454 4.7.0 Exchange Server 中的临时身份验证失败

原始 KB 编号： 979174

症状

在 Exchange 服务器环境中，某些电子邮件卡在远程传递队列中，该队列本应传输到 Exchange 组织中的另一个内部 Exchange 服务器。

如果从Exchange 管理控制台上的“工具箱”节点打开队列查看器工具，“上次错误”字段将显示类似于以下内容的错误消息：

451 4.4.0 主要目标 IP 地址响应：“454 4.7.0 临时身份验证失败。尝试故障转移到备用主机，但未成功。 没有备用主机，或者无法传递到所有备用主机。

此外，你可能会在接收电子邮件的 Exchange 服务器上的应用程序日志文件中找到以下错误消息：

事件类型：错误事件源：MSExchangeTransport 事件类别：SmtpReceive 事件 ID：1035 说明：入站身份验证失败，并出现错误 IllegalMessage for Receive Connector Default <Server>。 身份验证机制为 ExchangeAuth。 尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址为 [SourceIPAddress]。

原因

如果 Exchange 服务器无法向远程 Exchange 服务器进行身份验证，则会出现此问题。 Exchange 服务器需要身份验证才能在服务器之间路由内部用户消息。 此问题可能是由以下原因之一引起的：

• Exchange 服务器遇到时间同步问题。
• 域控制器之间存在复制问题。
• Exchange 服务器遇到服务主体名称 (SPN) 问题。
• 防火墙会阻止 Kerberos 协议所需的 TCP/UDP 端口。

解决方案

若要解决此问题，请按照下列步骤操作：

1. 检查服务器和域控制器上的时钟，以便对服务器进行身份验证。 所有时钟都应在 5 分钟内同步到其他时钟。

2. 强制在域控制器之间进行复制 ，以查看是否存在复制问题。

3. 验证是否在目标服务器上正确注册了 (SPN) SMTPSVC 的服务主体名称。

   • SMTP确保使用 SetSPN 工具将 和 SMTPSVC 条目正确添加到计算机帐户。 例如：

     SetSPN -L <ExchangeServerName>
     SMTP/ <ExchangeServerName>
     SMTP/<ExchangeServerName.example.com>
     SMTPSVC/ <ExchangeServerName>
     SMTPSVC/<ExchangeServerName.example.com>

   • 使用 SetSPN 工具检查重复的 SPN。 每个条目只应有一个条目：

     SetSPN -x
     处理条目 0
     找到 0 组重复的 SPN。

4. 验证是否启用了 Kerberos 所需的端口。

5. 如果前面的步骤不起作用，则可以在注册事件 1035 消息的服务器上为 Kerberos 启用日志记录，这可能会提供其他信息。 为此，请按照下列步骤操作：

   1. 依次选择“ 开始”、“ 运行”、“ Regedit”和“ 确定”。
   2. 找到注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
   3. 在 “编辑” 菜单上，指向“ 新建”，然后选择“ DWORD 值”。
   4. 在详细信息窗格中，输入新值 LogLevel，然后按 Enter。
   5. 右键单击“ LogLevel”，然后选择“ 修改”。
   6. 在 “编辑 DWORD 值 ”对话框中的“ 基”下，选择“ 十进制”。
   7. 在“ 值数据 ”框中，键入值 1，然后选择“ 确定”。
   8. 关闭注册表编辑器。
   9. 再次检查任何 Kerberos 错误的系统事件日志。

6. 在目标Exchange Server中，检查接收内部电子邮件的接收连接器，并确保它们已启用 Exchange 身份验证。