454 4.7.0 Tijdelijke verificatiefout in Exchange Server

Oorspronkelijk KB-getal:   979174

Symptomen

In een Exchange-serveromgeving zitten sommige e-mailberichten vast in een wachtrij voor externe bezorging die had moeten worden overgebracht naar een andere interne Exchange-server in de Exchange-organisatie.

Als u het hulpprogramma Wachtrijviewer opent vanuit het knooppunt Werkset op de Exchange-beheerconsole, wordt in het veld Laatste fout een foutbericht weergegeven dat er als volgt uit ziet:

451 4.4.0 Primair IP-adres voor doel reageerde met: '454 4.7.0 Tijdelijke verificatiefout'. Geprobeerd failover naar alternatieve host te maken, maar dat is niet gelukt. Er zijn geen alternatieve hosts of de bezorging is mislukt voor alle alternatieve hosts.

Daarnaast vindt u mogelijk het volgende foutbericht in het toepassingslogboekbestand op de Exchange-server dat het e-mailbericht ontvangt:

Gebeurtenistype: Foutgebeurtenisbron: MSExchangeTransport Event Category: SmtpReceive Event ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default <Server> . Het verificatiemechanisme is ExchangeAuth. Het bron-IP-adres van de client die heeft geprobeerd zich te verifiëren bij Microsoft Exchange is [SourceIPAddress].

Oorzaak

Dit probleem treedt op als de Exchange-server niet kan worden geverifieerd met de externe Exchange-server. Exchange-servers vereisen verificatie om interne gebruikersberichten tussen servers door te sturen. Het probleem kan worden veroorzaakt door een van de volgende redenen:

  • De Exchange-server ondervindt problemen met tijdsynchronisatie.
  • Er is een replicatieprobleem tussen de domeincontrollers.
  • De Exchange-server ondervindt spn-problemen (Service Principal Name).
  • De vereiste TCP/UDP-poorten voor het Kerberos-protocol worden geblokkeerd door de firewall.

Oplossing

Als u dit probleem wilt oplossen, gaat u als volgt te werk:

  1. Controleer de klok op zowel servers als domeincontrollers die kunnen worden gebruikt om de servers te verifiëren. Alle klokken moeten binnen 5 minuten van elkaar worden gesynchroniseerd.

  2. Dwing replicatie tussen domeincontrollers om te zien of er een replicatieprobleem is.

  3. Controleer of de Service Principal Name (SPN) voor SMTPSVC correct is geregistreerd op de doelserver.

    • Zorg ervoor dat de items en vermeldingen correct aan het computeraccount zijn toegevoegd met behulp van het hulpmiddel SMTP SMTPSVC SETSPN. Bijvoorbeeld:

      SETSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName> .example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> .example.com

    • Controleer op dubbele SPN's met het hulpprogramma SetSPN. Er mag slechts één vermelding van elk item zijn:

      SPN -x instellen
      Invoer verwerken 0
      gevonden 0 groep dubbele SPN's.

  4. Controleer of de poorten die nodig zijn voor Kerberos zijn ingeschakeld.

  5. Als de vorige stappen niet werken, kunt u logboekregistratie voor Kerberos inschakelen op de server die het bericht Gebeurtenis 1035 registreert, wat mogelijk extra informatie kan bevatten. Ga hiervoor als volgt te werk:

    1. Selecteer Start, selecteer Uitvoeren, typ Regedit en selecteer OK.
    2. Zoek de registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. Wijs in het menu Bewerken de optie Nieuw aan en selecteer DWORD-waarde.
    4. Voer in het detailvenster de nieuwe waarde LogLevel in en druk op Enter.
    5. Klik met de rechtermuisknop op LogLevel en selecteer Vervolgens Wijzigen.
    6. Selecteer in het dialoogvenster DWORD-waarde bewerken onder Basis de optie Decimaal.
    7. Typ in het vak Waardegegevens de waarde 1 en selecteer OK.
    8. Sluit de Register-editor.
    9. Controleer nogmaals het systeemgebeurtenislogboek op kerberosfouten.
  6. Controleer in de doelversie van Exchange Server de ontvangstconnectoren die interne e-mailberichten ontvangen en controleer of Exchange-verificatie is ingeschakeld.