Exchange Server 中的 454 4.7.0 暫時性驗證失敗

原始 KB 編號:   979174

徵狀

在 Exchange 伺服器環境中,一些電子郵件會在遠端傳遞佇列中停滯,但該佇列應已轉接至 Exchange 組織中的其他內部 Exchange 伺服器。

如果您從 Exchange 管理主控台上的 [工具箱] 節點開啟佇列檢視器工具,最後一個錯誤欄位會顯示錯誤訊息,如下所示:

451 4.4.0 主要目標 IP 位址會以: "454 4.7.0 暫時性驗證失敗] 回應。 嘗試容錯移轉至備用主機,但失敗。 沒有備用主機,或傳遞失敗至所有替代主機。

此外,您可能會在接收電子郵件訊息的 Exchange 伺服器上,于應用程式記錄檔中找到下列錯誤訊息:

事件種類:錯誤事件來源: MSExchangeTransport 事件類別: Transportroles\logs\frontend\protocollog\smtpreceive 事件 ID: 1035 描述:輸入驗證失敗,且錯誤 IllegalMessage 的接收連接器預設 <Server> 。 驗證機制是 ExchangeAuth。 嘗試對 Microsoft Exchange 進行驗證之用戶端的來源 IP 位址是 [SourceIPAddress]。

原因

如果 Exchange server 無法驗證遠端 Exchange 伺服器,便會發生此問題。 Exchange 伺服器需要驗證,才能在伺服器之間路由傳送內部使用者訊息。 此問題可能是由於下列其中一個原因所造成:

  • Exchange 伺服器遇到時間同步處理問題。
  • 網域控制站之間有複寫問題。
  • Exchange 伺服器遇到服務主體名稱 (SPN) 問題。
  • 防火牆會封鎖 Kerberos 通訊協定所需的 TCP/UDP 埠。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 檢查伺服器及可用於驗證服務器的網域控制站上的時鐘。 所有時鐘都應該同步處理至5分鐘內。

  2. 強制網域控制站間 的複寫,以查看是否有複寫問題。

  3. 確認 SMTPSVC 已在目標伺服器上正確註冊服務主體名稱 (SPN) 。

    • SMTP SMTPSVC 使用 SetSPN 工具,確定和專案已正確加入電腦帳戶。 例如:

      SetSPN-L <ExchangeServerName>
      SMTP <ExchangeServerName>
      SMTP/ <ExchangeServerName> example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • 使用 SetSPN 工具檢查重複的 Spn。 每個專案應該只有一個:

      SetSPN-x
      處理專案0
      找到0個重複 Spn 的群組。

  4. 確認已啟用 Kerberos 所需的埠。

  5. 如果上述步驟無法運作,您可以在註冊事件1035訊息的伺服器上,開啟 Kerberos 記錄,其可能會提供其他資訊。 如果要執行這項操作,請依照下列步驟執行:

    1. 選取 [ 開始],選取 [ 執行],輸入 Regedit,然後選取 [確定]
    2. 找到登錄機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. 在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [ DWORD 值]。
    4. 在詳細資料窗格中,輸入 LogLevel的新值,然後按 enter
    5. 以滑鼠右鍵按一下 [ LogLevel],然後選取 [ 修改]。
    6. 在 [ 編輯 DWORD 值 ] 對話方塊中,選取 [ 基本] 底下的 [ 十進位]。
    7. 在 [ 數值資料 ] 方塊中,輸入值 1,然後選取 [確定]
    8. 關閉登錄編輯程式。
    9. 請再次檢查系統事件記錄中是否有任何 Kerberos 錯誤。
  6. 在目的地 Exchange 伺服器中,檢查接收內部電子郵件訊息的接收連接器,並確定已啟用 Exchange 驗證。