Re: Resumen de dns-esp, Vol 70, Envío 3

Cristobal Alejandro Espinosa Muñoz cespinosa en redesecuador.com
Jue Jun 25 10:55:56 -04 2020


Buenos días

Gracias sus respuestas, ya esta resuelto con las recomendaciones de
Mauricio y Sebastián

Saludos

Cristóbal Espinosa Muñoz
RedesEcuador
0984267814


El mié., 24 jun. 2020 a las 20:32, <dns-esp-request en listas.nic.cl> escribió:

> Envíe los mensajes para la lista dns-esp a
>         dns-esp en listas.nic.cl
>
> Para subscribirse o anular su subscripción a través de la WEB
>         https://listas.nic.cl/mailman/listinfo/dns-esp
>
> O por correo electrónico, enviando un mensaje con el texto "help" en
> el asunto (subject) o en el cuerpo a:
>         dns-esp-request en listas.nic.cl
>
> Puede contactar con el responsable de la lista escribiendo a:
>         dns-esp-owner en listas.nic.cl
>
> Si responde a algún contenido de este mensaje, por favor, edite la
> linea del asunto (subject) para que el texto sea mas especifico que:
> "Re: Contents of dns-esp digest...". Además, por favor, incluya en la
> respuesta sólo aquellas partes del mensaje a las que está
> respondiendo.
>
>
> Asuntos del día:
>
>    1. Problema con dnssec (Cristobal Alejandro Espinosa Muñoz)
>    2. Re: Problema con dnssec (Mauricio Vergara Ereche)
>    3. Re: Problema con dnssec (Sebastian Castro)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Wed, 24 Jun 2020 19:48:52 -0500
> From: Cristobal Alejandro Espinosa Muñoz        <
> cespinosa en redesecuador.com>
> To: dns-esp en listas.nic.cl
> Subject: Problema con dnssec
> Message-ID:
>         <
> CANWi4z6-7TFxeNi7sPfj0Fa9wkGt1fP+fQbMuFYUTt5AzL1aQA en mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Buenas noches
>
> Quería pedir su ayuda con un problema que tengo con dnssec, al momento
> tengo 5 servidores dns para mi dominio redesecuador.com un master y los
> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que
> es diferente al resto, la configuración en los slave son todas iguales, e
> reiniciado varias veces y no hay forma de que los 5 servidores tengan el
> mismo SOA, el que tiene diferente es siempre el mismo
>
> Looks like your nameservers do not agree on the SOA serial. Ths SOA records
> as reported by your nameservers:
> *192.73.243.153 ->  2020060815*
> *209.177.156.190 ->  2020060823*
> *107.161.30.224 ->  2020060815*
> *209.177.145.237 ->  2020060815*
> *168.235.108.34 ->  2020060815*
>
> Estoy trabajando con bind-chroot en la version 9.x
>
> Si me pueden ayudar con este inconveniente
>
>
> Saludos
>
> Cristóbal Espinosa Muñoz
> RedesEcuador
> 0984267814
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/5cbaff56/attachment-0001.html
> >
>
> ------------------------------
>
> Message: 2
> Date: Wed, 24 Jun 2020 18:06:15 -0700
> From: Mauricio Vergara Ereche <mave en cero32.cl>
> To: Cristobal Alejandro Espinosa Muñoz  <cespinosa en redesecuador.com>,
>         DNS en español <dns-esp en listas.nic.cl>
> Subject: Re: [dns-esp] Problema con dnssec
> Message-ID:
>         <
> CAAk_VVhxdox9xu4QRAMi9TWUHFLFLa4en00ZDVVQ9hvh4MEkcQ en mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Hola Cristobal,
>
> Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC, sino
> con cómo se están comunicando tus servidores autoritativos entre el master
> y los slaves y entre medio se desincronizó uno de ellos.
>
> Tu query se puede ver de la misma manera que tienes en tu ejemplo:
>
> dig redesecuador.com +nssearch
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060823 3600 600
> 1209600 3600 from server 209.177.156.190 in 46 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 107.161.30.224 in 52 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 192.73.243.153 in 67 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 168.235.108.34 in 72 ms.
> SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> 1209600 3600 from server 209.177.145.237 in 74 ms.
>
> Esto significa que tu servidor autoritativo secundario
