Ответы на DNS-запросы не проходят через брандмауэр в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 828263 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Ответы на DNS-запросы не проходят через брандмауэр компьютера под управлением Windows Server 2003.

Некоторые запросы, например запросы на записи типа A, работают должным образом. При этом запросы на записи типа MX не выполняются. К доменам, в которых может возникать данная проблема, относятся AOL.com, Qwest.net и EarthLink.net.

Отправитель сообщения электронной почты получает отчет о невозможности доставки (NDR) с сообщением об ошибке следующего вида:
Сообщение не получили следующие получатели: user@earthlink.net (дата время) Ошибка связи с сервером электронной почты получателя по протоколу SMTP. Обратитесь к системному администратору. <(Domain.com) #5.5.0 smtp;550-EarthLink не распознает ваш компьютер (xx.xx.xxx.xxx) как подключившийся через соединение EarthLink. Если это является ошибкой, обратитесь в службу поддержки.>

Причина

Данная проблема возникает, если брандмауэр блокирует передачу пакетов UDP, размер которых превышает 512 байт.

При использовании механизмов расширений для DNS (EDNS0), определенных в документе RFC 2671 «Механизмы расширений для DNS (EDNS0)», инициаторы DNS-запросов могут указывать размер пакетов UDP и передавать пакеты, размер которых превышает 512 байт. По умолчанию некоторые брандмауэры используют функции безопасности, блокирующие пакеты UDP, размер которых превышает 512 байт. В результате DNS-запросы могут не выполняться.

Эта проблема также может возникать при использовании некоторых моделей Cisco PIX Firewall с программным обеспечением, выпущенным до PIX Firewall версии 6.3(2). Брандмауэр Cisco PIX Firewall игнорирует пакеты DNS, отправленные UDP-порту 53, размер которых превышает указанный максимальный размер. По умолчанию максимальный размер пакетов UDP составляет 512 байт.

Решение

Для решения этой проблемы воспользуйтесь одним из следующих способов.

Способ 1.

Обратитесь к разработчику брандмауэра за сведениями о том, как разрешить передачу пакетов UDP размером более 512 байт через брандмауэр.

Сведения об обновлениях и решении данной проблемы см. на веб-узле Cisco Systems по следующему адресу:
http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_release_notes_list.html


Контактные данные компаний-разработчиков брандмауэров см. в одной из следующих статей базы знаний Майкрософт:
65416 Список адресов независимых поставщиков оборудования и программного обеспечения, A-K

60781 Список адресов независимых поставщиков оборудования и программного обеспечения, L – Р

60782 Список адресов независимых поставщиков оборудования и программного обеспечения, Q – Z


Контактные данные сторонних производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.

Способ 2.

Отключите функцию EDNS0 на сервере под управлением Windows Server 2003. Для этого введите в командной строке:
dnscmd имя_сервера/Config /EnableEDnsProbes 0

Временное решение

Для временного решения проблемы отключите функцию EDNS0 в Windows Server 2003, выполнив следующие действия:
  1. Установите программу Dnscmd.exe из состава средств поддержки Windows Server 2003. Чтобы установить средства поддержки Windows, щелкните правой кнопкой мыши файл Suptools.msi, расположенный в папке Support\Tools на установочном компакт-диске Windows Server 2003, и выберите команду «Установка». Чтобы завершить процедуру установки средств поддержки Windows XP, выполняйте инструкции мастера установки средств поддержки Windows.
  2. В командной строке введите dnscmd /config /enableednsprobes 0 и нажмите клавишу ВВОД.
Примечание. Будьте внимательны: после выражения «enableednsprobes» следует ввести 0 (ноль), а не букву «О».

Дополнительная информация

Исходное ограничение DNS для размера пакета UDP определено в RFC 1035, «DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION». Дополнительные сведения о RFC 1035 см. на веб-узле Internet Engineering Task Force (IETF) по следующему адресу:
http://www.ietf.org/rfc/rfc1035.txt
Дополнительные сведения о RFC 2671 и EDNS0 см. на веб-узле Internet Engineering Task Force (IETF) по следующему адресу:
http://www.ietf.org/rfc/rfc2671.txt
Дополнительные сведения о поддержке EDNS0 в Windows Server 2003 см. на веб-узле Майкрософт по следующему адресу:
http://technet2.microsoft.com/windowsserver/en/library/d86401b2-8bc8-4364-83b4-edb71a7107041033.mspx
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств относительно корректной работы или надежности этих продуктов.

Свойства

Код статьи: 828263 - Последний отзыв: 7 апреля 2006 г. - Revision: 10.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Ключевые слова: 
kbprb KB828263

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com