none
451 4.4.0 Primary target IP address responded with: "451 5.7.3 cannot achieve Exchange Server authentication" RRS feed

  • Вопрос

  • Приветствую!

    Есть лес contoso.com с поддоменами sub1.contoso.com и sub2.contoso.com. Рутовый в своем сайте, поддомены в своих сайтах.

    В contoso.com установлен ex1 Exchange 2010 sp2 (с ним все ок)

    В sub1.contoso.com установлен ex2 Exchange 2007 sp3 (с ним все ок) и ex3 Exchange 2010 sp2 (с ним траблы).

    Идея в том, чтобы смигрировать пользователей с ex2 на ex3. Для этого на ex3 настраиваем коннекторы отправки и в качестве смартхоста указываем ex2 (т.е. нужно чтобы ex3 пересылал всю почту через ex2 который смотрит в интернет и наоборот). Это необходимо только на время миграции пользователей.

    Проблема в том, что когда пытаемся отправить почту от пользователя находящегося на ex3 пользователю находящемуся на ex2 

    в очереди сообщений видим - 451 4.4.0 Primary target IP address responded with: "451 5.7.3 cannot achieve Exchange Server authentication" причем если некоторое количество раз сделать повтор попытки ошибка меняется - 451 4.4.0 Primary target IP address responded with: "454 4.7.0 Temporary authentication failure"

    Файрвол меж ними не мешает. Цисок нет.

    Такая же проблема если отправлять письмо от ex3 в ex1.

    Если отсылать письма с ex1 и ex2 на ex3 то те же ошибки. 

    receive connector на ex3 и ex2

    send connector на ex3


    Сертификаты не самоподписанные

    Буду признателен за советы!

    18 марта 2013 г. 14:25

Ответы

  • Сорри, случайно нажал не на ту кнопку на вашем сообщении =)

    Более всего меня печалит, что других ошибок просто нет. Все сервера пишут одно и то же  454 4.7.0 Temporary authentication failure.

    Нашел статью 

    1. Время в пределах нормы.

    C:\Users\Administrator.contoso.com>w32tm /query /peers
    #Peers: 1

    Peer: dc2.sub1.contoso.com
    State: Active
    Time Remaining: 344.1428647s
    Mode: 3 (Client)
    Stratum: 4 (secondary reference - syncd by (S)NTP)
    PeerPoll Interval: 10 (1024s)
    HostPoll Interval: 10 (1024s)

    C:\Users\Administrator.contoso.com>w32tm /monitor
    dc2.sub1.contoso.com *** PDC ***[192.168.1.10:123]:
        ICMP: 0ms delay
    NTP: +0.0000000s offset from dc2.sub1.contoso.com
            RefID: dc1.contoso.com [192.168.100.1]
            Stratum: 4
    dc3.sub1.contoso.com[192.168.1.100:123]:
        ICMP: 0ms delay
    NTP: -0.1198289s offset from dc2.sub1.contoso.com
            RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]
            Stratum: 2

    Warning:
    Reverse name resolution is best effort. It may not be
    correct since RefID field in time packets differs across
    NTP implementations and may not be using IP addresses.

    2. Проверил дубликаты SetSPN -x и обнаружил 1. Уже поправил через ADSI EDIT и дубликат ушел. Ситуация правда не поменялась. 

    3. Порты доступны, ничего не блокируется.

    4. Хочу попробовать запустить логирование Kerberos на сервере.

    19 марта 2013 г. 9:13
  • Good news everyone!

    Пока писал ответ, оказалось, что удаление дубликата spn все же помогло, почта начала ходить между ex2 и ex3 в обе стороны и в интернет (и даже из интернета на ex3). т.е. все так как и должно быть.

    Осталась только одна проблема, почта с ex3 все ещё НЕ уходит на ex1 (который в другом домене и сайте). Ошибка в логах все та же. 

    PS Если кому то интересно продолжение истории, её можно почитать тут
    19 марта 2013 г. 9:33

Все ответы

  • Ещё забыл, в евентах на ex2 периодически видны ошибки аля

    Подобная ошибка была тут 

    однако её решение для меня не понятно.

    • Изменено AlexunderG 18 марта 2013 г. 14:46
    18 марта 2013 г. 14:42
  • Приветствую!

    Есть лес contoso.com с поддоменами sub1.contoso.com и sub2.contoso.com. Рутовый в своем сайте, поддомены в своих сайтах.

