在 Microsoft Exchange Server 的 454 4.7.0 临时身份验证失败

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 979174
症状
在 Exchange 服务器环境中,应该已被转移到另一个内部 Exchange 组织中的 Exchange 服务器的远程传递队列中堵塞一些电子邮件。

如果您打开的队列查看器工具工具箱 节点上 Exchange 管理控制台, 最后一个错误字段将显示类似于下面的错误消息:
451 4.4.0 Primary target IP address responded with: "454 4.7.0 Temporary authentication failure." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

此外,您可能会在接收电子邮件的 Exchange 服务器上应用程序日志文件发现以下错误消息:
Event Type: ErrorEvent Source: MSExchangeTransportEvent Category: SmtpReceive Event ID: 1035Description:Inbound authentication failed with error IllegalMessage for Receive connector Default <Server>. The authentication mechanism is ExchangeAuth. The source IP address of the client who tried to authenticate to Microsoft Exchange is [xxx.xxx.xxx.xxx].


原因
如果 Exchange 服务器不能与远程 Exchange server 身份验证,则会出现此问题。Exchange 服务器要求身份验证,将内部用户服务器之间的消息路由。该问题可以由下列原因之一引起:
  • Exchange 服务器出现的时间同步问题
  • 那里 isa 的域控制器之间的复制问题
  • Exchange 服务器遇到服务主体名称 (SPN) 问题
  • 防火墙将阻止对 Kerberos 协议所需的 TCP/UDP 端口
解决方案
若要解决此问题,请执行以下步骤:
  1. 检查服务器和可能用于验证服务器的域控制器上的时钟。所有的时钟应同步到一个其他的 5 分钟内。
  2. 强制执行域控制器之间的复制若要查看是否存在复制问题。
  3. 验证在目标服务器上正确注册服务主体名称 (SPN) SMTPSVC。
    • 请确保 SMTP 和 SMTPSVC 项添加正确的计算机帐户使用 SetSPN 工具。例如:
      SetSPN-L <ExchangeServerName></ExchangeServerName>
      SMTP /<ExchangeServerName></ExchangeServerName>
      SMTP /<ExchangeServerName></ExchangeServerName>。 example.com
      SMTPSVC /<ExchangeServerName></ExchangeServerName>
      SMTPSVC /<ExchangeServerName></ExchangeServerName>。 example.com
    • 通过使用 SetSPN 工具检查重复的 Spn。只应为每一个条目:
      SetSPN-x
      处理输入 0
      找到重复的 Spn 的 0 组。
  4. 请验证 Kerberos areenabled 所需的端口。
  5. 如果上述步骤无效,可以 turnonlogging 对于 Kerberos 正在注册 Event1035 消息,可能会提供其他信息的服务器上。若要此操作,请按照下列步骤操作:
    1. 单击开始,单击运行,类型 注册表编辑器然后单击确定
    2. 找到下面的注册表项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    3. 编辑菜单上,指向新建,然后单击DWORD 值
    4. 在详细信息窗格中,输入新值 日志级别然后按enter 键
    5. 日志级别,用鼠标右键单击,然后单击修改
    6. 编辑 DWORD 值对话框中,下, 单击十进制
    7. 数值数据框中,键入的值 1然后单击确定
    8. 关闭注册表编辑器。
    9. 再次检查系统事件日志中的有任何 Kerberos 错误。
  6. 在 Exchange Server 的目标,检查接收内部电子邮件,并确保它们具有已启用的身份验证交换的接收连接器。

警告:本文已自动翻译

属性

文章 ID:979174 - 上次审阅时间:10/01/2015 07:17:00 - 修订版本: 3.0

Microsoft Exchange Server 2007 Standard Edition, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2013 Standard, Microsoft Exchange Server 2013 Enterprise, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition

  • kbsurveynew kbtshoot kbexpertisebeginner kbexpertiseinter kbmt KB979174 KbMtzh
反馈