Mensaje aleatorio "Unable to relay" en topología FE/BE
PROBLEMA:
Los usuarios que se conectan por POP3/SMTP a la organización aleatoriamente no pueden enviar correos y reciben el error "Unable to relay"
ENTORNO:
Exchange 2003 SP2 / Windows 2003 SP1
Topología frontend-backend. Dos frontales balanceados por WLBS.
Cada frontal tiene dos servidores virtuales SMTP, uno para gestionar el correo entrante y otro para gestionar el correo saliente.
SOLUCION:
El Service Pack 1 de Windows 2003 incluye una característica de seguridad que evita conexiones de servicios con un nombre que no coincida con el FQDN de la máquina local. En el caso del cliente, uno de los dos servidores virtuales SMTP tenía un FQDN no coincidente con el del servidor.
La autenticación por Kerberos no funciona correctamente para servicios que no tienen registrado correctamente el Service Principal Name (SPN). El SPN se asigna a la cuenta del directorio activo bajo la que el servicio que identifica el SPN se ejecuta. Cualquier servicio puede buscar el SPN de otro servicio. Cuando el servicio SMTP se debe autenticar con otro servicio SMTP usa el SPN para diferenciarse de otros servicios que se ejecutan en la máquina.
Para solucionar este problema se puede seguir alguno de los siguentes workaround:
1. agregar los SPNs de los servidores virtuales usando el comando SETSPN
2. agregar el valor del registro DisableLoopbackCheck en la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa, de tipo DWORD y valor 1.
Para más información ver el siguiente artículo:
914137 Exchange Protocol Security authentication fails after you install Windows Server 2003 Service Pack 1 on a server that has multiple SMTP virtual servers in Exchange Server 2003
https://support.microsoft.com/default.aspx?scid=kb;EN-US;914137