Автор Тема: Unbound: failed to prime trust anchor - DNSKEY  (Прочитано 945 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
Unbound: failed to prime trust anchor - DNSKEY
« : Март 29, 2018, 12:49:18 pm »
Вчера возникла на трёх разных кэширующих DNS серверах работающих на Unboud практически одинаковая проблема, кэширующий DNS перестал форвардить запросы к вторичные DNS серверам либо форвардил через рас. В логах удалось выявить ошибку:

unbound info: failed to prime trust anchor - DNSKEY rrset is not secure . DNSKEY IN

При этом 2 кэширующих DNS сервера работают уже больше 2 лет, третий был запущен пару недель назад. После часового гугления, я не нашёл решения и принялся разбирать конфигурационный файл с параметрами связанными с DNSKEY в итоге удалось восстановить работы Unbound закоментировав следующий сроки:
#trusted-keys-file: /etc/unbound/keys.d/*.key                                                                                                                                         
#auto-trust-anchor-file: "/var/lib/unbound/root.key"

Почему это повлияло именно сейчас пока не могу объяснить, если кто-то знает то пожалуйста поделитесь.

 

Оффлайн Pantryk

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 137
  • Karma: +22/-0
    • Share Post
Re: Unbound: failed to prime trust anchor - DNSKEY
« Ответ #1 : Март 29, 2018, 02:15:46 pm »
https://www.unbound.net/documentation/howto_anchor.html
Спойлер
unbound-anchor creates this file for you if it does not exist. But must check this file so you can trust it. Unbound-anchor also has a builtin certificate (from the ICANN Certificate Authority) that it will use to update the root key if it becomes out of date, you should check this too (-l option to show it), or provide some other certificate that you want unbound-anchor to use.
[свернуть]
Больше 2 лет скорее всего истек срок действия сертификата. Возможно вы должны обновить корневой ключ.
Нет ничего более вечного, чем то, что обмотано синей изолентой

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 240
  • Karma: +43/-0
  • Пол: Мужской
  • https://iptest.kz
    • Share Post
    • iptest.kz
Re: Unbound: failed to prime trust anchor - DNSKEY
« Ответ #2 : Август 08, 2018, 11:48:54 am »
https://www.unbound.net/documentation/howto_anchor.html
Спойлер
unbound-anchor creates this file for you if it does not exist. But must check this file so you can trust it. Unbound-anchor also has a builtin certificate (from the ICANN Certificate Authority) that it will use to update the root key if it becomes out of date, you should check this too (-l option to show it), or provide some other certificate that you want unbound-anchor to use.
[свернуть]
Больше 2 лет скорее всего истек срок действия сертификата. Возможно вы должны обновить корневой ключ.

Абсолютно верно, сертификат необходим для удалённого управления unboud, что по сути мне не нужно и решил данную проблему очень просто (без процедуры перевыпуска сертификата), изменив параметр в секции remote-control:
control-enable: no


xx
xrdp_mm_process_login_response: login failed

Автор sysadmin

0 Ответов
3001 Просмотров
Последний ответ Март 07, 2014, 09:04:31 am
от sysadmin
xx
Exchange - New-MailboxExportRequest Failed

Автор sysadmin

0 Ответов
1886 Просмотров
Последний ответ Январь 15, 2015, 04:27:34 pm
от sysadmin
xx
Error: rpmdb open failed

Автор sysadmin

0 Ответов
1215 Просмотров
Последний ответ Январь 06, 2015, 09:40:56 am
от sysadmin
xx
session setup failed: NT_STATUS_LOGON_FAILURE

Автор sysadmin

3 Ответов
2349 Просмотров
Последний ответ Июль 28, 2014, 12:08:36 pm
от CyberPunk 2050