4.7.0 tijdelijke verificatiefout in 454 in Exchange Server

Oorspronkelijk KB-nummer:   979174

Symptomen

In een Exchange Server-omgeving zitten sommige e-mailberichten in een wachtrij voor externe levering die naar een andere interne Exchange-server in de Exchange-organisatie zouden moeten worden overgebracht.

Als u het hulpmiddel voor de Queue-Viewer opent vanuit het knooppunt in de Exchange-beheer console, wordt in het veld voor de laatste fout een foutbericht weergegeven van de volgende strekking:

451 4.4.0 primair doel IP-adres is beantwoord met: ' 454 4.7.0 tijdelijke verificatiefout '. Failover geprobeerd naar een andere host, maar dat is niet gelukt. Er zijn geen alternatieve hosts of de bezorging is mislukt voor alle andere hosts.

Daarnaast kan het volgende foutbericht worden weergegeven in het logboekbestand van de toepassing op de Exchange-server waarop het e-mailbericht wordt ontvangen:

Gebeurtenis type: foutgebeurtenis Bron: MSExchangeTransport gebeurteniscategorie: SmtpReceive gebeurtenis-ID 1035: de beschrijving van de: binnenkomende verificatie is mislukt met de fout IllegalMessage voor de standaardinstelling connector <Server> . Het authenticatiemechanisme is ExchangeAuth. Het bron-IP-adres van de client die een verificatie heeft uitgevoerd voor Microsoft Exchange is [SourceIPAddress].

Oorzaak

Dit probleem doet zich voor als de Exchange-Server niet kan verifiëren met de externe Exchange-Server. Voor Exchange-servers is verificatie vereist om interne gebruikers berichten tussen servers te routeren. Het probleem kan een van de volgende oorzaken hebben:

  • De Exchange-Server doet problemen met synchronisatie van tijd.
  • Er is een replicatie probleem tussen de domeincontrollers.
  • Op de Exchange-Server treden SPN-problemen (Service Principal Name) op.
  • De vereiste TCP/UDP-poorten voor het Kerberos-protocol worden geblokkeerd door de firewall.

Oplossing

Ga als volgt te werk om dit probleem op te lossen:

  1. Controleer de klok op beide servers en domeincontrollers die kunnen worden gebruikt om de servers te verifiëren. Alle klokken moeten binnen 5 minuten van elkaar worden gesynchroniseerd.

  2. Replicatie tussen domeincontrollers afdwingen om te zien of er een probleem is met een replicatie.

  3. Controleer of de SPN (Service Principal Name) SMTPSVC correct is geregistreerd op de doelserver.

    • Zorg ervoor dat de SMTP en SMTPSVC vermeldingen correct worden toegevoegd aan het computeraccount met behulp van het hulpprogramma Setspn. Bijvoorbeeld:

      SetSPN-L <ExchangeServerName>
      Virtuele <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • Selecteer voor dubbele Spn's met behulp van het hulpprogramma SetSPN. Er mag slechts één item worden vermeld:

      SetSPN-x
      Verwerking van invoer 0
      Er is 0 groep met dubbele Spn's gevonden.

  4. Controleer of de poorten die zijn vereist voor Kerberos, zijn ingeschakeld.

  5. Als de bovenstaande stappen niet werken, kunt u logboekregistratie inschakelen voor Kerberos op de server die het bericht gebeurtenis 1035 registreert, wat mogelijk aanvullende informatie biedt. Ga hiervoor als volgt te werk:

    1. Selecteer Start, klik op uitvoeren, typ regedit en klik vervolgens op OK.
    2. Zoek de registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. Wijs in het menu bewerken naar Nieuw en selecteer DWORD-waarde.
    4. Voer in het deelvenster Details de nieuwe waarde LogLevel in en druk vervolgens op Enter.
    5. Klik met de rechtermuisknop op LogLevel en selecteer vervolgens wijzigen.
    6. Selecteer in het dialoogvenster DWORD-waarde bewerken onder basis de optie decimaal.
    7. In het vak Waardegegevens typt u de waarde 1 en selecteert u OK.
    8. Sluit de Register-editor.
    9. Controleer het logboek met systeemgebeurtenissen opnieuw op een Kerberos-fout.
  6. Controleer op de doel server voor Exchange de optie connectors voor het ontvangen van interne e-mailberichten en zorg ervoor dat deze Exchange-verificatie hebben ingeschakeld.