Cross Certify von 7 auf 8.5.2 schlägt fehl

[ThomasHB]

Hallo zusammen,

ich versuche gerade eine Cross Zertifizierung zwischen zwei Dominoserver einzurichten.
Der eine ist ein 8.5.2 und der andere ein 7.0.4.

Zwei verschiedene Certifier und zwei versch. Notes Domänen
Es sollen nur die Server kommunizieren können, also keine Benutzer.

Dafür habe ich aus dem Server.ID File jeweils ein Safe Copy erstellt und das auf dem jeweils anderen Cross Zertifiziert.

Aber irgendwie klappt das nicht...
Ich erhalte folgende Meldung auf dem 8.5.2 also auf dem Server, auf den repliziert werden soll vom 7er.

25.11.2010 19:37:09   Server/1 from host [192.168.1.9:18432] failed to authenticate: Your public key was not found in the Domino Directory

Verstehe ich aber nicht... Ich habe doch beide Cross Zertifiziert, warum soll er dann das public Key nicht finden...

Grüße,
Thomas

[Patrick Schneider]

Hallo!

Wenn wirklich beide korrekt gegenzertifiziert wurden, kann es sein, dass irgendein Cache noch keine Informationen zu den Gegenzertifikaten enthält. Es hilft meist, alle möglichen Caches (DB-Cache / Name Lookup Cache) auf den Servern zu löschen und - falls dies nichts hilft - beide Server neu zu starten.
Eine grundsätzliche Inkompatibiltät zwischen 7.0.4 und 8.5.2 bzgl. Gegenzertifikaten gibt es nicht, diese Kombination ist produktiv im Einsatz.

Gruß,
Patrick

[koehlerbv]

Reicht es für die Fehlermeldung nicht aus, dass im Security-Tab des Server-Dokuments angefordert worden ist, dass öffentliche Schlüssel explizit im DD aufgeführt sind (sprich, das andere Server-Dokument muss in das DD kopiert sein oder zumindest angelegt und sein Schlüssel übernommen worden sein)?
Ich habe hier einige Kundenverbindungen, bei denen das zwingend erforderlich ist.

Bernhard

[ThomasHB]

Hallo Bernhard,

ja, allerdings... Und ich habe damals beim aufsetzen des 8.5er auch genau diese Einstellung getätigt. Er soll die Prüfung erzwingen.

Das ich das Serverdokument bzw. dessen Public Key jetzt entsprechend rüber ziehen muss war mir aber nicht ganz klar, offen gesagt.

Ich war eigentlich der Meinung, wenn ich das ServerID bzw. dessen SafeID Cross Zertifiziere, dann ist ihm das Gegenüber entsprechend bekannt...

Ich werde das mal versuchen, was er macht wenn ich das Enforce Check public Key abschalte...

Grüße,
Thomas

[ThomasHB]

....Tatsache, das funktioniert so.

Finde ich aber etwas komisch, das man das so machen muss...

Denn zum einen ist ja der Server entsprechend Cross Zertifiziert und dieser Server steht auch noch in den OtherDomainServers und ist damit Lese Berechtigt auf das DD...

Irgendwie will ich den Hintergrund noch nicht verstehen...

Das würde ja letztlich bedeuten, das ich mit Kunde X die ID des Server Dokuments tauschen muss, also das was Du auch schon sagtest, Bernhard.
Wie ist das denn Sicherheitstechnisch zu sehen?

Grüße,
Thomas

[ThomasHB]

also irgendwie ist das doch komisch.
Erst sah so aus, als würde er nun replizieren, doch er tut es nicht...

11/29/2010 03:14:36 PM  Admin Process: Received the following error performing a Check Access for New Replica Creation request on DB Name.  Could not find a server document for Server1/Acme in the Domino Directory.

Das würde aber auch wieder bedeuten, ich brauche das Serverdokument des Source Servers im Destionation Server...

Das musste ich aber unter 7, also als alle meine Server im R7 waren nicht...

Hat sich das so extremst geändert? Kann doch irgednwie nicht sein.

Gruß,
Thomas

[umi]

Hallo Thomas

Wird da etwa versucht eine neue Replik zu machen?

[ThomasHB]

...richtig.

Nur hat der Server und auch der Benutzer (Ich) das Recht auf Server 1 eine Replik zu erstellen.
Damals als ich das unter R7 das erste mal eingerichtet habe, hat das aber genau so funktioniert.

Oder übersehe ich gerade grundsätzlich etwas?

[umi]

Hallo Thomas

Eine Verbindung ist zwischend en Servern möglich?  z.B. per trace?

[ThomasHB]

...ja

Der Trace ist erfolgreich als Known TCP/IP Host...

[ThomasHB]

Hallo zusammen,

also ich habe jetzt lange versucht und probiert, aber das Problem besteht immer noch.
Er verlangt nach wie vor ein Server dokument...

Er macht eine Check Access Prüfung und meldet dann in der selben Meldung:
Could not find a Server document for "Server" in Domino Directory.

Im gleichen Atemzug erhalte ich aber die Meldung:
12/15/2010 11:47:36 AM  Admin Process: Received the following status performing a Accelerated Create Replica request on "Database".  Received the status -- Source and destination servers are not clustered -- trying to create Path\DB.nsf

Aber passieren tut nicht wirklich was...

Mailroutung klappt aber entsprechend.

Im Securitytab des Serverdoc ist der Server zugelassen...
Er darf Replicas erzeugen, auch der Benutzer mit dem ich das verusche...
Der Server steht in der Gruppe der other Domain Servers.

Im Log gibts keine Meldung, auch auf der Live Console nicht...
Tut so, als würde nie eine Anfrage gestellt werden.

Das einzige, was mir jetzt in den Sinn käm, da der Prozess ja vom AdminP kommt, wäre die Cross Weitergabe von AdminP Anforderungen...
Ich bin mir aber sicher, das dies unter R7 nicht nötig war, denn auch da war es ja schon im Einsatz.

Vielleicht kann mir noch jemand einen Tipp geben...

Danke.

Gruß,
Thomas