Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

james14000 · Le 31/10/2019, à 07:45

Bonjour,

Ayant réalisé cette commande

systemctl status unbound

Le resultat retourné que voici me pose question, qu'est ce que cela signifie, et comment y remédier ?

oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NO

oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NOT ok and could not be fixed

Cela avait disparu hier soir, puis c'est revenu ce matin

james14000@james14000-MS-7982:~$ systemctl status unbound
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: 
   Active: active (running) since Thu 2019-10-31 07:15:43 CET; 28min ago
     Docs: man:unbound(8)
 Main PID: 1251 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─1251 /usr/sbin/unbound -d

oct. 31 07:15:40 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: /var/lib/unbound/root.
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NO
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] info: start of servi
oct. 31 07:15:43 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-17/17 (END)...skipping...
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2019-10-31 07:15:43 CET; 28min ago
     Docs: man:unbound(8)
 Main PID: 1251 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─1251 /usr/sbin/unbound -d

oct. 31 07:15:40 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: /var/lib/unbound/root.key has content
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NOT ok and could not be fixed
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 0: subnet
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 1: validator
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 2: iterator
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] info: start of service (unbound 1.6.7).
oct. 31 07:15:43 james14000-MS-7982 systemd[1]: Started Unbound DNS server.

Resultat hier, pas de souci voire ici

james14000@james14000-MS-7982:~$ systemctl status unbound
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: 
   Active: active (running) since Wed 2019-10-30 23:42:41 CET; 6min ago
     Docs: man:unbound(8)
  Process: 3952 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_u
  Process: 3949 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=
 Main PID: 3956 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─3956 /usr/sbin/unbound -d

oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: /var/lib/unbound/root.
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: success: the anchor is
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] info: start of servi
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-19/19 (END)...skipping...
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2019-10-30 23:42:41 CET; 6min ago
     Docs: man:unbound(8)
  Process: 3952 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
  Process: 3949 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
 Main PID: 3956 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─3956 /usr/sbin/unbound -d

oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: /var/lib/unbound/root.key has content
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: success: the anchor is ok
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 0: subnet
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 1: validator
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 2: iterator
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] info: start of service (unbound 1.6.7).
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Started Unbound DNS server.

Dernière modification par james14000 (Le 03/11/2019, à 01:53)

xubu1957 · Le 31/10/2019, à 08:02

Bonjour,

Je trouve cette réponse, dans > unix.stackexchange.com/questions/398774/unbound-no-servers-could-be-reached

Le 22/06/2018, JoshQuake a écrit :

Merci à @ b4d
Résolu en autorisant toutes les connexions locales :
sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A OUTPUT -o lo -j ACCEPT

bruno · Le 31/10/2019, à 09:09

Encore une fois les lignes de tes retours sont coupées.

Le message signifie que unbound n'arrive pas à charger la clé des serveurs racine /var/lib/unbound/root.key. Dans ce cas unbound fonctionne mais DNSSEC ne sera pas utilisé (ou les requêtes échoueront si son usage est imposé).

Si la suggestion de xubu1957 ne fonctionne pas, il faudra donner le retour de :

/usr/lib/unbound/package-helper root_trust_anchor_update

james14000 · Le 31/10/2019, à 11:01

bruno a écrit :

Encore une fois les lignes de tes retours sont coupées.
Le message signifie que unbound n'arrive pas à charger la clé des serveur racine /var/lib/unbound/root.key. Dans ce cas unbound fonctionne mais DNSSEC ne sera pas utilisé (ou les requêtes échoueront si son usage est imposé).
Si la suggestion de xubu1957 ne fonctionne pas, il faudra donner le retour de :
/usr/lib/unbound/package-helper root_trust_anchor_update

A quels endroits mes lignes de retour sont elles coupées ? je les ai pourtant copiées dans leur totalité ? !
Indique moi s'il te plait, que je ne refasse plus cette erreur

james14000 · Le 31/10/2019, à 11:04

james14000@james14000-MS-7982:~$ /usr/lib/unbound/package-helper root_trust_anchor_update
start-stop-daemon: unable to set gid to 127 (Operation not permitted)
james14000@james14000-MS-7982:~$

Hello bruno, xubu1957 ci dessus le retour de la commande indiquée.

