Exchange 2010 集線器無法傳遞到 Exchange 2007 集線器 - “451 5.7.3 無法實現 Exchange Server 身份驗證”
我們在站點 A (exch07) 中有一個現有的 Exchange 2007 伺服器。我在站點 B (exch10) 中安裝了 Exchange 2010 伺服器。兩台伺服器都具有 CAS、郵箱和集線器角色。
通過 exch10 上的 SMTP 發送的發往 exch07 郵箱的郵件在隊列查看器中報告為“最後一個錯誤”作為***“451 4.4.0 主要目標 IP 地址響應:“451 5.7.3 無法實現 Exchange Server 身份驗證。” 嘗試故障轉移到備用主機,但沒有成功。要麼沒有備用主機,要麼向所有備用主機傳送失敗。***
我發現有些人通過創建新的接收連接器解決了這個問題,這些接收連接器的範圍專門適用於來自遠端集線器的連接,但我沒有運氣這樣做。具體來說,我使用以下設置在兩台伺服器上創建了新的接收連接器:
- 遠端 IP = 遠端伺服器的 IP/s
- 身份驗證 =“傳輸層安全性 (TLS)”和“Exchange Server 身份驗證”
- 權限組 =“Exchange 伺服器”和“舊版 Exchange 伺服器”
這沒有什麼區別,我看到了同樣的錯誤資訊。
我錯過了什麼?
**更新:**我們注意到應用程序日誌中有來自 MSExchangeTransportService 的錯誤消息:Microsoft Exchange 在本地電腦的個人儲存中找不到包含域名 exch07.domain.local 的證書。因此,它無法支持 FQDN 參數為 exch07.domain.local 的連接器 exch10 的 STARTTLS SMTP 動詞。如果未指定連接器的 FQDN,則使用電腦的 FQDN。驗證連接器配置和已安裝的證書,以確保存在具有該 FQDN 域名的證書。如果此證書存在,請執行 Enable-ExchangeCertificate -Services SMTP 以確保 Microsoft Exchange 傳輸服務有權訪問證書密鑰。
事實證明,由於某種原因,不再為 SMTP 服務啟用預設的自簽名證書。為 SMTP 啟用自簽名證書後,我們不再在事件日誌中收到錯誤消息,但傳遞仍然失敗並顯示相同的錯誤消息。
**更新 2:**我在 exch10 上放置了一個郵箱,並嘗試在 exch07 上通過 SMTP 傳遞消息,但我得到了同樣的錯誤。
終於查明原因了。我們的 Cisco ASA 防火牆是罪魁禍首。
如果您碰巧在多站點環境中部署 Exchange 2007/Exchange 2010 Server 並使用 Cisco ASA 防火牆作為 VPN 隧道,您可能會遇到以下問題:
- 使用者只能在同一個 Active Directory 站點內發送電子郵件
- 當使用者嘗試將電子郵件發送到下一個躍點/Active Directory 站點時,在 Exchange 隊列下,您將看到重試狀態:451 4.4.0 主要目標 IP 地址響應“451 5.7.3 無法實現 Exchange Server 身份驗證” ” SMTPRelay 到遠端 AD 站點
- 當您嘗試從兩個站點的 Exchange 伺服器遠端登錄時,您將從 telnet 命令獲得這樣的響應:220*************
解決此問題的唯一方法是使用命令行界面 (CLI) 並輸入以下命令:
telnet YourCiscoManagementIP device password (default is usually cisco) en password (Management password) no fixup protocol smtp 25 write mem請記住在每個站點的所有防火牆上執行這些命令。完成後,使用埠 25 遠端登錄到 Exchange 伺服器,您應該會得到正常響應:
220 ExchangeServerHostName.Domain.com Microsoft ESMTP MAIL Service ready at Day, Date Month Year, Hour:Minute:Seconds +TimeZone一旦我們在 ASA 上執行此操作,郵件就開始順暢地流動。