Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: HarryB am 23.09.04 - 16:53:35
-
Hi Folks,
im Moment habe ich ein wirklich übel seltsames Problem bei der Replikation zwischen zwei Servern. Immer, wenn ich versuche per Konsolenbefehl Server A mit Server B zu replizieren, haut er mir massenhaft solche Meldungen raus:
Access control is set in Server B irgendwas.nsf to not allow replication from irgendwas.nsf
Das erstaunliche daran ist folgendes:
- beide Server sind in der Gruppe "LocalDomainServers" enthalten
- die Gruppe "LocalDomainServers" hat in allen Datenbanken Managerrechte
- aufgrund dieses Problemes wurden sogar in vielen Datenbanken explizite Rechte für Server A eingetragen (Manager)
- die Server dürfen gegensitig zugreifen
Manche Datenbanken werden repliziert, die meisten aber nicht.
Das Problem tritt auch nur auf, wenn die Server untereinander replizieren. Die Replikation zwischen diesen Servern mit anderen Servern der Domäne funktioniert normal.
Server A ist eine Windows 2000 Maschine mit Domino 6.5.1
Server B ist eine Linux (RedHat 9.0) Maschine mit Domino 6.5.2
Das Problem trat auch auf, als Server B noch mit Domino 6.5.1 betrieben wurde.
Hat jemand eine Idee dazu?
Viele Grüße
Harry
-
Hallo Harry,
fangen wir mal klein an:
Die Replikation ist nicht zufällig auf einer der Repliken deaktiviert? (Replication Settings).
Gruß
Daniel
-
Nope, die Replikationsparameter entsprechen dem Standard, als wenn du eine neue Datenbank anlegst.
Viele Grüße
Harry
-
Sonst niemand einen Hinweis? :-\
Viele Grüße
Harry
-
Harry;
kann es möglich sein, das die ACL's der beiden Datenbanken nicht identisch sind?
Die Abweichung kann ja auch bei einem anderen Eintrag als den "LocalDomainServers"
bestehen.
Ich interpretiere die Meldung als ACL-Thema
Timmy
Nachtrag:
Welchen Type hat die Gruppe "LocalDomainServers"? sollte "Servers Only" anstelle von "Mulit-Purpose" sein.
Die Servernamen sind mit dem vollen hierarchischen Namen eingetragen?
Funktioniert eine Replikation über den Client, oder geht es nur über die Konsole nicht?
-
kann es möglich sein, das die ACL's der beiden Datenbanken nicht identisch sind?
Sie sind identisch.
Ich interpretiere die Meldung als ACL-Thema
Das glaube ich nicht. Wie gesagt, dieselben Datenbanken lassen sich mit zwischen allen Servern replizieren, nur zwischen zwei bestimmten nicht.
Welchen Type hat die Gruppe "LocalDomainServers"? sollte "Servers Only" anstelle von "Mulit-Purpose" sein.
Das ist der Fall.
Die Servernamen sind mit dem vollen hierarchischen Namen eingetragen?
Ja.
Funktioniert eine Replikation über den Client, oder geht es nur über die Konsole nicht?
Nur die Konsole zickt. Replikation über den Client und Replikation mit allen anderen Server funktioniert problemlos.
Viele Grüße
Harry
-
Du musst den vollständigen Servernamen, d.h. den hierarchischen, angeben.
Also Server1/Firma, nicht nur Server1.
Hast Du das gemacht?
Andreas
P.S: Ich sehe gerade, dass hast Du ja schon bestätigt. Sorry. Dann fällt mir erstmal auch nichts dazu ein ???
-
Hier noch was aus der KBASE:
This error can also occur if the server is listed within a Multi-Purpose group, such as LocalDomainServers, in the ACL of the databases that you are trying to replicate. Since servers do not send mail to each other (the servers have no mail database assigned to their own ID), the LocalDomainServers group does not have to be both a mail and an ACL group type.
If the problem persists after the fully hierarchical name of the server has been entered at the server command line, change the group type of the LocalDomainServers group from Multi-Purpose to "Access Control List Only." The server will now allow the command "Rep servername/hierarchy" without returning the error message.
Warning: If you change the Group Type to ACL-Only, all new registered servers will not be added automatically to the group LocalDomainServers.
