Cisco ASA bloquea el tráfico desde el server DNS

Tengo un cliente que tiene un dispositivo Cisco ASA 5505. No estoy familiarizado con estos dispositivos en absoluto.

El cliente tiene un problema donde permite el tráfico de salida de un antiguo server DNS (10.236.72.100), pero no de un nuevo server DNS (10.236.72.3).

Actualmente tengo una configuration de reenvío en el nuevo server para reenviar consultas DNS al server antiguo.

Servidor antiguo = Windows Server 2003 Nuevo server = Windows Server 2008 R2

Por lo que puedo decir, el problema radica en el dispositivo Cisco. ¿Puede ayudarme alguien, por favor?

Es probable que su antiguo server DNS dns_servers requestes a uno de los serveres DNS del grupo de objects dns_servers y que esté permitido por esta línea

 access-list inside_access_in extended permit object-group TCPUDP any object-group dns_servers eq domain 

Su nuevo server probablemente actúa como un server DNS recursivo y trata de enviar requestes directamente a los serveres de nombres raíz, serveres TLD, etc. Si desea que su nuevo server se comporte como el antiguo, envíe sus requestes a uno de los serveres en este grupo de objects.

 object-group network dns_servers network-object host 10.1.224.10 network-object host 10.2.191.51 

Si desea que su nuevo server DNS funcione como un server recursivo, añada esta línea a su configuration ASA:

 access-list inside_access_in extended permit object-group TCPUDP host 10.236.72.3 any eq domain 

Windows 2008 tiene un problema con la autocorrección de windows TCP que rompe los firewalls que usan el seguimiento de conexiones (casi todos lo hacen).

El problema y una corrección para él se describen aquí

https://blogs.msdn.com/b/wndp/archive/2007/07/05/receive-window-auto-tuning-on-vista.aspx?Redirected=true