Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Mail-Routing läuft nicht

(1/2) > >>

Sven Lag:
Hallo zusammen,

ich möchte das Mail-Routing zwischen unserer alten 6.5er-Domäne und einer neuen 8.5er-Domäne (z.Z. nur zum Testen) aktivieren. Nachdem ich schon seit Tagen relativ Erfolglos sehr viel Zeit damit verbracht habe hoffe ich auf Hilfe hier im Forum.

Ich habe auf dem 8.5er-Server ein Verbindungsdokument erstellt, und dort das Mail-Routing zum alten Server aktiviert.
Im Gegenzug wurde auf dem alten 6.5er Server ein Verbindungsdokument erstellt, und dort das Mail-Routing zum neuen Server aktiviert.

Auf beiden Systemen wurden Dummy-User im Adressbuch erzeugt, mit denen das Routing zwischen den Systemen getestet werden sollte.

Beim ersten Test gab es auf beiden Systemen eine Fehlermeldung, die auf ein fehlendes Gegenzertifikat schließen lies. Also habe ich folgendes durchgeführt:

1. Auf beiden Systemen eine sichere ID aus der Server-ID erzeugt.

2. Erzeugen eines Gegenzertifikates auf dem 8.5er-System, indem ich im Administrator das Register Konfiguration geöffnet habe und unter Werkzeuge Zertifizierung-Gegenzertifizierung aufgerufen habe.
Im folgenden Fenster "Zertifizierer wählen" wurde unter Server der 8.5er Server angegeben und unter Zertifizierer-ID die cert-ID der 8.5er-Domäne.
Nach der Passwortabfrage wird im Fenster "ID zur Gegenzertifizierung wählen" die "SAFE.ID" des 6.5er-Servers ausgewählt.
Im nächsten Fenster "Gegenzertifikat ausstellen" wurden alle Werte belassen.

3. Analog dazu wurde auf dem 6.5er-System der 8.5er-Server Gegenzertifiziert.


Die Zertifikate werden jeweils unter Notes Cross Certificates angezeigt, dennoch erhalte ich folgende Fehlermeldung, die ich nicht zu interpretieren weiss:

No message transferred to >IP< via Notes: The subject´s public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.

Im Server-Log steht dann aber auch nicht mehr.


Ein trace vom 8.5er- zum 6.5er-Server zeigt, dass die Verbindung möglich ist, ich aber nicht autorisiert bin.
Umgekehrt wird nur angezeigt, dass eine Verbindung möglich ist.

Zum Testen hatte ich bereits ANONYMOUS in Server-Access eingetragen, ohne dass sichetwas geändert hätte.


Zu erwähnen wären noch die Namen:
Domäne                 alt: abc         neu: CORP
Organisation           alt: abc          neu: abc
OU                        alt: -            neu: SRV
Servername            alt: domino      neu: s80


Was könnte ich falsch gemacht, oder vergessen haben?


Gruss Sven

Cebe1:
Versuch es mal mit einem Dokument " Benachbarte Domäne".

Sven Lag:
Hi Cebe1,

ich glaube nicht, dass mich das weiter bringt, nach meinem Verständniss muss das Verbindungsdokument in jeder Domäne reichen, damit sich die Domänen finden.
Wie bereits beschrieben zeigt ein trace auch die gegenseitige Erreichbarkeit an.
(Die Domänen befinden sich im selben Netzwerksegment und haben benachbarte IP´s)

Weiterhin bin ich der Meinung, dass Dokumente für benachbarte Domänen dazu dienen, Mail-Routing zu blockieren, wenn ein System nicht als Relay benutzt werden soll.

Gruss
Sven

Wolfgang:
Hallo Sven,

ich schließe mich Christians Vorschlag an und glaube, dass Dich das schon weiter bringt. 

Die Verbindungsdokumente regeln, zwischen welchen Servern die Verbindung aufgebaut wird, wenn man von einem ein "Notes-Netzwerk" in ein anderes routet. Das kann auch innerhalb einer Notes-Domäne nötig sein.

Damit sich die Domänen finden, brauchst Du noch das Domänendokument.

Gruß
Wolfgang

pete_bla:
Hallo Sven

Zu deiner Meldung:

--- Zitat von: Sven Lag am 21.08.09 - 12:04:46 ---The subject´s public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.

--- Ende Zitat ---
und

--- Zitat von: Sven Lag am 21.08.09 - 12:04:46 ---Zu erwähnen wären noch die Namen:
Domäne                 alt: abc         neu: CORP
Organisation           alt: abc          neu: abc
OU                        alt: -            neu: SRV
Servername            alt: domino      neu: s80

--- Ende Zitat ---
die Frage:
Hast du eventuell die 'abc' Organisation auf dem Neuen Server, beim Setup neu angelegt?
(beim Setup den gleichen Namen angegeben)
Dann hast du 2 gleich lautende Organisationen, mit unterschiedlichem Schlüssel!
Da hilft Dir auch ein 'Gegen-Zertifizieren' nicht.

Empfehlung:
erzeuge im Adressbuch des 6ers einen 'Neuen Server' und
installieren den 8er als 'zweiten Server' (der kann dann aber gleich auf eueren Produktiven zugreifen!),
oder erzeuge ein neues Zertifikat "DEF" für eure Testumgebung,
das kannst du dann gegenzertifizieren.


Ansonsten:
- ist für die Server ein 'Public-Key-Check' aktiv?
- welche Schlüssellänge hat das Zertifikat vom 8.5er Server ?

Gruss, Pete(r)

Navigation

[0] Themen-Index

[#] Nächste Seite