В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Ответы на DNS-запросы не проходят через брандмауэр в Windows Server 2003

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Проблема
Ответы на DNS-запросы не проходят через брандмауэр компьютера под управлением Windows Server 2003.

Некоторые запросы, например запросы на записи типа A, работают должным образом. При этом запросы на записи типа MX не выполняются. К доменам, в которых может возникать данная проблема, относятся AOL.com, Qwest.net и EarthLink.net.

Отправитель сообщения электронной почты получает отчет о невозможности доставки (NDR) с сообщением об ошибке следующего вида:
Сообщение не получили следующие получатели: user@earthlink.net (дата время) Ошибка связи с сервером электронной почты получателя по протоколу SMTP. Обратитесь к системному администратору. <(Domain.com) #5.5.0 smtp;550-EarthLink не распознает ваш компьютер (xx.xx.xxx.xxx) как подключившийся через соединение EarthLink. Если это является ошибкой, обратитесь в службу поддержки.>
Причина
Данная проблема возникает, если брандмауэр блокирует передачу пакетов UDP, размер которых превышает 512 байт.

При использовании механизмов расширений для DNS (EDNS0), определенных в документе RFC 2671 «Механизмы расширений для DNS (EDNS0)», инициаторы DNS-запросов могут указывать размер пакетов UDP и передавать пакеты, размер которых превышает 512 байт. По умолчанию некоторые брандмауэры используют функции безопасности, блокирующие пакеты UDP, размер которых превышает 512 байт. В результате DNS-запросы могут не выполняться.

Эта проблема также может возникать при использовании некоторых моделей Cisco PIX Firewall с программным обеспечением, выпущенным до PIX Firewall версии 6.3(2). Брандмауэр Cisco PIX Firewall игнорирует пакеты DNS, отправленные UDP-порту 53, размер которых превышает указанный максимальный размер. По умолчанию максимальный размер пакетов UDP составляет 512 байт.
Решение
Для решения этой проблемы воспользуйтесь одним из следующих способов.

Способ 1.

Обратитесь к разработчику брандмауэра за сведениями о том, как разрешить передачу пакетов UDP размером более 512 байт через брандмауэр.

Сведения об обновлениях и решении данной проблемы см. на веб-узле Cisco Systems по следующему адресу:

Контактные данные компаний-разработчиков брандмауэров см. в одной из следующих статей базы знаний Майкрософт:
65416 Список адресов независимых поставщиков оборудования и программного обеспечения, A-K

60781 Список адресов независимых поставщиков оборудования и программного обеспечения, L – Р

60782 Список адресов независимых поставщиков оборудования и программного обеспечения, Q – Z


Контактные данные сторонних производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.

Способ 2.

Отключите функцию EDNS0 на сервере под управлением Windows Server 2003. Для этого введите в командной строке:
dnscmd имя_сервера/Config /EnableEDnsProbes 0
Временное решение
Для временного решения проблемы отключите функцию EDNS0 в Windows Server 2003, выполнив следующие действия:
  1. Установите программу Dnscmd.exe из состава средств поддержки Windows Server 2003. Чтобы установить средства поддержки Windows, щелкните правой кнопкой мыши файл Suptools.msi, расположенный в папке Support\Tools на установочном компакт-диске Windows Server 2003, и выберите команду «Установка». Чтобы завершить процедуру установки средств поддержки Windows XP, выполняйте инструкции мастера установки средств поддержки Windows.
  2. В командной строке введите dnscmd /config /enableednsprobes 0 и нажмите клавишу ВВОД.
Примечание. Будьте внимательны: после выражения «enableednsprobes» следует ввести 0 (ноль), а не букву «О».
Дополнительная информация
Исходное ограничение DNS для размера пакета UDP определено в RFC 1035, «DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION». Дополнительные сведения о RFC 1035 см. на веб-узле Internet Engineering Task Force (IETF) по следующему адресу:Дополнительные сведения о RFC 2671 и EDNS0 см. на веб-узле Internet Engineering Task Force (IETF) по следующему адресу:Дополнительные сведения о поддержке EDNS0 в Windows Server 2003 см. на веб-узле Майкрософт по следующему адресу: В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств относительно корректной работы или надежности этих продуктов.
dns запрос запросы ответ брандмауэр udp 512 пакет edns0 большой smtp smtpsvc exchange 2003 exchange server 2003 exchange 2000 не может отправить сообщение earthlink не может отправить сообщение aol не может отправить сообщение qwest не может отправить сообщение не удается отправить сообщение электронной почты 550 5.7.1 relaying denied 550 5.7.1 unable to relay for Exchange 2003 NDR 550 EarthLink невозможность доставки EarthLink
Свойства

Номер статьи: 828263 — последний просмотр: 04/07/2006 13:39:00 — редакция: 10.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • kbprb KB828263
Отзывы и предложения
ript>