Verbindung zwischen zwei Servern will einfach nicht

[Sven Lag]

Hallo zusammen,

wir versuchen nun schon seit zwei Wochen eine Verbindung zwischen zwei DominoServern einzurichten. Inzwischen wird immerhin ein trace in beide Richtungen beantwortet. Das wars dann aber auch schon.

Es handelt sich um einen Domino 5.0.11 auf W2K und einen Domino 6.5.1 auf Linux. Beide als Einzelsystem in ihrer eigenen Notes-Domäne.

Wir haben Verbindungsdokumente auf beiden Servern eingerichtet.
Wir haben inzwischen die mit der jeweiligen cert_id eine Gegenzertifizierung mit der cert_id, server_id und der admin_id des anderen Servers durchgeführt.
Außerdem haben wir die server_id und die admin_id gegeneinander zertifiziert.

Wenn wir nun ein trace auf dem 5.0.11er ausführen erhalten wir die Meldung, dass das Verbindungsdokumnet gefunden und die Verbindung aufgebaut ist.
Auf dem 6.5.1er kommt die Open und Closed Session Meldung.
Sollte meines erachtens auch so sein, oder

Wenn wir aber ein trace auf dem 6.5.1er ausführen, erhalten wir die Meldung, dass das Verbindungsdokument gefunden wurde, aber eine Verbindung nicht aufgebaut werden kann, weil wir nicht autorisiert sind.
Auf dem 5.0.11er kommt analog dazu die Zugriff Verweigert Meldung.

Mit den Clients und der admin_id des 5.0.11er Servers ist ein Zugriff auf den 6.5.1er möglich, umgekehrt nicht.


Was also machen wir falsch???

Noch einmal zu den Servern, der 5.0.11er ist sinnigerweise von ein paar "Experten" so installiert worden, dass Servername, Organisationsname und Domänenname gleich sind, kann dass Probleme machen???

Wir haben nur eine Gegenzertifizierung mit einer Secure_id durchgeführt, die restlichen Gegenzertifizierungen wurden mit der richtigen ID-Datei durchgeführt. Dennoch tauchen sie in den Zertifikatslisten auf.
War das ein Fehler



Wir haben eine relativ aktuelle Kopie des 5.0.11er Servers und eine Neuinstallation des 6.5.1er mit jeweils einem Client-Rechner (Notes 6.5.1) in einer Testumgebung und brauchen keine Rücksicht auf die Produktion nehmen.


Mit bestem Dank im Vorraus
Sven

[Glombi]

Was steht denn jeweils im Serverdokument unter "Wer darf auf diesen Server zugreifen" ? (Tab Sicherheit)

Was meinst Du GENAU mit

Noch einmal zu den Servern, der 5.0.11er ist sinnigerweise von ein paar "Experten" so installiert worden, dass Servername, Organisationsname und Domänenname gleich sind, kann dass Probleme machen???

Haben die Server den gleichen Namen der Organisation ? Wurden aber zwei physikalisch unterschiedliche Certifier verwendet? Falls ja, kann es nicht gehen - richtigerweise, denn alles andere wäre ein Sicherheitsleck!

Andreas

[Sven Lag]

Moin Andreas,

zu der Namensgebung:
Beispiel: 5.0.11er Server heißt dom/dom @ dom

Wir hatten den 6.5.1er erst domino2/dom @ dom nennen wollen, haben diesen aber bereits neu installiert, da gar nichts ging und wir vermuteten, dass es an dem ".../dom..." lag. (War die vermutung richtig ?)
Jetzt haben wir den neuen Server domino2/dom2 @ acme genannt.

Zur Info: Wir wollen bewusst keinen neuen Server in die Domäne des alten Servers hängen. Die alte Büchse hat so viele Macken, dass wir lediglich einige Datenbanken auf den neuen replizieren wollen, bis die Migration beendet ist.



zu den Serverdokumenten:

der 5.011er hat unter Serverzugriff eingetragen:
dom/dom, ADMIN-Gruppe, OtherDomainServers, LocalDomainServers, ADMIN

der 6.5.1er hat unter Serverzugriff eingetragen:
All users can access this server


Ich hatte bei der ersten Installation des 6.5.1er mal versucht die Daten vom 5.0.11er Server und Admin einzugeben, ohne Erfolg.
Bei der neuen Installation habe ich es ehrlich gesagt noch nicht probiert, wird zumindest auf dem 5.0.11er sofort nachgeholt.

