Bei der Migration oder beim Betrieb von mehreren Exchange Servern in einer Organisation kann es zu Problemen beim E-Mail Versand und Empfang zwischen den Exchange Servern kommen. Ein Leser hatte den Fall, dass Benutzer von einem Exchange Server nicht mehr an Benutzer auf dem anderen Exchange Server mailen konnten. Die E-Mails blieben in der Warteschlange mit dem folgenden Fehler hängen:
EventId : SUBMITDEFER
Source : STOREDRIVER
EventData : {, [DiagnosticInfo, Error: RetrySmtp, Diagnostic Information:
Stage:UpdateMsgIdToPoisonContextMapping, SmtpResponse:451 4.4.395 Target host responded with error. -> 451
5.7.3 Cannot achieve Exchange Server authentication, details:FailedRecipientCount:0;
RetryRecipientCount:0], [DeliveryPriority, Normal]}
In diesem Fall ist der wichtige Teil der Fehlermeldung der folgende:
451 4.4.395 Target host responded with error. -> 451 5.7.3 Cannot achieve Exchange Server authentication
Konkret bedeutet dies, dass der Ziel Exchange Server die Mails mit Authentication Fehler ablehnt. Die Ursache für diesen Fehler sind meistens falsche Berechtigungen oder falsche Bereichsdefinitionen auf den Empfangsconnectoren.
Die Mails von Exchange Server zu Exchange Server werden mittels des Empfangsconnector „Default Frontend SERVERNAME“ empfangen. Auf diesem Empfangsconnector sollten die Sicherheitsmechnismen „Exchange-Serverauthentifizierung“ und die Berechtigungsgrupopen „Exchange-Server“ sowie „Legacy-Exchange-Server“ aktiviert sein. Hier mal ein Screenshot der Standardberechtigungen:
Unter der folgenden Seite sind alle Standardberechtigungen der Empfangsconnectoren aufgelistet:
Wenn die Berechtigungen auf dem Empfangsconnector in Ordnung sind, dann sind häufig andere Empfangsconnectoren mit einer falschen Bereichsdefinition Schuld. Gibt es beispielsweise weitere Empfangsconnectoren, beispielsweise für das Relay, dann dürfen auf diesem Connector nicht die IP-Adressen der Exchange Server als Bereich angegeben sein.
In diesem Screenshot sind zwei IPs als Bereich angegeben:
Wenn es sich bei einer dieser IPs um einen Exchange Server handelt, wird dieser Connector genutzt. In diesem Fall kommt es aufgrund der Falschen Sicherheitseinstellungen zu dem oben genannten Authentication Fehler:
Die Lösung ist hier also die IPs des Exchange Servers aus dem Bereich zu entfernen, damit wieder der „Default Frondend“ Connector benutzt wird.