Traveler Profil auf iPhone installieren scheitert

[TimDom]

Hallo zusammen,

jetzt hat es mich doch auch mal gereizt mit Domino 9 und dem zugehörigen Traveler und habe das mal installiert.

Bislang habe ich einen Domino 8.5.3FP2 inkl. dem zugehörigen Traveler gut am laufen.
Also habe ich einen weiteren Dominoserver Version 9 in die Domäne gehangen, dann noch den 9er Traveler installiert und alles konfiguriert.
Klappt auch wunderbar. Der Domino routed Mails, der http Task lauscht auf 8080 (80 nicht, weil anderst belegt) und 443. Via Browser vom MacBook kann ich auch auf https://meinserver.de/traveler/servlet auf die Traveler Seite nach authentisierung zugreifen.
Mache ich das auf dem iPhone, komme ich auch auf die Seite. Da kann ich dann ein iPhone Profil generieren. Dann hüpft das iPhone in den Einstellungsmodus und will das Exchangeprofil installieren. Und da hängt es jetzt. Da kann ich mich mit dem vorher verwendeten Account authentisieren, der meckert immer "Der Account kann nicht überprüft werden. Fehler beim verbinden mit dem Server".
Wie gesagt. Über den Browser habe ich mich vorher erfolgreich damit authentisiert.

Auf der Dominokonsole finde ich mal keine Fehlermeldung.

Kann das an einem selbstgebautem SSL Zertifikat bauen, dass das bei der 9er Version Probleme macht?
Die 8.5er Version läuft 1a.

[m3]

1) Du willst den 9er Domino fuer Traveler NICHT in eine 8.5er Domaene haengen. Schon gar nicht in einer Produktivumgebung. Der "braucht" die neue Schablone, ....
Wie schon in der 8.x Version ist die best practice, den Traveler-Domino in eine eigene Domino-Domain zu haengen, damit du den leichter upgraden, .... kannst.

Setz eine neue Domino Domain auf, installier den 9er Server mit der passenden Schablone auf der names.nsf und schau, ob das Problem dann noch immer besteht.

[TimDom]

Hi,

erst mal Danke für Deine Antwort.
Sicher ist das erst mal eine Testumgebung. Auf dem 9er Domino, wo der 9er Traveler läuft sind die 9er Temples. Somit sollte dem doch Genüge getan sein oder?

Das mit einer neuen Domino Domäne macht mir aber ein wenig Angst.
Soll das heissen, dass die bestehenden Dominoserver und User dann in die neue Domäne migriert werden müssen, in welcher sich der Traveler befindet?
Oder steht der Traveler in einer eigenen Domäne und der kommuniziert via Querzulassung mit der Domäe der anderen Server und User?

Wird ja dann ein wenig viel Arbeit bei zwar nicht so vielen Usern (round about 2000) aber einer nicht ganz wenigen Menge an Dominoservern (Anzahl ca. 70).

[m3]

Querzulassung. Der Traveler kann - im Gegensatz zu iNotes - wonderbra auf entfernte Mailboxen zugreifen. Damit hast Du den Vorteil, den Traveler-Server relativ zeitnah upgraden und somit neue Geraete und Features zu unterstuetzen, ohne dass Du die Maildomain angreifen musst. Schau dir mal die Traveler "Redbooks", ... an.

Wichtig ist die names.nsf, dass die die akt. Schablone hat. Und die Traveler DBs natuerlich.

Bezgl. Deines Problems wuerde ich auf das Zertifikat tippen. Probiers mal ohne.

[TimDom]

Bingo. Ohne SSL fluppt der 9er Traveler auch in der gleichen Domäne, wie der Mailserver 

Danke Dir.

Dennoch werde ich mir mal die Redbooks zu Gemüte führen und eine Travelerdomäne bauen.

[TimDom]

Bekanntlich gibt es ja keine doofe Fragen 

Wie sieht das denn aus?
Mal angenommen es gibt die Maildomain und die Domäne und Organisation, wo der Traveler drin
steht und die sind querzugelassen. Da klappt dann auch in der Travelerdomain die HTTP Authentisierung mit den Daten aus der Maildomäne?

