454 4.7.0 Exchange Server'da geçici kimlik doğrulama hatası

  • Makale
  • Şunlara uygulanır:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Özgün KB numarası: 979174

Belirtiler

Exchange sunucusu ortamında, bazı e-posta iletileri Exchange kuruluşundaki başka bir iç Exchange sunucusuna aktarılmış olması gereken bir uzak teslim kuyruğunda takılır.

Kuyruk Görüntüleyicisi aracını Exchange Yönetim Konsolu araç kutusu düğümünden açarsanız, Son Hata alanında aşağıdakine benzer bir hata iletisi görüntülenir:

451 4.4.0 Birincil hedef IP adresi şu şekilde yanıt verdi: "454 4.7.0 Geçici kimlik doğrulama hatası." Alternatif konağa yük devretme girişiminde bulunulmasına rağmen başarısız oldu. Alternatif konak yok veya tüm alternatif konaklara teslim başarısız oldu.

Ayrıca, e-posta iletisini alan Exchange sunucusundaki Uygulama günlük dosyasında aşağıdaki hata iletisini bulabilirsiniz:

Olay Türü: Hata Olay Kaynağı: MSExchangeTransport Olay Kategorisi: SmtpReceive Olay Kimliği: 1035 Açıklama: Gelen kimlik doğrulaması, Alma bağlayıcısı Varsayılan <Sunucusu> için IllegalMessage hatasıyla başarısız oldu. Kimlik doğrulama mekanizması ExchangeAuth'dır. Microsoft Exchange'de kimlik doğrulaması yapmaya çalışan istemcinin kaynak IP adresi: [SourceIPAddress].

Neden

Exchange sunucusu uzak Exchange sunucusuyla kimlik doğrulaması yapamazsa bu sorun oluşur. Exchange sunucuları, sunucular arasında iç kullanıcı iletilerini yönlendirmek için kimlik doğrulaması gerektirir. Soruna aşağıdaki nedenlerden biri neden olabilir:

  • Exchange sunucusunda Zaman eşitleme sorunları yaşanıyor.
  • Etki alanı denetleyicileri arasında bir çoğaltma sorunu var.
  • Exchange sunucusunda Hizmet Asıl Adı (SPN) sorunları yaşanıyor.
  • Kerberos protokolü için gerekli TCP/UDP bağlantı noktaları güvenlik duvarı tarafından engellenir.

Çözüm

Bu sorunu çözmek için şu adımları izleyin:

  1. Sunucuların kimliğini doğrulamak için kullanılabilecek hem sunucularda hem de etki alanı denetleyicilerinde saati denetleyin. Tüm saatler birbirinin 5 dakikası içinde ile eşitlenmelidir.

  2. Çoğaltma sorunu olup olmadığını görmek için etki alanı denetleyicileri arasında çoğaltmayı zorla.

  3. için SMTPSVC Hizmet Asıl Adı'nın (SPN) hedef sunucuya doğru kaydedildiğini doğrulayın.

    • SetSPN aracını kullanarak ve SMTPSVC girdilerinin makine hesabına doğru şekilde eklendiğinden emin SMTP olun. Örneğin:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • SetSPN aracını kullanarak yinelenen SPN'leri denetleyin. Her birinin yalnızca bir girişi olmalıdır:

      SetSPN -x
      Giriş 0 işleniyor
      0 yinelenen SPN grubu buldu.

  4. Kerberos için gereken bağlantı noktalarının etkinleştirildiğini doğrulayın.

  5. Önceki adımlar işe yaramazsa, Olay 1035 iletisini kaydeden Sunucuda Kerberos için günlüğe kaydetmeyi açabilirsiniz ve bu da ek bilgi sağlayabilir. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'ı seçin, Çalıştır'ı seçin, Regedit yazın ve ardından Tamam'ı seçin.
    2. Kayıt defteri anahtarını bulun: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. Düzenle menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ni seçin.
    4. Ayrıntılar bölmesinde yeni LogLevel değerini girin ve Enter tuşuna basın.
    5. LogLevel'e sağ tıklayın ve değiştir'i seçin.
    6. DWORD Değerini Düzenle iletişim kutusundaki Temel'in altında Ondalık'ı seçin.
    7. Değer verileri kutusuna 1 değerini yazın ve Tamam'ı seçin.
    8. Kayıt Defteri Düzenleyicisi'ni kapatın.
    9. Kerberos hataları için Sistem Olay günlüğünü yeniden denetleyin.

  6. Hedef Exchange Server, iç e-posta iletilerini alan alma bağlayıcılarını denetleyin ve Exchange Kimlik Doğrulaması'nın etkinleştirildiğinden emin olun.