    В contoso.com установлен ex1 Exchange 2010 sp2 (с ним все ок)

    В sub1.contoso.com установлен ex2 Exchange 2007 sp3 (с ним все ок) и ex3 Exchange 2010 sp2 (с ним траблы).

    Идея в том, чтобы смигрировать пользователей с ex2 на ex3. Для этого на ex3 настраиваем коннекторы отправки и в качестве смартхоста указываем ex2 (т.е. нужно чтобы ex3 пересылал всю почту через ex2 который смотрит в интернет и наоборот). Это необходимо только на время миграции пользователей.

    Это делать не нужно. Внутри организации Exchange 2007/2010 почта для отправки наружу пересылается на сервер(ы), которые имеют коннекторы отправки в интернет (адресное пространство SMTP=*), настраивать для этого ничего не надо (Exchange сам создает топологию пересылки в соответствии с топологией AD).

    Слава России!

    18 марта 2013 г. 20:02
  • Разве это справедливо не только для внутренней пересылки (для пересылки в интернет тоже)?

    Как считаете в чем проблема в моем случае?

    19 марта 2013 г. 5:28
  • Включил логирование для внутреннего коннектора.

    Set-TransportServer “IDENTITY” -IntraOrgConnectorProtocolLoggingLevel “Verbose”

    В логах появилась запись 

    2013-03-19T07:31:57.176Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,3,192.168.1.3:31073,192.168.1.1:25,>,EHLO EX3.CONTOSO.COM,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,4,192.168.1.3:31073,192.168.1.1:25,<,250-EX1.CONTOSO.COM Hello [192.168.1.3],
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,5,192.168.1.3:31073,192.168.1.1:25,<,250-SIZE,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,6,192.168.1.3:31073,192.168.1.1:25,<,250-PIPELINING,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,7,192.168.1.3:31073,192.168.1.1:25,<,250-DSN,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,8,192.168.1.3:31073,192.168.1.1:25,<,250-ENHANCEDSTATUSCODES,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,9,192.168.1.3:31073,192.168.1.1:25,<,250-STARTTLS,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,10,192.168.1.3:31073,192.168.1.1:25,<,250-X-ANONYMOUSTLS,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,11,192.168.1.3:31073,192.168.1.1:25,<,250-AUTH NTLM LOGIN,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,12,192.168.1.3:31073,192.168.1.1:25,<,250-X-EXPS GSSAPI NTLM,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,13,192.168.1.3:31073,192.168.1.1:25,<,250-8BITMIME,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,14,192.168.1.3:31073,192.168.1.1:25,<,250-BINARYMIME,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,15,192.168.1.3:31073,192.168.1.1:25,<,250-CHUNKING,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,16,192.168.1.3:31073,192.168.1.1:25,<,250-XEXCH50,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,17,192.168.1.3:31073,192.168.1.1:25,<,250-XRDST,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,18,192.168.1.3:31073,192.168.1.1:25,<,250 XSHADOW,
    2013-03-19T07:31:57.332Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,19,192.168.1.3:31073,192.168.1.1:25,>,X-ANONYMOUSTLS,
    2013-03-19T07:31:57.473Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,20,192.168.1.3:31073,192.168.1.1:25,<,220 2.0.0 SMTP server ready,
    2013-03-19T07:31:57.989Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,21,192.168.1.3:31073,192.168.1.1:25,*,,Received certificate
    2013-03-19T07:31:57.989Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,22,192.168.1.3:31073,192.168.1.1:25,*,699BCFE4696E9A93870A94EA88871E9859D671C2,Certificate thumbprint
    2013-03-19T07:31:57.989Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,23,192.168.1.3:31073,192.168.1.1:25,>,EHLO EX3.CONTOSO.COM,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,24,192.168.1.3:31073,192.168.1.1:25,<,250-EX1.CONTOSO.COM Hello [192.168.1.3],
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,25,192.168.1.3:31073,192.168.1.1:25,<,250-SIZE,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,26,192.168.1.3:31073,192.168.1.1:25,<,250-PIPELINING,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,27,192.168.1.3:31073,192.168.1.1:25,<,250-DSN,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,28,192.168.1.3:31073,192.168.1.1:25,<,250-ENHANCEDSTATUSCODES,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,29,192.168.1.3:31073,192.168.1.1:25,<,250-AUTH NTLM LOGIN,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,30,192.168.1.3:31073,192.168.1.1:25,<,250-X-EXPS EXCHANGEAUTH GSSAPI NTLM,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,31,192.168.1.3:31073,192.168.1.1:25,<,250-X-EXCHANGEAUTH SHA256,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,32,192.168.1.3:31073,192.168.1.1:25,<,250-8BITMIME,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,33,192.168.1.3:31073,192.168.1.1:25,<,250-BINARYMIME,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,34,192.168.1.3:31073,192.168.1.1:25,<,250-CHUNKING,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,35,192.168.1.3:31073,192.168.1.1:25,<,250-XEXCH50,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,36,192.168.1.3:31073,192.168.1.1:25,<,250-XRDST,
    2013-03-19T07:31:58.129Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,37,192.168.1.3:31073,192.168.1.1:25,<,250 XSHADOW,
    2013-03-19T07:31:58.145Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,38,192.168.1.3:31073,192.168.1.1:25,>,X-EXPS EXCHANGEAUTH SHA256 ,
    2013-03-19T07:31:58.145Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,39,192.168.1.3:31073,192.168.1.1:25,>,<Binary Data>,
    2013-03-19T07:32:03.286Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,40,192.168.1.3:31073,192.168.1.1:25,<,454 4.7.0 Temporary authentication failure,
    2013-03-19T07:32:03.286Z,Intra-Organization SMTP Send Connector,08CFF1FEDCDFD92B,41,192.168.1.3:31073,192.168.1.1:25,>,QUIT,