Sven

[Sven Lag]

Ich habe nun im 5.0.11er den Text domino2/dom2 eingegeben und siehe da....,

zumindest der trace läuft nun in beide Richtungen.


Bei dem Versuch eine Datenbank (Mail-Datei des 5.0.11er Admins) auf den 6.5.1er zu replizieren, bekommen wir aber immer noch die Fehlermeldung dass der 6.5.1er Lesezugriff auf die Datenbank haben muss.

Wir haben wie im Serverdokument den Text domino2/dom2 eingegeben, aber es klappt halt nicht,
gibt es eine andere Möglichkeit, den Zugriff zu gestatten?
Im Serverdokument auf dem 6.5.1er ist der 5.0.11er berechtigt, neue Repliken zu erstellen.

Sven

[Glombi]

Wir hatten den 6.5.1er erst domino2/dom @ dom nennen wollen, haben diesen aber bereits neu installiert, da gar nichts ging und wir vermuteten, dass es an dem ".../dom..." lag. (War die vermutung richtig ?)

Die Vermutung ist korrekt.

bekommen wir aber immer noch die Fehlermeldung dass der 6.5.1er Lesezugriff auf die Datenbank haben muss

Um welche Datenbank handelt es sich? Was steht in der ACL?

Andreas

[Sven Lag]

Sorry, ist etwas unübersichtlich und durcheinander geworden, also auf ein neues.


Ich möchte stellvertretend die Mail-Datei des 5.0.11er Admins auf den 6.5.1er replizieren.
ACL:
5.0.11er Admin: Manager
dom/dom: Manager
LocalDomainServers: Manager
OtherDomainServers: Manger
6.5.1er Admin: Manager
LocalDomainAdmins: Manager (vom 6.5.1er)


Im Serverdokument des 5.0.11er steht nun der 6.5.1er in Serverzugriff.

Im Serverdokument des 6.5.1er steht der 5.0.11er in Create new replicas.


Sven

[Glombi]

Ich vermisse den domino2/dom2 in der ACL 1 und den dom/dom in der ACL 2. Falls der nicht in der Gruppe LocalDomainServers steht (was natürlich nicht de Fall sein sollte!) scheitert die Replikation. Ich würde die Server zunächst mal beide namentlich in die ACL eintragen.
Dann jeweils den gegnerischen Server in die Gruppe OtherDomainServers und diese Gruppe dann in die ACL.

Andreas

[Sven Lag]

Hallo Andreas,

der dmino2/dom2 ist in der ACL auf dem 5.0.11er mit Managerrechten eingetragen. ist mir bei dem Stress hier beim letzen Posting leider durch die Lappen gegangen.
(Ich glaube das bezeichnest du als ACL1)


Was du allerdings mit ACL2 bezeichnest, kann ich nicht nachvollziehen.
Ich habe noch keine Replik der Datenbank auf dem neuen Server, und demnach auch keine ACL 

[Sven Lag]

Hallo zusammen,

Ich habe inzwischen festgestellt, dass es Möglich ist, eine Replik auf dem 6.5.1er zu erstellen, indem man eine Datenbank auf dem 5.0.11er öffnet und dann unter Datei-Datenbank-Neue Replik erstellen eine solche auf dem 6.5.1er ablegt. 

Was aber noch immer nicht klappt, ist das Anlegen einer Replik über den Administrator.
Auf der Registerkarte Dateien kann man rechts unter Werkzeuge-Datenbank den Punkt Replik(en) erstellen... auswählen.

Wenn ich hier den neuen Server angebe sollte kurz darauf der AdminProzess die Replikation ausführen. Jedoch endet dies immer wieder in irgendwelchen Fehlermeldungen, die sich während meiner vielen Versuche immer wieder änderten. 
Ich habe inzwischen die beiden Server und Administratoren an so vielen Stellen eingetragen, dass ich bald selber nicht mehr durchblicke. 

Kann mir einer sagen welche Konten ich wo angeben muss ?


Sven