Oder werfe ich da gerade etwas durcheinander?

[m3]

+) The Lotus Notes Traveler server must be able to physically connect to mail servers in the other domains. Use the Domino server trace command on the Lotus Notes Traveler server to verify that a physical connection can be made between the servers. For example, from within the Domino administrator console, use the command trace test_server/your_domain, where test_server and your_domain are the actual identifiers of the mail server and domain.

+) The server ID file used by the Lotus Notes Traveler server must be cross-certified with any other Domino domains that the Lotus Notes Traveler server needs a connection to.

+) The remote mail servers must grant server access to the Lotus Notes Traveler server. You can verify this using the Domino Administrator client. On the remote mail server, open the server's configuration document, click the Security tab, and verify that this server is not restricted in the Server Access section.

+) The Lotus Notes Traveler service queries the Domino directory service whenever mobile users register with or connect to the Lotus Notes Traveler server. The Domino directory must be capable of returning the home mail server and the mail file path name for each user that registers with the Lotus Notes Traveler server. If the Lotus Notes Traveler server is in the same domain as the mail users, then typically the local names.nsf is already populated with person records for each user and this information is available by default. However, if the users are in other domains, then you need to either configure Domino directory assistance to find these other users or otherwise ensure that their person records are available in the local names.nsf.

Directory assistance and Notes Traveler
Du holst Dir uber DA das Adressbuch aus Deiner Domino-Domain und die User koennen sich ganz normal anmelden.

[TimDom]

Cool. Vielen Dank für die Infos, selbst an Ostern.

[Wirsing]

Das Problem bei der Installation über SSL ist aber auch ein bekanntes Problem mit dem "eingebauten" Browser von Android.

Mit alternativen Browsern auf dem Smartphone müsste es auch mit SSL klappen.

[TimDom]

Tach Wirsing,

hast Du vielleicht ein (paar) Links zu dem bekannten Problem mit dem "eingebauten" Browser von Android?
Mal schauen, ob das dann auch auf ein iPhone abbildbar ist.

[umi]

Z.B.
http://www-01.ibm.com/support/docview.wss?uid=swg21515125
oder
http://www-01.ibm.com/support/docview.wss?uid=swg21458224
oder
http://blog.easi.net/p-p-71.html

[TimDom]

Danke für die Links.
Passt allerdings nicht so wirklich auf mein Problem, da es ja um den Download des Clients auf Android geht.
Obwohl es könnte auch sein, dass die Stelle, wo es beim iPhone kracht eigentlich auch ein Cliendownload ist.
Ist allerdings die Stelle, wo das Traveler Profil versucht wird zu installieren.

Mal schauen, vielleicht mache ich mal ein PMR auf...

[Exordium]

Mahlzeit.

Ich "entführe" mal den Thread, weil das Thema hier schon angesprochen wurde. Ich habe einen Domino 9 Server für die DMZ (O=DMZ) / Traveler 9 mit eigener Domino-Domain installiert und konfiguriert. Der Server wurde mit der internen (O=INTERN) Domain cross-zertifiziert und die ganzen Server <-> Server Zugriffe / Replikationen funktionieren soweit. Jetzt habe ich aber irgendwo einen "Wurm" drin, der verhindert, dass das Verzeichnis der internen Domain nicht vom Server in der DMZ nach außen gegeben wird. Das Adressbuch der internen Domain erscheint zwar im Administrator, welcher mit dem Server in der DMZ connected ist, aber eine LDAP Abfrage von aussen liefert mir nur Ergebnisse des Adressbuches vom Server O=DMZ. Die O=INTERN kann ich mit dem LDAP Browser nicht auflisten/abfragen. Die Interne Domain (INTERN) ist in der DA vom DMZ Server natürlich eingetragen. Im Domino-Admin kann ich die Einträge der anderen Domain auch komplett auflisten und bearbeiten. Eine LDAP Abfrage zur Authentifizierung von Connects über das Internet ist so natürlich nicht möglich. Für die DMZ ist noch ein anderer Dienst geplant (owncloud Server) und ich möchte die Zugriffe auf diesen natürlich dann auch gegenüber des Domino Server-LDAP abprüfen.

