Error al cargar bind9
Carlos O. Cazorla Machado
Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
sigue dando el siguente error cuando lo inicio:
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.
failed!
Starting domain name service...: bind failed!
Les comento que ya actualice el bind9, genere nuevas claves para probar,
(incluso con la que crean bind9 al instalarse tampoco funciona), revise
que el localhost estuviera incluido en controls, y nada sigue igual.
Algún colega tiene alguna sugerencia al respecto? Ya estoy al golpearlo
con un martillo, jejeje.
Saludos,
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269006188.16434.7.camel@localhost
julio
escribió:
> Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
> sigue dando el siguente error cuando lo inicio:
>
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect,
> or the key is invalid.
> failed!
> Starting domain name service...: bind failed!
Pues parece que no le gusta algo de otro servidor remoto. ¿quizás un dns
primario...?
>
> Algún colega tiene alguna sugerencia al respecto? Ya estoy al golpearlo
> con un martillo, jejeje.
Pues empecemos... ¿que tipo de dns quieres poner en marcha...? un
primario, secundario... público, privado...
Un saludo
JulHer
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269026002....@hradcany.praha
Carlos O. Cazorla Machado
> >
> > This may indicate that the remote server is using an older version
> of
> > the command protocol, this host is not authorized to connect,
> > or the key is invalid.
> > failed!
> > Starting domain name service...: bind failed!
>
> Pues parece que no le gusta algo de otro servidor remoto. ¿quizás un
> dns
> primario...?
> >
No, él es el dns primario. Por encima solo tendría forwarders
> Pues empecemos... ¿que tipo de dns quieres poner en marcha...? un
> primario, secundario... público, privado...
Primario, y público
Tiene las zonas configuradas (por nombre e inversa), puerto 53
habilitado en el firewall, claves generadas con dnssec-keygen, la
versión de bind9 es la 9.3.4 en etch
>
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269030958.4404.13.camel@localhost
Carlos O. Cazorla Machado
> 2010/3/19 Carlos O. Cazorla Machado <caz...@ecot.co.cu>:
> > El vie, 19-03-2010 a las 15:48 -0400, Manuel Mely escribió:
> >> > Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
> >> > sigue dando el siguente error cuando lo inicio:
> >> >
> >> > This may indicate that the remote server is using an older version of
> >> > the command protocol, this host is not authorized to connect,
> >> > or the key is invalid.
> >> > failed!
> >> > Starting domain name service...: bind failed!
> >
> >
> > En el syslog no veo ninguna entrada relacionada con bind o named
>
> Que raro! Bueno puedes también a ponerlo a loggear:
>
> Esto lo puedes poner en el named.conf
>
> logging {
> category lame-servers { null; };
> category edns-disabled { null; };
>
> channel default_syslog
> {
> file "/var/log/named.log" versions 3 size 5m;
> severity info;
> print-time yes;
> print-severity yes;
> print-category yes;
> };
> category default {default_syslog; };
> };
Si se podría, pero el problema en cuestion es que el demonio no llega a
levantar, por lo tanto no generara ningun log.
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269032218.4407.20.camel@localhost
Carlos O. Cazorla Machado
El vie, 19-03-2010 a las 15:48 -0400, Manuel Mely escribió:
> > Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
> > sigue dando el siguente error cuando lo inicio:
> >
> > This may indicate that the remote server is using an older version of
> > the command protocol, this host is not authorized to connect,
> > or the key is invalid.
> > failed!
> > Starting domain name service...: bind failed!
> y el syslog que dice?
En el syslog no veo ninguna entrada relacionada con bind o named
Disculpa habertelo enviado al privado por accidente.
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269031984.4404.17.camel@localhost
julio
escribió:
> Pues empecemos... ¿que tipo de dns quieres poner en marcha...? un
> > primario, secundario... público, privado...
>
> Primario, y público
>
> Tiene las zonas configuradas (por nombre e inversa), puerto 53
> habilitado en el firewall, claves generadas con dnssec-keygen, la
> versión de bind9 es la 9.3.4 en etch
Creo que una prueba sería hacer que arrancara sin el tema de las claves
para el dnssec. O sea, hacer que funcione como un dns normalito y
después ver el tema del dnssec. Bind debería funcionar sin ningún error
recién instalado con un apt-get install bind9.
¿Es así o ya da problemas sin el dnssec?
