Das Notes Forum
Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: Maverick am 09.09.08 - 16:39:05
-
Guten Tag,
ich stehe vor der Aufgabe aus drei bestehenden Notesdomänen eine neue vierte zu machen.
Nach Literaturrecherche ist unser Plan, wie wir mit den NAB's, Certification Logs und der AdminP-DB umzugehen haben schon sehr weit gediehen. Das halte ich alles für machbar.
Letztlich werden die drei Domänen in einem gemeinsamen NAB für ne geraume Zeit nebeneinander her existieren. Zu einem späteren Zeitpunkt soll dann mit Rezertifizierung der User in die neuen O's und OU's die Verschmelzung komplett werden.
Bauchschmerzen machen mir noch zwei Themen, zu welchen ich nix bis gar nix an Info finde: Ressourcen DB und busytime.nsf bzw. clubusy.nsf.
Ressourcen-DB:
Können in dieser Konstellation auch vier Ressourcen-DB parallel nebeneinander existieren?
Im NAB (Mail-In-DB's) ist definiert, auf welche DB ein Anwender beim Buchen einer Ressource zugreift? Kann ich an der Stelle Ressource für Ressource auf die neue Verwaltungs-DB weisen lassen?
Wann ist der Zeitpunkt gekommen auf eine gemeinsame Ressourcen-DB zu schwenken?
Wie mache ich das dann?
Busytime:
Wir haben heute mit Domänendokumenten schon die C&S-Funktion in allen Domänen.
In zwei der zu verschmelzenden Domänen existiert ein Mail-Cluster und deshalb ne clubusy.nsf, ein Haus arbeitet nur mit der busytime.nsf.
Gibt es auch hier einen Königsweg zum Vereinheitlichen dieses Service?
Is there anybody out there having a hint?
Danke.
Grüße
Paul
-
Beides mußt du nicht anfassen passiert automatisch je nachdem wo deine Benutzer Rsessourcen verwaltet werden.
Gruß + Guten Morgen KAI
-
Najaaa,
irgendwann möchte ich die alten Domänen mal abschalten. Dann müssen die Ressourcen auch in der neuen DB verwaltet werden. Kann ich den Umzug einer Ressource - wenn Sie gerade mal keine künftigen Termine hat - alleine über das Mail-In-Dokument im NAB vollziehen?
Und "Freie Zeit" DB's habe ich solange, bis alle Personen und Ressourcen umgezogen sind?
OKeee.
Schau mer mal. Danke
Paul
-
Also die Ressourcen würde ich deiner selbstwegen lieber in der alten Domain, deaktivieren und in der neuen neuerzeugen, den MailIn-Eintrag zu ändern bedeutet, dass die Ressource in der RessourcenDB nicht mehr gefunden wird.
Clubusy und Busytime werden von Home/Mailserver der User erzeugt und verwaltet solange die User auf bzw. in der alten Domain sind haben sie dort ihre "Frei Zeit Konten"
KAI
-
Hallo,
sorry wenn ich hier einfach mal so dilettantisch rein schiesse.
In mittlerer Zukunft hab ich auch sowas vor... Uii
Was mir etwas Sorgen breitet ist: "...dann mit Rezertifizierung der User in die neuen O's und OU's die Verschmelzung komplett werden."
Um wie viel User handelt es sich bei euch. Wir haben dann schon mal über 2000.
Da wählt man dann einfach alle Personen im Adressbuch aus und klickt auf recertify?
Und das Location-Dokument beim Notes Client? Dort braucht es dann auch noch Anpassungen...
Wie sieht es mit verschlüsselten Mails und Datenbaken aus?
Bei den Recourcen und Busytime ist es doch so, dass währen der Umstellung die aktuellen Buchungen verloren gehen, schätze ich jetzt mal.
Gruss
Dani
-
@Dani :
Ganz grober Ablauf von einem Laien-Admin (aus der Erinnerung geschrieben, wir haben vor ca. 2 Jahren eine komplette Rezertifizierung mit damals gut 1500 Usern gemacht).
- Neue Certs erstellen und mit den alten Certs querzulassen
- User über Admin-Client mit neuem Cert zertifizieren (Umbenennen -> Wechsel zu neuer Zulassung)
- User muß sich innerhalb von x Tagen am Server anmelden, damit die Rezertifizierung angenommen wird, den Rest macht dann der Adminp
An den Location-Dokumenten mußt Du i.d.R. nichts ändern, außer Du rezertifizierst den oder die Server ebenfalls. Dafür gibt es dann das DSKTool von IBM.
-
Hallo Dani,
die Anwenderzahlen selbst halten sich in Grenzen. Was die Sache ein wenig spannend macht, sind zwei identische Workflow-M;anagement-Systeme, die bis zum Schluss parallel exisistieren müssen und so erstmal gar nicht dafür gebaut sind. Aber halt irgendwie doch, und genau das "Wie?" gilt es herauszufinden.
