454 4.7.0 一時的な認証Exchange Server

元の KB 番号:   979174

現象

Exchange サーバー環境では、一部の電子メール メッセージがリモート配信キューに保存され、Exchange 組織内の別の内部 Exchange サーバーに転送されている必要があります。

キュー ビューアー ツールを開くには、次のようなエラー メッセージが表示Exchange 管理コンソール[最後のエラー] フィールドに[ツールボックス] ノードが表示されます。

451 4.4.0 プライマリ ターゲット IP アドレスは、「454 4.7.0 一時的な認証の失敗」と応答しました。 代替ホストへのフェールオーバーを試行しましたが、成功しませんでした。 代替ホストがないか、すべての代替ホストへの配信に失敗しました。

さらに、電子メール メッセージを受信している Exchange サーバーのアプリケーション ログ ファイルに次のエラー メッセージが表示される場合があります。

イベントの種類: エラー イベント ソース: MSExchangeTransport イベント カテゴリ: SmtpReceive イベント ID: 1035 説明: 受信コネクタの既定のエラー IllegalMessage で受信認証に失敗しました。 <Server> 認証メカニズムは ExchangeAuth です。 Microsoft Exchange への認証を試みたクライアントの送信元 IP アドレスは[SourceIPAddress]です。

原因

この問題は、Exchange サーバーがリモート Exchange サーバーで認証できない場合に発生します。 Exchange サーバーでは、サーバー間で内部ユーザー メッセージをルーティングする認証が必要です。 この問題は、次のいずれかの理由で発生する可能性があります。

  • Exchange サーバーで時刻同期の問題が発生しています。
  • ドメイン コントローラー間にレプリケーションの問題があります。
  • Exchange サーバーでサービス プリンシパル名 (SPN) の問題が発生しています。
  • Kerberos プロトコルに必要な TCP/UDP ポートは、ファイアウォールによってブロックされます。

解決方法

この問題を解決するには、次の手順を行います。

  1. サーバーの認証に使用される可能性があるサーバーとドメイン コントローラーの両方でクロックを確認します。 すべてのクロックは、1 つのクロックから 5 分以内に同期する必要があります。

  2. ドメイン コントローラー間のレプリケーションを強制して 、レプリケーションの問題が発生した場合に確認します。

  3. 対象サーバーにサービス プリンシパル名 (SPN) が正 SMTPSVC しく登録されていることを確認します。

    • SetSPN ツールを使用して、コンピューター アカウントにエントリとエントリが正しく追加 SMTP SMTPSVC されていることを確認します。 以下に例を示します。

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName> .example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> .example.com

    • SetSPN ツールを使用して重複する SPN を確認します。 各エントリは 1 つのみです。

      SetSPN -x
      処理エントリ 0
      重複する SPN のグループが 0 件見つかりました。

  4. Kerberos に必要なポートが有効になっているか確認します。

  5. 前の手順が機能しない場合は、イベント 1035 メッセージを登録しているサーバーで Kerberos のログ記録を有効にできます。追加の情報が提供される場合があります。 これを行うには、次の手順を実行します。

    1. [ スタート] を 選択し 、[実行] を選択し 、「Regedit」と入力、[OK] を選択します
    2. レジストリ キーを探します HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. [編集] メニューの [新規] をポイント 、[DWORD 値] を選択します
    4. 詳細ウィンドウで、新しい値 LogLevel を入力 し、Enter キーを 押します
    5. [LogLevel] を右クリックし、[変更] を 選択します
    6. [DWORD 値の編集] ダイアログ ボックスの [基本] で 、[10 進] を 選択します
    7. [値の データ] ボックス に値 1 を入力し**、[OK] を選択します**。
    8. レジストリ エディターを終了します。
    9. もう一度、システム イベント ログで Kerberos エラーを確認します。
  6. 宛先サーバーでExchange Server、内部電子メール メッセージを受信する受信コネクタを確認し、Exchange 認証が有効になっているか確認します。