#1 Le 31/10/2019, à 08:45
- james14000
Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Bonjour,
Ayant réalisé cette commande
systemctl status unboundLe resultat retourné que voici me pose question, qu'est ce que cela signifie, et comment y remédier ?
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NOoct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NOT ok and could not be fixedCela avait disparu hier soir, puis c'est revenu ce matin 
james14000@james14000-MS-7982:~$ systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset:
Active: active (running) since Thu 2019-10-31 07:15:43 CET; 28min ago
Docs: man:unbound(8)
Main PID: 1251 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─1251 /usr/sbin/unbound -d
oct. 31 07:15:40 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: /var/lib/unbound/root.
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NO
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] info: start of servi
oct. 31 07:15:43 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-17/17 (END)...skipping...
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2019-10-31 07:15:43 CET; 28min ago
Docs: man:unbound(8)
Main PID: 1251 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─1251 /usr/sbin/unbound -d
oct. 31 07:15:40 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: /var/lib/unbound/root.key has content
oct. 31 07:15:42 james14000-MS-7982 package-helper[1237]: fail: the anchor is NOT ok and could not be fixed
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 0: subnet
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 1: validator
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] notice: init module 2: iterator
oct. 31 07:15:43 james14000-MS-7982 unbound[1251]: [1251:0] info: start of service (unbound 1.6.7).
oct. 31 07:15:43 james14000-MS-7982 systemd[1]: Started Unbound DNS server.Resultat hier, pas de souci voire ici
james14000@james14000-MS-7982:~$ systemctl status unbound
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset:
Active: active (running) since Wed 2019-10-30 23:42:41 CET; 6min ago
Docs: man:unbound(8)
Process: 3952 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_u
Process: 3949 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=
Main PID: 3956 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─3956 /usr/sbin/unbound -d
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: /var/lib/unbound/root.
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: success: the anchor is
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] info: start of servi
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-19/19 (END)...skipping...
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2019-10-30 23:42:41 CET; 6min ago
Docs: man:unbound(8)
Process: 3952 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 3949 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 3956 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─3956 /usr/sbin/unbound -d
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: /var/lib/unbound/root.key has content
oct. 30 23:42:41 james14000-MS-7982 package-helper[3952]: success: the anchor is ok
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 0: subnet
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 1: validator
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] notice: init module 2: iterator
oct. 30 23:42:41 james14000-MS-7982 unbound[3956]: [3956:0] info: start of service (unbound 1.6.7).
oct. 30 23:42:41 james14000-MS-7982 systemd[1]: Started Unbound DNS server.Dernière modification par james14000 (Le 03/11/2019, à 02:53)
Apprenti sur Ubuntu.
Hors ligne
#2 Le 31/10/2019, à 09:02
- xubu1957
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Bonjour,
Je trouve cette réponse, dans > unix.stackexchange.com/questions/398774/unbound-no-servers-could-be-reached
Merci à @ b4d
Résolu en autorisant toutes les connexions locales :
sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT
Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci. Membre de Linux-Azur
Hors ligne
#3 Le 31/10/2019, à 10:09
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Encore une fois les lignes de tes retours sont coupées.
Le message signifie que unbound n'arrive pas à charger la clé des serveurs racine /var/lib/unbound/root.key. Dans ce cas unbound fonctionne mais DNSSEC ne sera pas utilisé (ou les requêtes échoueront si son usage est imposé).
Si la suggestion de xubu1957 ne fonctionne pas, il faudra donner le retour de :
/usr/lib/unbound/package-helper root_trust_anchor_updateHors ligne
#4 Le 31/10/2019, à 12:01
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Encore une fois les lignes de tes retours sont coupées.
Le message signifie que unbound n'arrive pas à charger la clé des serveur racine /var/lib/unbound/root.key. Dans ce cas unbound fonctionne mais DNSSEC ne sera pas utilisé (ou les requêtes échoueront si son usage est imposé).
Si la suggestion de xubu1957 ne fonctionne pas, il faudra donner le retour de :
/usr/lib/unbound/package-helper root_trust_anchor_update
A quels endroits mes lignes de retour sont elles coupées ? je les ai pourtant copiées dans leur totalité ? !
Indique moi s'il te plait, que je ne refasse plus cette erreur
Apprenti sur Ubuntu.
Hors ligne
#5 Le 31/10/2019, à 12:04
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
james14000@james14000-MS-7982:~$ /usr/lib/unbound/package-helper root_trust_anchor_update
start-stop-daemon: unable to set gid to 127 (Operation not permitted)
james14000@james14000-MS-7982:~$ Hello bruno, xubu1957 ci dessus le retour de la commande indiquée.