-
Genau den KBASE-Eintrag habe ich auch gerade gesehen, nur der Vollständigkeit, hier der Link:
http://www-10.lotus.com/ldd/46dom.nsf/55c38d716d632d9b8525689b005ba1c0/8ebab9bd8fd96b2e8525678400612bbc?OpenDocument
Timmy
-
@Glombi & Timmy
Danke erst mal für den Tipp, ich werde das mal ausprobieren.
Inzwischen habe ich auch festgestellt: wenn ich den Server namentlich in die ACL eintrage, funktionoert es. Trage ich ihn wieder aus, geht es nicht. Ich kann bzw. will aber nicht in alle Datenbanken namentlich einen Server eintragen. Was für ein Pflegeaufwand!
Könnte das Problem auch mit dem Transaction Logging zusammen hängen? Auf einem der Server ist nämlich Transaction Logging aktiviert.
Viele Grüße
Harry
-
Vielleicht ist auf dem einen Server die names.nsf corrupt, so dass die Gruppenauflösung nicht richtig funktioniert.
Hast Du mal einen fixup und updall auf names.nsf laufen lassen?
Andreas
-
Vielleicht ist auf dem einen Server die names.nsf corrupt, so dass die Gruppenauflösung nicht richtig funktioniert.
Hast Du mal einen fixup und updall auf names.nsf laufen lassen?
Andreas
Noch nicht, aber das ist das nächste.
Übrigens war bei uns die LocalDomainServers Gruppe bereits eine ACL Only Gruppe (hat vermutlich die Kollegin so eingestellt). Ich habe das mal testweise umgestellt. Das half leider auch nicht... :-\
Viele Grüße
Harry
-
Gibt es vielleicht einen Replizier- oder Speicherkonflikt für die Gruppe LocalDomainServers?
Andreas
-
Gibt es vielleicht einen Replizier- oder Speicherkonflikt für die Gruppe LocalDomainServers?
Andreas
Nein, habe ich auch schon geprüft.
Fixup des Adressbuches hat leider auch nichts genützt... :-\
Viele Grüße
Harry
-
Was ich vor allem nicht verstehe:
Eine Direkte Replikation zwischen Server A und Server B schlägt feht (names.nsf geht aber...), repliziere ich beide Server mit Server C, der ebenfalls die gemeinsamen Datenbanken von Server A und Server B vorhält, geht das problemlos... ???
Viele Grüße
Harry
-
Wie replizierst Du denn zwischen den Servern von Hand, vom Client aus oder von der Server-Konsole?
-
Wie replizierst Du denn zwischen den Servern von Hand, vom Client aus oder von der Server-Konsole?
Die Replikation sollte eigentlich per Verbindungdokumenten funktionieren. Das hat es auch, bis irgendwann der Fehler auftrat. Nun tritt es immer auf, wenn ich an der Konsole oder per Fernkonsole (Admin-Client) auf einem der beiden Server die Replikation anstosse.
Viele Grüße
Harry
-
Da Du meine Frage nicht wirklich direkt beantwortest, ist mir immer noch nicht ganz klar, was Du beschreibst :(
> Nun tritt es immer auf
Was meinst Du hier mit "es" ??
-
Sorry, da habe ich wohl nicht richtig gelesen.
Was auftritt ist das Problem mit der Fehlermeldung, der Server sei nicht berechtigt.
Was ist bei die der Unterschied zwischen Replikation "von Hand" und "von der Server Konsole"?
Regulär sollte die Replikation per Verbindungsdokumenten laufen, aber das tut's nicht. Derzeit versuchen wir die Replikation von Hand an der Serverkonsole bzw. Fernkonsole anzustoßen, wenn wir mal wieder einen Schalter entdeckt haben, an dem es liegen könnte.
Viele Grüße
Harry
-
Ok, wenn Ihr das von der Konsole aus anstösst, funktionert es dann oder funktioniert es dann nicht?
Ich wollte nur sicher sein, dass es nicht aus dem Client heraus versucht wird, denn dann sind die Berechtigungen anders (da die User-ID und nicht die Server-ID benutzt wird).
-
Ok, wenn Ihr das von der Konsole aus anstösst, funktionert es dann oder funktioniert es dann nicht?
Ich wollte nur sicher sein, dass es nicht aus dem Client heraus versucht wird, denn dann sind die Berechtigungen anders (da die User-ID und nicht die Server-ID benutzt wird).
