Error de autenticación temporales 454 4.7.0 en una de Microsoft Exchange Server

Síntomas

En un entorno de Exchange server, algunos mensajes de correo electrónico permanecen en una cola de entrega remota que debía haber transferido a otro servidor interno de Exchange en la organización de Exchange.

Si abre la herramienta Visor de cola desde el nodo de cuadro de herramientas en la Consola de administración de Exchange, el campo Último Error muestra un mensaje de error similar al siguiente:

451 4.4.0 Primary target IP address responded with: "454 4.7.0 Temporary authentication failure." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts. 

Además, puede encontrar el siguiente mensaje de error en el archivo de registro de aplicación en el servidor de Exchange que recibe el mensaje de correo electrónico:
Event Type: Error Event Source: MSExchangeTransport Event Category: SmtpReceive Event ID: 1035 Description: Inbound authentication failed with error IllegalMessage for Receive connector Default  <Server> . The authentication mechanism is ExchangeAuth. The source IP address of the client who tried to authenticate to Microsoft Exchange is  [xxx.xxx.xxx.xxx]. 


Causa

Este problema se produce si el servidor de Exchange no se puede autenticar con el servidor de Exchange remoto. Los servidores de Exchange requiere autenticación para enrutar los mensajes de usuario interno entre los servidores. El problema puede deberse a uno de los siguientes motivos:

  • El servidor de Exchange está experimentando la sincronización de hora problemas
  • Hay un problema de replicación entre los controladores de dominio
  • El servidor de Exchange está experimentando problemas de nombre Principal de servicio (SPN)
  • Los puertos TCP/UDP requeridos para el protocolo de Kerberos están bloqueados por el firewall

Solución

Para resolver este problema, siga estos pasos:
  1. Compruebe el reloj en servidores y controladores de dominio que podrían utilizarse para autenticar los servidores. Deben estar sincronizados todos los relojes a 5 minutos de unos a otros.
  2. Forzar la replicación entre controladores de dominio para ver si hay un problema de replicación.
  3. Compruebe que el nombre Principal de servicio (SPN) de SMTPSVC está registrado correctamente en el servidor de destino.
    • Asegúrese de que las entradas de SMTP y SMTPSVC se agregan correctamente a la cuenta de equipo mediante la herramienta SetSPN. Por ejemplo:

      SetSPN -L < NombreDeServidorDeExchange >
      SMTP/<ExchangeServerName>
      SMTP/<ExchangeServerName>.example.com
      SMTPSVC/<ExchangeServerName>
      SMTPSVC/<ExchangeServerName>.example.com
    • Para comprobar los SPN duplicados utilizando la herramienta SetSPN. Sólo debe haber una entrada de cada uno:

      SetSPN - x
      Procesar entrada 0
      encontrado 0 grupo de SPN duplicados.
  4. Compruebe que los puertos necesarios para Kerberos están habilitados.
  5. Si los pasos anteriores no funcionan, puede activar registro de Kerberos en el servidor que registra el mensaje de evento 1035, que puede proporcionar información adicional. Para ello, siga estos pasos:
    1. Haga clic en Inicio, haga clic en
      Ejecutar, escriba Regedity, a continuación, haga clic en
      OK.
    2. Busque la siguiente clave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. En el menú Edición , elija
      De nuevoy, a continuación, haga clic en Valor DWORD.
    4. En el panel de detalles, el nuevo valor de entrada
      LogLevely, a continuación, presione
      Escriba.
    5. Haga clic en nivel de registroy, a continuación, haga clic en
      Modificar.
    6. En el cuadro de diálogo Editar valor DWORD , en Base, haga clic en Decimal.
    7. En el cuadro información del valor , escriba el valor
      1y, a continuación, haga clic en Aceptar.
    8. Cierre el Editor del registro.
    9. Vuelva a comprobar el registro de sucesos del sistema para buscar errores Kerberos.
  6. En el destino de Exchange Server, compruebe los conectores de recepción que reciben mensajes de correo electrónico interno y asegúrese de que tienen habilitada la autenticación de Exchange.
Propiedades

Id. de artículo: 979174 - Última revisión: 13 ene. 2017 - Revisión: 1

Microsoft Exchange Server 2007 Standard Edition, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2013 Standard, Microsoft Exchange Server 2013 Enterprise, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition

Comentarios