Local resolving checks failed for domain  [GELÖST]

Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Local resolving checks failed for domain  [GELÖST]

Post by Blackmoon »

Guten Morgen zusammen,
ich habe grundsätzlich das gleiche Probleme wie hier beschrieben.
Allerdings geht es um eine Sub(Sub)domain, die schon etwas länger existiert (5-6 Monate). Ein Aufruf der Adresse im Browser und Intenetanschluss der der Wahl ist problemlos möglich.

Fehlereldung im Protokoll:

Code: Select all

[25-Nov-2019 00:01:02] INFO  --> Using certificate authority: "https://acme-v02.api.letsencrypt.org/" (LIVE).
[25-Nov-2019 00:01:02] INFO  --> Getting endpoint URLs.
[25-Nov-2019 00:01:02] INFO  --> Account "server02-cockpit" already registered. Continue.
[25-Nov-2019 00:01:02] INFO  --> Requesting Key ID.
[25-Nov-2019 00:01:02] INFO  --> Sending signed request to "https://acme-v02.api.letsencrypt.org/acme/new-acct".
[25-Nov-2019 00:01:03] INFO  --> Start certificate generation.
[25-Nov-2019 00:01:04] ERROR --> a lets encrypt error occurred: Local resolving checks failed for domain "cockpit.server02.x.y".
Martin wrote: local resolv check ist ein interner Check, kann der Server selbst die Domain denn korrekt auflösen?
Ja, nachstehend die Prüfungen meinerseits direkt auf dem Server via SSH.

Code: Select all

root@server02:~# nslookup cockpit.server02.x.y
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
cockpit.server02.x.y      canonical name = server02.x.y.
Name:   server02.x.y
Address: 127.0.1.1

Code: Select all

root@server02:~# ping cockpit.server02.x.y
PING server02.x.y (127.0.1.1) 56(84) bytes of data.
64 bytes from server02.x.y (127.0.1.1): icmp_seq=1 ttl=64 time=0.046 ms
64 bytes from server02.x.y (127.0.1.1): icmp_seq=2 ttl=64 time=0.044 ms
64 bytes from server02.x.y (127.0.1.1): icmp_seq=3 ttl=64 time=0.066 ms
64 bytes from server02.x.y (127.0.1.1): icmp_seq=4 ttl=64 time=0.080 ms
^C
--- server02.x.y ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3071ms
rtt min/avg/max/mdev = 0.044/0.059/0.080/0.014 ms

Code: Select all

root@server02:~# wget -6 https://install.keyhelp.de/testfile100M.bin
--2019-11-25 09:15:31--  https://install.keyhelp.de/testfile100M.bin
Resolving install.keyhelp.de (install.keyhelp.de)... 2001:1b60:2:11:913:101:be57:cafe
Connecting to install.keyhelp.de (install.keyhelp.de)|2001:1b60:2:11:913:101:be57:cafe|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 104857600 (100M) [application/octet-stream]
Saving to: ‘testfile100M.bin’

testfile100M.bin                                            100%[========================================================================================================================================>] 100.00M  54.1MB/s    in 1.8s

2019-11-25 09:15:33 (54.1 MB/s) - ‘testfile100M.bin’ saved [104857600/104857600]

root@server02:~# wget -4 https://install.keyhelp.de/testfile100M.bin
--2019-11-25 09:15:38--  https://install.keyhelp.de/testfile100M.bin
Resolving install.keyhelp.de (install.keyhelp.de)... 62.141.56.232
Connecting to install.keyhelp.de (install.keyhelp.de)|62.141.56.232|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 104857600 (100M) [application/octet-stream]
Saving to: ‘testfile100M.bin.1’

testfile100M.bin.1                                          100%[========================================================================================================================================>] 100.00M  37.2MB/s    in 2.7s

2019-11-25 09:15:41 (37.2 MB/s) - ‘testfile100M.bin.1’ saved [104857600/104857600]
Jolinar wrote: Ergänzende Fragen:
Steht der Server hinter einer Firewall?
Wird der Zugriff über einen Proxy realisiert?
Ist IPv6 korrekt eingerichtet?
Nein, iptables.
Nein.
Ja.

Standardmäßig ist die DNS-Zone für die Domain deaktiviert. Ich habe für meine Tests temporär den Parameter "DNS für diese Domain deaktivieren" wieder deaktivert. Leider bleibt das Ergebnis das Selbe.


