454 4.7.0 Errore di autenticazione temporaneo in Exchange Server

  • Articolo
  • 2 minuti per la lettura
  • Si applica a:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Numero KB originale: 979174

Sintomi

In un ambiente exchange server, alcuni messaggi di posta elettronica sono bloccati in una coda di recapito remoto che avrebbe dovuto essere trasferita a un altro server Exchange interno nell'organizzazione di Exchange.

Se si apre lo strumento Visualizzatore code dal nodo Casella degli strumenti nel Exchange Management Console, nel campo Ultimo errore viene visualizzato un messaggio di errore simile al seguente:

451 4.4.0 Indirizzo IP di destinazione primaria ha risposto con: "454 4.7.0 Errore di autenticazione temporaneo". Tentativo di failover in un host alternativo, ma non riuscito. Non sono presenti host alternativi o il recapito non è riuscito a tutti gli host alternativi.

Inoltre, è possibile che nel file di log dell'applicazione nel server Exchange venga visualizzato il messaggio di errore seguente che riceve il messaggio di posta elettronica:

Tipo di evento: Origine evento errore: Categoria di evento MSExchangeTransport: ID evento SmtpReceive: 1035 Descrizione: Autenticazione in ingresso non riuscita con errore IllegalMessage per il server> predefinito <del connettore di ricezione. Il meccanismo di autenticazione è ExchangeAuth. L'indirizzo IP di origine del client che ha tentato di eseguire l'autenticazione in Microsoft Exchange è [SourceIPAddress].

Causa

Questo problema si verifica se il server Exchange non è in grado di eseguire l'autenticazione con il server Exchange remoto. I server Exchange richiedono l'autenticazione per instradare i messaggi utente interni tra i server. Il problema può essere causato da uno dei motivi seguenti:

  • Nel server Exchange si verificano problemi di sincronizzazione dell'ora.
  • Esiste un problema di replica tra i controller di dominio.
  • Nel server Exchange si verificano problemi relativi al nome dell'entità servizio (SPN).
  • Le porte TCP/UDP necessarie per il protocollo Kerberos vengono bloccate dal firewall.

Risoluzione

Per risolvere il problema, seguire questa procedura:

  1. Controllare l'orologio nei server e nei controller di dominio che potrebbero essere usati per autenticare i server. Tutti gli orologi devono essere sincronizzati entro 5 minuti l'uno dall'altro.

  2. Forzare la replica tra controller di dominio per verificare se si è verificato un problema di replica.

  3. Verificare che il nome dell'entità servizio (SPN) per SMTPSVC sia registrato correttamente nel server di destinazione.

    • Assicurarsi che le SMTP voci e SMTPSVC vengano aggiunte correttamente all'account del computer usando lo strumento SetSPN. Ad esempio:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • Verificare la presenza di nomi SPN duplicati usando lo strumento SetSPN. Deve essere presente una sola voce per ogni voce:

      SetSPN -x
      Elaborazione voce 0
      trovato 0 gruppo di nomi SPN duplicati.

  4. Verificare che le porte necessarie per Kerberos siano abilitate.

  5. Se i passaggi precedenti non funzionano, è possibile attivare la registrazione per Kerberos nel server che registra il messaggio Evento 1035, che potrebbe fornire informazioni aggiuntive. A tal fine, attenersi alla seguente procedura:

    1. Selezionare Start, selezionare Esegui, digitare Regedit e quindi selezionare OK.
    2. Individuare la chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.
    4. Nel riquadro dei dettagli immettere il nuovo valore LogLevel e quindi premere INVIO.
    5. Fare clic con il pulsante destro del mouse su LogLevel e quindi scegliere Modifica.
    6. Nella finestra di dialogo Modifica valore DWORD selezionare Decimal in Base.
    7. Nella casella Dati valore digitare il valore 1 e quindi selezionare OK.
    8. Chiudere l'Editor del Registro di sistema.
    9. Verificare nuovamente la presenza di eventuali errori Kerberos nel registro eventi di sistema.

  6. Nella Exchange Server di destinazione controllare i connettori di ricezione che ricevono messaggi di posta elettronica interni e assicurarsi che sia abilitata l'autenticazione di Exchange.