> ns2.redesecuador.com.
> tiene una zona más nueva.
>
> El fix más rápido:
>
> Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy
> 2020062400) en tu servidor primario y fuerza una recarga de zona (con BIND
> sería `rndc reload redesecuador.com`, en NSD sería `nsd-control reload
> redesecuador.com`, en Knot-DNS sería `knotc zone-reload redesecuador.com`)
> eso va a forzar un NOTIFY a los secundarios y ellos deberían actualizarse.
>
> Saludos!
>
>
>
> On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via
> dns-esp <dns-esp en listas.nic.cl> wrote:
>
> >
> >
> >
> > ---------- Forwarded message ----------
> > From: "Cristobal Alejandro Espinosa Muñoz" <cespinosa en redesecuador.com>
> > To: dns-esp en listas.nic.cl
> > Cc:
> > Bcc:
> > Date: Wed, 24 Jun 2020 19:48:52 -0500
> > Subject: Problema con dnssec
> > Buenas noches
> >
> > Quería pedir su ayuda con un problema que tengo con dnssec, al momento
> > tengo 5 servidores dns para mi dominio redesecuador.com un master y los
> > otros 4 slave, todo funciona bien excepto el SOA en un servidor slave que
> > es diferente al resto, la configuración en los slave son todas iguales, e
> > reiniciado varias veces y no hay forma de que los 5 servidores tengan el
> > mismo SOA, el que tiene diferente es siempre el mismo
> >
> > Looks like your nameservers do not agree on the SOA serial. Ths SOA
> > records as reported by your nameservers:
> > *192.73.243.153 ->  2020060815*
> > *209.177.156.190 ->  2020060823*
> > *107.161.30.224 ->  2020060815*
> > *209.177.145.237 ->  2020060815*
> > *168.235.108.34 ->  2020060815*
> >
> > Estoy trabajando con bind-chroot en la version 9.x
> >
> > Si me pueden ayudar con este inconveniente
> >
> >
> > Saludos
> >
> > Cristóbal Espinosa Muñoz
> > RedesEcuador
> > 0984267814
> >
> >
> >
> > ---------- Forwarded message ----------
> > From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <
> > dns-esp en listas.nic.cl>
> > To: dns-esp en listas.nic.cl
> > Cc:
> > Bcc:
> > Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)
> > Subject: [dns-esp] Problema con dnssec
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp en listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
> >
>
>
> --
> Mauricio Vergara Ereche
> about.me/mave
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> https://listas.nic.cl/pipermail/dns-esp/attachments/20200624/6b66a416/attachment-0001.html
> >
>
> ------------------------------
>
> Message: 3
> Date: Thu, 25 Jun 2020 13:32:10 +1200
> From: Sebastian Castro <sebas en requin.cl>
> To: Mauricio Vergara Ereche <mave en cero32.cl>, DNS en español
>         <dns-esp en listas.nic.cl>
> Cc: Cristobal Alejandro Espinosa Muñoz  <cespinosa en redesecuador.com>
> Subject: Re: [dns-esp] Problema con dnssec
> Message-ID:
>         <
> CAD4ck1Y4ec6op+2VTGjrvPmrrWM38gH83V7H1AnCushb17k9Yw en mail.gmail.com>
> Content-Type: text/plain; charset="utf-8"
>
> Hola Cristobal:
>
> Sumando a lo que comento Mauricio, seria util saber cual es el maestro y
> cuales los esclavos. Yo sospecho que, dado que ns5.redesecuador.com es el
> unico con el serial mas alto, que ese es el maestro.
>
> Durante la operacion normal de un esquema de maestro y esclavos, un cambio
> en el maestro con el correspondiente ajuste en el serial, y la recarga de
> la zona (rndc reload) deberia enviar mensajes NOTIFY a los esclavos para
> que transfieran la zona nueva.
>
> Puedes intentar conectandote a uno de los servidores con el serial atrasado
> y ejecutar *rndc retransfer redesecuador.com <http://redesecuador.com>* y
> ver si eso fuerza la actualizacion. Dependiendo de este resultado, habria
> que ver si hay errores de comunicaciones entre el esclavo y el maestro, o
> error de configuracion, o falla de los NOTIFY.
>
>
> Buena suerte!
>
> On Thu, 25 Jun 2020 at 13:06, Mauricio Vergara Ereche via dns-esp <
> dns-esp en listas.nic.cl> wrote:
>
> > Hola Cristobal,
> >
> > Por lo que puedo revisar de tu problema, no tiene que ver con DNSSEC,