Avec en plus une vérification dnssec via la commande DIG
Voire ce lien explicatif Mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente
james14000@james14000-MS-7982:~$ dig @127.0.0.1 dnssec-failed.org a +dnssec
; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> @127.0.0.1 dnssec-failed.org a +dnssec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 12031
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org. IN A
;; Query time: 858 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Oct 31 11:05:50 CET 2019
;; MSG SIZE rcvd: 46Dernière modification par james14000 (Le 31/10/2019, à 12:10)
Apprenti sur Ubuntu.
Hors ligne
#6 Le 31/10/2019, à 12:34
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Il faut lancer cette commande avec sudo devant.
Pour la vérification DNSSEC, tu persistes à utiliser un nom de domaine qui n'existe pas (je ne sais pas d'où tu as copié cette commande…). Pour vérrifier cela avec dig il faut utiliser un nom de domaine qui existe et qui est signé par DNSSEC, exemple :
dig pir.org +dnssec @127.0.0.1ou directement sur la racine qui est signée :
dig . +dnssec @127.0.0.1Un domaine qui n'est pas signé par DNSSEC doit retourner un résultat classique :
dig google.com +dnssec @127.0.0.1(eh oui les domaines google ne l'utilisent pas)
Voir par exemple : https://techglimpse.com/dns-dnssec-test … ing-tools/
Hors ligne
#7 Le 31/10/2019, à 12:48
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Eh bien, j'avais eu cette astuce sur ce lien Mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente
pour déterminer si oui ou non le résolveur que vous opérez fait la validation du DNSSEC, vous pouvez utiliser le domaine spécial « dnssec-failed.org » qui est exploité à titre de service public par Comcast. Ce domaine spécial entraînera à dessein une absence de réponse lors de la validation des résolveurs. Saisissez la commande suivante sur une ligne de commande shell : dig @ADDRESS dnssec-failed.org a +dnssec Dans cette commande, remplacez la chaîneADDRESSavec l'adresse IPv4 ou IPv6 du résolveur que vous faîtes fonctionner. Si la réponse comprend les éléments suivants : ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL Alors le résolveur effectue une validation du DNSSEC. (L'indication ici de l'état de SERVFAIL indique l'échec de validation, ce qui signifie qu'en fait la validation se produit.)
james14000@james14000-MS-7982:~$ dig pir.org +dnssec @127.0.0.1
; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> pir.org +dnssec @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24657
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;pir.org. IN A
;; ANSWER SECTION:
pir.org. 300 IN A 97.107.141.235
pir.org. 300 IN RRSIG A 5 2 300 20191114084004 20191031084004 18045 pir.org. PI8B4i3MSf+mBSwYqJtolUYnVxDDS31oJqbAMxNmKdrL9MYTF+Rl9jHb s82ARIr6R/oLpr9WZ7lnFgVq/reXsuXr1mJbzrqBi9k8lEJ9jEbSZ6Za GQkPgIMEG6Yf3C+ssLMB+P064ZpgSB5g2mstrFDbO3atnV3o528TRi6a kuU=
;; AUTHORITY SECTION:
pir.org. 300 IN NS ns1.ams1.afilias-nst.info.
pir.org. 300 IN NS ns1.mia1.afilias-nst.info.
pir.org. 300 IN NS ns1.sea1.afilias-nst.info.
pir.org. 300 IN NS ns1.yyz1.afilias-nst.info.
pir.org. 300 IN RRSIG NS 5 2 300 20191114084004 20191031084004 18045 pir.org. ERFG+htrbTWpU9qd4mrn+iHw8wt3dHqbt84DEcEReRNgSJHNTKxDNVfY cWB3QUSJxXfNKtU7PFlws45i832Id8e3VA7F2KeotlmtpqUJEQQEEOXq OW1BuRoAemrVmS2Mt0JfFBLm9ePJs0jHYBXv0/Zz6pj+QwBXVSrU/vL+ fEU=
;; Query time: 238 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Oct 31 11:45:24 CET 2019
;; MSG SIZE rcvd: 494
james14000@james14000-MS-7982:~$ Apprenti sur Ubuntu.
Hors ligne
#8 Le 31/10/2019, à 12:57
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Ah ok.
Donc les deux commandes, la tienne et la mienne, confirment que la validation DNSSEC fonctionne.
Hors ligne
#9 Le 31/10/2019, à 13:03
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Donc, si la validation DNSSEC fonctionne, cela implique quoi au regard des messages d'erreurs indiqués ?
