Mail-Routing läuft nicht

[Sven Lag]

Hallo zusammen,

ich möchte das Mail-Routing zwischen unserer alten 6.5er-Domäne und einer neuen 8.5er-Domäne (z.Z. nur zum Testen) aktivieren. Nachdem ich schon seit Tagen relativ Erfolglos sehr viel Zeit damit verbracht habe hoffe ich auf Hilfe hier im Forum.

Ich habe auf dem 8.5er-Server ein Verbindungsdokument erstellt, und dort das Mail-Routing zum alten Server aktiviert.
Im Gegenzug wurde auf dem alten 6.5er Server ein Verbindungsdokument erstellt, und dort das Mail-Routing zum neuen Server aktiviert.

Auf beiden Systemen wurden Dummy-User im Adressbuch erzeugt, mit denen das Routing zwischen den Systemen getestet werden sollte.

Beim ersten Test gab es auf beiden Systemen eine Fehlermeldung, die auf ein fehlendes Gegenzertifikat schließen lies. Also habe ich folgendes durchgeführt:

1. Auf beiden Systemen eine sichere ID aus der Server-ID erzeugt.

2. Erzeugen eines Gegenzertifikates auf dem 8.5er-System, indem ich im Administrator das Register Konfiguration geöffnet habe und unter Werkzeuge Zertifizierung-Gegenzertifizierung aufgerufen habe.
Im folgenden Fenster "Zertifizierer wählen" wurde unter Server der 8.5er Server angegeben und unter Zertifizierer-ID die cert-ID der 8.5er-Domäne.
Nach der Passwortabfrage wird im Fenster "ID zur Gegenzertifizierung wählen" die "SAFE.ID" des 6.5er-Servers ausgewählt.
Im nächsten Fenster "Gegenzertifikat ausstellen" wurden alle Werte belassen.

3. Analog dazu wurde auf dem 6.5er-System der 8.5er-Server Gegenzertifiziert.


Die Zertifikate werden jeweils unter Notes Cross Certificates angezeigt, dennoch erhalte ich folgende Fehlermeldung, die ich nicht zu interpretieren weiss:

No message transferred to >IP< via Notes: The subject´s public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.

Im Server-Log steht dann aber auch nicht mehr.


Ein trace vom 8.5er- zum 6.5er-Server zeigt, dass die Verbindung möglich ist, ich aber nicht autorisiert bin.
Umgekehrt wird nur angezeigt, dass eine Verbindung möglich ist.

Zum Testen hatte ich bereits ANONYMOUS in Server-Access eingetragen, ohne dass sichetwas geändert hätte.


Zu erwähnen wären noch die Namen:
Domäne                 alt: abc         neu: CORP
Organisation           alt: abc          neu: abc
OU                        alt: -            neu: SRV
Servername            alt: domino      neu: s80


Was könnte ich falsch gemacht, oder vergessen haben?


Gruss Sven

[Cebe1]

Versuch es mal mit einem Dokument " Benachbarte Domäne".

[Sven Lag]

Hi Cebe1,

ich glaube nicht, dass mich das weiter bringt, nach meinem Verständniss muss das Verbindungsdokument in jeder Domäne reichen, damit sich die Domänen finden.
Wie bereits beschrieben zeigt ein trace auch die gegenseitige Erreichbarkeit an.
(Die Domänen befinden sich im selben Netzwerksegment und haben benachbarte IP´s)

Weiterhin bin ich der Meinung, dass Dokumente für benachbarte Domänen dazu dienen, Mail-Routing zu blockieren, wenn ein System nicht als Relay benutzt werden soll.

Gruss
Sven

[Wolfgang]

Hallo Sven,

ich schließe mich Christians Vorschlag an und glaube, dass Dich das schon weiter bringt. 

Die Verbindungsdokumente regeln, zwischen welchen Servern die Verbindung aufgebaut wird, wenn man von einem ein "Notes-Netzwerk" in ein anderes routet. Das kann auch innerhalb einer Notes-Domäne nötig sein.

Damit sich die Domänen finden, brauchst Du noch das Domänendokument.

Gruß
Wolfgang

[pete_bla]

Hallo Sven

Zu deiner Meldung:

The subject´s public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.

und

Zu erwähnen wären noch die Namen:
Domäne                 alt: abc         neu: CORP
Organisation           alt: abc          neu: abc
OU                        alt: -            neu: SRV
Servername            alt: domino      neu: s80

die Frage:
Hast du eventuell die 'abc' Organisation auf dem Neuen Server, beim Setup neu angelegt?
(beim Setup den gleichen Namen angegeben)
Dann hast du 2 gleich lautende Organisationen, mit unterschiedlichem Schlüssel!
Da hilft Dir auch ein 'Gegen-Zertifizieren' nicht.

Empfehlung:
erzeuge im Adressbuch des 6ers einen 'Neuen Server' und
installieren den 8er als 'zweiten Server' (der kann dann aber gleich auf eueren Produktiven zugreifen!),
oder erzeuge ein neues Zertifikat "DEF" für eure Testumgebung,
das kannst du dann gegenzertifizieren.


Ansonsten:
- ist für die Server ein 'Public-Key-Check' aktiv?
- welche Schlüssellänge hat das Zertifikat vom 8.5er Server ?

Gruss, Pete(r)

[Sven Lag]

Moin pete_bla,

zu deiner Frage:
Die Organisation wurde auf beiden Systemen unabhängig voneinander angelegt,
deshalb ist es gut Möglich, dass der gleiche Name Probleme macht.
Ein Techniker hatte mir vor einigen Wochen gesagt, dass es an der Stelle kein Problem darstellt, hat er sich evtl. doch getäuscht.....

Die Empfehlung könnte klappen, aber es geht darum eine unabhängige Notes-Domain zu schaffen, die später alleine läuft, und vor allem keine Altdaten aus dem 6er-System übernimmt.
Die Testumgebung dient Versuchen für eine spätere Migration.

Ich bin mir nicht sicher, ob du folgende Einstellung meinst?
6er-Version:
Konfiguration-Aktuelles Serverdokument
Abschnitt Security Settings
Compare Notes public keys against those stored in Directory --> No

8er-Version:
Konfiguration-Aktuelles Serverdokument
Abschnitt Security Settings
Compare public keys --> <leer>


Die Schlüssellängen sind, wenn ich es jetzt korrekt nachgesehen habe, 630 bzw. 1024Bit.
Damit sollten sie Kompatibel zu beiden Versionen sein, oder?


Gruss
Sven

[Arno]

hallo,

was ich versuchen wuerde:

Gegenzerifikate löschen

dann gegenzerifikate neu anlegen, aber nur auf Domänen ebene Zerifizieren also nicht die OU,  ob das was bringt, weiss ich nicht, wäre nur mal eine Idee.


Gruss


Arno

[Sven Lag]

Hallo,

ich habe die Worte von pete_bla beherzigt, und das Testsystem neu aufgesetzt.
Dieses mal habe ich bewusst andere Namen für jede hierachische Ebene genutzt und
bin nun in der Lage Mails zwischen den beiden Domänen zu übermitteln.

Es verwundert mich allerdings, dass ich im Serverdokument unter
Security - Server Access - Trusted Servers
des 6.5er Systems den 8.5er-Server nicht eintragen darf, da sonst die
Zustellung in das System blokiert wird. 

Gruss
Sven