Eigentlich dachte ich, dass bereits aus dem Eingansposting hervorgeht, dass es definitiv die Server ID ist, welche die Probleme verursacht. Darüber hinaus habe ich bereits mehrfach in Postings hier erwähnt: Client -> ok, Konsole -> zickt. ::)
Viele Grüße
Harry
-
Eben genau das war nicht wirklich aus Deinen Ausführungen ersichtlich (genauso wie dann eben auch die weiteren Antworten etwas unscharf waren).
Was Du versuchen kannst, ist, den Server herunterzufahren, einen Client mit der Server-ID zu starten und dann versuchen, mit diesem Client zu replizieren. Das könnte zusätzliche Infos liefern.
-
Hm, ich weiss nicht, ob das wirklich der Fall ist, dass dieses Vorgehen zusätzliche Infos liefert. Die Replikation mit der Server ID im Client kann gar nicht funktionieren, da die Gruppe "LocalDomainServers" eine reine Servergruppe ist. Da sollte der Zielserver den Zugriff auf die entsprechenden Dateien auf jeden Fall verweigern.
Viele Grüße
Harry
-
Dann würde ich mal versuchen, den Server explizit in der ACL einzutragen. Wenn das dann funktioniert, die Gruppe LocalDomainServers neu erstellen und den Server wieder aus der ACL rausnehmen
-
Server explizit in der ACL eintragen -> geht
LocalDomainServers neu erstellt, Server aus ACL wieder ausgetragen -> geht nicht
Viele Grüße
Harry
-
Hallo Harry,
ich weiß nicht ob es einen Zusammenhang gibt, aber ich habe in meinem Projekt auch Replikationsprobleme, die auf einem Bug in 6.5.1 beruhen. Hierbei kann es vorkommen, dass der Server, der ja, bevor er repliziert, prüfen muss ob überhaupt entsprechende Rechte vorhanden sind, bereits am -Default- Eintrag scheitert (der natürlich so gut wie immer auf No Access steht).
Dieses Problem soll laut Lotus (zumindest in unserem Fall) in der Version 6.5.2 behoben sein. Für 6.5.1 gibt es einen Workaround:
Jeder Eintrag in der ACL der entsprechenden Datenbank (wirklich JEDER!), muss den Haken bei "Replicate or copy documents" erhalten. Und der Eintrag für "Anonymous" MUSS vorhanden sein und auch den Haken erhalten! Das gleiche natürlich auch in der jeweiligen Replik machen.
Bei uns bringt es nichts, den Server explizit in die ACL einzutragen.
Das damit Sicherheitseinschränkungen verbunden sind ist klar, schließlich will man ja nicht jedem Eintrag in der ACL die Replikation gestatten. Ebenso muss man, um überhaupt den Haken setzen zu können, mindestens das Recht "Read public documents" vergeben.
Zum Test könntest Du es aber mal ausprobieren. Evtl. hast Du den gleichen Bug.
cu
Daniel
-
Hallo Daniel,
vielen Dank für den Hinweis. Bei mindestens einer Datenbank (names.nsf) sind die Voraussetzungen, wie du sie beschreibst, vorhanden. Die Replikation klappt trotzdem nicht.
Auf beiden teilnehmenden Servern läuft Domino 6.5.2.
Viele Grüße
Harry
-
Hi Harry,
Ok... dachte nur, weil in Deinem ersten Posting steht, dass ein Server noch 6.5.1 ist.
Dann ist da unter 6.5.2 wohl immer noch der Wurm drin.
P.S.:
Ihr gestattet tatsächlich standardmäßig den Einträgen "Anonymous" und "-Default-" auf der names.nsf, Public documents zu lesen und auch zu replizieren?
-
Hi Harry,
Ok... dachte nur, weil in Deinem ersten Posting steht, dass ein Server noch 6.5.1 ist.
Dann ist da unter 6.5.2 wohl immer noch der Wurm drin.
P.S.:
Ihr gestattet tatsächlich standardmäßig den Einträgen "Anonymous" und "-Default-" auf der names.nsf, Public documents zu lesen und auch zu replizieren?
Oh, sorry, der Server wurde inzwischen auf 6.5.2 gebracht.
Anonymous darf nichts außer diesem Haken bei replizieren. -Default- steht derzeit noch auf Autor (muss aber mal geändert werden). Maximum Internet Zugriff ist Leser.
Viele Grüße
Harry