Je vais aussi lire ceci Où doit se faire la validation DNSSEC ?
Cela n'est pas simple pour moi, car mes connaissances en informatique se résument à une formation AFPA de TAUI, niveau bac pro, quelques commandes DOS, quelques installations de poste à poste, une installation d'OS, Windows 98, 2000 et XP, ainsi que depuis peu, UBUNTU grace à ce forum tres ludique Hormis cela, je n'ai pas grandes competences en la matière.
Dernière modification par james14000 (Le 02/11/2019, à 13:52)
Apprenti sur Ubuntu.
Hors ligne
#10 Le 02/11/2019, à 13:53
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
up
Apprenti sur Ubuntu.
Hors ligne
#11 Le 02/11/2019, à 16:46
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Déjà répondu en #3
Hors ligne
#12 Le 02/11/2019, à 18:24
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Déjà répondu en #3
J'avais déposé cette indication
james14000@james14000-MS-7982:~$ /usr/lib/unbound/package-helper root_trust_anchor_update
start-stop-daemon: unable to set gid to 127 (Operation not permitted)Dernière modification par james14000 (Le 02/11/2019, à 18:43)
Apprenti sur Ubuntu.
Hors ligne
#13 Le 02/11/2019, à 19:17
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
en #6 :
Il faut lancer cette commande avec sudo devant.
et ce n'est utile que si tu as cette erreur :
package-helper[1237]: fail: the anchor is NOT ok and could not be fixedErreur qui a probablement disparu puisque les requêtes avec dnssec fonctionnent.
Hors ligne
#14 Le 02/11/2019, à 19:20
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Je te remercie bruno Voici le résultat avec sudo devant 
james14000@james14000-MS-7982:~$ sudo /usr/lib/unbound/package-helper root_trust_anchor_update
[sudo] Mot de passe de james14000 :
/var/lib/unbound/root.key has content
success: the anchor is okJ'ai toujours le meme message d'erreur en ce qui concerne le retour lié à la commande que l'on m'avait indiqué, mais je ne pense pas que cela soit dramatique ? !
james14000@james14000-MS-7982:~$ sudo systemctl status unbound
[sudo] Mot de passe de james14000 :
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset:
Active: active (running) since Sat 2019-11-02 17:13:26 CET; 1h 8min ago
Docs: man:unbound(8)
Process: 1211 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_u
Process: 1154 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=
Main PID: 1253 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─1253 /usr/sbin/unbound -d
nov. 02 17:13:23 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: /var/lib/unbound/root.
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: fail: the anchor is NO
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] info: start of servi
nov. 02 17:13:26 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
lines 1-19/19 (END)...skipping...
● unbound.service - Unbound DNS server
Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2019-11-02 17:13:26 CET; 1h 8min ago
Docs: man:unbound(8)
Process: 1211 ExecStartPre=/usr/lib/unbound/package-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
Process: 1154 ExecStartPre=/usr/lib/unbound/package-helper chroot_setup (code=exited, status=0/SUCCESS)
Main PID: 1253 (unbound)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/unbound.service
└─1253 /usr/sbin/unbound -d
nov. 02 17:13:23 james14000-MS-7982 systemd[1]: Starting Unbound DNS server...
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: /var/lib/unbound/root.key has content
nov. 02 17:13:25 james14000-MS-7982 package-helper[1211]: fail: the anchor is NOT ok and could not be fixed
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 0: subnet
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 1: validator
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] notice: init module 2: iterator
nov. 02 17:13:26 james14000-MS-7982 unbound[1253]: [1253:0] info: start of service (unbound 1.6.7).
nov. 02 17:13:26 james14000-MS-7982 systemd[1]: Started Unbound DNS server.
~Dernière modification par james14000 (Le 02/11/2019, à 19:22)
Apprenti sur Ubuntu.
Hors ligne
#15 Le 02/11/2019, à 19:32
- bruno
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
Oui cela ressemble bien à un bug de unbound ou du moins du paquet unbound d'Ubuntu.
Dernière modification par bruno (Le 02/11/2019, à 19:33)
Hors ligne
#16 Le 03/11/2019, à 02:53
- james14000
Re : Resolu Que signifie fail: the anchor is NOT ok and could not be fixed
james14000@james14000-MS-7982:~$ systemd-resolve --status --no-pager
Global
DNS Servers: 127.0.0.1
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 2 (enp2s0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 127.0.0.1
80.67.169.12
80.67.169.40
2001:910:800::12
::1
DNS Domain: lanResolu
Dernière modification par james14000 (Le 03/11/2019, à 06:27)
Apprenti sur Ubuntu.
Hors ligne