Az SMTP protokoll „504 need to authenticate first” (hitelesítés szükséges) protokollhibájának elhárítása

A jelenség

Az alkalmazásnaplók a következő események valamelyikét (vagy akár mindkettőt) rögzítik: Megjegyzés: A 7004-es és 7010-es eseményazonosítók csak akkor láthatók, ha az MSExchangeTransport eseményforrás diagnosztikai naplózási szintje legalább közepes értékre van állítva.

A megoldás

A probléma az alábbi lépésekkel orvosolható:
 1. Ellenőrizze, hogy engedélyezve van-e az integrált Windows-hitelesítés a szervezet Exchange Server rendszerű kiszolgálóin üzemelő virtuális SMTP-kiszolgálókon. Ha nincs engedélyezve, engedélyezze az alábbi eljárással:
  1. Az Exchange System Manager alkalmazásban sorban bontsa ki az Administrative Groups (Felügyeleti csoportok), a Servers (Kiszolgálók), az Exchange kiszolgáló neve, a Protocols (Protokollok), végül az SMTP csomópontot.
  2. Kattintson jobb gombbal a virtuális SMTP-kiszolgálóra. Ennek alapértelmezett neve Default SMTP Virtual Server (Alapértelmezett virtuális kiszolgáló).
  3. Kattintson a Properties (Tulajdonságok) parancsra és az Access (Hozzáférés) fülre, majd az Authentication (Hitelesítés) gombra. Ellenőrizze, hogy az Integrated Windows Authentication (Integrált Windows-hitelesítés) jelölőnégyzet be van-e jelölve.
 2. Ha az integrált Windows-hitelesítés engedélyezve van, mégis bekövetkeznek a fenti események, valószínű hogy az üzenetet küldő, a 7004-es vagy a 7010-es eseményben megnevezett kiszolgáló nem rendelkezik SendAs (Küldés másként) joggal az üzenetet fogadó kiszolgálón (akár azért, mert ezt a jogosultságát letiltották). Ha mindkét kiszolgálón bekövetkeznek a tárgyalt események, feltehetőleg egyiküknek sincs SendAs jogosultsága a másikon. A SendAs jogosultságot nem lehet közvetlenül beállítani, az rendszerint az Exchange Domain Servers (EDS, Tartományi Exchange-kiszolgálók) csoportbeli tagságon keresztül öröklődik. Ha az EDS csoport nem rendelkezik megtagadási (DENY) hozzáférés-szabályozási bejegyzéssel (ACE), az érintett kiszolgáló vagy az EDS csoport tagja egy olyan csoportnak, mely megtagadási bejegyzéssel rendelkezik. Az XEXCH50 parancs sikeres végrehajtásához az Exchange által kezelt szervezet kiszolgálóinak szükségük van a SendAs jogosultságra.
 3. Ellenőrizze, hogy TLS protokollt használ-e, és hogy az Exchange-szervezetbeli kiszolgálók között létrejön-e egy biztonságos csatorna. Ebben az esetben a STARTTLS átviteli esemény az AUTH parancs előtt kerül az eseménygyűjtőbe. Az XEXCH50 parancs az adott munkamenet későbbi fázisában hibát fog generálni az AUTH parancs hiánya miatt.
 4. Ha az EXPS-hitelesítés (az EXPS az Exchange Protocol Security kifejezés rövidítése) nem megfelelően működik a kiszolgálók között, az XEXCH50 parancs végrehajtása sikertelen. Az 1704-es és az 1706-os események az EXPS-hitelesítés hibáit jelzik az alkalmazásnaplóban.
  Megjegyzés: A 0x8009030c hibakód a SEC_E_LOGON_DENIED kezelőeredménynek (Hresult) felel meg.

  Ezeket a problémákat igen nehéz megszüntetni, mivel az EXPS-hitelesítés Microsoft Windows rendszerbeli hitelesítő adatait mindenképp át kell adni ennek az AUTH parancsnak. A 7006-os és 7004-es események kombinációjával kapcsolatos hibák elhárítására több eszköz is használható, például az NLTEST és a NETDOM eszköz. A hibaelhárítás során szükség lehet a számítógépfiókok jelszavainak törlésére (alaphelyzetbe állítására).

  Ha a 7006-os és 7004-es események együttes bekövetkezése esetén nem sikerül feltárni az EXPS-hitelesítés használata során jelentkező probléma forrását, lépjen kapcsolatba a Microsoft terméktámogatási szolgálatával. Ha az alkalmazásnaplóban csak a 7006-os és 7004-es események egyike fordul elő, tekintse meg az 5. lépést. Az EXPS protokollról a További információ szakaszban bővebben olvashat.
 5. Ellenőrizze, hogy üzemel-e tűzfal vagy víruskereső szoftver az Exchange-szervezet kiszolgálói között. Ha a szervezet kiszolgálóit tűzfal választja el egymástól, ellenőrizze, hogy az okozza-e a problémát. Ehhez átmenetileg tiltsa le a tűzfalat.