Das Rezertifizieren ist also nicht mein unmittelbares Problem. Auch habe ich für eventuelle Änderungen den Clients das Tool BCC Client-Genie und für Änderungen in DB den Configurator von Teamstudio. Damit lässt sich so manches "hinbiegen"
Grüße
Paul
-
@Driri
Vielen Dank.
Es beruhigt unheimlich wenn man hört dass jemand so eine Aktion schon mal erfolgreich durchgezogen hat.
@Maverik
Etwas Kopfschmerzen bereiten uns einigen Applikationen bei denen die Domäne oder der Servername wohl hart verdrahtet ist.
Configurator von Teamstudio -> guter Tip, danke.
Die Server werden wir ebenfalls rezertifizieren, da die alten Organisationen verschwinden sollen. Im Location-Dokument müssten dann unser Server die Servernamen angepasst werden und die Maildomäne...
Hab gerade gesehen das DSKTool gibt es nur bis R6.x (?) ...jedenfalls Notes Client Hilfsprogramme gibt es noch weitere -> BCC Client-Genie! Ich muss mal wühlen... Bei uns liegt auch noch so einiges rum.
ok,
Dani
-
Wie sieht es mit verschlüsselten Mails und Datenbaken aus?
Die Frage hatte ich übersehen. Wenn Du Server/User rezertifizierst, bleibt die Verschlüsselung intakt. Du darfst halt nur nicht komplett neue IDs erzeugen.
Die Domäne ist eigentlich kein Problem. Wir haben es bei uns so gemacht, daß wir eine neue Domäne eingerichtet haben und die alte erst einmal aktiv geblieben ist. Die neue Domäne am Server dann in der Konfig einzusetzen ist schnell gemacht. Am Client in den Locations gibt es dann mehrere Möglichkeiten, das umzusetzen (Script, evtl. Richtlinien (kenn ich mich nicht so mit aus) oder halt ein externes Tool).
-
Hallo "Dani"
ich welchen Zusammenhang steht dieses Thema mit deinem anderen "Fred" zu CA?
http://atnotes.de/index.php?topic=42407.msg272167#msg272167
Gruß Werner
-
@Werner
In kleinster Weise, nur meine Wenigkeit ist der Zusammenhang.
-
Es gibt aber noch ein paar andere Sachen zu bedenken, Cross-Domain-Config der AdminP, Querzertifizierung bei sich unterscheidenden Zertifierern etc...
BTW ein gutes Tool zur Code-Suche um angesprochene Festverdratungen zufinden ist: DDSearch gibs für lau und ist super. Eigentlich nur für 6.x aber mit einem entsprechenden Regeintrag funktionierts auch bei 7.
MfG KAI
-
... Cross-Domain-Config der AdminP, Querzertifizierung bei sich unterscheidenden Zertifierern etc...
Ach Herrjeh, was ist denn das?
-
... Cross-Domain-Config der AdminP, Querzertifizierung bei sich unterscheidenden Zertifierern etc...
Ach Herrjeh, was ist denn das?
Ist das nen Scherz?? Du willst eine zwei Domänen zusammenbringen und hast von Cross Domain Configuration und Querzertifierungen noch nix gehört??
-
Also wenn Du mit Querzertifizierung Gegenzertifizierung meinst, kenne ich das mit Vorname.
Cross-Domain-Config ist mir bislang noch nicht untergekommen, es ist aber auch mein erster Domänenmerger in 13 Jahren Notes...
:-)
-
Querzertifizierung mit sich unterscheidenden Zertifizierern hat mich ein wenig irritiert. Unterscheiden sich bei einer Gegenzertifizierung (jaaaaa, früher hiess das wohl mal Querzulassung) die Zertifizierer nicht immer ?
Paul
-
Also in aller Kürze:
Die Server der beiden Ausgangsdomänen müssen querzertifiziert damit Sie sich miteianderunterhalten können. Dem entsprechend Serververbindungsdokumente und benachbarte Domäne angelegt werden.
Eine Cross-Domänen-Konfig definiert was der AdminP von der einen Domän auf der anderen Domänen alles machen darf. Im Falle des zusammenlegen der Domänen zusammenbringens hilfreich create replica, rename person und delete person.
Mit einem person move ist es dann auch kein Problem 1000 Benutzer umzuziehen.
Bleibt noch das neu Zertifizieren der Benutzer, Berechtigungen, Ressourcen aber das hab Ihr ja wahrscheinlich schon
MfG KAI
-
kommt auf deine Domäne an /OU=ABteilung1/O=FirmaX/C=DE und /OU=ABteilung2/O=FirmaX/C=DE brauchst du wohl kaum gegenzertifieren /OU=ABteilung/O=FirmaY/C=DE schon eher.
-
Also ich kenn das Zertifierer kladerdatsch als cross certify und übersetzte das gelegentlich als querzertifizieren
-
Eine Cross-Domänen-Konfig definiert was der AdminP von der einen Domän auf der anderen Domänen alles machen darf. Im Falle des zusammenlegen der Domänen zusammenbringens hilfreich create replica, rename person und delete person.
