Lotus Domino und aktualisierung des AD

[corrado]

Hallo zusammen,

ich habe folgendes Problem:

Ich führe bei meinem Arbeitsgeber ein Projekt für die Aktualisierung der Personendaten im Active Directory aus dem Domino Directory. Ich lese die Daten aus den Personendokumenten in Domino Directory und aktualisiere die entspechenden Felder ins AD. Dafür habe ich einen Skript geschrieben und alles funktioniert prima, aber nur wenn die Aktualisierung manuell aus einem Lotus Notes Client starte, der in der Domäne ist.

Wenn ich versuche den Agent als scheduled vom Domino server zu starten, dann aktualisiert er gar nix 

Der Domino Server (ver. 6.5 auf W2K3) zeigt in der Log keinen Fehler: der Agent startet und endet ohne Fehler aber das AD wird nicht aktualisiert.
Der Skript aktualisiert das AD über LDAP commands

Wa mache ich falsch ? 

Vielen vielen Dank im Voraus für eure Hilfe 

[m3]

Ich weiß zwar nicht, was Du mit LDAP-Commands meinst, aber IMHO ist das ein Rechte-Problem, das Du mit ein wenig mehr/besserem Error-Handling sehen würdest.

Wenn Der Agent auf dem Server läuft, hat er OS-technisch gesehen die Rechte des Domino-Dienstes, also im Normalfall jene des "System" Users. Und das wird zu wenig sein, um in ein AD schreiben zu können. Lokal auf Deinem Rechner hat der Agent auf OS-Ebene die Rechte des gerade angemeldeten Users und damit vermutlich ausreichend Rechte.

[corrado]

Hallo m3 und danke für die schnelle Antwort.

Ich denke auch an ein Rechte-Problem, nur ich weiß nicht, wie in dem Skript, mich als Administrator für den task anmelden kann. Gibt es eine solche Moglichkeit ?

Noch mal danke !

[m3]

Script? Was für ein Script?

Meinst Du LotusScript-Code, das als Agent im Domino-Server ausgeführt wird?
In diesem Fall hast Du zunächst die Zugriffseinschränklungen innerhalb von Notes (Restricted Operations, etc.). Wenn die passen und Du greifst auf Ressourcen außerhalb des Domino-Servers zu, dann geschieht dies mit den Rechten und Einschränkungen des Windows-Users, unter dem Domino läuft (üblicherweise "System").
Dies kannst Du mit Notes-Mitteln nicht ändern. Dein Windows-Admin müsste den Domino-Server dann unter einem (Domain)-Account laufen lassen, der die für deine Aktionen notwendigen Rechte (AD-Zugriff, ...) verfügt.


@All: korrigiert mich, wenn ich falsch liegen sollte. Mein Windows-Admin-Wissen hab ich erfolgreich fast verdrängt.

[corrado]

Hallo M3,

sorry, da liegst du  schon richtig. Ich meine einen Lotus Script.

Das Problem mit der Rechtevergabe in dem Agent hatte ich bereits berücksichtigt (3. Allow restricted operations with full administration rigths) aber das Problem mit den Windows Rechte macht mir Sorgen ...

Danke für die Unterstützung 

[umi]

Ich würde auch sagen, dass der Windows Account des Domino Servers da keine Rechte hat das AD zu ändern

[corrado]

Hallo zusammen,

ich bedanke mich für die Antworten. Ich werde veranlassen, dass der Domino Task mit Admin-Rechte läuft.
Dann werde ich selbstverständlich euch Feedback geben

Noch mal Danke !

Gruß
Corrado

[Tode]

da wird Dir Dein Admin aber kräftig auf die Füsse treten... Es gibt verschiedene Methoden, den Server zu starten, jede hat Ihre eigenen Vor-/Nachteile:

1. (meist Standard) Domino wird als Dienst mit dem Systemkonto gestartet
Vorteile:
- Keine Anmeldung an der Maschine nötig
- automatischer Start
- Domino Konsole erscheint auf dem Desktop
Nachteile:
- Das System- Konto hat keinerlei Netzwerk - Credentials / Berechtigungen in der AD, etc.
- Damit sind Zugriffe auf Netzlaufwerke (unter Beachtung von Sicherheitsaspekten) unmöglich

2. (wird oft verwendet, wenn der Server ein Kennwort hat): Domino läuft als Anwendung, läuft dann mit den Rechten des Benutzers der ihn startet
Vorteil:
- Alle Rechte die der Benutzer hat (AD, Netzwerk, lokal) hat auch der Domino- Dienst
- Die Domino- Konsole ist sichtbar
Nachteile:
- Wird der Benutezr abgemeldet, dann beendet sich auch der Domino- Server
- kein automatischer Start, da Domino erst getsartet werden kann, wenn jemand angemeldet ist
- evtl. niedrige Prioritäten im OS (da bin ich mir aber nicht sicher)

3. "Zwischending": Domino läuft als Dienst, aber es wird ein Benutzer angegeben, unter dem der Dienst läuft.
Vorteile:
- Automatischer Start ohne Anmeldung
- Domino hat Netzwerk- Credentials
- Berechtigungen (Windows) sind einfach zu vergeben...
Nachteile:
- Bei einem Dienst, der als Benutzer ausgeführt wird, kann das Häkchen für den Austausch mit dem Desktop nicht gesetzt werden: Die Domino- Konsole (und damit die direkte Rückmeldung, ob der Server läuft oder nicht) wird auf dem Rechner nicht mehr angezeigt. Das kann man zwar über einen Start mit dem Switch "-jc" umgehen, indem man die Java- Console anzeigt, davon bin ich persönlich aber nicht sonderlich begeistert, weil ich das Gefühl habe, dass der Server damit instabiler läuft...

Ich als Admin würde diesen Nachteil nicht in Kauf nehmen...

Tode