454 4.7.0 Сбой временной проверки подлинности в Exchange Server

Исходный номер КБ:   979174

Симптомы

В среде Exchange сервере некоторые сообщения электронной почты застревают в удаленной очереди доставки, которая должна была быть перенесена на другой внутренний сервер Exchange в Exchange организации.

Если открыть средство просмотра очереди из узла toolbox на консоль управления Exchange, в поле Последняя ошибка отображается сообщение об ошибке, напоминаемом следующее:

451 4.4.0 Основной целевой IP-адрес ответил: "454 4.7.0 Временная ошибка проверки подлинности". Попытка неудачной попытки альтернативного хоста, но не увенчалась успехом. Либо нет альтернативных хостов, либо доставка не удалась для всех альтернативных хостов.

Кроме того, в файле журнала приложений на сервере Exchange, который получает сообщение электронной почты, можно найти следующее сообщение об ошибке:

Тип события: Источник событий ошибки: категория событий MSExchangeTransport: SmtpReceive Event ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default <Server> . Механизм проверки подлинности ExchangeAuth. Исходный IP-адрес клиента, который пытался проверить подлинность в Microsoft Exchange является [SourceIPAddress].

Причина

Эта проблема возникает, если Exchange сервер не может проверить подлинность с помощью удаленного Exchange сервера. Exchange серверы требуют проверки подлинности для маршрутизации внутренних сообщений пользователей между серверами. Проблема может быть вызвана одной из следующих причин:

  • Сервер Exchange испытывает проблемы синхронизации времени.
  • Существует проблема репликации между контроллерами домена.
  • Сервер Exchange испытывает проблемы с главным именем службы (SPN).
  • Необходимые порты TCP/UDP для протокола Kerberos заблокированы брандмауэром.

Решение

Чтобы устранить эту проблему, выполните следующие действия:

  1. Проверьте часы на серверах и контроллерах домена, которые могут использоваться для проверки подлинности серверов. Все часы должны быть синхронизированы в течение 5 минут друг от друга.

  2. Принудительное копирование между контроллерами домена, чтобы узнать, существует ли проблема репликации.

  3. Убедитесь, что основное имя службы (SPN) правильно зарегистрировано SMTPSVC на целевом сервере.

    • Убедитесь, что записи и записи правильно добавлены в учетную запись компьютера с SMTP SMTPSVC помощью средства SetSPN. Например.

      SetSPN-L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName> .example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> .example.com

    • Проверьте повторяющиеся spNs с помощью средства SetSPN. Каждая запись должна быть только одной.

      SetSPN -x
      Обработка записи 0
      найдено 0 групп дублирующихся СНО.

  4. Убедитесь, что порты, необходимые для Kerberos, включены.

  5. Если предыдущие действия не работают, можно включить ведение журнала для Kerberos на сервере, который регистрирует сообщение Event 1035, которое может предоставить дополнительные сведения. Для этого выполните следующие действия:

    1. Выберите Начните, выберите Выполнить, введите Regedit, а затем выберите ОК.
    2. Найдите ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. В меню Редактирование указать значение New, а затем выберите значение DWORD.
    4. В области сведений введите новое значение LogLevel и нажмите кнопку Ввод.
    5. Щелкните правой кнопкой мыши LogLevel и выберите Изменение.
    6. В диалоговом окне Изменить значение DWORD в базе выберите десятичное значение.
    7. В поле Данных Значения введите значение 1 и выберите ОК.
    8. Закройте редактор реестра.
    9. Снова проверьте журнал system Event для любых ошибок Kerberos.
  6. В пункте назначения Exchange Server соединители для получения внутренних сообщений электронной почты и убедитесь, что они Exchange проверку подлинности.