在您部署 Windows DNS 伺服器後,有些 DNS 名稱查詢不成功

本文說明在您部署以 Windows 為基礎的 DNS 伺服器後,可能無法成功解析對某些網域進行 DNS 查詢的問題。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   832223

徵狀

在您部署 Windows DNS 伺服器後,可能無法成功解析某些網域的 DNS 查詢。

原因

發生此問題的原因是 DNS (EDNS0) 支援 Windows Server DNS 的功能。

EDNS0 允許較大的使用者資料包協定 (UDP) 封包大小。 不過,某些防火牆程式可能不允許大於512位元組的 UDP 封包。 因此,防火牆可能會封鎖這些 DNS 封包。

解決方案

若要解決此問題,請更新防火牆程式,以辨識超過512位元組的 UDP 封包。 如需如何執行此動作的詳細資訊,請與您的防火牆程式製造商聯繫。

Microsoft 提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 Microsoft 不保證此協力廠商連絡資訊的正確性。

因應措施

若要解決此問題,請關閉 Windows DNS 伺服器上的 EDNS0 功能。 若要這麼做,請採取下列動作:

在命令提示字元中,鍵入下列命令,然後按 Enter:

dnscmd /config /enableednsprobes 0

注意

在此命令中,輸入 0 (零) ,而不是字母 "O"。

會出現下列資訊:

Registry 屬性 enableednsprobes 已順利重設。
命令成功完成。

注意

在所有 Windows Server 上的 DNS 伺服器(執行 Windows Server 2003 或 Windows Server 2003 R2 的伺服器除外)上安裝 Dnscmd.exe。 您可以從 Windows Server 2003 支援工具安裝 Dnscmd.exe。 若要下載 Windows Server 2003 支援工具,請按一下下列 Microsoft 下載中心連結: Setspn

詳細資訊

有些防火牆包含檢查 DNS 封包特定參數的功能。 這些防火牆功能可能會確定 DNS 回應小於512個位元組。 如果您捕獲網路流量以取得未成功的 DNS 查詢,您可能會注意到 DNS 要求 EDNS0。 類似下列的框架不會收到回復:

其他記錄
<Root>: type OPT,類別不明
名稱:<Root>
類型: EDNS0 選項
UDP 負載大小:1280

在此情況下,防火牆可能會刪除所有 EDNS0 擴充的 UDP 幀。