我们在站点 A (exch07) 中有一个现有的 Exchange 2007 服务器。我在站点 B (exch10) 中安装了 Exchange 2010 服务器。两台服务器都具有 CAS、邮箱和集线器角色。
通过 exch10 上的 SMTP 发送并发往 exch07 上的邮箱的邮件将排队,队列查看器中报告的“上次错误”为“451 4.4.0 主要目标 IP 地址响应:“451 5.7.3 无法实现 Exchange Server 身份验证。”尝试故障转移到备用主机,但未成功。要么没有备用主机,要么无法向所有备用主机传递信息。”
我发现有些人通过创建新的接收连接器(专门用于远程集线器的连接)解决了这个问题,但我没有成功。具体来说,我在两台服务器上都创建了新的接收连接器,设置如下:
- 远程 IP = 远程服务器的 IP/s
- 身份验证 = “传输层安全性 (TLS)”和“Exchange Server 身份验证”
- 权限组 = “Exchange 服务器”和“旧版 Exchange 服务器”
这没有什么区别,我看到的是相同的错误消息。
我错过了什么?
更新:我们注意到应用程序日志中有来自 MSExchangeTransportService 的以下错误消息:Microsoft Exchange 在本地计算机的个人存储中找不到包含域名 exch07.domain.local 的证书。因此,它无法支持连接器 exch10 的 STARTTLS SMTP 动词,其 FQDN 参数为 exch07.domain.local。如果未指定连接器的 FQDN,则使用计算机的 FQDN。验证连接器配置和已安装的证书,以确保存在具有该 FQDN 域名的证书。如果此证书存在,请运行 Enable-ExchangeCertificate -Services SMTP,以确保 Microsoft Exchange 传输服务可以访问证书密钥。
事实证明,出于某种原因,SMTP 服务不再启用默认自签名证书。在为 SMTP 启用自签名证书后,我们不再在事件日志中收到错误,但传递仍然失败并显示相同的错误消息。
更新 2:我在 exch10 上放了一个邮箱,并尝试通过 exch07 上的 SMTP 传递消息,但出现了同样的错误。
答案1
终于找到原因了。我们的 Cisco ASA 防火墙就是罪魁祸首。
如果您恰好在多站点环境中部署 Exchange 2007/Exchange 2010 Server 并使用 Cisco ASA 防火墙作为 VPN 隧道,则可能会遇到以下问题:
用户只能在同一个 Active Directory 站点内发送电子邮件
当用户尝试将电子邮件发送到下一跳/Active Directory 站点时,在 Exchange 队列下,您会看到重试状态:451 4.4.0 主要目标 IP 地址响应“451 5.7.3 无法实现 Exchange Server 身份验证”SMTPRelay 到远程 AD 站点
当您尝试从两个站点的 Exchange 服务器进行 telnet 时,您将收到来自 telnet 命令的此类响应:220*************
解决此问题的唯一方法是使用命令行界面 (CLI) 并输入此命令:
telnet YourCiscoManagementIP device password (default is usually cisco) en password (Management password) no fixup protocol smtp 25 write mem记得在每个站点的所有防火墙上运行这些命令。完成后,使用端口 25 远程登录到 Exchange 服务器,您应该会得到正常响应:
220 ExchangeServerHostName.Domain.com Microsoft ESMTP MAIL Service ready at Day, Date Month Year, Hour:Minute:Seconds +TimeZone
当我们在 ASA 上执行此操作后,邮件就开始顺畅流动。
答案2
您需要在命令conf t前包含no fixup protocol smtp 25;就像fixup配置命令一样。