Was habe ich möglicherweise vergessen oder wo kann ich mit der Fehlersuche fortsetzen?
Der Server in der DMZ hat Domino 9, die internen Server haben alle noch 8.5.3

[Pfefferminz-T]

@Exordium: Sorry aber was hat Deine Frage mit dem Thema "Traveler Profil auf iPhone installieren" zu tun?

[TimDom]

Guten Abend zusammen,

ich müsste hier "mein" Thema noch mal auffassen und hoffe, dass ihr mir vielleicht helfen könnt.

Als ich schrieb, dass der 9er Domino Traveler ohne SSL klappt, scheint nicht ganz zu stimmen.
Vermutlich habe ich damals ein wenig den alten 8er und den neuen 9er Traveler ein wenig durcheinander geworfen und dachte der 9er klappt ohne SSL. 

Wie dem auch sei. Es klappt auf jeden Fall nicht, auch nicht ohne SSL.

Aber ich habe nun mal ein wenig weiter gesucht.
Also. Per ssl komme ich auf den Traveler vom Safari auf dem iPhone. Also quasi per https://traveler.meinedomain.de/traveler.
Da authentisiere ich mich dann mit jupp@meinedomain.de und meinem HTTP Kennwort.
Dann zeigt mit mir Safari auch brav die Traveler Seite mit meinem vollständigen Notesnamen an.
Also Benutzerstatus für Jupp Nachname/ORG/O
Da kann ich dann auch "Apple iPhone/iPad/iPod Touch konfigurieren" anklicken.
Danach habe ich eine neue Form, wo im Feld "Anmeldename" erneut "jupp@meinedomain.de" steht und als Email ebenfalls "jupp@meinedomain.de". Nun noch schnell auf "Generieren" geklickt und das iPhone will das Profil installieren. Dann muss ich mich noch mal mit "jupp@meinedomain.de" authentisieren.

Und genau da kommt nun die Meldung "Der Account kann nicht geprüft werden. Benutzername oder Kennwort nicht korrekt". Nun kann ich "erneut versuchen" anklicken, was aber wieder nicht klappt. Oder ich wähle "Überspringen" aus. Dann gehts weiter und ich lande wieder bei dem Traveler Profil.

Was jetzt interessant ist, ist das Folgende:
Ich schaue mir die Details des Profils an. Da steht dann als Server "traveler.meinedomain.de" und jetzt kommts, als Emailadresse "jupp@meinedomain.de@traveler.meinedomain.de".

Jetzt frage ich mich, wie kommt der denn darauf, die Emailadresse so komisch zu erweitern?
Hat dazu jemand möglicherweise eine Idee?

[Tode]

Mache mal bitte die seben schritte an einem pc. Dort klickst Du dann auch "apple profil generiern" an und speicherst die Datei auf den Rechner. Jetzt prüfst Du die Datei mit einem Text- Editor Deiner Wahl: es ist eine xml- Datei und die Parameter darin sollten selbsterklärend sein... Stimmt der servername? Ist ssl auf true? Stimmt sonst alles?
Äich denke, dass da der Hund begraben wird. Denn egal, ob Du mit http oder https auf die Seite gehst... Die resultierende ILNT.mobileconfig wird immer vom server generiert und ist immer die gleiche...

[TimDom]

Moin moin.

Hier mal die mobileconfig Datei, die ich dann bei "Apple Profil erzeugen" auf meinem PC bekommen habe.

So direkt finde ich da mal nicht die Stelle, so wie es sich nachher in meinem Apple Profil auf dem iPhone darstellt.
Was ich komisch finde habe ich mal fett markiert. Da fehlt mir allerdings auch die Idee, warum das so ist.

