Beheben des SMTP-Protokollfehlers "504 need to authenticate first" (Authentifizierung erforderlich)

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 843106 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
843106 How to troubleshoot the "504 need to authenticate first" SMTP protocol error
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Problembeschreibung

Eines oder mehrere der folgenden Ereignisse können in den Anwendungsprotokollen angezeigt werden:

Typ: Fehler
Quelle: MSExchangeTransport
Kategorie: SMTP-Protokoll
Ereignis-ID: 7004

Datum: 1/13/2004
Uhrzeit: 17:23:43 Uhr
Benutzer: Nicht zutreffend
Computer: COMPUTERNAME
Beschreibung: Dies ist ein Fehlerprotokoll des SMTP-Protokolls für den virtuellen Server mit ID 1, Verbindung #29. Remotehost "E2k3server1.contoso.com" hat auf den SMTP-Befehl "xexch50" mit "504 Need to authenticate first" geantwortet. Der vollständige gesendete Befehl lautete "XEXCH50 2336 3". Hierdurch wird die Verbindung wahrscheinlich fehlschlagen.

Typ: Fehler
Quelle: MSExchangeTransport
Kategorie: SMTP-Protokoll
Ereignis-ID: 7010
Datum: 1/13/2004
Uhrzeit: 17:43:49 Uhr
Benutzer: NV Computer: COMPUTERNAME
Beschreibung: Dies ist ein Protokoll des SMTP-Protokolls für den virtuellen Server mit ID 1, Verbindung #30. Der Client unter "6.5.2.4" hat einen "xexch50"-Befehl gesendet, auf den der SMTP-Server mit "504 Need to authenticate first" geantwortet hat. Hierdurch wird die Verbindung wahrscheinlich fehlschlagen. Diese Ereignisse zeigen an, dass die Protokollsenke XEXCH50 ausgelöst wurde, aber der Austausch der Blobs zwischen den in den Ereignissen angegebenen Servern fehlgeschlagen ist.

Hinweis: Sie sehen die Ereignis-IDs 7004 und 7010 nur dann, wenn Sie die Diagnoseprotokollierung für die Ereignisquelle "MSExchangeTransport" auf mittel oder höher einstellen.

Lösung

Führen Sie die folgenden Schritte durch, um dieses Problem zu beheben:
  1. Vergewissern Sie sich, dass die integrierte Windows-Authentifizierung auf den virtuellen SMTP-Servern auf den Exchange Server-Computern in Ihrer Organisation aktiviert ist. Gehen Sie folgendermaßen vor, wenn das nicht der Fall ist:
    1. Erweitern Sie im Exchange System-Manager Administrative Gruppen, dann Server, dann Exchange Server-Name, dann Protokolle und schließlich SMTP.
    2. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server. (Standardmäßig hat er den Namen "Virtueller Standardserver für SMTP").
    3. Klicken Sie auf Eigenschaften auf die Registerkarte Zugriff und auf Authentifizierung. Überprüfen Sie, ob das Kontrollkästchen Integrierte Windows-Authentifizierung aktiviert ist.
  2. Wenn die integrierte Windows-Authentifizierung aktiviert ist, aber das Ereignis weiterhin auftritt, fehlt eventuell der sendende Server in Ereignis 7004 oder 7010, oder ihm wird das SendAs-Recht auf dem empfangenden Server verweigert. Wenn diese Ereignisse auf dem sendenden und empfangenden Server auftreten, fehlen den Servern möglicherweise die SendAs-Rechte für einander. Das Recht "SendAs" wird nicht explizit vergeben. Es wird in der Regel über die Mitgliedschaft in der EDS-Gruppe (EDS = Exchange Domain Servers) vererbt. Wenn die EDS-Gruppe diesen Zugriffssteuerungseintrag (ACE = Access Control Entry) für die Verweigerung (DENY) nicht hat, ist der betroffene Server möglicherweise in einer anderen Gruppe geschachtelt, die den DENY-ACE hat, oder die EDS-Gruppe ist in einigen anderen Gruppen geschachtelt, die den DENY-ACE haben. Der Befehl XEXCH50 benötigt das Recht "SendAs" für Server in der Exchange-Organisation, um erfolgreich ausgeführt werden zu können.
  3. Überprüfen Sie, ob Sie TLS (Transport Layer Security) und einen Sicherheitskanal zwischen Servern in der Exchange-Organisation verwenden. In diesem Szenario werden die STARTTLS-Transport-Ereignissenken vor dem Befehl AUTH ausgelöst. Der Befehl XEXCH50 scheitert später in der Sitzung, da der Befehl AUTH fehlt.
  4. Wenn die EXPS-Authentifizierung (EXPS = Exchange Protocol Security) zwischen Servern nicht richtig funktioniert, kann der Befehl XEXCH50 nicht ausgeführt werden. Die Ereignisse 1704 und 1706 zeigen EXPS-Authentifizierungsfehler im Anwendungsprotokoll an.

