454 4.7.0 Dočasné selhání ověřování v Exchange Server

• Platí pro:

  Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Původní číslo KB: 979174

Příznaky

V prostředí serveru Exchange jsou některé e-mailové zprávy zablokované ve frontě vzdáleného doručování, které by měly být přeneseny na jiný interní server Exchange v organizaci Exchange.

Pokud nástroj Prohlížeč front otevřete z uzlu Sada nástrojů na Konzola pro správu serveru Exchange, zobrazí se v poli Poslední chyba chybová zpráva podobná následující:

451 4.4.0 Primární cílová IP adresa odpověděla: "454 4.7.0 Dočasné selhání ověřování.". Došlo k pokusu o převzetí služeb při selhání na alternativního hostitele, ale nepodařilo se to. Buď neexistují žádní alternativní hostitelé, nebo se nepodařilo doručit všem alternativním hostitelům.

Kromě toho můžete v souboru protokolu aplikace na serveru Exchange, který přijímá e-mailovou zprávu, najít následující chybovou zprávu:

Typ události: Chyba Zdroj události: MSExchangeTransport Kategorie události: SmtpReceive ID události: 1035 Popis: Příchozí ověřování selhalo s chybou IllegalMessage pro výchozí <server> konektoru příjmu. Mechanismus ověřování je ExchangeAuth. Zdrojová IP adresa klienta, který se pokusil ověřit na serveru Microsoft Exchange, je [SourceIPAddress].

Příčina

K tomuto problému dochází, pokud se server Exchange nemůže ověřit pomocí vzdáleného serveru Exchange. Servery Exchange vyžadují ověřování ke směrování interních uživatelských zpráv mezi servery. Příčinou problému může být jeden z následujících důvodů:

• Na serveru Exchange dochází k problémům se synchronizací času.
• Mezi řadiči domény došlo k problému s replikací.
• Na serveru Exchange dochází k problémům s hlavním názvem služby (SPN).
• Brána firewall blokuje požadované porty TCP/UDP pro protokol Kerberos.

Řešení

Pokud chcete tento problém vyřešit, postupujte takto:

1. Zkontrolujte hodiny na serverech i řadičích domény, které by se mohly použít k ověření serverů. Všechny hodiny by se měly synchronizovat do 5 minut od sebe.

2. Vynuťte replikaci mezi řadiči domény , abyste zjistili, jestli nedošlo k problému s replikací.

3. Ověřte, že hlavní název služby (SPN) pro SMTPSVC je správně zaregistrovaný na cílovém serveru.

   • Pomocí nástroje SetSPN se ujistěte, že SMTP jsou položky a SMTPSVC správně přidány do účtu počítače. Příklady:

     SetSPN -L <ExchangeServerName>
     SMTP/ <ExchangeServerName>
     SMTP/<ExchangeServerName.example.com>
     SMTPSVC/ <ExchangeServerName>
     SMTPSVC/<ExchangeServerName.example.com>

   • Zkontrolujte duplicitní hlavní názvy služeb pomocí nástroje SetSPN. Každý záznam by měl obsahovat jenom jednu položku:

     SetSPN -x
     Zpracování položky 0
     nalezeno 0 skupiny duplicitních hlavních názvů služby.

4. Ověřte, že jsou povolené porty požadované pro Protokol Kerberos.

5. Pokud předchozí kroky nefungují, můžete zapnout protokolování protokolu Kerberos na serveru, který registruje zprávu o události 1035, což může obsahovat další informace. Postupujte takto:

   1. Vyberte Start, vyberte Spustit, zadejte Regedit a pak vyberte OK.
   2. Vyhledejte klíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
   3. V nabídce Úpravy přejděte na Nový a pak vyberte Hodnota DWORD.
   4. V podokně podrobností zadejte novou hodnotu LogLevel a stiskněte klávesu Enter.
   5. Klikněte pravým tlačítkem na LogLevel a pak vyberte Změnit.
   6. V dialogovém okně Upravit hodnotu DWORD vyberte v části Basemožnost Desetinné číslo.
   7. Do pole Údaj hodnoty zadejte hodnotu 1 a pak vyberte OK.
   8. Zavřete Editor registru.
   9. Znovu zkontrolujte případné chyby Protokolu Kerberos v protokolu událostí systému.

6. V cílovém Exchange Server zkontrolujte konektory příjmu, které přijímají interní e-mailové zprávy, a ujistěte se, že mají povolené ověřování Exchange.