  <?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
  <!DOCTYPE plist (View Source for full doctype...)>
- <!--
Copyright (c) 2011, 2012 IBM Corporation

All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:
* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.
* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.
* Neither the name of IBM Corporation nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY IBM CORPORATION AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.


jupp@meinedomain.de will be replaced with the user's email address
traveler.meinedomain.de will be replaced with the server host name
/traveler will be replaced with the servlet path name (e.g., /traveler)
 will be replaced with the server host port when using HTTP if the port is not
                  the default port of 80 (e.g., 81) or with an empty string when using HTTPS
 will be replaced with the server host port when using HTTPS if the port is not
                  the default port of 443 (e.g., 8443) or with an empty string when using HTTP
<true/> will be replaced with the server host protocol (<false/> or <true/> for SSL off or SSL on)
jupp nachname will be replaced with the user name

If you are using a proxy between the client and the Traveler server,
you should set the "External Server URL" on the "Lotus Traveler" tab in the server document
so that the ILNT wildcards below are filled in properly.

Do NOT modify any the the <key> values.  Only modify the values associated with the keys as needed.


  -->
- <plist version="1.0">
- <dict>
  <key>PayloadUUID</key>
  <string>8B9A9E2E-53E7-44EC-A361-74EC8136B4CE-traveler.meinedomain.de-jupp nachname</string>
- <!--
 
      Customizable and displayed on the Apple UI.
      On the Profile UI, this shows up as the top-most, bold line (no wrapping).
      

  -->
  <key>PayloadDisplayName</key>
  <string>jupp nachname - IBM Notes Traveler</string>
- <!--
 
      Customizable and displayed on the Apple UI.
      On the Profile UI, this shows up right below the PayloadDisplayName (no wrapping).
      

  -->
  <key>PayloadOrganization</key>
  <string>IBM Notes Traveler</string>
- <!--
 
      Customizable and displayed on the Apple UI.
      On the Profile UI, this shows up as the multi-line (up to 10) wrapped Description.
      

  -->
  <key>PayloadDescription</key>
  <string>Configures the device for use with IBM Notes Traveler for jupp nachname.</string>
- <!--
      Customizable, but not known to be displayed on the Apple UI anywhere.
      A reverse-DNS style identifier (com.example.myprofile, for example) that
      identifies the profile. This string is used to determine whether a new profile
      should replace an existing one or should be added.
      

  -->
  <key>PayloadIdentifier</key>
  <string>com.lotus.sync.traveler.meinedomain.de..jupp nachname</string>
  <key>PayloadVersion</key>
  <integer>1</integer>
  <key>PayloadType</key>
  <string>Configuration</string>
  <key>PayloadContent</key>
- <array>
- <!--
 
         If you want this profile to include more than just the com.apple.eas.account,
         you should create the profile using iPhone Configuration Utility, add/replace
         the com.apple.eas.account <dict>...</dict> in the newly created profile with
         the com.apple.eas.account shown below, rename the newly created profile to
         Apple.xml, and replace the existing Apple.xml file with the new Apple.xml file.
         See the InfoCenter for more details.
         

  -->
- <dict>
  <key>PayloadUUID</key>
  <string>837AE5F3-1380-4234-BAD0-8246A644AC2F-traveler.meinedomain.de-jupp nachname</string>
- <!--
 
            Customizable and displayed on the Apple UI.
            During Profile installation, this shows up under More Details as the "Exchange Account"
            along with the Host and EmailAddress values.
            This is the account name shown at the bottom of the password prompt during Profile installation.
            This is the account name shown under General - Mail, Contacts, Calendar - Account.
            This is the account name shown in the Mail, Contact, and Calendar applications as needed.
            

  -->
  <key>PayloadDisplayName</key>
  <string>jupp nachname - IBM Notes Traveler</string>
- <!--  Customizable, but not known to be displayed on the Apple UI anywhere.
  -->
  <key>PayloadDescription</key>
  <string>IBM Notes Traveler for jupp nachname.</string>
- <!--  Customizable, but not known to be displayed on the Apple UI anywhere.
  -->
  <key>PayloadOrganization</key>
  <string>IBM Notes Traveler</string>
  <key>PayloadVersion</key>
  <integer>1</integer>
- <!--
            Customizable, but not known to be displayed on the Apple UI anywhere.
            A reverse-DNS style identifier (com.example.myprofile, for example) that
            identifies the profile. This string is used to determine whether a new profile
            should replace an existing one or should be added.
            