    Typ: Warnung
    Quelle: MSExchangeTransport
    Kategorie: SMTP-Protokoll
    Ereignis-ID: 1706
    Beschreibung:
    EXPS kann vorübergehend keine Protokollsicherheit mit '
    "<ServerName>.<Domäne>.com" zur Verfügung stellen. Beim Aufruf von 'HrServerNegotiateAuth' durch 'CSessionContext::OnEXPSInNegotiate' wurde Fehlercode 0x8009030c (i:\transmt\src\smtpsink\exps\expslib\context.cpp@1462 ) zurückgegeben.
    Daten: 0000:
    0c 03 09 80 ...?

    Hinweis: Fehlercode 0x8009030c bedeutet SEC_E_LOGON_DENIEDHresult.

    Diese Probleme können schwierig zu beheben sein, da die Microsoft Windows-Anmeldeinformationen von EXPS diesen AUTH-Befehl übergeben müssen. Sie können verschiedene Programme verwenden, um die Kombination der Ereignis-IDs 7006 und 7004 zu behandeln, darunter die Programme NLTEST und NETDOM. Bei der Problembehandlung kann es erforderlich sein, die Kennwörter der Computerkonten zurückzusetzen.

    Wenn Sie im Anwendungsprotokoll eine Kombination der Ereignis-IDs 7006 und 7004 vorfinden wie zuvor beschrieben und die Ursache des Problems mit der EXPS-Authentifizierung nicht ermitteln können, setzen Sie sich mit den Microsoft Product Support Services in Verbindung. Wenn Sie die Kombination der Ereignis-IDs 7006 und 7004 im Anwendungsprotokoll nicht vorfinden, fahren Sie fort mit Schritt 5. Weitere Informationen zu EXPS finden Sie im Abschnitt "Weitere Informationen".
  5. Überprüfen Sie, ob es eine Firewall oder Viren-Wall zwischen Servern in der Exchange-Organisation gibt. Wenn es zwischen Servern in der Organisation eine Firewall gibt, können Sie testen, ob sie das Problem verursacht. Deaktivieren Sie die Firewall dazu vorübergehend.

Weitere Informationen

Weitere Informationen zum Aktivieren der Diagnoseprotokollierung bei Transportproblemen finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
821910 Wie Beheben für Transportprobleme von Exchange Server 2003
257265 Behandlung von Transportproblemen in Exchange 2000 Server und Exchange Server 2003

Sonstige Szenarien, in denen Ereignis-ID 7004 mit Fehler 504 auftreten kann

Ereignis-ID 7004 mit Fehler 504 ist zu erwarten, wenn der in Ereignis-ID angegebene Server ein Exchange 2000 Server-Computer ist, oder ein Exchange Server 2003-Computer in einer anderen Exchange-Organisation und kein Connector für eine gesamtstrukturübergreifende Vertrauensbeziehung zwischen den Exchange-Organisationen konfiguriert ist. Weitere Informationen zu gesamtstrukturübergreifenden Implementierungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
828770 Lösen Sie anonyme Absender-Funktionalität in Microsoft Exchange 2003 auf
Hinweis: Lesen Sie den Abschnitt "Authentifizierung in Szenarios in anderer Gesamtstruktur" in Artikel 828770.

Ereignis-ID 7004 mit Fehler 504 ist auch zu erwarten, wenn der Server ein externer Internetserver ist (Exchange 2000 Server oder Exchange Server 2003).

