454 4.7.0 Tillfälligt autentiseringsfel i Exchange Server

  • Artikel
  • Gäller för:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Ursprungligt KB-nummer: 979174

Symptom

I en Exchange-servermiljö har vissa e-postmeddelanden fastnat i en fjärrleveranskö som borde ha överförts till en annan intern Exchange-server i Exchange-organisationen.

Om du öppnar verktyget Queue Viewer från noden Verktygslåda på Exchange Management Console visar fältet Senaste fel ett felmeddelande som liknar följande:

451 4.4.0 Ip-adressen för det primära målet svarade med: "454 4.7.0 Tillfälligt autentiseringsfel." Redundansförsök till alternativ värd, men det lyckades inte. Det finns antingen inga alternativa värdar eller så misslyckades leveransen till alla alternativa värdar.

Dessutom kan följande felmeddelande visas i programloggfilen på Exchange-servern som tar emot e-postmeddelandet:

Händelsetyp: Felhändelsekälla: MSExchangeTransport Händelsekategori: SmtpReceive Händelse-ID: 1035 Beskrivning: Inkommande autentisering misslyckades med felet IllegalMessage för Ta emot anslutningsappens standardserver<>. Autentiseringsmekanismen är ExchangeAuth. Källans IP-adress för klienten som försökte autentisera till Microsoft Exchange är [SourceIPAddress].

Orsak

Det här problemet uppstår om Exchange-servern inte kan autentisera med exchange-fjärrservern. Exchange-servrar kräver autentisering för att dirigera interna användarmeddelanden mellan servrar. Problemet kan orsakas av någon av följande orsaker:

  • Exchange-servern har problem med tidssynkronisering.
  • Det finns ett replikeringsproblem mellan domänkontrollanterna.
  • Exchange-servern har problem med tjänstens huvudnamn (SPN).
  • De TCP/UDP-portar som krävs för Kerberos-protokollet blockeras av brandväggen.

Åtgärd

Lös problemet genom att följa dessa steg:

  1. Kontrollera klockan på både servrar och domänkontrollanter som kan användas för att autentisera servrarna. Alla klockor ska synkroniseras till inom 5 minuter från varandra.

  2. Framtvinga replikering mellan domänkontrollanter för att se om det finns ett replikeringsproblem.

  3. Kontrollera att tjänstens huvudnamn (SPN) för SMTPSVC är korrekt registrerat på målservern.

    • Kontrollera att posterna SMTP och SMTPSVC läggs till korrekt i datorkontot med hjälp av SetSPN-verktyget. Till exempel:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/<ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/<ExchangeServerName.example.com>

    • Sök efter duplicerade SPN:er med hjälp av SetSPN-verktyget. Det bör bara finnas en post i varje:

      SetSPN -x
      Bearbetningspost 0
      hittade 0 grupp med duplicerade SPN.

  4. Kontrollera att portarna som krävs för Kerberos är aktiverade.

  5. Om de föregående stegen inte fungerar kan du aktivera loggning för Kerberos på servern som registrerar händelse 1035-meddelandet, vilket kan ge ytterligare information. Gör så här:

    1. Välj Start, kör, skriv Regedit och välj sedan OK.
    2. Leta upp registernyckeln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. redigera-menyn pekar du på Nytt och väljer sedan DWORD-värde.
    4. I informationsfönstret anger du det nya värdet LogLevel och trycker sedan på Retur.
    5. Högerklicka på LogLevel och välj sedan Ändra.
    6. I dialogrutan Redigera DWORD-värde går du till Bas och väljer Decimal.
    7. I rutan Värdedata skriver du värdet 1 och väljer sedan OK.
    8. Stäng registereditorn.
    9. Kontrollera återigen systemhändelseloggen för eventuella Kerberos-fel.

  6. I mål-Exchange Server kontrollerar du vilka anslutningsappar som tar emot interna e-postmeddelanden och kontrollerar att Exchange-autentisering är aktiverat.