共用方式為


454 4.7.0 Exchange Server 中的暫時驗證失敗

原始 KB 編號: 979174

徵狀

在 Exchange Server 環境中,某些電子郵件訊息會卡在遠端傳遞佇列中,而該佇列應該已傳輸到 Exchange 組織中的另一部內部 Exchange 伺服器。

如果您從 Exchange 管理主控台 上的 [工具箱] 節點開啟佇列查看器工具,[上次錯誤] 欄位會顯示類似下列的錯誤訊息:

451 4.4.0 主要目標 IP 位址回應:「454 4.7.0 暫時驗證失敗」。嘗試故障轉移至替代主機,但未成功。 沒有替代主機,或所有替代主機傳遞失敗。

此外,您可能會在收到電子郵件訊息的 Exchange 伺服器上的應用程式記錄檔中找到下列錯誤訊息:

事件類型:錯誤事件來源:MSExchangeTransport 事件類別:SmtpReceive 事件標識符:1035 描述:輸入驗證失敗,發生接收連接器默認 <伺服器>的 IllegalMessage 錯誤。 驗證機制為 ExchangeAuth。 嘗試向 Microsoft Exchange 驗證之用戶端的來源 IP 位址是 [SourceIPAddress]。

原因

如果 Exchange 伺服器無法向遠端 Exchange 伺服器進行驗證,就會發生此問題。 Exchange 伺服器需要驗證,才能在伺服器之間路由傳送內部使用者訊息。 此問題可能是下列其中一個原因所造成:

  • Exchange 伺服器遇到時間同步處理問題。
  • 域控制器之間有復寫問題。
  • Exchange 伺服器遇到服務主體名稱 (SPN) 問題。
  • 防火牆會封鎖 Kerberos 通訊協定所需的 TCP/UDP 埠。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 檢查伺服器和域控制器上可能用來驗證伺服器的時鐘。 所有時鐘都應該在 5 分鐘內同步處理到其他時鐘。

  2. 強制域控制器之間的複 寫,以查看是否有複寫問題。

  3. 確認目標伺服器上的SPN) SMTPSVC (服務主體名稱已正確註冊。

    • 請確定 SMTP 已使用 SetSPN 工具,將和 SMTPSVC 項目正確地新增至電腦帳戶。 例如:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • 使用 SetSPN 工具檢查是否有重複的 SPN。 每個項目應該只有一個專案:

      SetSPN -x
      處理專案 0
      找到 0 個重複 SPN 群組。

  4. 確認已啟用 Kerberos 所需的埠。

  5. 如果先前的步驟無法運作,您可以在註冊事件 1035 訊息的伺服器上開啟 Kerberos 的記錄功能,這可能會提供其他資訊。 如果要執行這項操作,請依照下列步驟執行:

    1. 依序選取 [ 開始]、[ 執行]、輸入 Regedit,然後選取 [ 確定]
    2. 找出登錄機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. 在 [ 編輯] 功能表上,指向 [ 新增],然後選取 [DWORD 值]
    4. 在詳細數據窗格中,輸入新值 LogLevel,然後按 Enter
    5. 以滑鼠右鍵按兩下 [LogLevel],然後選取 [ 修改]
    6. 在 [ 編輯 DWORD 值 ] 對話方塊的 [ 基底] 下,選取 [ 十進位]
    7. 在 [ 值數據] 方塊中,輸入值 1,然後選取 [ 確定]
    8. 關閉登錄編輯程式。
    9. 再次檢查系統事件記錄檔中是否有任何 Kerberos 錯誤。
  6. 在目的地 Exchange Server 中,檢查接收內部電子郵件訊息的接收連接器,並確定它們已啟用 Exchange 驗證。