  -->
  <key>PayloadIdentifier</key>
  <string>com.lotus.sync.eas.traveler.meinedomain.de..jupp nachname</string>
  <key>PayloadType</key>
  <string>com.apple.eas.account</string>
- <!--
            Whether or not the user should be prevented from creating mail using
            this account from apps other than the Mail app (for example, the Photos app).
            This only applies to iOS5 or later devices. Default: <false/>.
            

  -->
  <key>PreventAppSheet</key>
  <false />
- <!--
            Whether or not mails should be prevented from being moved from the
            Traveler (Exchange) account into a different account. This only applies to
            iOS5 or later devices. Default: <true/>.
            

  -->
  <key>PreventMove</key>
  <true />
- <!--
            Default value for the number of past days of mail to sync; this
            is the "Mail Days to Sync" value on the Apple UI. The user can still change the
            setting (higher and lower) on the Apple UI.
            Valid values are 1, 3, 7, 14, 31, and 0 (unlimited/no limit).
            

  -->
  <key>MailNumberOfPastDaysToSync</key>
  <integer>3</integer>
  <key>UserName</key>
  <string>jupp nachname</string>
  <key>EmailAddress</key>
  <string>jupp@meinedomain.de</string>
- <!--
 
            If you are using a proxy between the client and the Traveler server,
            you should set the "External Server URL" on the "Lotus Traveler" tab
            in the server document and leave this as the default value
            (traveler.meinedomain.de).
            You should not need to modify the Host or SSL values (use the ILNT wildcards).
            If you do modify this value, it cannot have "http://" or "https:// at
            the beginning as that is automatically prepended based on the SSL key's value.
            The Apple device will automatically append the ActiveSync path (/Microsoft-Server-ActiveSync)
            to whatever value is delivered in this profile.  By default, /Microsoft-Server-ActiveSync/*
            should be configured to route to the main servlet (e.g., /traveler/Microsoft-Server-ActiveSync/*).
            If something in the network path (such as a proxy) is not configured to route
            /Microsoft-Server-ActiveSync/* to the main servlet, you may need to add /traveler back to
            the end of this value so that the servlet path part of the External Server URL is included here.
            

  -->
  <key>Host</key>
  <string>traveler.meinedomain.de</string>
- <!--  Actual values are <true/> or <false/> if not using the <true/> wildcard.
  -->
  <key>SSL</key>
  <true />
  </dict>
  </array>
  </dict>
  </plist>

[Tode]

Die markierte Stelle ist in Ordnung. aber Dir fehlt das /traveler in der Server- Url. Füge die mal im Serverdokument an der richtigen Stelle ein, dann klappts auch mit dem Traveler.
Auf dem Traveler- Tab muss stehen:
http://Https://traveler.meinedomain.com/traveler

[TimDom]

Du meinst die External Server URL?

Da steht bei mir brav https://traveler.meinedomain.de/traveler drin

http://https ist wohl ein Schreibfehler bei dir oder?

[Tode]

das http hat die Board- Software "dazugeschummelt". Aber wenn in der Externen Server- URL das so drinsteht und trotzdem ein falsches Profil generiert wird, dann habt Ihr irgendwo anders rumgedreht:

entweder habt Ihr die apple.xml angepasst, und dort hart die URL eingetragen,
oder Ihr habt die entsprechende NTS_EXTERNAL_URL - Variable in der Notes.ini gesetzt (und auch NTS_Auto_Config so, dass das nicht mit dem Serverdokument synchronisiert wird), oder Ihr habt die ntsconfig.xml angepasst (je nachdem welche Version vom Traveler Ihr einsetzt funktionieren nur einzelne der Anpassungen)...