További információ

Az átviteli hibák diagnosztikai naplózásának bekapcsolásáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:

821910 Az Exchange Server 2003 átviteli problémáinak elhárítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

257265 Az Exchange 2000 Server és az Exchange Server 2003 átviteli problémáinak általános elhárítási lépései (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az 504-es hibát jelző 7004-es esemény bekövetkezését okozó más esetek

Abban az esetben is várható az 504-es hibát jelző 7004-es esemény bekövetkezése, ha a 7004-es eseményben jelzett kiszolgáló egy Exchange 2000 Server rendszerű számítógép, vagy egy más Exchange-szervezetben üzemelő Exchange Server 2003 rendszerű számítógép, és nincs beállítva az Exchange-szervezetek között erdőközi megbízhatósági összekötő. Az erdők közötti hitelesítés implementálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

828770 A Microsoft Exchange 2003 névtelen feladókat azonosító Resolve anonymous senders szolgáltatása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Megjegyzés: A 828770-es számú cikkben az „Authentication in cross-forest scenarios” (Hitelesítés több erdőből álló környezetekben) szakasz foglalkozik a kérdéssel.

Az 504-es hibát jelentő 7004-es esemény megjelenését okozza az is, ha a kiszolgáló egy – Exchange 2000 Server vagy Exchange Server 2003 – rendszerű külső internetes kiszolgáló.

Ha egy Exchange 5.5 kiszolgálón az Internet Mail Service (IMS, internetes levelezési szolgáltatás) összekötőjéhez tartozó Msexcimc.exe fájl verziója 5.5.2657.72 vagy annál nagyobb, vagy ha az Exchange 5.5 rendszerű kiszolgáló olyan e-mail tartományban üzemel, mely az üzenetküldő Exchange 2000 Server vagy Exchange Server 2003 rendszerű számítógéphez képest külső kiszolgáló, az üzenetet fogadó Exchange 5.5 rendszer IMS összekötője nem fogja tudni értelmezni az üzenetet küldő Exchange Server kiszolgálóról érkező XEXCH50 parancsot. A küldő Exchange Server rendszerű számítógép alkalmazásnaplójában szokásosnak nevezhető az „505 Authentication required” (Hitelesítés szükséges) hibát tartalmazó 7004-es esemény megjelenése, ha egy Exchange 2000 Server vagy egy Exchange Server 2003 rendszerű számítógép egy külső, internetes e-mail tartományban üzemelő Exchange 5.5 Server rendszerű számítógépnek küld üzenetet. E probléma egyik megoldása az XEXCH50 parancs küldésének tiltása az Exchange 2000 Server vagy az Exchange Server 2003 rendszerű kiszolgálót üzemeltető Exchange-szervezet határain kívülre.

Az Exchange 2000 Server vagy az Exchange Server 2003 rendszerű számítógép SuppressExternal rendszerleíró kulcsának 1 értékre állításával megszüntethető a probléma. Ez a beállítás megakadályozza, hogy az Exchange Server az XEXCH50 parancs Exchange-szervezeten kívülre küldésével próbálkozzon. A SuppressExternal rendszerleíró kulcs létrehozásáról és értékének 1-re állításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

818222 A távoli tartományokba küldött e-mail üzenetek a kimenő üzenetek várólistáján maradnak a sikertelen kézbesítésről tájékoztató jelentés előállításáig (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A 7004-es és a 7010-es eseményt kísérő további jelenségek

Ha a XEXCH50 parancs a 7004-es és a 7010-es események tanúsága szerint nem hajtódik végre, az alábbi jelenségekkel szembesülhet:
 • A probléma a nyilvános mappák Exchange 2000 Server és Exchange Server 2003 rendszerű számítógépek felé kezdeményezett replikálását is érinti.
 • A nyilvános mappákba küldött leveleket a probléma nem érinti.
 • Elképzelhető, hogy nem a szokásos módon működik az üzenetek naplózása, esetleg dupla naplóbejegyzések jelennek meg. Az üzenetnaplózás problémáinak elhárításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

  843105 Az Exchange Server 2003 és az Exchange 2000 Server üzenetnaplózással kapcsolatos problémáinak elhárítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

 • Elképzelhető, hogy a borítéknaplózás nem működik megfelelően, ha a jelentésekhez engedélyezve van az Exchange-szervezetben.
 • A kézbesítési jelentések terjesztési csoportokra vonatkozó beállításai helytelenül működhetnek.
 • Előfordulhat, hogy a terjesztési csoportok kibontása nem működik megfelelően.
 • A terjesztési csoportok engedélyei és korlátozásai esetleg nem a vártnak megfelelően működnek.
 • Elképzelhető, hogy a rejtett terjesztési listáknak küldött levelek kezelése nem a vártnak megfelelő.
 • A másodlagos címzetteknek küldött üzenetek megkettőződhetnek.
 • Elképzelhető, hogy az intelligens üzenetszűrés (Intelligent Message Filtering; IMF) a várttól eltérően működik.

