Autor Thema: Fallstricke bei Notes-Domino-Serverinstallation (9.01) unter CentOS7  (Gelesen 30677 mal)

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Hallo zusammen,

nach dem Aufsetzen eines Domino-Servers (siehe https://atnotes.de/index.php/topic,61939.0.html) bin ich gerade ziemlich aufgeschmissen.
Installation von CentOS und des Domino-Servers (DOMINO_SERVER_9.0_LINUX_XS_64_EN) hat noch so weit funktioniert. Anschließend habe ich den Notes-Client vom Windows-Rechner geschmissen und neuinstalliert, um auch da noch einmal clean anzufangen. Beim ersten Starten wird man ja nach dem Server gefragt. Nach Eingabe aller Infos (Servername, Hostname über TCP/IP) kriege ich die Nachricht, dass der Server nicht erreichbar ist.

Habe ich eventuell vergessen, auf CentOS irgendeine Netzwerkeinstellung vorzunehmen, damit der Server erreichbar ist? Bei meinem Servertestlauf vorher unter auf einem anderen Rechner unter Windows hat die Verbindung direkt funktioniert ...

Grüße,
Obrac
« Letzte Änderung: 10.01.19 - 14:51:37 von Obrac »

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Vermutlich ist die Firewall auf dem CentOS aktiv und Port 1352 gehört nicht zu den standard mäßig freigegebenen ports


http://ask.xmodulo.com/open-port-firewall-centos-rhel.html
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Du hast vollkommen Recht. Da hätte ich selbst drauf kommen müssen, aber nach stundenlangem Einrichten und Fehlersuche wird man betriebsblind. Danke einstweilen. Datenbanken lassen sich nun auf dem Server öffnen und erstellen.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Sehr interessant, dankeschön. Du hast nicht zufällig auch so eine eigene Anleitung zum Fileserver-Setup?

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Hole dir statt der 9.x version doch die 10.0.1.

Die ist als Community Edition" verfügbar https://www.ibm.com/account/reg/us-en/signup?formid=urx-33713

Der Einsatz ist für den nicht-produktiven Betrieb kostenlos.
Die version unterscheidet sich außer in den Lizenzbestimmungen NICHT von der "Full" Version.
Und das mit den 30 Tagen kann man getrost in die Tonne treten. Es gibt kein zeitliches Limit ( auch nicht versteckt in der Lizenz).
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Hatte ich auch schon überlegt. Ich glaube aber, für meine Zwecke reicht erstmal die 9er, zumal ich morgen früh unbedingt das Tagesgeschäft wieder aufnehmen muss. Vielleicht setze ich nächstes Wochenende alles nochmal neu auf, jetzt, wo ich einigermaßen durchblicke.

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Vielleicht hat noch jemand einen Tipp zur Mailkonfiguration? Ich nutze meine Mailadresse über meinen Domainprovider mit den Zugangsdaten von IMAP und SMTP (Server, Username, PW, Port), also keinen eigenen Mailserver. Ich hatte mir vorgestellt, dass man die Zugangsdaten in irgendein Serververbindungsdokument einträgt, finde aber im Administrator nirgendwo die Möglichkeit, das zu tun. Stattdessen hat Notes bei der Installation des Clients im lokalen Adressbuch wieder die Konten angelegt. Soll das so sein? Die Maildatei ist ja auf dem Server gespeichert. Ich habe in der Replizierungsübersicht nun auch keine Möglichkeit mehr, Mail zu senden und zu empfangen. Im Administrator habe ich zwar einen Replizierungsplan angelegt (auch im lokalen Adressbuch), aber es es kommt nichts rein und geht nichts raus. Wenn ich eine Mail verschicke, landet sie in der mail.box auf dem Server, geht von dort aber nicht raus.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Zum Abrufen der Mails von meinem Provider und Weiterleitung auf den Domino nutze ich POP3Collect

https://abdata.ch/domino-pop3-collect-add-in-task/

Der Versand wird im Server Konfigurationsdokument konfiguriert.

Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Hmm, klappt irgendwie nicht. Alle Anleitungen durchgegangen, SMTP Listener im Serverdokument aktiviert, POP3 Collect installiert, alle Konten eingetragen ... Mailversand und -empfang klappt nur intern an mich selbst. Wenn ich extern verschicken möchte, kriege ich die Meldung auf der Konsole:

Zitat
bindsock' helper application is missing, not executable, not setuid root, or no sticky bit set
SMTP Server: Listener failure: 'bindsock' is missing, not executable, not owned by root, not setuid root or user needs net_privaddr privilege.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Welche GENAUE Domino Version ist im Einsatz?

Zitat
SPR YXYX9RA56Z "HTTP server can't be started with "Error - Unable to Bind port 443 or 80" on SUSE12" has been resolved in 9.01 FP3 IF1 which includes a fixed bindock!

Domino wird auch als root gestartet, oder ? ( Script von Daniel Nashed )

Ich vermute, Dir spuckt SELINUX in die Suppe, welches die setuid Funktionalität im Kernel deaktiviert.

Man kan das sicher auch eleganter lösen ( SELINUX Konfiguration ), aber für einen Test kannst du SELINUX einmal komplett abschalten.

vi /etc/selinux/config

und dann SELINUX= von enforcing auf disabled setzen

Code
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Devin Olsen hat hier eine gute Anleitung für Domino auf CentOS gepostet. Dort ist auch der Fehler beschrieben.

Zitat
cat /var/log/audit/audit.log | grep smtp| grep denied
oder
Zitat
cat /var/log/audit/audit.log | grep bindsock| grep denied

sollte Dir nähere Anhaltspunkte liefern.

Daraus kann man dann evtl das richtige setting für SELinux herausfinden. Dann kann man SELinux gezielt konfigurieren

Zitat
setsebool -P whatever_setting on

« Letzte Änderung: 07.01.19 - 06:35:16 von eknori »
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Domino 9.01 ist im Einsatz. Habe aber keine Fixpacks installiert. Die gibts auch nur für Debian und RPM (FP7). Funktionieren die auch auf CentOS7? Meinst du, ich hätte evtl. bessere Karten mit der Community Edition?

Die anderen Ansätze habe ich verfolgt: bindsock-Parameter geändert, SELINUX deaktiviert, als root war ich auch schon vorher angemeldet. Eventuell setze ich heute Abend nochmal alles neu auf mit der Community Edition. Heute arbeite ich nochmal lokal.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Eines fällt mir noch ein.

Kann es sein, daß der postfix service aktiv ist? Der verwendet den gleichen Port. Obwohl dann die FM anders lauten müsste.

einmal mit

Code
systemctl status postfix
überprüfen

mit

Code
systemctl stop postfix
systemctl disable postfix

abschalten

und mit

Code
yum remove postfix

deinstallieren
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Hey, eknori ... nebenbei noch einmal vielen Dank für deine unermüdliche Hilfe.
Ich habe das System gestern noch einmal neu aufgesetzt, Domino aber bislang noch nicht neu installiert (Samba läuft aber schon).

Ich versuche es einfach mal streng nach der Anleitung von Devin Olson. Wenn die Mail-Problematik dann wieder auftritt, versuche ich noch, deinen letzten Tipp zu beherzigen. Habe auch schon das Startscript von Daniel Nashed bekommen.

Offline Zitti

  • Frischling
  • *
  • Beiträge: 12
Beim Bindsock behelfe ich mir gerne mit folgendem:

chown root:domino /opt/ibm/domino/notes/90010/linux/bindsock
chmod 4550 /opt/ibm/domino/notes/90010/linux/bindsock
chmod u+s /opt/ibm/domino/notes/90010/linux/bindsock

bzw. bei Domino 10 mit

chown root:domino /opt/ibm/domino/notes/10000000/linux/bindsock
chmod 4550 /opt/ibm/domino/notes/10000000/linux/bindsock
chmod u+s /opt/ibm/domino/notes/10000000/linux/bindsock

