454 4.7.0 Tijdelijke verificatiefout in Exchange Server

Origineel KB-nummer: 979174

Symptomen

In een Exchange-serveromgeving zitten sommige e-mailberichten vast in een wachtrij voor externe bezorging die moet worden overgebracht naar een andere interne Exchange-server in de Exchange-organisatie.

Als u het hulpprogramma Queue Viewer opent vanuit het knooppunt Werkset op de Exchange Management Console, wordt in het veld Laatste fout een foutbericht weergegeven dat er ongeveer als volgt uitziet:

451 4.4.0 Het IP-adres van het primaire doel heeft gereageerd met: '454 4.7.0 Tijdelijke verificatiefout'. Poging tot failover naar een alternatieve host, maar dat is niet gelukt. Er zijn geen alternatieve hosts of de levering is mislukt voor alle alternatieve hosts.

Daarnaast kunt u het volgende foutbericht vinden in het logboekbestand van de toepassing op de Exchange-server die het e-mailbericht ontvangt:

Gebeurtenistype: Foutgebeurtenisbron: MSExchangeTransport-gebeurteniscategorie: SmtpReceive-gebeurtenis-id: 1035 Beschrijving: Binnenkomende verificatie is mislukt met fout IllegalMessage voor de standaardserver <>van de ontvangstconnector. Het verificatiemechanisme is ExchangeAuth. Het bron-IP-adres van de client die heeft geprobeerd te verifiëren bij Microsoft Exchange is [SourceIPAddress].

Oorzaak

Dit probleem treedt op als de Exchange-server niet kan worden geverifieerd bij de externe Exchange-server. Exchange-servers vereisen verificatie om interne gebruikersberichten tussen servers te routeren. Het probleem kan een van de volgende oorzaken hebben:

• De Exchange-server ondervindt tijdsynchronisatieproblemen.
• Er is een replicatieprobleem tussen de domeincontrollers.
• De Exchange-server ondervindt problemen met SPN (Service Principal Name).
• De vereiste TCP/UDP-poorten voor het Kerberos-protocol worden geblokkeerd door de firewall.

Oplossing

Voer de volgende stappen uit om dit probleem op te lossen:

1. Controleer de klok op zowel servers als domeincontrollers die kunnen worden gebruikt om de servers te verifiëren. Alle klokken moeten worden gesynchroniseerd met binnen 5 minuten van elkaar.

2. Dwing replicatie tussen domeincontrollers af om te zien of er een replicatieprobleem is.

3. Controleer of de SPN (Service Principal Name) voor SMTPSVC correct is geregistreerd op de doelserver.

   • Zorg ervoor dat de SMTP vermeldingen en SMTPSVC correct zijn toegevoegd aan het computeraccount met behulp van het hulpprogramma SetSPN. Bijvoorbeeld:

     SetSPN -L <ExchangeServerName>
     SMTP/ <ExchangeServerName>
     SMTP/ <ExchangeServerName.example.com>
     SMTPSVC/ <ExchangeServerName>
     SMTPSVC/<ExchangeServerName.example.com>

   • Controleer op dubbele SPN's met behulp van het hulpprogramma SetSPN. Er mag slechts één vermelding van elk item zijn:

     SetSPN -x
     Verwerkingsvermelding 0
     0 groep dubbele SPN's gevonden.

4. Controleer of de vereiste poorten voor Kerberos zijn ingeschakeld.

5. Als de vorige stappen niet werken, kunt u logboekregistratie voor Kerberos inschakelen op de server die het gebeurtenis 1035-bericht registreert, wat mogelijk aanvullende informatie biedt. Ga hiervoor als volgt te werk:

   1. Selecteer Start, selecteer Uitvoeren, typ Regedit en selecteer vervolgens OK.
   2. Zoek de registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
   3. Wijs in het menu Bewerkende optie Nieuw aan en selecteer vervolgens DWORD-waarde.
   4. Voer in het detailvenster de nieuwe waarde LogLevel in en druk op Enter.
   5. Klik met de rechtermuisknop op LogLevel en selecteer vervolgens Wijzigen.
   6. Selecteer in het dialoogvenster DWORD-waarde bewerken onder Basis de optie Decimaal.
   7. Typ in het vak Waardegegevens de waarde 1 en selecteer VERVOLGENS OK.
   8. Sluit de Register-editor.
   9. Controleer nogmaals het systeemlogboek op Kerberos-fouten.

6. Controleer in de doel-Exchange Server de ontvangstconnectors die interne e-mailberichten ontvangen en zorg ervoor dat Exchange-verificatie is ingeschakeld.