Você está offline; aguardando reconexão

Respostas de consulta DNS não passam por um firewall no Windows Server 2003

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

Sintomas
Um computador com o Microsoft Windows Server 2003 pode não receber respostas de consulta DNS por meio de um firewall.

Algumas consultas, como consultas de registros A, funcionam como esperado. Consultas de registros MX podem falhar. Os domínios com esse problema incluem AOL.com, Qwest.net e EarthLink.net.

O remetente de um email pode receber um NDR (Notificação de falha na entrega) com a mensagem de erro semelhante à seguinte:
Não foi possível encontrar os seguintes destinatários: user@earthlink.net on (Data Hora). Problema de comunicação SMTP com o servidor de email do destinatário. Contate o administrador de sistema. <(Domínio.com) #5.5.0 smtp;550-EarthLink não reconhece que seu computador (xx.xx.xxx.xxx) está se conectando a partir de uma conexão EarthLink. Se isso estiver no erro, entre em contato com o suporte técnico.>
Causa
Este problema pode ocorrer caso um firewall bloqueie a transferência de pacotes UDP maiores que 512 bytes.

Com Extension Mechanisms for DNS (EDNS0) conforme definido no RFC 2671, "Extension Mechanisms for DNS (EDNS0)," solicitadores de DNS podem anunciar o tamanho do pacote UDP e transferir pacotes maiores que 512 bytes. Por padrão, alguns firewalls possuem recursos de segurança ativados que bloqueiam pacotes UDP maiores que 512 bytes. Dessa forma, as consultas DNS podem falhar.

Este problema também pode ocorrer em alguns modelos do Cisco PIX Firewall com software mais antigo que o PIX Firewall versão 6.3(2). O Cisco PIX Firewall ignora pacotes DNS enviados para a porta UDP (User Datagram Protocol) 53 maiores que o tamanho máximo configurado. Por padrão, o tamanho máximo para pacotes UDP é de 512 bytes.
Resolução
Para resolver esse problema, use qualquer um dos seguintes métodos.

Método 1

Entre em contato com o fornecedor do firewall para determinar como permitir pacotes UDP maiores que 512 bytes por meio do firewall.

Para obter instruções de atualização e informações sobre como resolver esse problema, visite o seguinte site da Cisco Systems (em inglês):

Para obter informações adicionais sobre como entrar em contato com um fornecedor de firewall específico, clique no número apropriado na seguinte lista para ler o artigo na Base de Dados de Conhecimento da Microsoft:
65416 Lista de informações para contato com fornecedores de hardware e software de terceiros, de A a K

60781 Informações para contato com fornecedores de hardware e software de L a P

60782 Informações para contato com fornecedores de hardware e software de Q a Z


A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar o suporte técnico. Essas informações podem ser alteradas sem notificação prévia. A Microsoft não garante a precisão dessas informações.

Método 2

Desative a funcionalidade EDNS0 no servidor com Windows Server 2003. Para fazer isso, no prompt de comando, digite:
dnscmd Nome_do_servidor/Config /EnableEDnsProbes 0
Como Contornar
Para contornar esse problema, desative o recurso EDNS0 no Windows Server 2003. Para fazer isso, execute as seguintes etapas:
  1. Instale o programa Dnscmd.exe a partir das Ferramentas de suporte do Windows Server 2003. Para instalar as Ferramentas de suporte do Windows, clique com o botão direito do mouse em Suptools.msi na pasta Support\Tools no CD-ROM do Windows Server 2003 e clique em Instalar. Execute as etapas do Assistente de instalação das Ferramentas de suporte do Windows para concluir a instalação das Ferramentas de suporte do Windows.
  2. Em um prompt de comando, digite dnscmd /config /enableednsprobes 0 e pressione ENTER.
Observação Digite um 0 (zero) e não uma letra "O" após "enableednsprobes" nesse comando.
Mais Informações
A restrição de DNS original para o tamanho do pacote UDP é definida na RFC 1035, "DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION". Para obter informações adicionais sobre o RFC 1035, visite o seguinte site da IETF (Internet Engineering Task Force): Para obter informações adicionais sobre a RFC 2671 e o EDNS0, visite o seguinte site da IETF (Internet Engineering Task Force) (em inglês):Para obter informações adicionais sobre o suporte de EDNS0 no Windows Server 2003, visite o seguinte site da Microsoft (em inglês): Os produtos de terceiros mencionados nesse artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.
dns query queries response firewall udp 512 packet edns0 large smtp smtpsvc exchange 2003 exchange server 2003 exchange 2000 server cannot send mail to earthlink cannot send mail to aol cannot send mail to qwest cannot send email cannot send e-mail 550 5.7.1 relaying denied 550 5.7.1 unable to relay for Exchange 2003 NDR 550 EarthLink Non Delivery EarthLink
Propriedades

ID do Artigo: 828263 - Última Revisão: 04/07/2006 14:25:03 - Revisão: 10.3

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • kbprb KB828263
Comentários