Compartir a través de

454 4.7.0 Error de autenticación temporal en Exchange Server

  • Artículo
  • Se aplica a: Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Número de KB original: 979174

Síntomas

En un entorno de servidor Exchange, algunos mensajes de correo electrónico están bloqueados en una cola de entrega remota que se debe transferir a otro servidor interno de Exchange en la organización de Exchange.

Si abre la herramienta Visor de colas desde el nodo Cuadro de herramientas del Consola de administración de Exchange, el campo Último error muestra un mensaje de error similar al siguiente:

451 4.4.0 Dirección IP de destino principal respondió con: "Error de autenticación temporal 454 4.7.0". Se intentó realizar la conmutación por error en un host alternativo, pero eso no se realizó correctamente. No hay ningún host alternativo o no se pudo entregar a todos los hosts alternativos.

Además, puede encontrar el siguiente mensaje de error en el archivo de registro de la aplicación en el servidor Exchange que recibe el mensaje de correo electrónico:

Tipo de evento: Origen de evento de error: MsExchangeTransport Event Category: SmtpReceive Event ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default <Server>. El mecanismo de autenticación es ExchangeAuth. La dirección IP de origen del cliente que intentó autenticarse en Microsoft Exchange es [SourceIPAddress].

Causa

Este problema se produce si el servidor Exchange no se puede autenticar con el servidor remoto de Exchange. Los servidores de Exchange requieren autenticación para enrutar mensajes de usuario internos entre servidores. El problema puede producirse por los siguientes motivos:

  • El servidor Exchange está experimentando problemas de sincronización de hora.
  • Hay un problema de replicación entre los controladores de dominio.
  • El servidor Exchange está experimentando problemas de nombre de entidad de seguridad de servicio (SPN).
  • El firewall bloquea los puertos TCP/UDP necesarios para el protocolo Kerberos.

Solución

Para resolver el problema, siga estos pasos:

  1. Compruebe el reloj en los servidores y controladores de dominio que se pueden usar para autenticar los servidores. Todos los relojes deben sincronizarse en un plazo de 5 minutos entre sí.

  2. Forzar la replicación entre controladores de dominio para ver si hay un problema de replicación.

  3. Compruebe que el nombre de entidad de seguridad de servicio (SPN) de SMTPSVC está registrado correctamente en el servidor de destino.

    • Asegúrese de que las SMTP entradas y SMTPSVC se agregan correctamente a la cuenta del equipo mediante la herramienta SetSPN. Por ejemplo:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • Compruebe si hay SPN duplicados mediante la herramienta SetSPN. Solo debe haber una entrada de cada una:

      SetSPN -x
      Entrada de procesamiento 0
      se encontró 0 grupo de SPN duplicados.

  4. Compruebe que los puertos necesarios para Kerberos están habilitados.

  5. Si los pasos anteriores no funcionan, puede activar el registro de Kerberos en el servidor que registra el mensaje evento 1035, que puede proporcionar información adicional. Para ello, siga los pasos que se indican a continuación:

    1. Seleccione Inicio, Seleccione Ejecutar, escriba Regedit y, a continuación, seleccione Aceptar.
    2. Busque la clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. En el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
    4. En el panel de detalles, escriba el nuevo valor LogLevel y presione Entrar.
    5. Haga clic con el botón derecho en LogLevel y seleccione Modificar.
    6. En el cuadro de diálogo Editar valor DWORD, en Base, seleccione Decimal.
    7. En el cuadro Datos de valor, escriba el valor 1 y, a continuación, seleccione Aceptar.
    8. Cierre el Editor del registro.
    9. Vuelva a comprobar el registro de eventos del sistema para ver si hay errores de Kerberos.

  6. En el servidor exchange de destino, compruebe los conectores de recepción que reciben mensajes de correo electrónico internos y asegúrese de que tienen habilitada la autenticación de Exchange.