Udostępnij za pośrednictwem

454 4.7.0 Błąd uwierzytelniania tymczasowego w Exchange Server

  • Artykuł
  • Dotyczy:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Oryginalny numer KB: 979174

Symptomy

W środowisku serwera Exchange niektóre wiadomości e-mail są zablokowane w kolejce zdalnego dostarczania, która powinna zostać przeniesiona do innego wewnętrznego serwera Exchange w organizacji programu Exchange.

Jeśli otworzysz narzędzie Podgląd kolejki z węzła Przybornik w konsoli zarządzania programu Exchange, w polu Ostatni błąd zostanie wyświetlony komunikat o błędzie podobny do następującego:

451 4.4.0 Podstawowy docelowy adres IP odpowiedział: "454 4.7.0 Błąd uwierzytelniania tymczasowego". Podjęto próbę przejścia w tryb failover do alternatywnego hosta, ale nie powiodło się. Brak alternatywnych hostów lub dostarczenie nie powiodło się dla wszystkich hostów alternatywnych.

Ponadto w pliku dziennika aplikacji na serwerze Exchange, który otrzymuje wiadomość e-mail, może zostać wyświetlony następujący komunikat o błędzie:

Typ zdarzenia: Źródło zdarzenia błędu: MSExchangeTransport Event Category: SmtpReceive Event ID: 1035 Description: Uwierzytelnianie przychodzące nie powiodło się z powodu błędu IllegalMessage for Receive Connector Default <Server>. Mechanizm uwierzytelniania to ExchangeAuth. Źródłowy adres IP klienta, który próbował uwierzytelnić się w programie Microsoft Exchange, to [SourceIPAddress].

Przyczyna

Ten problem występuje, jeśli serwer exchange nie może uwierzytelnić się za pomocą zdalnego serwera Exchange. Serwery exchange wymagają uwierzytelniania w celu kierowania wewnętrznych komunikatów użytkowników między serwerami. Problem może być spowodowany jedną z następujących przyczyn:

  • Na serwerze Exchange występują problemy z synchronizacją czasu.
  • Występuje problem z replikacją między kontrolerami domeny.
  • Na serwerze Exchange występują problemy z główną nazwą usługi (SPN).
  • Wymagane porty TCP/UDP dla protokołu Kerberos są blokowane przez zaporę.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Sprawdź zegar zarówno na serwerach, jak i na kontrolerach domeny, które mogą służyć do uwierzytelniania serwerów. Wszystkie zegary powinny być zsynchronizowane w ciągu 5 minut od jednego innego.

  2. Wymuś replikację między kontrolerami domeny , aby sprawdzić, czy występuje problem z replikacją.

  3. Sprawdź, czy główna nazwa usługi (SPN) dla SMTPSVC usługi jest poprawnie zarejestrowana na serwerze docelowym.

    • Upewnij się, że SMTP wpisy i SMTPSVC są poprawnie dodawane do konta komputera przy użyciu narzędzia SetSPN. Przykład:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • Sprawdź, czy nie ma zduplikowanych nazw SPN przy użyciu narzędzia SetSPN. Każdy z nich powinien zawierać tylko jeden wpis:

      SetSPN -x
      Przetwarzanie wpisu 0
      znaleziono 0 grup zduplikowanych nazw SPN.

  4. Sprawdź, czy porty wymagane dla protokołu Kerberos są włączone.

  5. Jeśli poprzednie kroki nie działają, możesz włączyć rejestrowanie protokołu Kerberos na serwerze, który rejestruje komunikat zdarzenia 1035, co może dostarczyć dodatkowych informacji. Aby to zrobić, wykonaj następujące kroki.

    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Regedit, a następnie wybierz przycisk OK.
    2. Znajdź klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. W menu Edytuj wskaż pozycję Nowy, a następnie wybierz pozycję WARTOŚĆ DWORD.
    4. W okienku szczegółów wprowadź nową wartość LogLevel, a następnie naciśnij klawisz Enter.
    5. Kliknij prawym przyciskiem myszy pozycję LogLevel, a następnie wybierz pozycję Modyfikuj.
    6. W oknie dialogowym Edytowanie wartości DWORD w obszarze Base wybierz pozycję Dziesiętne.
    7. W polu Dane wartości wpisz wartość 1, a następnie wybierz przycisk OK.
    8. Zamknij Edytor rejestru.
    9. Ponownie sprawdź dziennik zdarzeń systemowych pod kątem błędów Protokołu Kerberos.

  6. W Exchange Server docelowym sprawdź łączniki odbierania, które odbierają wewnętrzne wiadomości e-mail, i upewnij się, że włączono uwierzytelnianie programu Exchange.