Un saludo
JulHer
Carlos O. Cazorla Machado
Bueno, ciertamente ya había realizado esa prueba, mas de una vez,
reinstalando y purgando los archivos de configuración por si tal vez
algún problema había ocurrido durante la instalación o modificación de
los archivos de configuración.
Pero ni así llega a levantar el bind9.
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269087860.3840.3.camel@localhost
Carlos O. Cazorla Machado
Desempaquetando bind9 (de .../bind9_1%3a9.3.4-2etch4_i386.deb) ...
Configurando bind9 (9.3.4-2etch4) ...
wrote key file "/etc/bind/rndc.key"
Starting domain name service...: bind failed!
Incluso, desde un inicio se genera una clave por defecto
en /etc/bind/rndc.key
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1269089130.3872.6.camel@localhost
Camaleón
> Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
> sigue dando el siguente error cuando lo inicio:
>
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect, or the key
> is invalid.
> failed!
> Starting domain name service...: bind failed!
Si pones el mensaje de error completo, mejor. Ahí parece que falta algo.
Y también "cat /var/log/syslog | grep named". Si el daemon falla tiene
que registrar el error en algún lado.
Y el contenido de los archivos de configuración:
/etc/bind/named.conf
/etc/bind/named.conf.local
/etc/bind/named.conf.options
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
julio
escribió:
> Starting domain name service...: bind failed!
Vale, pues cuando lo lanzas y falla mira lo que dice /var/log/daemon,
ahí nos dirá de que se queja al arrancar.
Un saludo
JulHer
Federico Alberto Sayd
>
> Llevo buen tiempo tratando de arrancar un servidor DNS con bind9 y me
> sigue dando el siguente error cuando lo inicio:
>
> This may indicate that the remote server is using an older version of
> the command protocol, this host is not authorized to connect,
> or the key is invalid.
> failed!
> Starting domain name service...: bind failed!
>
>
> Les comento que ya actualice el bind9, genere nuevas claves para probar,
> (incluso con la que crean bind9 al instalarse tampoco funciona), revise
> que el localhost estuviera incluido en controls, y nada sigue igual.
>
> Algún colega tiene alguna sugerencia al respecto? Ya estoy al golpearlo
> con un martillo, jejeje.
>
> Saludos,
>
>
ejecutable. También si te vuelves loco puedes probar con strace para
hacer un debug de lo que está pasando a la hora de iniciarlo.
Saludos
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Carlos O. Cazorla Machado
> Trata de levantarlo a mano, con alguna de las opciones del propio
> ejecutable. También si te vuelves loco puedes probar con strace para
> hacer un debug de lo que está pasando a la hora de iniciarlo.
>
> Saludos
>
Bueno amigos, les comento que ya logré que me levantará el bind9.
Solución? Pues hice un dist-upgrade de etch a lenny y cuando actualizó
el paquete arranco con la configuración por defecto. Realmente no me
explico por qué no trabajo con la versión de etch que estaba en el repo
de etch, si tengo otros servidores trabajando sin problemas.
Pero bueno, aun sigue sin actualizarme las zonas, pues cuando utilizo
rndc reload o /etc/init.d/bind9 restart
me da el siguente mensaje:
gateway:/etc/bind# /etc/init.d/bind9 restart
Stopping domain name service...: bind9rndc: connect failed:
127.0.0.1#953: connection refused
en la directiva controls esta configurado asi:
controls {
inet 127.0.0.1 allow { 127.0.0.1; } keys { newkey; };
};
key "newkey" {
algorithm hmac-md5;
secret "miclavenueva";
};
que teóricamente debía aceptar la conexion. En el firewall le tengo
permitido que acepte los paquetes de la ip local.
En la doc que trae bind9-doc hace referencia al puerto 953 como el
puerto por defecto.
Alguna sugerencia?
Saludos,
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Julio
escribió:
> rndc reload o /etc/init.d/bind9 restart
>
> me da el siguente mensaje:
>
> gateway:/etc/bind# /etc/init.d/bind9 restart
>
> Stopping domain name service...: bind9rndc: connect failed:
> 127.0.0.1#953: connection refused
No se si se han mezclado las lineas o algo... pero si el demonio se ha
parado (stopping...) es normal que falle la conexión si no hay nadie
escuchando. O sea, que tendría que salir otra línea diciendo que el
demonio está arriba (starting bind9...).