További információ az XEXCH50 parancsról

Az XEXCH50 parancs az Exchange ESMTP protokolljában definiált kiterjesztés, mely bizonyos tulajdonságok, például a borítéktulajdonságok, az üzenet- és a címzett-tulajdonságok továbbítására szolgál. Az XEXCH50 parancs egy rövid parancs. Ha az XEXCH50 parancsra sikert jelző válasz érkezik, a parancsot egy változó méretű nagy bináris objektum (BLOB) követi. (A méret a XEXCH50 parancs első argumentumában megadott értéknek felel meg).

További információ a TLS protokollról és a STARTTLS parancsról

A STARTTLS parancsot a 2487-es számú RFC-dokumentum, az SMTP Service Extension for Secure SMTP over TLS (Az SMTP-szolgáltatás kiterjesztése a TLS protokoll felett működő biztonságos SMTP protokollhoz) ismerteti. Az RFC-dokumentum elérhető az IETF FTP-kiszolgálóján:Megjegyzés: A kommunikáció védelme érdekében a Microsoft SMTP-szolgáltatásában a TLS protokoll beállítható az SMTP-forgalom titkosítására. Ezt a funkcionalitást az SMTP protokoll STARTTLS parancsa biztosítja.

További információ az EXPS-hitelesítésről

Az Exchange Server rendszerben használt X-EXPS művelet hasonló az AUTH művelethez. Az adatparancsok és a válaszok szintaxisa a választott AUTH-csomagtól – például LOGIN, NTLM, GSSAPI stb. – függ. További információért tanulmányozza az AUTH parancsot definiáló RFC-dokumentumot.

Bár az EXPS rövidítés az Exchange Protocol Security (az Exchange protokoll biztonsága) kifejezés rövidítése, az EXPS egyedül az SMTP protokollra hivatkozik. Az Exchange 2000 Server és az Exchange Server 2003 rendszerekben használt műveletek némelyike csak e termékekben használatos, és az ESMTP-műveletekhez tartoznak – ezért az ESMTP X műveletek gyűjtőnéven is ismeretesek. Az ESMTP X műveletekről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

812455 Az Exchange kiszolgálók között használt műveletek definíciói (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Ha a küldött és közzétett ehlo-név nem található az Exchange-szervezetben, a fogadó kiszolgálók GSSAPI-hitelesítésének (EXPS) funkciói lépnek működésbe. Az ehlo-név figyelmen kívül marad, mintha nem is lett volna közzétéve. A küldő kiszolgáló nem próbálkozik hitelesítéssel.

A hálózatfigyelési nyomkövetés azt mutatja, hogy a küldő kiszolgáló nem kezdeményez GSSAPI-hitelesítést, és az XEXCH50 parancs után az SMTP protokollban definiált „504 need to authenticate” protokollhibát naplózza. A probléma megoldásához a virtuális SMTP-kiszolgáló tulajdonságai között a megfelelő teljesen minősített tartománynevet (FQDN) kell megadni.

A virtuális SMTP-kiszolgáló kézbesítési beállításainak ellenőrzése:
 1. Mutasson a Start menü Minden program parancsára, majd a Microsoft Exchange mappa System Manager parancsára.
 2. Ha a Display administrative groups (Felügyeleti csoportok megjelenítése) jelölőnégyzet nincs bejelölve, bontsa ki az Administrative Groups (Felügyeleti csoportok), majd az Első felügyeleti csoport elemet.

  A felügyeleti csoportok megjelenítéséhez kattintson jobb gombbal a Saját_szervezet elemre, válassza a Tulajdonságok parancsot, jelölje be a Display administrative groups (Felügyeleti csoportok megjelenítése) jelölőnégyzetet, majd kattintson kétszer az OK gombra, és indítsa újra az Exchange System Manager programot.
 3. Bontsa ki sorban a Servers (Kiszolgálók), a Saját Exchange kiszolgáló, a Protocols (Protokollok), végül az SMTP csomópontot.
 4. A jobb oldali ablaktáblában kattintson jobb gombbal a Default SMTP Virtual Server (Alapértelmezett virtuális SMTP-kiszolgáló) ikonra, majd a Tulajdonságok parancsra.
 5. Kattintson a Delivery (Kézbesítés) fülre, majd az Advanced (Speciális) gombra.
 6. Ellenőrizze, hogy a Fully-qualified domain name (Teljesen minősített tartománynév) mezőben megjelenő tartománynév a kiszolgáló teljesen minősített tartományneve-e.
Megjegyzés: A teljesen minősített tartománynév a kiszolgáló NetBIOS-neve és teljesen minősített tartományneve is lehet.

Ha a Fully-qualified domain name mezőben lévő tartománynév módosítva lett a 220-as válasznév vagy a 2821-es RFC-dokumentum szerinti fogadott fejlécekben lévő nevek meghamisítására, a cikk „A jelenség” szakaszában ismertetett jelenségek e módosítás jelei.

Ellenőrizze azt is, hogy a kiszolgálók között nincsenek-e eldobott csomagok. Győződjön meg arról, hogy a tűzfal nem blokkolja az SMTP protokoll kiterjesztésének parancsait, például az XEXCH50 parancsot.
Tulajdonságok

Cikkazonosító: 843106 - Utolsó ellenőrzés: 2007. nov. 25. - Verziószám: 1

Visszajelzés