DA greift nur lokal

[Banni]

Hallo alle miteinander,

ich hab folgendes Problem mit der Directory Assistance:

2 Server: Server1/Domain1 und Server2/Domain2

Von beiden Servern aus kann ich Datenbanken des jeweils anderen Servers via Strg+O öffnen.
Auf Server1 hab ich DA aktiviert und möchte auf das DD von Server2 zugreifen. Das scheitert mit der FM im Log:

Directory Assistance could not access directory Server2/Server2 names.nsf, error: you are not authorized to use the server on remote server.

Die Suche bei google und hier brachte mich nicht weiter. Bei IBM hatte ich den Hinweis gefunden, dass fixup/updall auf die DB helfen könnte. Der Artikel bezog sich allerdings auf Notes 6 und 7 und Maildatenbanken. Habe trotzdem mal fixup/updall sowohl auf der DA von Server1 als auch auf der names.nsf von Server2 ausgeführt, leider ohne Erfolg. Auch mehrere Serverneustarts haben nichts gebracht.

Interessanterweise hat's gestern noch funktioniert. Das einzige, was ich geändert habe:
Ich habe Zugriffsgruppen erstellt und die in der Serverkonfig eingetragenen Einzelpersonen durch diese Gruppen ersetzt.

Habt ihr noch einen Tipp, wo ich hingucken kann?

Danke schon mal.

Gruß Jan

[Klafu]

Das heißt der Server hat auf die Datenbank zugriff ?
Ist die DA im Serverdokument hinterlegt ?

Chris

[Banni]

Hallo Chris,

DA im Serverdokument von Server1 ist hinterlegt.
Im Log von Server1 gibt's die Meldung:
connected to Server2/Server2
und danach die besagte FM, dass die DA nicht berechtigt ist.  

Gruß Jan

Edit: Habe testweise den Server1 auch als Manager mit allen Rollen in die ACL der names auf Server2 eingetragen, ohne Erfolg.

[Klafu]

Und wenn du es auf Server 2 auch hinterlegst ?

Chris

[Banni]

Hi Chris,

kann ich erst heute abend testen, mich wundert nur, dass es gestern vor der beschriebenen Änderung problemlos funktionierte, auch ohne die DA auf Server2 einzutragen.

Ist schon mysteriös.

Jan

[Peter Klett]

Wenn Du nur die Einzelpersonen durch Gruppen ausgetauscht hast, vermute ich, dass der Server die Gruppen noch nicht auflösen kann. Hast Du die Server seit der Änderung schon mal neu gebootet? Sind die Gruppen in beiden Adressbüchern enthalten?

Sicherlich gibt es auch noch andere Tricks (ich meine Shift F9 in der Ansicht $Users sei auch hilfreich, möglich aber, dass es nur bei Mails geholfen hat), eine Gruppenauflösung ohne Serverneustart schneller zu aktualiseren, bin aber kein Admin.

EDIT: habe gerade gelesen, dass Du schon mehrere Neustarts durchgeführt hattest. Damit ist mein Beitrag sinnfrei und als überflüssig zu ignorieren 

[m3]

2 Server: Server1/Domain1 und Server2/Domain2

Von beiden Servern aus kann ich Datenbanken des jeweils anderen Servers via Strg+O öffnen.

Du hast auf den Servern einen Client installiert, der mit der Server-ID läuft? PFUI!

Besseres Setup:
Die beiden Server Cross-Zertifizieren (das dürfte nicht geschehen sein), dann die Adressbücher gegenseitig regelmäßig replizieren und jeweils lokal in die DA einbinden.

[Banni]

2 Server: Server1/Domain1 und Server2/Domain2

Von beiden Servern aus kann ich Datenbanken des jeweils anderen Servers via Strg+O öffnen.

Du hast auf den Servern einen Client installiert, der mit der Server-ID läuft? PFUI!

Nein, habe die Clients in separaten virtuellen Maschinen installiert und greife von da aus via Adminclient mit einer ID mit Adminrechten auf die Server zu.

Server sind Crosszertifiziert.

Wie gesagt, es gibt ja auch die Meldung im Log von Server1: connected to Server2/Server2. Daher sollte die Verbindung ja auch stehen.

Jan

[Banni]

@Peter
Der Gedanke mit der Gruppenauflösung bringt mich noch auf eine Idee.

Frage: Die DA von Server1 greift vermutlich bei Server2 auf eine Ansicht in der names.nsf zu um die Berechtigung zu prüfen, aber welche? Vielleicht hat die ja einen Schlag?

Jan

[Klafu]

Sollte nicht eher der Server prüfen ob der Client / User, der die Datenbank aufmachen will, in der ACL als berechtigt steht ?

[Peter Klett]

Ich hatte ja vorhin schonmal meine Ahnungslosigkeit geoutet, aber ...

glaubst Du wirklich, dass Server 1 auf Server 2 die Berechtigungen nachschaut? Das kann ich mir nicht vorstellen.

Die Fehlermeldung lautet doch, dass vom Server 1 auf Server 2 nicht remote zugegriffen werden kann (vermutlich periodisch per Agent). Hierzu ist ein Eintrag im names (Serverdokument?) notwendig. Diesen Eintrag hast Du von Einzelpersonen in eine Gruppe geändert. Da es bisher funktionierte und nur das die Änderung ist, kann es doch eigentlich nur daran liegen. Daher vermutete ich, dass Server 1 die (neue?) Gruppe nicht auflösen kann. Diese Gruppe muss im names von Server 1 vorhanden sein und Server 1 muss die interpretieren. Auf Server 2 kann diese Berechtigung nicht definiert sein, wenn sie zum Zugriff auf Server 2 notwendig ist (Zugriff muss möglich sein, um zu prüfen, ob der Zugriff erlaubt ist? Das ist unlogisch).

Ich würde mich erstmal auf den Server 1 und dort auf die durchgeführte Änderung konzentrieren. Wenn Du die entfernten Einzelpersonen wieder dort einfügst, wo Du sie entfernt hast, wird es wohl wieder funktionieren. Das wäre dann der Beweis für meine Annahme.

Leider habe ich keine Ahnung von DA, aber Du schreibst, dass Du DA auf Server 1 aktiviert hast. Auch das klingt für mich nach einem periodischen Agenten. Und der kann nun nicht mehr periodisch auf Server 2 zugreifen.

Falls es Unsinn ist, was ich hier schreibe, bitte ignorieren. Versuche das Problem (fast) ohne administrativen Hintergrund zu durchdenken.

[Banni]

Das Problem ist gelöst.
Ich habe mir nochmal die Gruppenzuordnungen angeschaut und dabei festgestellt, dass ich im Punkt
"Who can access this Server" auf Server2 die Gruppe mit den berechtigten Servern vergessen hab einzutragen.

Danke nochmal für die Tipps.

Grüße Jan