Wobei das :domino in der jeweils ersten Zeile durch die entsprechende Domino-Gruppe ersetzt werden muss, die man mal eingerichtet hat.
Natürlich dürfen die Ports wie schon erwähnt nicht von Postfix oder anderen Services belegt sein.
5 Domino-Server, 1 Traveler- und Verse-Server, ca. 120 User

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Nun habe ich ein anderes Problem, das sich wohl nicht lösen lässt. Ich hatte mit zwei Datenbanken (Mail und eine Verwaltungsdatenbank) heute lokal gearbeitet. Habe dann Notes lokal neuinstalliert und auch den Server wieder runtergeschmissen. Die Datenbanken (wohlgemerkt lokal, sie befanden sich nie auf dem Server) gesichert und nach der Clientneuinstallation wieder ins Data-Verzeichnis geschoben. Als ich sie öffnen wollte, bekam ich die Meldung "Diese Datenbank hat lokalen Zugriffsschutz (verschlüsselt). Sie sind nicht berechtigt, darauf zuzugreifen". Wahrscheinlich hat das damit zu tun, dass ich darauf zugegriffen habe, während ich auf dem Server angemeldet war? Der Server und die ID existieren nun nicht mehr. Komme ich noch irgendwie an die Datenbanken ran? Entschlüssen über die Eigenschaften funktioniert nicht. Was mich irritiert ist, dass die Datenbanken nie auf den Server kopiert, sondern nur lokal genutzt wurden. Wäre sehr sehr ärgerlich ...

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Hast Du die alte Notes Client Installation im Filesystem gelöscht oder den Client deinstalliert.
Im ersten Fall besteht die Chance, daß die user.id noch im Papierkorb von Windows ist. Diese dann zurücksichern ( Achtung: bestehende user.id sichern ).
Dann kannst Du die lokal verschlüsselten Applikationen entschlüsseln.

Wenn Du deinstalliert hast, dann hast du ohne die ursprüngliche Id keine Chance mehr.

Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Peter Klett

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.713
  • Geschlecht: Männlich
.... Die Datenbanken (wohlgemerkt lokal, sie befanden sich nie auf dem Server) gesichert und nach der Clientneuinstallation wieder ins Data-Verzeichnis geschoben...
Wahrscheinlich hat das damit zu tun, dass ich darauf zugegriffen habe, während ich auf dem Server angemeldet war? ...
Nein, damit hat das nichts zu tun. Du hast zur Sicherung der Datenbanken diese über Notes kopiert (Datei - Anwendung - Neue Kopie)? Standardmäßig werden  lokal kopierte Datenbanken mit der aktuellen ID verschlüsselt. Man kann das im Kopierdialog abschalten, wenn man das aber nicht nahezu täglich macht, vergisst man das (ich zumindest ;) ).
Falls Du die Sicherung über das Betriebssystem gemacht hast, ist die Verschlüsselung der Datenbank irgendwann früher bei der Erstellung einer lokalen Kopie oder Replik erfolgt. In den Eigenschaften der Datenbank kann man den Verschlüsselungsstatus sehen und die Verschlüsselung auch abschalten.

Das nur zur Erklärung, warum die Datenbanken verschlüsselt sind. Hilft Dir aber jetzt in diesem Fall nicht weiter, aber vielleicht beim nächsten Mal.

Wie eknori schreibt, brauchst Du die ID, mit der die Datenbank verschlüsselt wurde. Gäbe es einen anderen Trick, die Datenbank zu entschlüsseln, wäre die Verschlüsselung wertlos.

Offline Obrac

  • Senior Mitglied
  • ****
  • Beiträge: 279
  • Geschlecht: Männlich
Verstehe :(
Ich hatte zwar noch ein komplettes IBM-Verzeichnis im Papierkorb, aber nach wechseln auf die ID blieb die Fehlermeldung. Zumindest weiß ich jetzt, was das nächste Mal vermieden werden sollte.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz