454 4.7.0 Exchange Serverでの一時的な認証エラー

  • [アーティクル]
  • 適用対象:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

元の KB 番号: 979174

現象

Exchange サーバー環境では、一部の電子メール メッセージは、Exchange organization内の別の内部 Exchange サーバーに転送する必要があるリモート配信キューにスタックしています。

Exchange 管理コンソールの [ツールボックス] ノードからキュー ビューアー ツールを開くと、[最後のエラー] フィールドに次のようなエラー メッセージが表示されます。

451 4.4.0 プライマリ ターゲット IP アドレスは、"454 4.7.0 一時的な認証エラー" で応答しました。代替ホストへのフェールオーバーが試行されましたが、成功しませんでした。 代替ホストがないか、すべての代替ホストへの配信に失敗しました。

さらに、電子メール メッセージを受信している Exchange サーバーのアプリケーション ログ ファイルに次のエラー メッセージが表示される場合があります。

イベントの種類: エラー イベント ソース: MSExchangeTransport イベント カテゴリ: SmtpReceive イベント ID: 1035 説明: 受信コネクタの既定 <のサーバー>のエラー IllegalMessage で受信認証が失敗しました。 認証メカニズムは ExchangeAuth です。 Microsoft Exchange に対して認証を試みたクライアントのソース IP アドレスは [SourceIPAddress] です。

原因

この問題は、Exchange サーバーがリモート Exchange サーバーで認証できない場合に発生します。 Exchange サーバーでは、サーバー間で内部ユーザー メッセージをルーティングするための認証が必要です。 この問題は、次のいずれかの理由によって発生する可能性があります。

  • Exchange サーバーで時刻同期の問題が発生しています。
  • ドメイン コントローラー間にレプリケーションの問題があります。
  • Exchange サーバーでサービス プリンシパル名 (SPN) の問題が発生しています。
  • Kerberos プロトコルに必要な TCP/UDP ポートは、ファイアウォールによってブロックされます。

解決方法

この問題を解決するには、次の手順を実行します。

  1. サーバーの認証に使用される可能性があるサーバーとドメイン コントローラーの両方でクロックを確認します。 すべてのクロックは、互いに 5 分以内に同期する必要があります。

  2. ドメイン コントローラー間のレプリケーションを強制 して、レプリケーションの問題があるかどうかを確認します。

  3. のサービス プリンシパル名 (SPN) SMTPSVC がターゲット サーバーに正しく登録されていることを確認します。

    • SetSPN ツールを SMTP 使用して、 と SMTPSVC エントリがマシン アカウントに正しく追加されていることを確認します。 例:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/<ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • SetSPN ツールを使用して、重複する SPN を確認します。 各エントリは 1 つだけです。

      SetSPN -x
      処理エントリ 0
      重複する SPN のグループが 0 個見つかりました。

  4. Kerberos に必要なポートが有効になっていることを確認します。

  5. 前の手順が機能しない場合は、イベント 1035 メッセージを登録しているサーバーで Kerberos のログ記録を有効にできます。これは追加情報を提供する可能性があります。 これを行うには、次の手順を実行します。

    1. [ スタート] を選択 し、[実行] を選択し、「 Regedit」と入力して、[ OK] を選択します
    2. レジストリ キーを見つけます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。
    4. 詳細ウィンドウで、新しい値 LogLevel を入力し、 Enter キーを押します。
    5. [LogLevel] を右クリックし、[変更] を選択します。
    6. [ DWORD 値の編集 ] ダイアログ ボックスの [ 基本] で、[ 10 進数] を選択します。
    7. [ 値データ ] ボックスに値 1 を入力し、[ OK] を選択します
    8. レジストリ エディターを終了します。
    9. Kerberos エラーのシステム イベント ログをもう一度チェックします。

  6. 宛先Exchange Serverで、内部電子メール メッセージを受信する受信コネクタをチェックし、Exchange 認証が有効になっていることを確認します。