454 4.7.0 Временный сбой проверки подлинности в Exchange Server

Исходный номер базы знаний: 979174

Симптомы

В среде Exchange Server некоторые сообщения электронной почты зависают в очереди удаленной доставки, которые должны были быть перенесены на другой внутренний сервер Exchange в организации Exchange.

Если открыть средство просмотра очередей из узла Панель элементов в консоли управления Exchange, в поле Последняя ошибка отобразится сообщение об ошибке, похожее на следующее:

451 4.4.0 IP-адрес основного целевого объекта ответил: "454 4.7.0 Временный сбой проверки подлинности". Предпринята попытка отработки отказа на альтернативный узел, но это не удалось. Либо нет альтернативных узлов, либо не удалось выполнить доставку для всех альтернативных узлов.

Кроме того, в файле журнала приложений на сервере Exchange Server, получающем сообщение электронной почты, может появилось следующее сообщение об ошибке:

Тип события: Ошибка Источник события: MSExchangeTransport Категория события: SmtpReceive Event ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default <Server>. Механизм проверки подлинности — ExchangeAuth. Исходный IP-адрес клиента, который пытался пройти проверку подлинности в Microsoft Exchange, — [SourceIPAddress].

Причина

Эта проблема возникает, если серверу Exchange Server не удается выполнить проверку подлинности на удаленном сервере Exchange Server. Серверам Exchange требуется проверка подлинности для маршрутизации внутренних сообщений пользователей между серверами. Проблема может быть вызвана одной из следующих причин:

• На сервере Exchange server возникают проблемы с синхронизацией времени.
• Существует проблема с репликацией между контроллерами домена.
• На сервере Exchange Возникают проблемы с именем субъекта-службы (SPN).
• Необходимые порты TCP/UDP для протокола Kerberos блокируются брандмауэром.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

1. Проверьте часы на серверах и контроллерах домена, которые могут использоваться для проверки подлинности серверов. Все часы должны быть синхронизированы в течение 5 минут.

2. Принудительная репликация между контроллерами домена , чтобы узнать, есть ли проблема с репликацией.

3. Убедитесь, что имя субъекта-службы (SPN) для SMTPSVC правильно зарегистрировано на целевом сервере.

   • Убедитесь, что SMTP записи и SMTPSVC добавлены правильно в учетную запись компьютера с помощью средства SetSPN. Например:

     SetSPN -L <ExchangeServerName>
     SMTP/ <ExchangeServerName>
     SMTP/ <ExchangeServerName.example.com>
     SMTPSVC/ <ExchangeServerName>
     SMTPSVC/ <ExchangeServerName.example.com>

   • Проверьте наличие повторяющихся имен субъектов-служб с помощью средства SetSPN. Каждое из них должно быть только по одной записи:

     SetSPN -x
     Обработка записи 0
     найдено 0 групп повторяющихся имен субъектов-служб.

4. Убедитесь, что порты, необходимые для Kerberos, включены.

5. Если предыдущие шаги не поработали, можно включить ведение журнала для Kerberos на сервере, который регистрирует сообщение о событии 1035, которое может предоставить дополнительные сведения. Для этого выполните следующие действия:

   1. Нажмите кнопку Пуск, выберите Выполнить, введите Regedit и нажмите кнопку ОК.
   2. Найдите раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
   3. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.
   4. В области сведений введите новое значение LogLevel и нажмите клавишу ВВОД.
   5. Щелкните правой кнопкой мыши LogLevel и выберите команду Изменить.
   6. В диалоговом окне Изменение значения DWORD в разделе Базовый выберите Десятичный.
   7. В поле Значение введите значение 1 и нажмите кнопку ОК.
   8. Закройте редактор реестра.
   9. Снова проверка журнал системных событий на наличие ошибок Kerberos.

6. В целевом Exchange Server проверка соединители получения, которые получают внутренние сообщения электронной почты, и убедитесь, что для них включена проверка подлинности Exchange.