Mit einem person move ist es dann auch kein Problem 1000 Benutzer umzuziehen.
Bleibt noch das neu Zertifizieren der Benutzer, Berechtigungen, Ressourcen aber das hab Ihr ja wahrscheinlich schon
Hmm, eigentlich hatten wir vor, aus den vier NAB, CertLog und AdminP-DB jeweils eine Replik werden zu lassen, um diese dann auf allen Servern zu betreiben. Das scheint sich für die AdminP-DB offensichtlich zu verbieten.
Könnte das jemand bestätigen? Danke
Paul
-
Wie sieht denn dein Ausgangsszenario genau aus, wenn ich mal fragen darf?
Willst die ReplikIDs abgleichen? Oder was bedeutet "Repliken werden lassen". Wieso eigentlich 4 NABs. Die Admin4.nsf wird innerhalb einer Domäne repliziert sonst gar nicht, hat auch ehrlich gesagt keinen Sinn weil ein was will denn ein Server mit Admin Request von Servern einer anderen Domäne.
Wenn du die NABs wie auch immer mischst wirst du Zertifikat und Signierungsfehler bekommen und wer weiß was sonst noch für Fehler auftauchen.
MfG + Guten Morgen KAI
-
Heute: 3 Firmen mit 3 Notesdomänen.
Morgen 1 Firma mit 1 Notesdomäne neuen Namens
Die neue Domäne haben wir bereits gerechnet. Der erste Server läuft.
In meiner company läuft eine komplexe Notesstruktur zum Workflow-Prozessing. Zentrales Feature ist die automatische Pflege von Notes-Adressgruppen im NAB unserer Domäne. An diesen Gruppen hängt ALLES!
Diese Struktur soll ausgedehnt werden. Firma 2 soll bereits vor juristischer Verschmelzung in diesem System arbeiten. Unser Plan ist, die NAB-Dokumente aus Firma 1 und 2 (Person, Group, Server, CrossCertificates, Database, Domain, local, Program, ServerConfig) in das Ziel NAB zu kopieren und das entstandene NAB in diesen drei Domänen zu betrieben und untereinander repilzieren.
Damit findet die Workflow-Struktur ein NAB mit allen Personen vor und kann darin die notwendigen Gruppen anlegen. Jeder Server findet sein Serverdokument, jeder Anwender sein Personendokument. Alle sind glücklich.
Die zusammenführung soll auch mit der certlog.nsf geschehen.
Erst in einem weiteren Schritt kommt die 3. Firma hinzu, irgendwann in 2009 rezertifizieren wir die Anwender. Fertisch iss de Lack.
Nach euren Antworten grüble ich noch ein wenig über den AdminP. Aber sollte sich mit der Zeit legen. Ich rauch einfach noch was von dem Zeug, was die Jungs nehmen, die gerade Donnerstag in Dönerstag ändern.
Was meinst Du dazu?
Paul
-
Da werdet Ihr aber ein Problem mit den Authentifizierungen, Signaturen und Zertifikaten bekommen. Im Nab befinden sich auch die ganzen angenommen / gegenzertifizierten Zertifikate (als signierte Dokumente) die wirst du auch brauchen ansonsten geht euch der Worflow baden weil die Benutzer nicht authentifiziert werden können. Und mit was möchtest du die Dokumente im NAB signieren? Signierer (der Serverkonfig-Dokumente z.B.) und Server müssen eine Vertrauensstellung haben, d.h. gemeinsames Zertifikat oder Querzertifiziert.
Naja das mit dem AdminP ist halt der Parade-Weg, ordentlich breit und keiner verirrt sich, aber wahrscheinlich wurde euer Worklflow Prozessing ein wenig abseits gebaut ..
KAI
-
Also meine Idee wäre die neue Domäne aufzusetzen, Vertrauenstellungen zu den alten Domänen erzeugen per Gegenzertifierung, Verbindungsdokumente einrichten, und die Mail DBs per AdminP in die neue Domäne schieben ohne eine recertify, damit der Workflow weiterhin funtkioniert. Die Personendokument zeigen dann auf die neue Domain die Berechtigungen, für den Workflow werden von den alten Domänenservern verwaltet. Dann kannst du in aller Ruhe Workflow umziehen und Recertify durchführen wann immer es dir passt.
So weit ich es überblicke sollte es fehlerfrei funktionieren, aber .. naja es käme auf einen Test an..
MfG KAI
-
Eben bricht gerade alles über mir zusammen. Der gordische Knoten, der letzte Woche geplatz ist, nachdem ich mit Kollegen sprach, die ähnliches auf meine Weise geschafft haben, verschlingen sich jetzt wieder die Seile. Jetzt ist erstmal Wochenende.
Ob ich schlafe und entspannt bin, sehe ich dann...
Danke einstweilen
Paul