Windows DNS Auflösung funktioniert (manchmal) nicht

  Windows

Die Auflösung bestimmter (nicht aller) Domains funktioniert nicht. Aufgefallen ist das ganze, weil keine Mails an diese Domains verschickt werden konnten.

Als erstes habe ich mal geschaut, was nslookup mir zurück gibt. Mein Server (Linux) konnt die Domain ohne Problem auflösen. Es handelte sich um eine *.outlook.com-Domains, welche für Outlook365 genutzt wird. Der Kundenserver (Windows 2008R2 – Domain Controller)  wollte diese partout nicht auflösen und kam mit der Meldung *** mydomain.de wurde von 192.168.0.1 nicht gefunden: Server failed. um die Ecke.

Nach einigem Suchen bin ich dann auf einen Artikel von Microsoft gestoßen, der mein Problem ziemlich gut beschrieb.

Dieses Problem tritt aufgrund der Erweiterungsmechanismen für DNS (EDNS0) Funktionen, die in Windows Server DNS unterstützt wird.

EDNS0 ermöglicht größere (UDP = User Datagram Protocol)-Paket. Einige Firewall-Programme können jedoch keine UDP-Pakete, die größer als 512 Bytes sind. Daher können diese DNS-Pakete von der Firewall blockiert werden.

Um dieses Problem zu beheben gibt es zwei Möglichkeiten:

1. Prüfen ob die Firewall UDP Pakete zulässt die größer als 512 Byte sind und dies ggf. aktivieren
2. Die EDNS-Einstellungen im DNS-Server ändern.
Ich habe mich hier für Schritt zwei entschieden, da ich keinen Zugang zur Firewall hatte und auch keine Nachteile finden konnte, denn der Server nutzt weiterhin EDNS wenn andere Server es fordern. 🙂

Um die EDNS Einstellungen anzupassen brauchen wir als erstes eine Commandline, wo wir dann folgendes eingeben:

Danach wird folgende Meldung ausgegeben.

Sollte der Befehl nicht das Ergebnis liefern. Prüft hier bitte die GROß- und kleinschreibung.

Hinweis DNSCmd.exe ist auf allen Windows-basierten DNS-Servern mit Ausnahme der Server, auf denen Windows Server 2003 oder Windows Server 2003 R2 installiert. Sie können Dnscmd.exe von Windows Server 2003-Supporttools installieren. Um die Windows Server 2003-Supporttools herunterzuladen, klicken Sie auf der folgenden Microsoft Download Center-Link:http://www.Microsoft.com/en-US/Download/Details.aspx?ID=15326

Wer lieber mit dem RegEditor arbeitet anstatt der Commandline, kann den Schlüsse auch direkt in der Registrierung ändern:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dns\parameters\EnableEDNSProbes

Der Standardwert sollte hier 1 haben. Zum deaktivieren einfach auf 0 setzen

Original MS-Artikel: http://support.microsoft.com/kb/832223/de

 

LEAVE A COMMENT