Trotz erfolgreichem Hirachiewechsel kein Login in Client

[dorkyman]

Moin Gemeinde,

mal wieder eine Frage von Hobby-Admin Dorky. Folgendes:

User musste in der Hirachie verschoben werden (Wechsel von /Filiale1/Firma auf Filiale2/Firma). So weit so gut.  Alle Schritte sauber durchgeführt, keine Fehlermeldungen, Zertifikat gilt bis 2007. Verschiebung durch User mit OK bestätigt. User taucht korrekt im Personendokument und im Adressbuch mit neuer hirachischer Zuordnung im Domino auf (also User/Filiale2/Firma). Nun das Problem:  User will sich einloggen. Im Einloggscreen erscheint jedoch die "alte" Hirachie, demnach User/Filiale1/Firma. Gleichzeitig erscheint "Zertifikat abgelaufen" (??). 

Habe dann die ID vom Server gezogen, Ini auf der lokalen Maschine angelöscht und lokal neu eingerichtet.  Bei Abfrage des Benutzernamens bzw. der ID erscheint jedoch wiederum das "alte" Einloggscreen mit User/Filiale1/Firma! Weiter geht es nicht und Installationsvorgang bricht ab mit "Zertifikat abgelaufen"!

Was zum Teufel mache ich falsch bzw. was kann schiefgelaufen sein?

Wie immer auf eure Hilfe hoffend

Dorky

[Driri]

Wenn bei der Kennwortabfrage der alte Username steht, dann ist das eine veraltete ID, die da benutzt wird.
Wenn der User den Wechsel annimmt, müßte in dem Moment auch seine ID aktualisiert worden sein. Diese solltest Du dann auch verwenden.

[dorkyman]

Hallo Diri,

danke für Deine Antwort. Die genutzte ID "ist" die neue ID.

Grüsse

Dorky

[Semeaphoros]

Ueberprüfe mal die ID, ob es wirklich diejenige ist, die Du meinst, indem Du sie mal vom Admin-Client her auslesen lässt

[dorkyman]

Danke Semeaphoros,

Bingo .. ist tatsächlich die alte ID. Wo kann die neue gelandet sein? Es gibt nur diese eine ID im ID-Verzeichnis!!??

Grüsse

Dorky

[HRaq]

Hi,

bist du sicher, dass der User das neue Zertifikat korrekt in die ID eingefügt hat? Oder hat er nur Mail gelesen und dachte, das wars?

[dorkyman]

Hallo HRaq,

definitiv ja, denn ich war dabei!

Grüsse

Dorky

[Driri]

Schau doch mal in der INI nach, welche ID der User da verwendet. Evtl. hat er die korrekte ID ja auf nem ganz anderen Laufwerk liegen.
Da gibts nen Eintrag mit CertificateChecked oder so, da steht der Pfad und Name der ID mit bei.

[dorkyman]

Hallo Diri,

da steht nur: "CertificateExpChecked=user.id 12.01.2005", also vom heutigen Tag. Scheint aber bei allen Usern (inkl. mir) so zu sein. Fragt also das Tagesdatum wohl ab.

Die ID ist übrigens korrekt im Dataverzeichnis des Users.

Tja, was tun ...

Grüsse

Dorky

[Driri]

Okay, wenn da kein Pfad angegeben ist, ist immer die entsprechende ID im DATA-Verzeichnis gemeint.
Ich würde trotzdem nochmal vorsichtshalber auf dem PC nach IDs suchen.

Ansonsten fällt mir spontan nur die Holzhammermethode ein. User löschen, Maildatenbank behalten, User neu zertifizieren.

Problem ist dann allerdings, daß evtl. verschlüsselte Mails etc. nicht mehr lesbar sind, da der User einen neuen Key erhält.

Bin aber auch eher Gelegenheitsadmin, evtl. hat ja noch jemand eine andere Idee.

[dorkyman]

Hallo Diri,

tja, Suche hat nix ergeben - es gibt nur die eine Notes-ID auf dem PC.  Bleibt wohl tatsächlich nur deine beschriebene Vorgehensweise.

Damit ich das mit der Neuregistrierung/Neuzertifizierung auch richtig verstehe: User wird im Admin gelöscht und neu angelegt und zertifiziert. Da die Mail-Datenbank beim Registrationsprozess ja die gleiche wäre, benenne ich Sie statt user.nsf als user2.nsf. Wenn User neu angelegt ist, wird der Client neu auf dem PC installiert (mit Maildatenbank user2.nsf). Nach der Installation wird im Verbindungsdokument unter Mail user2.nsf mit user.nsf ersetzt. Ist das korrekt?

Aber erstmal Danke für eure Hilfe. Was wäre ich ohne euch...

Beste Grüsse

Dorky

[Semeaphoros]

Wenn es keine verschlüsselten Sachen gibt, ist das bestimmt die einfachste Variante, sonst versuchen, über eine Rezertifizierung der ID mit der alten Cert.ID und dann die Umbenennung nochmal durchführen. Keine Ahnung, ob das zum Erfolg führt, da ich so einen Fall zum Glück noch nie hatte .....

[dorkyman]

Hallo Semeaphoros,

gott sei Dank keine verschlüsselten Sachen - also werde ich wie beschrieben vorgehen.

Herzlichen Dank noch mal an alle.

Bis zum nächsten Desaster...

Grüsse

Dorky

[Driri]

Beim Zertifizieren des neuen Users kannst Du als Server für die Maildb einfach Lokal angeben, dann wird die DB auf deinem PC angelegt. Dann mußt Du nur das Personendokument im Directory anpassen und da den korrekten Server eintragen. Ist einfacher, als ne zweite DB auf dem Server anzulegen (ok, ist Geschmackssache, ich machs auf jeden Fall immer so  )

[Heiggo]

Gibt es eigentlich irgendeinen Grund, warum man sich die user.id nicht einfach schnappt und das Teil manuell mit der korrekten ZertifiziererID rezertifiziert? Dasd Kennwort ist doch offensichtlich bekannt.
Im ersten Durchlauf Rezertifizierungs-meckert der dann doch, das kein passendes Personendokument gefunden wird (weil da ja schon was von Filiale2/Firma gefaselt wird). Danach das ganze nochmal um ID-Datei und Personendokument "zu synchronisieren" und dann sollte das doch auch gehen, ohne Gefahr zu laufen, das doch irgendwas verschlüsselt war und nach einer Neuzulassung nicht mehr lesbar ist.

[Semeaphoros]

Müsste eigentlich funktionieren

[Heiggo]

Müsste eigentlich funktionieren

Na ja... ich hab nicht gezählt, aber in meiner kurzen Zeit als Domina-Administrator hat´s mit Sicherheit mehr als 30-40 mal geklappt und mindestens 0 (in Worten Null) mal nicht geklappt  .
Schätze, die Chancen stehen auf "gut"