Sdílet prostřednictvím


454 4.7.0 Dočasné selhání ověřování v Exchange Server

Původní číslo KB: 979174

Příznaky

V prostředí serveru Exchange jsou některé e-mailové zprávy zablokované ve frontě vzdáleného doručování, které by měly být přeneseny na jiný interní server Exchange v organizaci Exchange.

Pokud nástroj Prohlížeč front otevřete z uzlu Sada nástrojů na Konzola pro správu serveru Exchange, zobrazí se v poli Poslední chyba chybová zpráva podobná následující:

451 4.4.0 Primární cílová IP adresa odpověděla: "454 4.7.0 Dočasné selhání ověřování.". Došlo k pokusu o převzetí služeb při selhání na alternativního hostitele, ale nepodařilo se to. Buď neexistují žádní alternativní hostitelé, nebo se nepodařilo doručit všem alternativním hostitelům.

Kromě toho můžete v souboru protokolu aplikace na serveru Exchange, který přijímá e-mailovou zprávu, najít následující chybovou zprávu:

Typ události: Chyba Zdroj události: MSExchangeTransport Kategorie události: SmtpReceive ID události: 1035 Popis: Příchozí ověřování selhalo s chybou IllegalMessage pro výchozí <server> konektoru příjmu. Mechanismus ověřování je ExchangeAuth. Zdrojová IP adresa klienta, který se pokusil ověřit na serveru Microsoft Exchange, je [SourceIPAddress].

Příčina

K tomuto problému dochází, pokud se server Exchange nemůže ověřit pomocí vzdáleného serveru Exchange. Servery Exchange vyžadují ověřování ke směrování interních uživatelských zpráv mezi servery. Příčinou problému může být jeden z následujících důvodů:

  • Na serveru Exchange dochází k problémům se synchronizací času.
  • Mezi řadiči domény došlo k problému s replikací.
  • Na serveru Exchange dochází k problémům s hlavním názvem služby (SPN).
  • Brána firewall blokuje požadované porty TCP/UDP pro protokol Kerberos.

Řešení

Pokud chcete tento problém vyřešit, postupujte takto:

  1. Zkontrolujte hodiny na serverech i řadičích domény, které by se mohly použít k ověření serverů. Všechny hodiny by se měly synchronizovat do 5 minut od sebe.

  2. Vynuťte replikaci mezi řadiči domény , abyste zjistili, jestli nedošlo k problému s replikací.

  3. Ověřte, že hlavní název služby (SPN) pro SMTPSVC je správně zaregistrovaný na cílovém serveru.

    • Pomocí nástroje SetSPN se ujistěte, že SMTP jsou položky a SMTPSVC správně přidány do účtu počítače. Příklady:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/<ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/<ExchangeServerName.example.com>

    • Zkontrolujte duplicitní hlavní názvy služeb pomocí nástroje SetSPN. Každý záznam by měl obsahovat jenom jednu položku:

      SetSPN -x
      Zpracování položky 0
      nalezeno 0 skupiny duplicitních hlavních názvů služby.

  4. Ověřte, že jsou povolené porty požadované pro Protokol Kerberos.

  5. Pokud předchozí kroky nefungují, můžete zapnout protokolování protokolu Kerberos na serveru, který registruje zprávu o události 1035, což může obsahovat další informace. Postupujte takto:

    1. Vyberte Start, vyberte Spustit, zadejte Regedit a pak vyberte OK.
    2. Vyhledejte klíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. V nabídce Úpravy přejděte na Nový a pak vyberte Hodnota DWORD.
    4. V podokně podrobností zadejte novou hodnotu LogLevel a stiskněte klávesu Enter.
    5. Klikněte pravým tlačítkem na LogLevel a pak vyberte Změnit.
    6. V dialogovém okně Upravit hodnotu DWORD vyberte v části Basemožnost Desetinné číslo.
    7. Do pole Údaj hodnoty zadejte hodnotu 1 a pak vyberte OK.
    8. Zavřete Editor registru.
    9. Znovu zkontrolujte případné chyby Protokolu Kerberos v protokolu událostí systému.
  6. V cílovém Exchange Server zkontrolujte konektory příjmu, které přijímají interní e-mailové zprávy, a ujistěte se, že mají povolené ověřování Exchange.