454 4.7.0 Сбой временной проверки подлинности в Exchange Server

Исходный номер базы знаний: 979174

Симптомы

В среде Exchange Server некоторые сообщения электронной почты зависают в очереди удаленной доставки, которая должна быть передана другому внутреннему серверу Exchange в организации Exchange.

Если открыть средство просмотра очередей из узла панели элементов на консоль управления Exchange, в поле "Последняя ошибка" отображается сообщение об ошибке, похожее на следующее:

451 4.4.0 Основной целевой IP-адрес ответил: "454 4.7.0 Временный сбой проверки подлинности". Попытка отработки отказа на альтернативный узел, но это не удалось. Либо нет альтернативных узлов, либо доставка не удалась всем альтернативным узлам.

Кроме того, в файле журнала приложений на сервере Exchange, получающем сообщение электронной почты, можно найти следующее сообщение об ошибке:

Тип события: источник событий ошибки: категория событий MSExchangeTransport: smtpReceive Event ID: 1035 Description: сбой входящего проверки подлинности с ошибкой IllegalMessage для сервера> соединителя получения по умолчанию<. Механизм проверки подлинности — ExchangeAuth. Исходный IP-адрес клиента, который пытался пройти проверку подлинности в Microsoft Exchange, — [SourceIPAddress].

Причина

Эта проблема возникает, если сервер Exchange Server не может пройти проверку подлинности с помощью удаленного сервера Exchange Server. Серверы Exchange требуют проверки подлинности для маршрутизации внутренних пользовательских сообщений между серверами. Проблема может возникать по следующим причинам:

• На сервере Exchange возникают проблемы с синхронизацией времени.
• Существует проблема репликации между контроллерами домена.
• На сервере Exchange возникают проблемы с именем субъекта-службы (SPN).
• Необходимые порты TCP/UDP для протокола Kerberos блокируются брандмауэром.

Решение

Проблему можно устранить следующим способом.

1. Проверьте часы на серверах и контроллерах домена, которые могут использоваться для проверки подлинности серверов. Все часы должны быть синхронизированы в течение 5 минут.

2. Принудительное репликацию между контроллерами домена, чтобы узнать, возникла ли проблема с репликацией.

3. Убедитесь, что имя субъекта-службы (SPN) SMTPSVC зарегистрировано правильно на целевом сервере.

   • Убедитесь, что SMTP записи и SMTPSVC записи добавлены правильно в учетную запись компьютера с помощью средства SetSPN. Например:

     SetSPN -L <ExchangeServerName>
     SMTP/ <ExchangeServerName>
     SMTP/ <ExchangeServerName.example.com>
     SMTPSVC/ <ExchangeServerName>
     SMTPSVC/ <ExchangeServerName.example.com>

   • Проверьте наличие повторяющихся имен субъектов-служб с помощью средства SetSPN. Для каждой записи должно быть только одна запись:

     SetSPN -x
     Запись обработки 0
     найдено 0 групп повторяющихся имен субъектов-служб.

4. Убедитесь, что порты, необходимые для Kerberos, включены.

5. Если предыдущие шаги не работают, вы можете включить ведение журнала для Kerberos на сервере, регистрирующего сообщение Event 1035, которое может предоставить дополнительные сведения. Для этого выполните следующие шаги:

   1. Нажмите кнопку "Пуск", выберите "Запустить", введите Regedit и нажмите кнопку "ОК".
   2. Найдите раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   3. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.
   4. В области сведений введите новое значение LogLevel и нажмите клавишу ВВОД.
   5. Щелкните правой кнопкой мыши LogLevel и выберите пункт "Изменить".
   6. В диалоговом окне "Изменение значения DWORD" в разделе "Базовый" выберите "Десятичная".
   7. В поле "Значение" введите значение 1 и нажмите кнопку "ОК".
   8. Закройте редактор реестра.
   9. Снова проверьте журнал событий системы для любых ошибок Kerberos.

6. На целевом сервере Exchange Server проверьте соединители получения, получающие внутренние сообщения электронной почты, и убедитесь, что у них включена проверка подлинности Exchange.