ID-Vault

[lowi]

Hallo Zusammen,

ich habe eine ID-Vault auf Server A (= primärer Server) erstellt.
Dazu wurde gleich eine Replik der ID-Vault auf Server B über Werkzeug ID-Vault\Verwalten angelegt.

Jetzt ist mir nach einiger Zeit aufgefallen, dass sich die beiden Vaults unterschiedliche Stände haben.
Ich dachte die Replikation läuft immer sofort und automatisch und benötige hierfür kein Verbindungsdokument.
Oder irre ich mich hier?

Woran kann es liegen, dass die Vault-Stände auf den Servern unterschiedlich sind?

Im Einsatz: Domino 9.0.1 FP9 HF139

Vlt. kann mir jemand weiterhelfen.

Vielen Dank
lowi

[CarstenH]

Hallo lowi,

woher stammt deine Information, dass Replikation "automatisch" und ohne Verbindungsdokumente stattfindet?

In jeder Domino-Umgebung muss die Replikation erst eingerichtet werden.
Auch bei Clustern muss man zusätzlich für eine periodische Replikation sorgen, da die Clusterreplikatoren nicht alles übernehmen.

Und speziell zum ID-Vault wird auch explizit darauf hingewiesen, dass man für eine Replikation zu sorgen hat:

It is important that replication occurs regularly among vault servers, either through clustered or scheduled replication.

Quelle:
https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_PLANNING_VAULT_SERVERS_OVER.html

Carsten

[Manfred W.]

Und sicherheitshalber auch mal die ACL überprüfen. Beide Server brauchen Manager-Rechte inkl. Löschen. Also das volle Programm.
Wir hatten auch mal seltsame Phänomene im ID Vault. Dem zweiten Server fehlte die Lösch-Berechtigung.

[lowi]

Hallo,


da hab ich mich wohl vollkommen verirrt. 

Klingt natürlich alles logisch - warum soll es hier anders sein.

vielen Dank für Eure Hilfe.
Schönen Tag
lowi

[Tode]

Also ich war -wie lowi- immer der Meinung, dass die ID Vault automatisch und sofort repliziert wird. Ich hatte das so abgespeichert (genauso wie die schema.nsf immer automatisch repliziert wird und die DDM.nsf)... Aber die Quote aus der Doku impliziert hier ja tatsächlich was anderes...

[CarstenH]

Also ich war -wie lowi- immer der Meinung, dass die ID Vault automatisch und sofort repliziert wird. Ich hatte das so abgespeichert (genauso wie die schema.nsf immer automatisch repliziert wird und die DDM.nsf)... Aber die Quote aus der Doku impliziert hier ja tatsächlich was anderes...

Spannend. Die schema.nsf hatte ich übersehen, die wird in der Tat periodisch via LDAP Task angestoßen.

Die ddm.nsf ist so eine Sache, wenn man "nichts" konfiguriert repliziert die auch nicht - im Gegenteil, jede ddm.nsf hat sogar eine Replizierungsformel die bei herkömmlicher Replikation alles sofort wieder löscht was da nicht rein gehört. Das ändert sich erst, wenn man Collection Server einrichtet und das nicht jeden Server selbst machen lässt.

Was die ID-Vault Replikation angeht vermute ich, dass sich im Kopf einfach festgesetzt hat, dass konkret bei PW-Änderungen tatsächlich ein AdminP-Request zur Cache-Löschung angestoßen wird, der unterschiedliche Stände auf den Servern verhindern soll. In dem Kontext wird auch eine Replikation des DD zur Verteilung eines geänderten HTTP-PW erwähnt, wobei hier nur steht, dass es bitte passieren soll und nicht wer es tut. Im Zweifel ein Verbindungsdokument.

[lowi]

Hallo,

sorry, dass ich mich erst jetzt melde.

Vielen Dank Tode - ich lag trotzdem nicht ganz so falsch.

Habe einfach mal eine PMR beim IBM Support eröffnet.
Folgende Mitteilung:


Guten Tag ...,
vielen Dank für Ihre Rückmeldung.
Wir würden Ihnen Bescheid geben, ist es keine bestimmte Zeit für die Replikation der IDVault definiert. Möglicherweise haben Sie zu diesem Zeitpunkt einige Änderungen in IDVault (z.B. neuer Benutzer erstellt, zurückgesetzt).
Um Verwirrung zu vermeiden, wie in den Tech Note Hinweisen erwähnt, ist es wichtig, dass die Replikation regelmäßig zwischen den Vault Server stattfindet, entweder durch geclusterte oder geplante Replikation. Es ist vor allem für große Umgebungen mit vielen Benutzern und Servern in verschiedenen Regionen anwendbar, um einen nahtlosen Zugriff zu ermöglichen.
Allerdings wird die Replikation von ID Vault Datenbanken von den ID Vault Prozessen innerhalb des Domino Servers verwaltet. Die ID Vault Prozesse innerhalb des Domino Servers bestimmen, dass eine Replikation erforderlich ist und führen die Replikationen direkt durch.
Sie werden vielleicht schon bemerkt, wenn Sie einen Benutzer (IDVault) erstellen, wird der Benutzer (IDVault) sofort auf dem primären vault Server erstellt und das gleiche wird in anderen vault Datenbanken (ohne Verbindung) aktualisiert, die über die ID Vault Managementtool erstellt werden. Ein Cluster oder eine geplante Replikation macht dies effektiver.
Fall Sie noch Frage haben, stehen wir für Sie zur Verfügung.
Mit Freundlichen Grüßen
...


Resultat: Kann man. Muss man nicht. Wäre aber sinnvoll.

Vielen Dank für Eure Hilfe
Gruß
lowi

[eknori]

Ist ja schön, das es theoretisch so laufen soll. In der Praxis siehst Du aber ein anderes Bild. Was machst Du nun?

[lowi]

... was sinnvoll ist  --- Verbindungsdokument