Con el demonio funcionando comprueba que está escuchendo en el puerto
con un
#netstat -ptau |grep named
Debería salir algo así:
tcp 0 0 localhost:domain *:*
LISTEN 7322/named
tcp 0 0 localhost:953 *:*
LISTEN 7322/named
De esa manera vemos que está corriendo. En el cortafuegos (a menos que
te interese a tí por alguna razón) debería estar también abierto el
puerto 53, que es donde escucha las peticiones por defecto el dns.
Y si eso está OK, mira que en el /etc/hosts.allow haya una línea (para
probar, luego déjalo como te venga bien) que ponga
ALL: 127.0.0.1
Un saludo
JulHer
Carlos O. Cazorla Machado
> No se si se han mezclado las lineas o algo... pero si el demonio se ha
> parado (stopping...) es normal que falle la conexión si no hay nadie
> escuchando. O sea, que tendría que salir otra línea diciendo que el
> demonio está arriba (starting bind9...).
Cierto, esa linea aparece, pero pase por alto copiarla. Lo siento.
>
> Con el demonio funcionando comprueba que está escuchendo en el puerto
> con un
>
> #netstat -ptau |grep named
>
> Debería salir algo así:
>
> tcp 0 0 localhost:domain *:*
> LISTEN 7322/named
>
> tcp 0 0 localhost:953 *:*
> LISTEN 7322/named
gateway:/etc/bind# netstat -ptau | grep named
tcp 0 0 ipdelalan:domain *:* LISTEN
7199/named
tcp 0 0 dominiopublico:domain *:* LISTEN
7199/named
tcp 0 0 localhost:domain *:*
LISTEN 7199/named
udp 0 0 *:domain *:*
7199/named
udp 0 0 ipdelalan:domain *:*
7199/named
udp 0 0 dominiopublico:domain *:*
7199/named
udp 0 0 localhost:domain *:*
7199/named
udp6 0 0 [::]:32774 [::]:*
7199/named
Me llama la atención que no aparezcan puertos excepto en udp6, pues en
options tengo
query-source address * port 53;
y el 953 debia aparecer por defecto, cierto?
>
> De esa manera vemos que está corriendo. En el cortafuegos (a menos que
> te interese a tí por alguna razón) debería estar también abierto el
> puerto 53, que es donde escucha las peticiones por defecto el dns.
Si tengo habilitado el 53 en el cortafuegos, para tcp y udp.
>
> Y si eso está OK, mira que en el /etc/hosts.allow haya una línea (para
> probar, luego déjalo como te venga bien) que ponga
>
> ALL: 127.0.0.1
Hecho, pero sigue dando el mismo error:
# rndc reload
rndc: connect failed: 127.0.0.1#953: connection refused
# /etc/init.d/bind9 restart
Stopping domain name service...: bind9rndc: connect failed:
127.0.0.1#953: connection refused
.
Starting domain name service...: bind9.
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Camaleón
> Stopping domain name service...: bind9rndc: connect failed:
> 127.0.0.1#953: connection refused
(...)
> Alguna sugerencia?
Revisa los registros ("syslog" o "daemon"), deberías ver el origen del
error ahí.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Carlos O. Cazorla Machado
> El Mon, 22 Mar 2010 10:43:30 -0400, Carlos O. Cazorla Machado escribió:
>
>
>> Stopping domain name service...: bind9rndc: connect failed:
>> 127.0.0.1#953: connection refused
>
> (...)
>
>> Alguna sugerencia?
>
> Revisa los registros ("syslog" o "daemon"), deberías ver el origen del
Realmente en ambos registros aparece la misma información:
rndc: connect failed: 127.0.0.1#953: connection refused
Que no nos aporta mucho más.
Saludos,
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Camaleón
> Camaleón wrote:
>> Revisa los registros ("syslog" o "daemon"), deberías ver el origen del
>
> Realmente en ambos registros aparece la misma información:
>
> rndc: connect failed: 127.0.0.1#953: connection refused
>
> Que no nos aporta mucho más.
Es raro que no tengas ninguna entrada con "named".
Ejecuta, por si las moscas:
cat /var/log/syslog | grep named
cat /var/log/daemon.log | grep named
Y pon la salida.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Manuel Mely
> Camaleón wrote:
>>
>> El Mon, 22 Mar 2010 10:43:30 -0400, Carlos O. Cazorla Machado escribió:
>>
>>
>>> Stopping domain name service...: bind9rndc: connect failed:
>>> 127.0.0.1#953: connection refused
>>
>> (...)
