדואר האלקטרוני:

סוג אירוע: מקור אירוע שגיאה: MSExchangeTransport Event Category: SmtpReceive מזהה אירוע: 1035 תיאור: אימות נכנס נכשל עם שגיאה IllegalMessage לקבלת ברירת המחדל של המחבר <Server> . מנגנון האימות הוא ExchangeAuth. כתובת ה-IP המשמשת כמקור של הלקוח שניסה לבצע אימות ב-Microsoft Exchange היא [SourceIPAddress].

סיבה

בעיה זו מתרחשת אם שרת Exchange אינו יכול לבצע אימות באמצעות שרת Exchange המרוחק. שרתי Exchange דורשים אימות כדי לנתב הודעות משתמש פנימי בין שרתים. הבעיה עלולה להיגרם מאחת מהסיבות הבאות:

  • שרת Exchange נתקל בבעיות סינכרון זמן.
  • קיימת בעיית שכפול בין בקרי התחום.
  • שרת Exchange נתקל בבעיות שם ראשי של שירות (SPN).
  • חומת האש חוסמת את יציאות ה-TCP/UDP הנדרשות עבור פרוטוקול Kerberos.

פתרון

כדי לפתור בעיה זו, בצע את הפעולות הבאות:

  1. סמן את השעון בשני השרתים ובקרי התחום שעשויים לשמש לאימות השרתים. יש לסנכרן את כל השעונים לתוך 5 דקות אחד מהשני.

  2. אלץ שכפול בין בקרי תחומים כדי לראות אם קיימת בעיית שכפול.

  3. ודא שהשם הראשי של השירות (SPN) SMTPSVC נרשם כראוי בשרת היעד.

    • ודא SMTP SMTPSVC שהערכים והערכים מתווספים כראוי לחשבון המחשב באמצעות הכלי SetSPN. לדוגמה:

      SetSPN-L <ExchangeServerName>
      SMTP <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • בדוק אם יש שמות Spn כפולים באמצעות הכלי SetSPN. צריך להיות רק ערך אחד של כל אחת מהאפשרויות הבאות:

      SetSPN-x
      עיבוד ערך 0
      נמצא 0 קבוצה של שמות Spn כפולים.

  4. ודא שהיציאות הדרושות עבור Kerberos זמינות.

  5. אם השלבים הקודמים אינם פועלים, באפשרותך להפעיל את הרישום עבור Kerberos בשרת שנרשם להודעה 1035 של האירוע, אשר עשויה לספק מידע נוסף. לשם כך, בצע את הפעולות הבאות:

    1. בחר התחל, בחר הפעל, הקלד Regeditולאחר מכן בחר אישור.
    2. אתר את מפתח הרישום: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. בתפריט עריכה , הצבע על חדשולאחר מכן בחר ערך DWORD.
    4. בחלונית הפרטים, הזן את הערך החדש LogLevelולאחר מכן הקש Enter.
    5. לחץ באמצעות לחצן העכבר הימני על LogLevelולאחר מכן בחר שנה.
    6. בתיבת הדו עריכת ערך DWORD , תחת בסיס, בחר עשרוני.
    7. בתיבה נתוני ערך , הקלד את הערך 1ולאחר מכן בחר אישור.
    8. סגור את עורך הרישום.
    9. שוב בדוק את יומן האירועים של המערכת עבור שגיאות Kerberos.
  6. בשרת היעד של Exchange, בדוק את המחברים המקבלים המקבלים הודעות דואר אלקטרוני פנימיות וודא שאימות Exchange זמין.