Gruß,
Dani
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Hallo zusammen,
könnte es ein Zusammenhang/Konfikt zwischen der Internetadresse für den Aufruf von Keyhelp und der Subsubdomain geben?
Keyhelp ist unter server02.x.y erreichbar. Dass Cockpit unter der Adresse cockpit.server02.x.y.

Die letzte Erneuerung des Zertifikats fand am 14.09.2019 dieses Jahres statt. Könnte es sein, dass seitdem etwas an dem Prozess/Module im Quellcode verändert wurde, was ein Sub Subdomain Problem hervorrufen könnte?

/Dani
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Local resolving checks failed for domain

Post by Florian »

Hallo,

welcher Nameserver wird in der resolv.conf primär abgefragt?

Wenn der Server sich selbst abfragt udn Ihre Subsubdomain ein Teil der Keyhelp Domain ist, dann schaut er in der Zone /etc/bind/keyhelpdomain.conf

Wenn dort kein A Record existiert kann er die Domain nicht auflösen.

Dann entweder die resolv.conf ändern oder den A-Eintrag in der Zonendatei hinzufügen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Guten Abend.
welcher Nameserver wird in der resolv.conf primär abgefragt?
127.0.0.53.
Wenn der Server sich selbst abfragt udn Ihre Subsubdomain ein Teil der Keyhelp Domain ist, dann schaut er in der Zone /etc/bind/keyhelpdomain.conf
In der von dir genannten Datei gibt es einen Wildcard Eintrag für die Subdomain server02.x.y.

Code: Select all

* IN A 116.x.y.z
* IN AAAA 2a01:4f8:x:y::1
Das sollte soweit passen, oder? Sonst würde auch mein Ping, welchen ich oben gepostet habe, nicht erfolgreich sein.
Wobei, wenn ich für die SubSubdomain die DNS-Zone in KeyHelp deaktivert habe, dürfte das gar nicht zum Tragen kommen, oder?

/Dani
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: Local resolving checks failed for domain

Post by Florian »

Hi,

wie sieht die /etc/hosts aus? Stimmt da alles?
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Guten Abend,
selbstverständlich, da spielt man doch nicht rum. ;)
Sicherheitshalber nachstehend der Inhalt der Datei /etc/hosts:

Code: Select all

127.0.1.1 server02.x.y server02
127.0.0.1 localhost

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
/Dani
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: Local resolving checks failed for domain

Post by Martin »

Hallo,

hier sollte eine Zeile

Server-IP Hostname

enthalten sein.
Viele Grüße,
Martin
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Guten Abend.

Code: Select all

hier sollte eine Zeile
Hm, ich habe gerade andere Instanzen mit KeyHelp angeschaut. Den Eintrag gibt so wie von dir beschrieben nirgends bei uns.
Wird der Eintrag von KeyHelp bei der Installations gesetzt?


/Dani
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Local resolving checks failed for domain

Post by OlliTheDarkness »

Blackmoon wrote: Wed 27. Nov 2019, 20:06 Guten Abend.

Code: Select all

hier sollte eine Zeile
Hm, ich habe gerade andere Instanzen mit KeyHelp angeschaut. Den Eintrag gibt so wie von dir beschrieben nirgends bei uns.
Wird der Eintrag von KeyHelp bei der Installations gesetzt?


/Dani
Moin,
normalerweise würde ich sagen , "das sollte dir zu denken geben", aber das spar ich mir diesmal. ** Mist habs doch gesagt** :lol:

Spass bei Seite.

Code: Select all

127.0.0.1	localhost
123.123.123.123	sub.main.de	sub

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
1a23:2f1:123:11::1 sub.main.de sub
So sollte es im Normalfall aussehen.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
derFu
Posts: 99
Joined: Sat 28. Apr 2018, 18:46

Re: Local resolving checks failed for domain

Post by derFu »

Guten Abend!

