У нас есть существующий сервер Exchange 2007 на сайте A (exch07). Я установил сервер Exchange 2010 на сайте B (exch10). Оба сервера имеют роли CAS, Mailbox и Hub.
Сообщения, отправленные через SMTP на exch10, которые предназначены для почтовых ящиков на exch07, помещаются в очередь с сообщением «Последняя ошибка» в средстве просмотра очереди как '451 4.4.0 Основной целевой IP-адрес ответил: «451 5.7.3 Не удается выполнить аутентификацию сервера Exchange». Попытка переключения на альтернативный хост, но безуспешно. Либо альтернативных хостов нет, либо доставка не удалась на все альтернативные хосты ».
Я обнаружил, что некоторые люди решили эту проблему, создав новые коннекторы получения, которые предназначены специально для применения к соединениям с удаленных концентраторов, но мне это не удалось. В частности, я создал новые соединители приема на обоих серверах со следующими настройками:
Это не имело значения, я вижу то же сообщение об ошибке.
Что мне не хватает?
Обновить: Мы заметили, что в журнале приложений было это сообщение об ошибке от службы MSExchangeTransportService: Microsoft Exchange не удалось найти сертификат, содержащий доменное имя exch07.domain.local в личном хранилище на локальном компьютере. Следовательно, он не может поддерживать команду STARTTLS SMTP для соединителя exch10 с параметром FQDN exch07.domain.local. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленные сертификаты, чтобы убедиться, что существует сертификат с доменным именем для этого FQDN. Если этот сертификат существует, запустите Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что транспортная служба Microsoft Exchange имеет доступ к ключу сертификата.
Оказывается, самозаверяющий сертификат по умолчанию по какой-то причине больше не был включен для службы SMTP. После включения самозаверяющего сертификата для SMTP мы больше не получаем ошибку в журналах событий, но доставка по-прежнему не выполняется с тем же сообщением об ошибке.
Обновление 2: Я поставил почтовый ящик на exch10 и попытался доставить сообщение через SMTP на exch07, и у меня такая же ошибка.
Наконец-то выяснили причину. Виноват наш межсетевой экран Cisco ASA.
Если вы развертываете Exchange 2007 / Exchange 2010 Server в среде с несколькими сайтами и используете брандмауэр Cisco ASA в качестве VPN-туннеля, вы, вероятно, столкнетесь с проблемами ниже:
Пользователи могут отправлять электронные письма только на одном сайте Active Directory.
Когда пользователи пытаются отправить электронное письмо на следующий узел / сайт Active Directory, в очереди Exchange вы увидите статус повторной попытки: 451 4.4.0 Основной целевой IP-адрес ответил с сообщением «451 5.7.3 Не удается выполнить проверку подлинности сервера Exchange. ”SMTPRelay на удаленный сайт AD
Когда вы попытаетесь подключиться по telnet к серверам Exchange с обоих сайтов, вы получите такой ответ от команды telnet: 220 *************
Единственный способ исправить это - использовать интерфейс командной строки (CLI) и ввести следующую команду:
telnet YourCiscoManagementIP device password (default is usually cisco) en password (Management password) no fixup protocol smtp 25 write memНе забудьте запустить эту команду на всех брандмауэрах на каждом сайте. Как только это будет сделано, подключитесь к серверу Exchange с портом 25, и вы должны получить нормальный ответ:
220 ExchangeServerHostName.Domain.com Microsoft ESMTP MAIL Service ready at Day, Date Month Year, Hour:Minute:Seconds +TimeZone
Как только мы сделали это на ASA, почта стала отправляться без проблем.
вам нужно включить conf t перед no fixup protocol smtp 25 команда; так как fixup это команда конфигурации.