Udostępnij za pośrednictwem

454 4.7.0 Błąd tymczasowego uwierzytelniania w programie Exchange Server

  • Dotyczy: Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Oryginalny numer KB: 979174

Symptomy

W środowisku serwera Exchange niektóre wiadomości e-mail są zablokowane w kolejce dostarczania zdalnego, które powinny zostać przeniesione do innego wewnętrznego serwera Exchange w organizacji programu Exchange.

Jeśli otworzysz narzędzie Podgląd kolejek z węzła Przybornik w program Exchange Management Console, w polu Ostatni błąd zostanie wyświetlony komunikat o błędzie podobny do następującego:

451 4.4.0 Podstawowy docelowy adres IP odpowiedział: "454 4.7.0 Tymczasowy błąd uwierzytelniania". Podjęto próbę przejścia w tryb failover na alternatywny host, ale nie powiodło się. Brak hostów alternatywnych lub dostarczenie nie powiodło się dla wszystkich hostów alternatywnych.

Ponadto w pliku dziennika aplikacji na serwerze exchange, który otrzymuje wiadomość e-mail, może zostać wyświetlony następujący komunikat o błędzie:

Typ zdarzenia: Źródło zdarzeń błędu: MSExchangeTransport Kategoria zdarzenia: SmtpReceive Identyfikator zdarzenia: 1035 Opis: Uwierzytelnianie przychodzące nie powiodło się z powodu błędu IllegalMessage dla domyślnego <serwera> odbierania łącznika. Mechanizm uwierzytelniania to ExchangeAuth. Źródłowy adres IP klienta, który próbował uwierzytelnić się w programie Microsoft Exchange, to [SourceIPAddress].

Przyczyna

Ten problem występuje, jeśli serwer Exchange nie może uwierzytelnić się za pomocą zdalnego serwera Exchange. Serwery programu Exchange wymagają uwierzytelniania w celu kierowania wewnętrznych komunikatów użytkowników między serwerami. Problem może wystąpić z następujących powodów:

  • Na serwerze Exchange występują problemy z synchronizacją czasu.
  • Występuje problem z replikacją między kontrolerami domeny.
  • Na serwerze Exchange występują problemy z główną nazwą usługi (SPN).
  • Wymagane porty TCP/UDP dla protokołu Kerberos są blokowane przez zaporę.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj poniższe czynności:

  1. Sprawdź zegar na serwerach i kontrolerach domeny, które mogą być używane do uwierzytelniania serwerów. Wszystkie zegary powinny być synchronizowane z wartością w ciągu 5 minut od siebie.

  2. Wymuś replikację między kontrolerami domeny, aby sprawdzić, czy występuje problem z replikacją.

  3. Sprawdź, czy główna nazwa usługi (SPN) dla programu SMTPSVC jest poprawnie zarejestrowana na serwerze docelowym.

    • Upewnij się, że SMTP wpisy i SMTPSVC zostały poprawnie dodane do konta komputera przy użyciu narzędzia SetSPN. Na przykład:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • Sprawdź zduplikowane nazwy SPN przy użyciu narzędzia SetSPN. Każdy wpis powinien zawierać tylko jeden wpis:

      SetSPN -x
      Przetwarzanie wpisu 0
      znaleziono 0 grupę zduplikowanych nazw SPN.

  4. Sprawdź, czy porty wymagane dla protokołu Kerberos są włączone.

  5. Jeśli poprzednie kroki nie działają, możesz włączyć rejestrowanie protokołu Kerberos na serwerze rejestrującym komunikat Zdarzenie 1035, który może dostarczyć dodatkowe informacje. W tym celu wykonaj następujące kroki:

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Regedit, a następnie wybierz przycisk OK.
    2. Znajdź klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.
    4. W okienku szczegółów wprowadź nową wartość LogLevel, a następnie naciśnij Enter.
    5. Kliknij prawym przyciskiem myszy pozycję LogLevel, a następnie wybierz polecenie Modyfikuj.
    6. W oknie dialogowym Edytowanie wartości DWORD w obszarze Podstawa wybierz pozycję Dziesiętne.
    7. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.
    8. Zamknij Edytor rejestru.
    9. Ponownie sprawdź dziennik zdarzeń systemu pod kątem błędów protokołu Kerberos.

  6. W docelowym programie Exchange Server sprawdź łączniki odbierania, które odbierają wewnętrzne wiadomości e-mail i upewnij się, że mają włączone uwierzytelnianie programu Exchange.