Einige DNS-Namensabfragen sind nach der Bereitstellung eines Windows-basierten DNS-Servers nicht erfolgreich.

In diesem Artikel wird ein Problem beschrieben, bei dem DNS-Abfragen an einige Domänen nach der Bereitstellung eines Windows-basierten DNS-Servers möglicherweise nicht erfolgreich behoben werden.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   832223

Problembeschreibung

Nach der Bereitstellung eines Windows-basierten DNS-Servers werden dns-Abfragen für einige Domänen möglicherweise nicht erfolgreich aufgelöst.

Ursache

Dieses Problem tritt aufgrund der erweiterungsmechanismen für DNS (EDNS0) Funktionalität, die in Windows Server DNS unterstützt wird.

EDNS0 ermöglicht größere Paketgrößen des User Datagram Protocol (UDP). Einige Firewallprogramme erlauben jedoch möglicherweise keine UDP-Pakete, die größer als 512 Byte sind. Daher können diese DNS-Pakete von der Firewall blockiert werden.

Lösung

Um dieses Problem zu beheben, aktualisieren Sie das Firewallprogramm, um UDP-Pakete zu erkennen und zu erlauben, die größer als 512 Byte sind. Weitere Informationen hierzu erhalten Sie vom Hersteller Ihres Firewallprogramms.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Problemumgehung

Um dieses Problem zu beheben, deaktivieren Sie das EDNS0-Feature auf Windows-basierten DNS-Servern. Gehen Sie dazu wie folgt vor:

Geben Sie an einer Eingabeaufforderung folgenden Befehl ein, und drücken Sie die EINGABETASTE:

dnscmd /config /enableednsprobes 0

Hinweis

Geben Sie in diesem Befehl eine 0 (Null) und nicht den Buchstaben "O" nach "enableednsprobes" ein.

Die folgenden Informationen werden angezeigt:

Die Registrierungseigenschaft "enableednsprobes" wurde erfolgreich zurückgesetzt.
Der Befehl wurde erfolgreich abgeschlossen.

Hinweis

Dnscmd.exe wird auf allen Windows-basierten DNS-Servern mit Ausnahme von Servern mit Windows Server 2003 oder Windows Server 2003 R2 installiert. Sie können Dnscmd.exe von den Windows Server 2003-Supporttools installieren. Klicken Sie auf den folgenden Microsoft Download Center-Link, um die Windows Server 2003-Supporttools herunterzuladen: Setspn

Weitere Informationen

Einige Firewalls enthalten Features zum Überprüfen bestimmter Parameter des DNS-Pakets. Diese Firewallfeatures stellen möglicherweise sicher, dass die DNS-Antwort kleiner als 512 Byte ist. Wenn Sie den Netzwerkdatenverkehr für eine nicht erfolgreich ausgeführte DNS-Suche erfassen, stellen Sie möglicherweise fest, dass DNS EDNS0 anfordert. Frames, die dem folgenden ähneln, erhalten keine Antwort:

Zusätzliche Datensätze
<Root>: Typ OPT, Klasse unbekannt
Name: <Root>
Typ: EDNS0-Option
UDP-Nutzlastgröße: 1280

In diesem Szenario kann die Firewall alle erweiterten EDNS0-UDP-Frames löschen.