次の方法で共有

454 4.7.0 Exchange Server での一時的な認証エラー

  • 適用対象: Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

元の KB 番号: 979174

現象

Exchange サーバー環境では、一部の電子メール メッセージがリモート配信キューに残り、Exchange 組織内の別の内部 Exchange サーバーに転送する必要があります。

Exchange 管理コンソールの Toolbox ノードから Queue Viewer ツールを開くと、Last Error フィールドに次のようなエラー メッセージが表示されます。

451 4.4.0 プライマリ ターゲット IP アドレスは、"454 4.7.0 一時的な認証エラー" で応答しました。代替ホストへのフェールオーバーが試行されましたが、成功しませんでした。 代替ホストがないか、すべての代替ホストへの配信に失敗しました。

さらに、電子メール メッセージを受信している Exchange サーバーのアプリケーション ログ ファイルに次のエラー メッセージが表示される場合があります。

イベントの種類: エラー イベント ソース: MSExchangeTransport イベント カテゴリ: SmtpReceive イベント ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default <Server>. 認証メカニズムは ExchangeAuth です。 Microsoft Exchange に対して認証を試みたクライアントのソース IP アドレスは [SourceIPAddress] です。

原因

この問題は、Exchange サーバーがリモート Exchange サーバーで認証できない場合に発生します。 Exchange サーバーでは、サーバー間で内部ユーザー メッセージをルーティングするための認証が必要です。 この問題は、次の理由で発生する可能性があります。

  • Exchange サーバーで時刻同期の問題が発生しています。
  • ドメイン コントローラー間にレプリケーションの問題があります。
  • Exchange サーバーでサービス プリンシパル名 (SPN) の問題が発生しています。
  • Kerberos プロトコルに必要な TCP/UDP ポートは、ファイアウォールによってブロックされます。

解決方法

この問題を解決するには、次の手順に従ってください。

  1. サーバーの認証に使用される可能性があるサーバーとドメイン コントローラーの両方のクロックを確認します。 すべてのクロックは、互いに 5 分以内に同期する必要があります。

  2. ドメイン コントローラー間のレプリケーションを強制 レプリケーションの問題があるかどうかを確認します。

  3. SMTPSVCのサービス プリンシパル名 (SPN) がターゲット サーバーに正しく登録されていることを確認します。

    • SetSPN ツールを使用して、 SMTP エントリと SMTPSVC エントリがマシン アカウントに正しく追加されていることを確認します。 例えば次が挙げられます。

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName>.example.com
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName>.example.com

    • SetSPN ツールを使用して、重複する SPN を確認します。 各エントリは 1 つだけ必要です。

      SetSPN -x
      処理エントリ 0
      重複する SPN のグループが 0 個見つかりました。

  4. Kerberos に必要なポートが有効になっていることを確認します。

  5. 前の手順が機能しない場合は、イベント 1035 メッセージを登録しているサーバー上の Kerberos のログ記録を有効にできます。これは追加情報を提供する可能性があります。 そのためには、次の手順に従います。

    1. Start を選択し、Run を選択し、「Regedit」と入力して、OK を選択します。
    2. レジストリ キー ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters) を見つけます。
    3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
    4. 詳細ウィンドウで、新しい値 LogLevelを入力し、 Enter キーを押します。
    5. LogLevel を右クリックし、Modify を選択します。
    6. [DWORD 値の 編集 ] ダイアログ ボックスの [ Baseで、 Decimal を選択します。
    7. [ 値データ ボックスに値 1 を入力し、 OK を選択します。
    8. レジストリ エディタを閉じます。
    9. システム イベント ログで Kerberos エラーを再度確認します。

  6. 宛先 Exchange Server で、内部電子メール メッセージを受信する受信コネクタを確認し、Exchange 認証が有効になっていることを確認します。