Wenn ein Exchange 5.5-Server Version 5.5.2657.72 von Msexcimc.exe oder höher des IMS-Connectors hat (IMS = Internet Mail Service) und der Exchange 5.5-Server sich in einer E-Mail-Domäne befindet, zu der der sendende Exchange 2000 Server-Computer oder Exchange Server 2003-Computer nicht gehören, versteht der empfangende Exchange 5.5-IMS-Connector den Befehl XEXCH50 vom sendenden Exchange Server-Computer nicht. Das Ereignis 7004 mit dem Fehler "505 Authentication required" (Authentifizierung erforderlich) im Anwendungsprotokoll auf dem sendenden Exchange Server-Computer ist typisch, wenn E-Mail über das Internet von einem Exchange 2000 Server-Computer oder Exchange Server 2003-Computer an einen Exchange 5.5 Server-Computer in einer externen E-Mail-Domäne gesendet wird. Eine Möglichkeit, dieses Problem zu beheben, besteht darin, das Senden des Befehls XEXCH50 außerhalb der Exchange-Organisation zu unterdrücken, in der sich der Exchange 2000 Server-Computer oder der Exchange Server 2003-Computer befindet.

Zu Behebung dieses Problems auf dem Exchange 2000 Server- oder Exchange Server 2003-Computer können Sie den Registrierungsschlüssel "SuppressExternal" auf 1 einstellen. Diese Einstellung verhindert, dass Exchange Server versucht, den Befehl XEXCH50 außerhalb der Exchange-Organisation zu senden. Weitere Informationen dazu, wie Sie den Registrierungsschlüssel "SuppressExternal" erstellen und auf 1 setzen, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
818222 Nachrichten verbleiben in einer ausgehenden Warteschlange, bis ein Bericht von Unzustellbarkeitsberichte generiert wird, wenn Sie E-mail an eine Remote-Domäne senden

Weitere Symptome in Verbindung mit den Ereignis-IDs 7004 und 7010

Wenn der Befehl XEXCH50 nicht richtig funktioniert, wie durch die Ereignisse 7004 und 7010 angezeigt, können folgende Symptome auftreten:
  • Die Replikation Öffentlicher Ordner auf Exchange 2000 Server- und Exchange Server 2003-Computer ist beeinträchtigt.
  • E-Mail an Öffentliche Ordner ist beeinträchtigt.
  • Die typische Funktionalität des Nachrichtenjournals ist eventuell beeinträchtigt, oder es treten doppelte Nachrichten im Journal auf. Weitere Informationen zur Behebung von Problemen mit dem Nachrichtenjournal finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    843105 Beheben von Problemen mit dem Nachrichtenjournal in Exchange Server 2003 und Exchange 2000 Server
  • Das Umschlagsjournal funktioniert möglicherweise nicht richtig, wenn es in der Exchange-Organisation für Berichte aktiviert ist.
  • Einstellungen für Übermittlungsberichte für Verteilergruppen funktionieren möglicherweise nicht richtig.
  • Die Erweiterung von Verteilergruppen funktioniert möglicherweise nicht richtig.
  • Berechtigungen und Einschränkungen für Verteilergruppen funktionieren möglicherweise nicht erwartungsgemäß.
  • E-Mail an verborgene Verteilergruppen funktioniert möglicherweise nicht erwartungsgemäß.
  • Nachrichten an alternative Empfänger haben eventuell Duplikate zur Folge.
  • Intelligent Message Filtering (IMF) funktioniert möglicherweise nicht erwartungsgemäß.

Weitere Informationen zu XEXCH50

XEXCH50 ist eine Exchange-ESMTP-Erweiterung, die zur Übermittlung bestimmter Eigenschaften verwendet wird, z. B. Eigenschaften von Umschlägen, Nachrichten und Empfängern. Der Befehl XEXCH50 ist ein Kurzbefehl. Auf einen Befehl XEXCH50, der eine Erfolgsrückmeldung erhalten hat, folgt ein BLOB (Binary Large Object) variabler Größe. (Die Größe entspricht dem ersten Argument des Befehls XEXCH50).

Weitere Informationen zu TLS und STARTTLS

Der Befehl STARTTLS wird im RFC 2487 SMTP Service Extension for Secure SMTP over TLS beschrieben. Sie finden diesen RFC auf der folgenden IETF-Website:
ftp://ftp.ietf.org/rfc/rfc2487.txt
Hinweis: Zum Schutz der Kommunikation können Sie den Microsoft-SMTP-Dienst für die Verschlüsselung von SMTP-Übertragungen mit TLS (Transport Layer Security) konfigurieren. Diese Funktionalität wird über den SMTP-Protokollbefehl STARTTLS zur Verfügung gestellt.

