Windows 기반 DNS 서버를 배포한 후 일부 DNS 이름 쿼리가 실패합니다.

이 문서에서는 Windows 기반 DNS 서버를 배포한 후 일부 도메인에 대한 DNS 쿼리가 성공적으로 해결되지 않을 수 있는 문제를 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 832223

증상

Windows 기반 DNS 서버를 배포한 후 일부 도메인에 대한 DNS 쿼리가 성공적으로 확인되지 않을 수 있습니다.

원인

이 문제는 Windows Server DNS에서 지원되는 EDNS0(DNS용 확장 메커니즘) 기능 때문에 발생합니다.

EDNS0을 사용하면 더 큰 UDP(사용자 데이터그램 프로토콜) 패킷 크기를 허용합니다. 그러나 일부 방화벽 프로그램에서는 512바이트보다 큰 UDP 패킷을 허용하지 않을 수 있습니다. 따라서 이러한 DNS 패킷은 방화벽에 의해 차단될 수 있습니다.

해결 방법

이 문제를 resolve 512바이트보다 큰 UDP 패킷을 인식하고 허용하도록 방화벽 프로그램을 업데이트합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 방화벽 프로그램 제조업체에 문의하세요.

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.

해결 방법

이 문제를 해결하려면 Windows 기반 DNS 서버에서 EDNS0 기능을 끕니다. 이렇게 하려면 다음 작업을 수행합니다.

명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.

dnscmd /config /enableednsprobes 0

다음 정보가 나타납니다.

Registry 속성 enableednsprobes가 성공적으로 재설정되었습니다.
명령이 성공적으로 완료되었습니다.

추가 정보

일부 방화벽에는 DNS 패킷의 특정 매개 변수를 검사 기능이 포함되어 있습니다. 이러한 방화벽 기능은 DNS 응답이 512바이트보다 작은지 확인할 수 있습니다. 실패한 DNS 조회에 대한 네트워크 트래픽을 캡처하는 경우 DNS가 EDNS0을 요청하는 것을 알 수 있습니다. 다음과 유사한 프레임은 회신을 받지 않습니다.

추가 레코드
<루트>: 형식 OPT, 클래스 알 수 없음
이름: <루트>
형식: EDNS0 옵션
UDP 페이로드 크기: 1280

이 시나리오에서 방화벽은 모든 EDNS0 확장 UDP 프레임을 삭제할 수 있습니다.