> sino
> > con cómo se están comunicando tus servidores autoritativos entre el
> master
> > y los slaves y entre medio se desincronizó uno de ellos.
> >
> > Tu query se puede ver de la misma manera que tienes en tu ejemplo:
> >
> > dig redesecuador.com +nssearch
> > SOA ns1.redesecuador.com. root.redesecuador.com. 2020060823 3600 600
> > 1209600 3600 from server 209.177.156.190 in 46 ms.
> > SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> > 1209600 3600 from server 107.161.30.224 in 52 ms.
> > SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> > 1209600 3600 from server 192.73.243.153 in 67 ms.
> > SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> > 1209600 3600 from server 168.235.108.34 in 72 ms.
> > SOA ns1.redesecuador.com. root.redesecuador.com. 2020060815 3600 600
> > 1209600 3600 from server 209.177.145.237 in 74 ms.
> >
> > Esto significa que tu servidor autoritativo secundario
> > ns2.redesecuador.com. tiene una zona más nueva.
> >
> > El fix más rápido:
> >
> > Aumenta el serial a un número mayor (por ejemplo a la fecha de hoy
> > 2020062400) en tu servidor primario y fuerza una recarga de zona (con
> BIND
> > sería `rndc reload redesecuador.com`, en NSD sería `nsd-control reload
> > redesecuador.com`, en Knot-DNS sería `knotc zone-reload redesecuador.com
> `)
> > eso va a forzar un NOTIFY a los secundarios y ellos deberían
> actualizarse.
> >
> > Saludos!
> >
> >
> >
> > On Wed, Jun 24, 2020 at 5:49 PM Cristobal Alejandro Espinosa Muñoz via
> > dns-esp <dns-esp en listas.nic.cl> wrote:
> >
> >>
> >>
> >>
> >> ---------- Forwarded message ----------
> >> From: "Cristobal Alejandro Espinosa Muñoz" <cespinosa en redesecuador.com>
> >> To: dns-esp en listas.nic.cl
> >> Cc:
> >> Bcc:
> >> Date: Wed, 24 Jun 2020 19:48:52 -0500
> >> Subject: Problema con dnssec
> >> Buenas noches
> >>
> >> Quería pedir su ayuda con un problema que tengo con dnssec, al momento
> >> tengo 5 servidores dns para mi dominio redesecuador.com un master y los
> >> otros 4 slave, todo funciona bien excepto el SOA en un servidor slave
> que
> >> es diferente al resto, la configuración en los slave son todas iguales,
> e
> >> reiniciado varias veces y no hay forma de que los 5 servidores tengan el
> >> mismo SOA, el que tiene diferente es siempre el mismo
> >>
> >> Looks like your nameservers do not agree on the SOA serial. Ths SOA
> >> records as reported by your nameservers:
> >> *192.73.243.153 ->  2020060815*
> >> *209.177.156.190 ->  2020060823*
> >> *107.161.30.224 ->  2020060815*
> >> *209.177.145.237 ->  2020060815*
> >> *168.235.108.34 ->  2020060815*
> >>
> >> Estoy trabajando con bind-chroot en la version 9.x
> >>
> >> Si me pueden ayudar con este inconveniente
> >>
> >>
> >> Saludos
> >>
> >> Cristóbal Espinosa Muñoz
> >> RedesEcuador
> >> 0984267814
> >>
> >>
> >>
> >> ---------- Forwarded message ----------
> >> From: "Cristobal Alejandro Espinosa Muñoz via dns-esp" <
> >> dns-esp en listas.nic.cl>
> >> To: dns-esp en listas.nic.cl
> >> Cc:
> >> Bcc:
> >> Date: Wed, 24 Jun 2020 20:49:07 -0400 (-04)
> >> Subject: [dns-esp] Problema con dnssec
> >> _______________________________________________
> >> dns-esp mailing list
> >> dns-esp en listas.nic.cl
> >> https://listas.nic.cl/mailman/listinfo/dns-esp
> >>
> >
> >
> > --
> > Mauricio Vergara Ereche
> > about.me/mave
> >
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp en listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
> >
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> https://listas.nic.cl/pipermail/dns-esp/attachments/20200625/ce627917/attachment.html
> >
>
> ------------------------------
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
> Fin de Resumen de dns-esp, Vol 70, Envío 3
> ******************************************
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20200625/75455972/attachment-0001.html>


Más información sobre la lista de distribución dns-esp