Avec en plus une vérification dnssec via la commande DIG

Voire ce lien explicatif Mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente

james14000@james14000-MS-7982:~$ dig @127.0.0.1 dnssec-failed.org a +dnssec

; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> @127.0.0.1 dnssec-failed.org a +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12031
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org.		IN	A

;; Query time: 858 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Oct 31 11:05:50 CET 2019
;; MSG SIZE  rcvd: 46

Dernière modification par james14000 (Le 31/10/2019, à 11:10)

bruno · Le 31/10/2019, à 11:34

Il faut lancer cette commande avec sudo devant.

Pour la vérification DNSSEC, tu persistes à utiliser un nom de domaine qui n'existe pas (je ne sais pas d'où tu as copié cette commande…). Pour vérrifier cela avec dig il faut utiliser un nom de domaine qui existe et qui est signé par DNSSEC, exemple :

dig pir.org +dnssec @127.0.0.1

ou directement sur la racine qui est signée :

dig . +dnssec  @127.0.0.1

Un domaine qui n'est pas signé par DNSSEC doit retourner un résultat classique :

dig google.com +dnssec   @127.0.0.1

(eh oui les domaines google ne l'utilisent pas)

Voir par exemple : https://techglimpse.com/dns-dnssec-test … ing-tools/

james14000 · Le 31/10/2019, à 11:48

Eh bien, j'avais eu cette astuce sur ce lien Mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente

pour déterminer si oui ou non le résolveur que vous opérez fait la validation du DNSSEC, vous pouvez utiliser le domaine spécial « dnssec-failed.org » qui est exploité à titre de service public par Comcast. Ce domaine spécial entraînera à dessein une absence de réponse lors de la validation des résolveurs. Saisissez la commande suivante sur une ligne de commande shell : dig @ADDRESS dnssec-failed.org a +dnssec Dans cette commande, remplacez la chaîneADDRESSavec l'adresse IPv4 ou IPv6 du résolveur que vous faîtes fonctionner. Si la réponse comprend les éléments suivants : ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL Alors le résolveur effectue une validation du DNSSEC. (L'indication ici de l'état de SERVFAIL indique l'échec de validation, ce qui signifie qu'en fait la validation se produit.)

james14000@james14000-MS-7982:~$ dig pir.org +dnssec @127.0.0.1

; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> pir.org +dnssec @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24657
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;pir.org.			IN	A

;; ANSWER SECTION:
pir.org.		300	IN	A	97.107.141.235
pir.org.		300	IN	RRSIG	A 5 2 300 20191114084004 20191031084004 18045 pir.org. PI8B4i3MSf+mBSwYqJtolUYnVxDDS31oJqbAMxNmKdrL9MYTF+Rl9jHb s82ARIr6R/oLpr9WZ7lnFgVq/reXsuXr1mJbzrqBi9k8lEJ9jEbSZ6Za GQkPgIMEG6Yf3C+ssLMB+P064ZpgSB5g2mstrFDbO3atnV3o528TRi6a kuU=

;; AUTHORITY SECTION:
pir.org.		300	IN	NS	ns1.ams1.afilias-nst.info.
pir.org.		300	IN	NS	ns1.mia1.afilias-nst.info.
pir.org.		300	IN	NS	ns1.sea1.afilias-nst.info.
pir.org.		300	IN	NS	ns1.yyz1.afilias-nst.info.
pir.org.		300	IN	RRSIG	NS 5 2 300 20191114084004 20191031084004 18045 pir.org. ERFG+htrbTWpU9qd4mrn+iHw8wt3dHqbt84DEcEReRNgSJHNTKxDNVfY cWB3QUSJxXfNKtU7PFlws45i832Id8e3VA7F2KeotlmtpqUJEQQEEOXq OW1BuRoAemrVmS2Mt0JfFBLm9ePJs0jHYBXv0/Zz6pj+QwBXVSrU/vL+ fEU=

;; Query time: 238 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Oct 31 11:45:24 CET 2019
;; MSG SIZE  rcvd: 494

james14000@james14000-MS-7982:~$

bruno · Le 31/10/2019, à 11:57

Ah ok.
Donc les deux commandes, la tienne et la mienne, confirment que la validation DNSSEC fonctionne.

james14000 · Le 31/10/2019, à 12:03

Donc, si la validation DNSSEC fonctionne, cela implique quoi au regard des messages d'erreurs indiqués ?
Je vais aussi lire ceci Où doit se faire la validation DNSSEC ?

