454 4.7.0 Exchange Server

2021/4/9

适用于:

Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

本文内容

原始 KB 编号：   979174

症状

在 Exchange 服务器环境中，某些电子邮件会卡在远程传递队列中，而远程传递队列应该已传输到 Exchange 组织中另一个内部 Exchange 服务器。

如果从 "工具箱" 节点打开队列查看器工具Exchange 管理控制台"最后 一 个错误"字段将显示一条类似于下面的错误消息：

451 4.4.0 主要目标 IP 地址响应为："454 4.7.0 临时身份验证失败"。 尝试故障转移到备用主机，但失败。 没有备用主机，或者传递失败到所有备用主机。

此外，您可能会在接收电子邮件的 Exchange 日志文件应用程序服务器中发现以下错误消息：

事件类型：错误事件源：MSExchangeTransport 事件类别：SmtpReceive 事件 ID： 1035 描述： 入站身份验证失败，接收连接器默认出现错误 IllegalMessage。 身份验证机制为 ExchangeAuth。 尝试向 Microsoft Exchange 进行身份验证的客户端的源 IP 地址是 [SourceIPAddress]。

原因

如果 Exchange 服务器无法向远程 Exchange 服务器进行身份验证，则会出现此问题。 Exchange 服务器要求进行身份验证，以在服务器之间路由内部用户邮件。 问题可能由以下原因之一导致：

Exchange 服务器遇到时间同步问题。

域控制器之间存在复制问题。

Exchange 服务器遇到服务主体名称 (SPN) 问题。

Kerberos 协议所需的 TCP/UDP 端口被防火墙阻止。

解决方案

若要解决此问题，请按照下列步骤操作：

检查服务器和域控制器上可能用于验证服务器的时钟。 所有时钟应彼此同步到 5 分钟内。

强制在域控制器之间复制 ，以查看是否有复制问题。

验证目标服务器上 (SPN) 服务主体名称是否正确 SMTPSVC 注册。

确保 使用 SetSPN 工具将 和 条目正确 SMTP SMTPSVC 添加到计算机帐户。 例如：

SetSPN -L

SMTP/

SMTP/ .example.com

SMTPSVC/

SMTPSVC/ .example.com

使用 SetSPN 工具检查重复的 SPN。 每个条目应只有一个条目：

SetSPN -x

处理条目 0

找到 0 组重复的 SNS。

验证是否已启用 Kerberos 所需的端口。

如果上述步骤不起作用，可以在注册事件 1035 消息的服务器上打开 Kerberos 的日志记录，这可能提供其他信息。 为此，请按照下列步骤操作：

选择 "开始"，选择 "运行"，键入 Regedit， 然后选择"确定 "。

找到注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters ：。

在"编辑" 菜单上，指向 "新建"， 然后选择 "DWORD 值"。

在详细信息窗格中，输入新值 LogLevel，然后按 Enter。

右键单击 LogLevel，然后选择 修改。

在"编辑 DWORD 值"对话框的"基本 "下，选择"十进制"。

在"值数据"框中，键入值 1， 然后选择"确定 "。

关闭注册表编辑器。

再次检查系统事件日志中是否有 Kerberos 错误。

在目标Exchange Server中，检查接收内部电子邮件的接收连接器，并确保它们启用了 Exchange 身份验证。