454 4.7.0 Tillfälligt autentiseringsfel i Exchange Server

Ursprungligt KB-nummer:   979174

Symptom

I en Exchange-servermiljö fastnar vissa e-postmeddelanden i en fjärrleveranskö som borde ha överförts till en annan intern Exchange-server i Exchange-organisationen.

Om du öppnar verktyget Kövisningsprogram från noden Verktygslåda i Exchange Management Console visas ett felmeddelande i fältet Senaste fel som liknar följande:

451 4.4.0 IP-adress för primärt mål har svarat med: "454 4.7.0 Tillfälligt autentiseringsfel." Redundansförsök gjordes till en alternativ värd, men det gick inte. Det finns antingen inga alternativa värdar eller så gick det inte att leverera till alla alternativa värdar.

Dessutom kan du hitta följande felmeddelande i programloggfilen på den Exchange-server som tar emot e-postmeddelandet:

Händelsetyp: Händelsekälla för fel: MSExchange Transport-händelsekategori: SmtpReceive-händelse-ID: 1035 Beskrivning: Inkommande autentisering misslyckades med felet IllegalMessage för Receive connector Default <Server> . Autentiseringsmekanismen är ExchangeAuth. Käll-IP-adressen för klienten som försökte autentisera för Microsoft Exchange är [SourceIPAddress].

Orsak

Det här problemet inträffar om Exchange-servern inte kan autentiseras med den fjärranslutna Exchange-servern. Exchange-servrar kräver autentisering för att dirigera interna användarmeddelanden mellan servrar. Problemet kan bero på någon av följande orsaker:

  • Exchange-servern har problem med tidssynkronisering.
  • Det uppstår replikeringsproblem mellan domänkontrollanterna.
  • Exchange-servern har problem med Service Principal Name (SPN).
  • De obligatoriska TCP/UDP-portarna för Kerberos-protokollet blockeras av brandväggen.

Lösning

Lös problemet genom att följa de här stegen:

  1. Kontrollera klockan på både servrar och domänkontrollanter som kan användas för att autentisera servrarna. Alla klockor ska synkroniseras till inom 5 minuter från varandra.

  2. Tvinga replikering mellan domänkontrollanter för att se om det uppstår ett replikeringsproblem.

  3. Kontrollera att Service Principal Name (SPN) SMTPSVC är korrekt registrerat på målservern.

    • Se till att poster SMTP och poster läggs till på rätt sätt i SMTPSVC datorkontot med hjälp av verktyget SetSPN. Till exempel:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName> .example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> .example.com

    • Leta efter dubbletter av SPN med hjälp av verktyget SetSPN. Det bör bara finnas en post för varje post:

      SetSPN -x
      Bearbetar post 0
      hittade 0 grupp med duplicerade SPN.

  4. Kontrollera att portarna som krävs för Kerberos är aktiverade.

  5. Om de föregående stegen inte fungerar kan du aktivera loggning för Kerberos på servern som registrerar meddelandet Händelse 1035, vilket kan ge ytterligare information. Gör så här:

    1. Välj Start, välj Kör, skriv Regedit och välj sedan OK.
    2. Leta reda på registernyckeln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. redigera-menyn pekar du på Nytt och väljer sedan DWORD-värde.
    4. I informationsfönstret anger du det nya värdet LogLevel och trycker sedan på Retur.
    5. Högerklicka på LogLevel och välj sedan Ändra.
    6. Välj Decimal under Bas i dialogrutan Redigera DWORD-värde.
    7. I rutan Värdedata skriver du värdet 1 och väljer sedan OK.
    8. Stäng registereditorn.
    9. Kontrollera igen om Det finns några Kerberos-fel i System-händelseloggen.
  6. I exchange-målservern kontrollerar du de mottagningsanslutningar som tar emot interna e-postmeddelanden och kontrollerar att de har Exchange-autentisering aktiverat.