>>
>>> Alguna sugerencia?
>>
>> Revisa los registros ("syslog" o "daemon"), deberías ver el origen del
>
> Realmente en ambos registros aparece la misma información:
>
> rndc: connect failed: 127.0.0.1#953: connection refused
>
> Que no nos aporta mucho más.
>
> Saludos,
Como te comenté la semana pasada, puedes configurar a bind9 para que te
aporte un nivel de verbosidad en los logs. Quizás haciendo eso puedas ver
la causa del error.
Saludos.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/898b0c0f1003221006k798...@mail.gmail.com
Julio
escribió:
> en la directiva controls esta configurado asi:
>
> controls {
> inet 127.0.0.1 allow { 127.0.0.1; } keys { newkey; };
> };
Otra prueba... cambia lo anterior por
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
Fíjate que en lo que te comento yo se indica el puerto (953) y además lo
de la clave va entre comillas.
Un saludo
JulHer
Julio
escribió:
> # netstat -ptau | grep named
> tcp 0 0 ipdelalan:domain *:*
> LISTEN
> 7199/named
> tcp 0 0 dominiopublico:domain *:*
> LISTEN
> 7199/named
> tcp 0 0 localhost:domain *:*
> LISTEN 7199/named
> udp 0 0 *:domain *:*
> 7199/named
> udp 0 0 ipdelalan:domain *:*
> 7199/named
> udp 0 0 dominiopublico:domain *:*
> 7199/named
> udp 0 0 localhost:domain *:*
> 7199/named
> udp6 0 0 [::]:32774 [::]:*
> 7199/named
>
> Me llama la atención que no aparezcan puertos excepto en udp6, pues
> en
> options tengo
> query-source address * port 53;
>
> y el 953 debia aparecer por defecto, cierto?
En mi sistema si que está... y si no hay nadie escuchando en el 953 es
normal que te de el error que sigue abajo.
> # rndc reload
> rndc: connect failed: 127.0.0.1#953: connection refused
Eso es normal ya que no hay nadie escuchendo en ese puerto... en otro
correo enlazado mas arriba en el hilo te propongo una modificación en el
apartado controls del named.conf. Mira a ver si cambia algo y si puedes
ten en una ventana una terminal con el comando
# tail -f /var/log/daemon.log
y en otra haz un
#/etc/init.d/bind9 restart
y envianos lo que sale en la ventana del tail
Un saludo
Carlos O. Cazorla Machado
Hice el cambio para incluir el puerto y nada, aunque ese es el puerto
por defecto. Pensando en problemas de permiso, lo cambie a un puerto por
encima del 1024 y da igual.
Genere con rndc-confgen y adecue los parametros de named.conf y
rndc.conf para el caso, y tampoco funcionó.
Revisé también los permisos de los archivos en /etc/bind y estaban como
sigue:
Propietario -- root
Grupo -- bind
Los cambie tambien para probar a bind-bind, y a root-root y tampoco
funcionó!!!
Mira a ver si cambia algo y si puedes
> ten en una ventana una terminal con el comando
>
> # tail -f /var/log/daemon.log
>
> y en otra haz un
>
> #/etc/init.d/bind9 restart
>
> y envianos lo que sale en la ventana del tail
Bueno colega, sigo a oscuras pues en el daemon.log no se refleja nada.
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Carlos O. Cazorla Machado
Bueno amigos, disculpen la demora en concluir el hilo pero estuve varios
días fuera de la oficina después que se solucionó el problema, como les
debía este correo aquí va.
Después de revisar todo lo que me sugirieron los colegas en la lista, de
revisar toda la doc y de probar todo lo que se me ocurrió, incluyendo
desintalar y reisntalar BIND9, decidí probar con la solución
"informática universal" de reiniciar el sistema.
Cuando levantó, reinstalé BIND9 y todo trabajó perfecto, acepto las
zonas nuevas, los cambios en la configuración general, etc...al final no
supe cual fue la causa y realmente no usaba esta "solución" desde que
abandoné windows!!!
Una vez más gracias a todos,
--
MSc. Carlos O. Cazorla Machado
Administrador de Redes y Sistemas
e-mail: caz...@ecot.co.cu
Linux User 379000
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org