454 4.7.0 Falha de autenticação temporária no Exchange Server

  • Artigo
  • Aplica-se a:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Número original da BDC: 979174

Sintomas

Num ambiente de servidor do Exchange, algumas mensagens de e-mail estão bloqueadas numa fila de entrega remota que deveria ter sido transferida para outro servidor exchange interno na organização do Exchange.

Se abrir a ferramenta Visualizador de Filas a partir do nó Caixa de Ferramentas no Consola de Gestão do Exchange, o campo Último Erro apresenta uma mensagem de erro semelhante à seguinte:

O endereço IP de destino principal 451 4.4.0 respondeu com: "454 4.7.0 Falha de autenticação temporária". Tentou efetuar a ativação pós-falha para um anfitrião alternativo, mas isso não foi bem-sucedido. Não existem anfitriões alternativos ou a entrega falhou para todos os anfitriões alternativos.

Além disso, poderá encontrar a seguinte mensagem de erro no ficheiro de registo da Aplicação no servidor Exchange que está a receber a mensagem de e-mail:

Tipo de Evento: Origem do Evento de Erro: MSExchangeTransportAr Categoria de Evento: SmtpReceive ID do Evento: 1035 Descrição: A autenticação de entrada falhou com o erro IllegalMessage para Receber o Servidor> Predefinido <do conector. O mecanismo de autenticação é o ExchangeAuth. O endereço IP de origem do cliente que tentou autenticar-se no Microsoft Exchange é [SourceIPAddress].

Causa

Este problema ocorre se o servidor Exchange não conseguir autenticar com o servidor Exchange remoto. Os servidores do Exchange requerem autenticação para encaminhar mensagens de utilizador internas entre servidores. O problema pode ser causado por um dos seguintes motivos:

  • O servidor Exchange está a ter problemas de sincronização de tempo.
  • Existe um problema de replicação entre os controladores de domínio.
  • O servidor Exchange está a ter problemas com o Nome do Principal do Serviço (SPN).
  • As portas TCP/UDP necessárias para o protocolo Kerberos são bloqueadas pela firewall.

Resolução

Para resolver este problema, siga estes passos:

  1. Verifique o relógio em servidores e controladores de domínio que possam ser utilizados para autenticar os servidores. Todos os relógios devem ser sincronizados num espaço de 5 minutos entre si.

  2. Force a replicação entre controladores de domínio para ver se existe um problema de replicação.

  3. Verifique se o Nome do Principal de Serviço (SPN) para SMTPSVC está registado corretamente no servidor de destino.

    • Certifique-se de que as SMTP entradas e SMTPSVC são adicionadas corretamente à conta do computador com a ferramenta SetSPN. Por exemplo:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/<ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/<ExchangeServerName.example.com>

    • Verifique se existem SPNs duplicados com a ferramenta SetSPN. Deve existir apenas uma entrada de cada:

      SetSPN -x
      A processar a entrada 0
      foram encontrados 0 grupos de SPNs duplicados.

  4. Verifique se as portas necessárias para Kerberos estão ativadas.

  5. Se os passos anteriores não funcionarem, pode ativar o registo do Kerberos no Servidor que está a registar a mensagem do Evento 1035, o que pode fornecer informações adicionais. Para tal, siga estes passos:

    1. Selecione Iniciar, selecione Executar, escreva Regedit e, em seguida, selecione OK.
    2. Localize a chave do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. No menu Editar , aponte para Novo e, em seguida, selecione Valor DWORD.
    4. No painel de detalhes, introduza o novo valor LogLevel e, em seguida, prima Enter.
    5. Clique com o botão direito do rato em LogLevel e, em seguida, selecione Modificar.
    6. Na caixa de diálogo Editar Valor DWORD , em Base, selecione Decimal.
    7. Na caixa Dados do valor , escreva o valor 1 e, em seguida, selecione OK.
    8. Feche a Revisor de Registo.
    9. Verifique novamente se existem erros kerberos no registo de Eventos do Sistema.

  6. No Exchange Server de destino, verifique os conectores de receção que recebem mensagens de e-mail internas e certifique-se de que têm a Autenticação do Exchange ativada.