Respostas de consulta DNS não passam por um firewall no Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 828263 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Um computador com o Microsoft Windows Server 2003 pode não receber respostas de consulta DNS por meio de um firewall.

Algumas consultas, como consultas de registros A, funcionam como esperado. Consultas de registros MX podem falhar. Os domínios com esse problema incluem AOL.com, Qwest.net e EarthLink.net.

O remetente de um email pode receber um NDR (Notificação de falha na entrega) com a mensagem de erro semelhante à seguinte:
Não foi possível encontrar os seguintes destinatários: user@earthlink.net on (Data Hora). Problema de comunicação SMTP com o servidor de email do destinatário. Contate o administrador de sistema. <(Domínio.com) #5.5.0 smtp;550-EarthLink não reconhece que seu computador (xx.xx.xxx.xxx) está se conectando a partir de uma conexão EarthLink. Se isso estiver no erro, entre em contato com o suporte técnico.>

Causa

Este problema pode ocorrer caso um firewall bloqueie a transferência de pacotes UDP maiores que 512 bytes.

Com Extension Mechanisms for DNS (EDNS0) conforme definido no RFC 2671, "Extension Mechanisms for DNS (EDNS0)," solicitadores de DNS podem anunciar o tamanho do pacote UDP e transferir pacotes maiores que 512 bytes. Por padrão, alguns firewalls possuem recursos de segurança ativados que bloqueiam pacotes UDP maiores que 512 bytes. Dessa forma, as consultas DNS podem falhar.

Este problema também pode ocorrer em alguns modelos do Cisco PIX Firewall com software mais antigo que o PIX Firewall versão 6.3(2). O Cisco PIX Firewall ignora pacotes DNS enviados para a porta UDP (User Datagram Protocol) 53 maiores que o tamanho máximo configurado. Por padrão, o tamanho máximo para pacotes UDP é de 512 bytes.

Resolução

Para resolver esse problema, use qualquer um dos seguintes métodos.

Método 1

Entre em contato com o fornecedor do firewall para determinar como permitir pacotes UDP maiores que 512 bytes por meio do firewall.

Para obter instruções de atualização e informações sobre como resolver esse problema, visite o seguinte site da Cisco Systems (em inglês):
http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_release_notes_list.html


Para obter informações adicionais sobre como entrar em contato com um fornecedor de firewall específico, clique no número apropriado na seguinte lista para ler o artigo na Base de Dados de Conhecimento da Microsoft:
65416 Lista de informações para contato com fornecedores de hardware e software de terceiros, de A a K

60781 Informações para contato com fornecedores de hardware e software de L a P

60782 Informações para contato com fornecedores de hardware e software de Q a Z


A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar o suporte técnico. Essas informações podem ser alteradas sem notificação prévia. A Microsoft não garante a precisão dessas informações.

Método 2

Desative a funcionalidade EDNS0 no servidor com Windows Server 2003. Para fazer isso, no prompt de comando, digite:
dnscmd Nome_do_servidor/Config /EnableEDnsProbes 0

Como Contornar

Para contornar esse problema, desative o recurso EDNS0 no Windows Server 2003. Para fazer isso, execute as seguintes etapas:
  1. Instale o programa Dnscmd.exe a partir das Ferramentas de suporte do Windows Server 2003. Para instalar as Ferramentas de suporte do Windows, clique com o botão direito do mouse em Suptools.msi na pasta Support\Tools no CD-ROM do Windows Server 2003 e clique em Instalar. Execute as etapas do Assistente de instalação das Ferramentas de suporte do Windows para concluir a instalação das Ferramentas de suporte do Windows.
  2. Em um prompt de comando, digite dnscmd /config /enableednsprobes 0 e pressione ENTER.
Observação Digite um 0 (zero) e não uma letra "O" após "enableednsprobes" nesse comando.

Mais Informações

A restrição de DNS original para o tamanho do pacote UDP é definida na RFC 1035, "DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION". Para obter informações adicionais sobre o RFC 1035, visite o seguinte site da IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc1035.txt
Para obter informações adicionais sobre a RFC 2671 e o EDNS0, visite o seguinte site da IETF (Internet Engineering Task Force) (em inglês):
http://www.ietf.org/rfc/rfc2671.txt
Para obter informações adicionais sobre o suporte de EDNS0 no Windows Server 2003, visite o seguinte site da Microsoft (em inglês):
http://technet2.microsoft.com/windowsserver/en/library/d86401b2-8bc8-4364-83b4-edb71a7107041033.mspx
Os produtos de terceiros mencionados nesse artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.

Propriedades

ID do artigo: 828263 - Última revisão: sexta-feira, 7 de abril de 2006 - Revisão: 10.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Palavras-chave: 
kbprb KB828263

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com