Cela n'est pas simple pour moi, car mes connaissances en informatique se résument à une formation AFPA de TAUI, niveau bac pro, quelques commandes DOS, quelques installations de poste à poste, une installation d'OS, Windows 98, 2000 et XP, ainsi que depuis peu, UBUNTU grace à ce forum tres ludique Hormis cela, je n'ai pas grandes competences en la matière.

Dernière modification par james14000 (Le 02/11/2019, à 12:52)

james14000 · Le 02/11/2019, à 12:53

up

bruno · Le 02/11/2019, à 15:46

Déjà répondu en #3

james14000 · Le 02/11/2019, à 17:24

bruno a écrit :

Déjà répondu en #3

J'avais déposé cette indication

james14000@james14000-MS-7982:~$ /usr/lib/unbound/package-helper root_trust_anchor_update
start-stop-daemon: unable to set gid to 127 (Operation not permitted)

Dernière modification par james14000 (Le 02/11/2019, à 17:43)

bruno · Le 02/11/2019, à 18:17

en #6 :

bruno a écrit :

Il faut lancer cette commande avec sudo devant.

et ce n'est utile que si tu as cette erreur :

package-helper[1237]: fail: the anchor is NOT ok and could not be fixed

Erreur qui a probablement disparu puisque les requêtes avec dnssec fonctionnent.

james14000 · Le 02/11/2019, à 18:20

Je te remercie bruno Voici le résultat avec sudo devant

james14000@james14000-MS-7982:~$ sudo /usr/lib/unbound/package-helper root_trust_anchor_update
[sudo] Mot de passe de james14000 : 
/var/lib/unbound/root.key has content
success: the anchor is ok

J'ai toujours le meme message d'erreur en ce qui concerne le retour lié à la commande que l'on m'avait indiqué, mais je ne pense pas que cela soit dramatique ? !

james14000@james14000-MS-7982:~$ sudo systemctl status unbound
[sudo] Mot de passe de james14000 : 
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: 
   Active: active (running) since Sat 2019-11-02 17:13:26 CET; 1h 8min ago
     Docs: man:unbound(8)
  Process: 1211 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_u
  Process: 1154 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=
 Main PID: 1253 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─1253 /usr/sbin/unbound -d

nov. 02 17:13:23 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: /var/lib/unbound/root.
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: fail: the anchor is NO
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] info: start of servi
nov. 02 17:13:26 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-19/19 (END)...skipping...
● unbound.service - Unbound DNS server
   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2019-11-02 17:13:26 CET; 1h 8min ago
     Docs: man:unbound(8)
  Process: 1211 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
  Process: 1154 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
 Main PID: 1253 (unbound)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/unbound.service
           └─1253 /usr/sbin/unbound -d

nov. 02 17:13:23 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: /var/lib/unbound/root.key has content
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: fail: the anchor is NOT ok and could not be fixed
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 0: subnet
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 1: validator
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 2: iterator
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] info: start of service (unbound 1.6.7).
nov. 02 17:13:26 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
~

Dernière modification par james14000 (Le 02/11/2019, à 18:22)

bruno · Le 02/11/2019, à 18:32

Oui cela ressemble bien à un bug de unbound ou du moins du paquet unbound d'Ubuntu.

Dernière modification par bruno (Le 02/11/2019, à 18:33)

james14000 · Le 03/11/2019, à 01:53

james14000@james14000-MS-7982:~$ systemd-resolve --status --no-pager
Global
         DNS Servers: 127.0.0.1
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 2 (enp2s0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 127.0.0.1
                      80.67.169.12
                      80.67.169.40
                      2001:910:800::12
                      ::1
          DNS Domain: lan

Resolu

Dernière modification par james14000 (Le 03/11/2019, à 05:27)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 31/10/2019, à 07:45

Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#2 Le 31/10/2019, à 08:02

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#3 Le 31/10/2019, à 09:09

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#4 Le 31/10/2019, à 11:01

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#5 Le 31/10/2019, à 11:04

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#6 Le 31/10/2019, à 11:34

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#7 Le 31/10/2019, à 11:48

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#8 Le 31/10/2019, à 11:57

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#9 Le 31/10/2019, à 12:03

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#10 Le 02/11/2019, à 12:53

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#11 Le 02/11/2019, à 15:46

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#12 Le 02/11/2019, à 17:24

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#13 Le 02/11/2019, à 18:17

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#14 Le 02/11/2019, à 18:20

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#15 Le 02/11/2019, à 18:32

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

#16 Le 03/11/2019, à 01:53

Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed

Pied de page des forums