Weitere Informationen zu EXPS

X-EXPS ist ein proprietäres Verb in Exchange Server, ähnelt allerdings dem Befehl AUTH. Die Syntax der Datenbefehle und der Antworten hängt vom gewählten AUTH-Paket ab, z. B. LOGIN, NTLM, GSSAPI oder andere. Weitere Informationen finden Sie im RFC "AUTH".

Zwar steht EXPS für "Exchange Protocol Security", jedoch bezieht es sich ausschließlich auf das SMTP-Protokoll. Einige in Exchange 2000 Server und Exchange Server 2003 verwendete Verben sind proprietär für diese Produkte und werden zusammen mit ESMTP-Verben verwendet. Sie werden als ESMTP X-Verben bezeichnet. Weitere Informationen zu ESMTP X-Verben finden Sie im folgenden Artikel der Microsoft Knowledge Base:
812455 Definitionen Verben, die zwischen 2 Exchange-Server verwandt werden
Wenn der Name ehlo, der gesendet und angekündigt wird, in einer Exchange-Organisation nicht gefunden wird, werden die GSSAPI-Authentifizierungsmechanismen (EXPS) eines empfangenden Servers angewendet. Der Name ehlo wird ignoriert, als wäre er nie angekündigt worden. Der sendende Server unternimmt keinen Authentifizierungsversuch.

Netzwerkmonitor-Ablaufverfolgungen haben gezeigt, dass der sendende Server keine GSSAPI-Authentifizierung durchführt und nach dem Verb XEXCH50 den SMTP-Protokollfehler "504 need to authenticate" protokolliert. Stellen Sie zur Behebung dieses Problems sicher, dass die Eigenschaften des virtuellen SMTP-Servers den richtigen vollständig qualifizierten Domänennamen enthalten.

Gehen Sie folgendermaßen vor, um die Übermittlungseinstellungen für den virtuellen SMTP-Server zu überprüfen:
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, auf Microsoft Exchange, und klicken Sie dann auf System-Manager.
  2. Wenn das Kontrollkästchen Administrative Gruppen anzeigen aktiviert ist, erweitern Sie Administrative Gruppen und anschließend Erste administrative Gruppe.

    Gehen Sie folgendermaßen vor, um administrative Gruppen anzuzeigen: Klicken Sie mit der rechten Maustaste auf Ihre_Organisation, klicken Sie auf Eigenschaften, aktivieren Sie das Kontrollkästchen Administrative Gruppen anzeigen, klicken Sie zweimal auf OK, und starten Sie den Exchange System-Manager neu.
  3. Erweitern Sie Server, dann Ihr_Exchange_Server, dann Protokolle, und klicken Sie anschließend auf SMTP.
  4. Klicken Sie im rechten Fenster auf Virtueller Standardserver für SMTP und anschließend auf Eigenschaften.
  5. Klicken Sie auf die Registerkarte Übermittlung und anschließend auf Erweitert.
  6. Vergewissern Sie sich, dass der Wert, der im Feld Vollständig qualifizierter Domänenname erscheint, dem vollständig qualifizierten Domänennamen des Servers entspricht.
Hinweis: Der Wert "Vollständig qualifizierter Domänenname" kann entweder der NetBIOS-Name (NetBIOS = Network Basic Input/Output System) oder der vollständig qualifizierte Domänenname sein.

Wenn der Name im Feld Vollständig qualifizierter Domänenname geändert wurde, weil beim 220-Antwortnamen oder bei den Namen in den RFC 2821-Received-Headers ein Spoofing-Versuch vorgenommen wurde, kann es u.a. zu den Symptomen kommen, die im Abschnitt "Problembeschreibung" aufgeführt sind.

Vergewissern Sie sich außerdem, dass keine Paketverluste zwischen den Servern aufgetreten sind. Stellen Sie sicher, dass die Firewall erweiterte SMTP-Verben wie z. B. XEXCH50 nicht blockiert.

Eigenschaften

Artikel-ID: 843106 - Geändert am: Montag, 26. November 2007 - Version: 5.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kbprb KB843106
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com