Das war mir neulich schon ausgefallen.
Bei mir sind die Zeilen mit IPv4 (und IPv6) bei allen Servern außer den Cloud-Servern von Hetzner vorhanden. Bei den Hetzner-Cloud-Servern steht stattdessen
127.0.1.1 sub.main.tld sub
Hatte mir nichts dabei gedacht, bisher gab es trotzdem keine Probleme mit Let's Encrypt.
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Guten Abend,
vielen Dank für die zahlreichen Rückmeldungen.
normalerweise würde ich sagen , "das sollte dir zu denken geben", aber das spar ich mir diesmal. ** Mist habs doch gesagt** :lol:
Könnte von mir sein. ;-)
Bei mir sind die Zeilen mit IPv4 (und IPv6) bei allen Servern außer den Cloud-Servern von Hetzner vorhanden. Bei den Hetzner-Cloud-Servern steht stattdessen
Es handelt sich hierbei um meinen privaten Server bei Hetzner (Cloud). Daher habe ich vorher bei domainFACTORY kurz eine Jiffybox hochgezogen. Auch dort von der Subdomains in /etc/hosts nicht zu sehen.Zusätzlich noch Server meines Arbeitgebers angeschaut. Die drei Stück sind bei drei unterschiedlichen Webhostern (Hetzner, Hosteurope, IP-Projects) gehostet. Auch dort ist von den Zeilen nichts zu finden.
Hatte mir nichts dabei gedacht, bisher gab es trotzdem keine Probleme mit Let's Encrypt.
So ist bzw. war es bis dato bei mir auch. Andere (Sub)domains laufen ohne Probleme. Nur die SubSubDomain macht Ärger. :(

Frage an die Jungs von KeyWeb:
Soll ich mit der manuellen Erweiterung der Datei /etc/hosts noch warten, um evtl. bei Ursachenforschung das eine oder andere noch Testen zu können? Das Zertifikat gilt ja noch ein paar Tage. :-)

/Dani
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Local resolving checks failed for domain

Post by Alexander »

Blackmoon wrote: Wed 27. Nov 2019, 20:06 Hm, ich habe gerade andere Instanzen mit KeyHelp angeschaut. Den Eintrag gibt so wie von dir beschrieben nirgends bei uns.
Wird der Eintrag von KeyHelp bei der Installations gesetzt?
Die /etc/hosts wird nur geändert, sofern du den Hostnamen ändern lässt. Entweder bei der Installation, oder später über "Konfiguration" -> "Hostnamen". Hierbei werden aber keine Zeilen entfernt oder ergänzt, es erfolgt lediglich eine Änderung des Hostnames (quasi nur Suchen + Ersetzen).
Soll ich mit der manuellen Erweiterung der Datei /etc/hosts noch warten, um evtl. bei Ursachenforschung das eine oder andere noch Testen zu können?
Da wie eingangs erwähnt die Datei seitens KeyHelp nur peripher angefasst wird, kannst du gern loslegen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Blackmoon
Posts: 345
Joined: Sat 1. Dec 2018, 16:42

Re: Local resolving checks failed for domain

Post by Blackmoon »

Guten Morgen Alex,
ich habe die Datei /etc/hosts entsprechend ergänzt:

Code: Select all

116.203.x.y server02.x.y server02 cockpit.server02.x.y
2a01:4f8:x:y::1 server02.x.y server02 cockpit.server02.x.y
Danach sicherheitshalber noch einen Neustart des Servers - sicher ist sicher.

Die Namensauflösung funktioniert korrekt:

Code: Select all

root@server02:~# nslookup cockpit.server02.x.y
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   cockpit.server02.x.y
Address: 116.203.x.y
Name:   cockpit.server02.x.y
Address: 2a01:4f8:x:y::1
Leider schlägt die Erneuerung des Zertifikats nach wie vor - mit dem selben Grund - fehl. :(

Ist es technisch vorgesehen, dass KeyHelp über eine Subdomain erreichbar ist und eine weitere Application über eine Subdomain der Subdomain erreichbar ist?

/Dani
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Local resolving checks failed for domain

Post by OlliTheDarkness »

Musste grade zu meinem Entsetzen feststellen das ich bei einigen Subdomains das selbe (Post 1) Problem habe.
DNS Einstellungen sind korrekt und seit ewigkeiten unverändert.
Vorher auch nie Probleme gehabt...

Wollte das nur mal kurz berichtet haben.
Bin dann mal auf Fehlersuche ^^

Gruß:
Das Olli war´s :D
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Local resolving checks failed for domain

Post by Alexander »

@Blackmoon

Wenn immer noch...

Code: Select all

a lets encrypt error occurred: Local resolving checks failed for domain "cockpit.server02.x.y".
...als Fehler angezeigt wird, dann würde ich ganz gern mal bei dir die neue Version der LE-Zertifikats-beziehen-Datei bei dir Testen. Habe die Methode der Überprüfung überarbeitet. In diesem Zuge könnte ich auch einmal schauen, was "ihm" bei der lokalen Überprüfung nicht passt.

Meld dich per PM, wenn Interesse besteht.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Locked