    И все...

    19 марта 2013 г. 7:45
  • Вы убрали созданный лишний send коннектор?
    19 марта 2013 г. 8:29
    Отвечающий
  • Сделал его disable
    19 марта 2013 г. 8:32
  • В логах ex2 и ex3 другие ошибки есть?

    Время на серверах совпадает?

    • Помечено в качестве ответа AlexunderG 19 марта 2013 г. 8:55
    • Снята пометка об ответе AlexunderG 19 марта 2013 г. 8:55
    19 марта 2013 г. 8:53
    Отвечающий
  • Сорри, случайно нажал не на ту кнопку на вашем сообщении =)

    Более всего меня печалит, что других ошибок просто нет. Все сервера пишут одно и то же  454 4.7.0 Temporary authentication failure.

    Нашел статью 

    1. Время в пределах нормы.

    C:\Users\Administrator.contoso.com>w32tm /query /peers
    #Peers: 1

    Peer: dc2.sub1.contoso.com
    State: Active
    Time Remaining: 344.1428647s
    Mode: 3 (Client)
    Stratum: 4 (secondary reference - syncd by (S)NTP)
    PeerPoll Interval: 10 (1024s)
    HostPoll Interval: 10 (1024s)

    C:\Users\Administrator.contoso.com>w32tm /monitor
    dc2.sub1.contoso.com *** PDC ***[192.168.1.10:123]:
        ICMP: 0ms delay
    NTP: +0.0000000s offset from dc2.sub1.contoso.com
            RefID: dc1.contoso.com [192.168.100.1]
            Stratum: 4
    dc3.sub1.contoso.com[192.168.1.100:123]:
        ICMP: 0ms delay
    NTP: -0.1198289s offset from dc2.sub1.contoso.com
            RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]
            Stratum: 2

    Warning:
    Reverse name resolution is best effort. It may not be
    correct since RefID field in time packets differs across
    NTP implementations and may not be using IP addresses.

    2. Проверил дубликаты SetSPN -x и обнаружил 1. Уже поправил через ADSI EDIT и дубликат ушел. Ситуация правда не поменялась. 

    3. Порты доступны, ничего не блокируется.

    4. Хочу попробовать запустить логирование Kerberos на сервере.

    19 марта 2013 г. 9:13
  • На receive коннекторах попробуйте восстановить дефолтные настройки аутентификации и разрешений.

    19 марта 2013 г. 9:21
    Отвечающий
  • Good news everyone!

    Пока писал ответ, оказалось, что удаление дубликата spn все же помогло, почта начала ходить между ex2 и ex3 в обе стороны и в интернет (и даже из интернета на ex3). т.е. все так как и должно быть.

    Осталась только одна проблема, почта с ex3 все ещё НЕ уходит на ex1 (который в другом домене и сайте). Ошибка в логах все та же. 

    PS Если кому то интересно продолжение истории, её можно почитать тут
    19 марта 2013 г. 9:33