454 4.7.0 tymczasowy błąd uwierzytelniania w programie Exchange Server

Oryginalny numer artykułu KB:   979174

Symptomy

W środowisku programu Exchange Server niektóre wiadomości e-mail są przesyłane w zdalnej kolejce dostarczania, które powinny zostać przeniesione na inny wewnętrzny serwer Exchange w organizacji programu Exchange.

Jeśli otworzysz narzędzie Podgląd kolejki z węzła przybornika w konsoli zarządzania programu Exchange, w ostatnim polu błędu zostanie wyświetlony komunikat o błędzie podobny do następującego:

451 4.4.0 podstawowy docelowy adres IP: "454 4.7.0 tymczasowy błąd uwierzytelniania". Podjęto próbę przejścia do innego hosta, ale nie powiodło się. Nie istnieją alternatywne hosty lub dostarczenie nie powiodło się we wszystkich innych hostach.

Ponadto w pliku dziennika aplikacji na serwerze Exchange, który otrzymuje wiadomość e-mail, może zostać wyświetlony następujący komunikat o błędzie:

Typ zdarzenia: Źródło zdarzenia o błędzie: MSExchangeTransport, Kategoria zdarzenia: SmtpReceive identyfikator zdarzenia: 1035 opis: uwierzytelnianie przychodzące nie powiodło się z błędem IllegalMessage na potrzeby odbierania łączników domyślnych <Server> . Mechanizm uwierzytelniania to ExchangeAuth. Źródłowy adres IP klienta, który próbował uwierzytelnić się do programu Microsoft Exchange, to [SourceIPAddress].

Przyczyna

Ten problem występuje, jeśli serwer programu Exchange nie może być uwierzytelniany za pomocą zdalnego serwera programu Exchange. Serwery Exchange wymagają uwierzytelniania, aby rozsyłać wewnętrzne wiadomości użytkowników między serwerami. Przyczyną problemu może być jedna z następujących przyczyn:

  • Wystąpił problem z synchronizacją czasu serwera programu Exchange.
  • Wystąpił problem z replikacją między kontrolerami domeny.
  • Na serwerze programu Exchange występują problemy z główną nazwą usługi (SPN).
  • Wymagane porty TCP/UDP dla protokołu Kerberos są blokowane przez zaporę.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj podane dalej czynności.

  1. Sprawdź zegar na serwerach i kontrolerach domeny, które mogą być używane do uwierzytelniania serwerów. Wszystkie zegary powinny być synchronizowane z dokładnością do 5 minut.

  2. Wymuszanie replikacji między kontrolerami domeny w celu sprawdzenia, czy występuje problem z replikacją.

  3. Sprawdź, czy główna nazwa usługi (SPN) SMTPSVC jest poprawnie zarejestrowana na serwerze docelowym.

    • Upewnij się, że SMTP SMTPSVC pozycje i wpisy są poprawnie dodane do konta komputera za pomocą narzędzia Setspn. Na przykład:

      SetSPN-L <ExchangeServerName>
      SMTP <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • Wyszukaj zduplikowane nazwy SPN za pomocą narzędzia SetSPN. Powinna istnieć tylko jedna pozycja:

      SetSPN-x
      Przetwarzanie wpisu 0
      odnaleziono 0 grupą zduplikowanych nazw SPN.

  4. Sprawdź, czy są włączone porty wymagane dla protokołu Kerberos.

  5. Jeśli poprzednie kroki nie działają, możesz włączyć rejestrowanie dla protokołu Kerberos na serwerze rejestrującym komunikat o zdarzeniu 1035, który może zawierać dodatkowe informacje. Aby to zrobić, wykonaj następujące kroki.

    1. Wybierz przycisk Start, wybierz pozycję Uruchom, wpisz ciąg regedit, a następnie wybierz przycisk OK.
    2. Zlokalizuj klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję wartość DWORD.
    4. W okienku szczegółów wprowadź nową wartość LogLevel, a następnie naciśnij klawisz Enter.
    5. Kliknij prawym przyciskiem myszy pozycję LogLevel, a następnie wybierz pozycję Modyfikuj.
    6. W oknie dialogowym Edytowanie wartości DWORD w obszarze podstawa wybierz pozycję dziesiętne.
    7. W polu dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.
    8. Zamknij Edytor rejestru.
    9. Ponownie sprawdź, czy w dzienniku zdarzeń systemowych występują jakiekolwiek błędy protokołu Kerberos.
  6. Na docelowym serwerze programu Exchange zaznacz odpowiednie łączniki odbierające, które otrzymują wewnętrzne wiadomości e-mail, i upewnij się, że mają włączone uwierzytelnianie programu Exchange.