454 4.7.0 Échec temporaire de l’authentification dans Exchange Server

  • Article
  • S’applique à:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Numéro de la base de connaissances d’origine : 979174

Symptômes

Dans un environnement de serveur Exchange, certains messages électroniques sont bloqués dans une file d’attente de remise à distance qui aurait dû être transféré vers un autre serveur Exchange interne dans le organization Exchange.

Si vous ouvrez l’outil Visionneuse de files d’attente à partir du nœud Boîte à outils sur le console de gestion Exchange, le champ Dernière erreur affiche un message d’erreur semblable au suivant :

451 4.4.0 L’adresse IP cible principale a répondu avec : « 454 4.7.0 Échec d’authentification temporaire ». Tentative de basculement vers un autre hôte, mais cela n’a pas réussi. Soit il n’y a pas d’autres hôtes, soit la remise a échoué à tous les autres hôtes.

En outre, vous pouvez trouver le message d’erreur suivant dans le fichier journal de l’application sur le serveur Exchange qui reçoit le message électronique :

Type d’événement : Erreur Source de l’événement : MSExchangeTransport Catégorie d’événement : SMTPReceive ID d’événement : 1035 Description : Échec de l’authentification entrante avec l’erreur IllegalMessage pour le> serveur par défaut <du connecteur de réception. Le mécanisme d’authentification est ExchangeAuth. L’adresse IP source du client qui a tenté de s’authentifier auprès de Microsoft Exchange est [SourceIPAddress].

Cause

Ce problème se produit si le serveur Exchange ne peut pas s’authentifier auprès du serveur Exchange distant. Les serveurs Exchange nécessitent une authentification pour acheminer les messages utilisateur internes entre les serveurs. Le problème peut être dû à l’une des raisons suivantes :

  • Le serveur Exchange rencontre des problèmes de synchronisation de l’heure.
  • Il existe un problème de réplication entre les contrôleurs de domaine.
  • Le serveur Exchange rencontre des problèmes de nom de principal du service (SPN).
  • Les ports TCP/UDP requis pour le protocole Kerberos sont bloqués par le pare-feu.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Vérifiez l’horloge sur les serveurs et les contrôleurs de domaine qui peuvent être utilisés pour authentifier les serveurs. Toutes les horloges doivent être synchronisées avec dans les 5 minutes d’une autre.

  2. Forcer la réplication entre les contrôleurs de domaine pour voir s’il existe un problème de réplication.

  3. Vérifiez que le nom du principal du service (SPN) pour SMTPSVC est correctement inscrit sur le serveur cible.

    • Assurez-vous que les SMTP entrées et SMTPSVC sont correctement ajoutées au compte d’ordinateur à l’aide de l’outil SetSPN. Par exemple :

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/<ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/<ExchangeServerName.example.com>

    • Vérifiez les SPN en double à l’aide de l’outil SetSPN. Il ne doit y avoir qu’une seule entrée de chaque :

      SetSPN -x
      Traitement de l’entrée 0
      a trouvé 0 groupe de noms de principal du service en double.

  4. Vérifiez que les ports requis pour Kerberos sont activés.

  5. Si les étapes précédentes ne fonctionnent pas, vous pouvez activer la journalisation pour Kerberos sur le serveur qui inscrit le message événement 1035, ce qui peut fournir des informations supplémentaires. Pour cela, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez Regedit, puis sélectionnez OK.
    2. Recherchez la clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.
    4. Dans le volet d’informations, entrez la nouvelle valeur LogLevel, puis appuyez sur Entrée.
    5. Cliquez avec le bouton droit sur LogLevel, puis sélectionnez Modifier.
    6. Dans la boîte de dialogue Modifier la valeur DWORD , sous Base, sélectionnez Décimal.
    7. Dans la zone Données de la valeur , tapez la valeur 1, puis sélectionnez OK.
    8. Fermez l’Éditeur du registre.
    9. De nouveau, case activée le journal des événements système pour toutes les erreurs Kerberos.

  6. Dans le Exchange Server de destination, case activée les connecteurs de réception qui reçoivent des messages électroniques internes et assurez-vous que l’authentification Exchange est activée.