2 Доверенных Справочника На Сервере

Тема в разделе "Lotus - Администрирование", создана пользователем Nosferatus, 13 окт 2011.

  1. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Прошу оказать знающих людей помощь!

    У меня есть сервер со своей адресной книгой xxx's Directory (names.nsf). Также есть общая адресная книга ууу's Directory (pubdir.nsf). Общая адресная книга pubdir.nsf собирается на другом сервере путем объединения всех адресных книг names.nsf со всех серверов с помощью Extended DC. Затем реплика pubdir.nsf ложиться на мой сервер и которую я подключаю к своему серваку с помощью DA.
    В Итоге у меня на серваке подключены два доверенных справочника (names и pubdir) в каждом из которых содержатся идентичные документы персон.

    Проблема в следующем: Когда над документами персон моей адресной книге names.nsf выполняются какие-либо действия, затрагивающие изменения документа персон с помощью админ процесса (например: ресертификация, изменение интернет пароля, изминение информации о пользователе и т.д.), то в adminrequests появляется ошибка что действие не может быть произведено из-за того что документ пресон этого пользователя найден в нескольких доверенных адресных справочниках у которых один и тот же сервер администрирования my_server:
    Errors: Title: yyy's Directory File name: my_server!!!PubDir.nsf; Error: Person documents for the 'Name(s) acted upon' were found in multiple trusted directories for which this server is the Administration Server.
    Action comments: Person documents for User/Org were found in two trusted directories used by my_server: xxx's Directory and yyy's Directory.

    Кстати такие ошибки появляются не по всем пользователям, а по некоторым единичным экземпляром, наверно особо "вредные" ;)

    Кто-нибудь сталкивался с таким? И что надо сделать для устранения появления этих ошибок?
    При этом мне надо сохранить возможность проверки наличия пользователя в адресной книге pubdir при подключения этого пользователя к моему серверу.
     
  2. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    а зачем текущий сервер администрирования для pubdir.nsf?
    и зачем собирать все АК в одну, почему их реплики просто не включить в ДА?
     
  3. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    В том то и дело, что для pubdir.nsf сервер администрирования другой (назовем его центральным), который и собирает эту адресную книгу.
    А my_server является сервером администрирования только для names.nsf и da50.nsf

    Ну во-первых, у нас организовано подключение типа звезда: есть центральный сервер за него отвечает одна организация (назовем её узловой). Узловая организация подключает к центральному серверу другие организации и что бы на всех остальных 100+ серверах постоянно не вносить изменения в DA было организовано централизованное создание общей адресной книги pubdir.nsf на центральном сервере и её распространение по подчиненным серверам.
    Во-вторых, другие организации они независимые друг от друга и взаимодействуют только через центральный сервер, т.е. я не могу взять реплику адресных книг других серверов, т.к. в ACL листах этих адресных книг меня и моего сервера нет.
    В-третьих, ничего не измениться если я через DA подключу одну общую адресную книгу pubdir.nsf или все 100+ реплик адресных книг других серверов.

    Я думаю тут дело в чем-то другом. Не для всех же пользователей выскакивает ошибка. Тут пришла мысль может ошибка выскакивает на определенные действия над пользователями.
    вот пока зафиксированны список таких действий (может еще какие-нибудь появятся):
    Change HTTP Password in Domino Directory
    Modify User Information Stored in Domino Directory

    У кого какие мысли на этот счет? В чем может быть проблема?
     
  4. Baneslaer

    Baneslaer Well-Known Member

    Регистрация:
    25 янв 2011
    Сообщения:
    121
    Симпатии:
    0
    У нас аналогичная топология, но ошибок таких не выскакивает.
    У вас случайно не настроена кросс доменная синхронизация для админ процесса?

    А что в запросах, которые обрабатываются неправильно написано в поле Databases processed:?
     
  5. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Нет, у нас только лотусовая организация одна на всех, а лотусовые домены у каждого свои. Поэтому admin4.nsf не реплицируется.
    А вообще это реально синхронизировать admin4.nsf между различными доменами?

    Databases processed: None
     
  6. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Неужели ни у кого нет предположений из-за чего это все происходит?
    Прошу помочь любыми предположениями
     
  7. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Я полагаю, надо убрать дубликаты. И не смотреть на то, что проблема только с некоторыми пользователями - идея с дубликатами изначально плохая, ИМХО.
     
  8. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    К сожалению убрать моих пользователей из общей адресной книги не выход на то она и общая, что там содержатся все пользователи- всех серверов, и собираю эту книгу не я :)
    Мне кажется, что проблема в том, что общая адресная книга воспринимается моим сервером, как доверенная или в том, что для общей адресной книги мой сервер воспринимается, как сервер администрирования?
    Неужели ни у кого на сервере нет общих адресных книг???

    Добавлено: Кто-нибудь знает на что, кроме доверенного доступа через инет, влияет параметр Trusted for Credentials в DA???
    Может в этом дело?
     
  9. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    И можно ли DA50.nsf установить сервер администрирования в None? К чему это может привести?
    Я сейчас так сделал, послежу будут ли появляться "мои" ошибки/
     
  10. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Мысль интересная. У меня нет HTTP, этот параметр установлен в No для всех АК. Проблем не замечал, по крайней, мере, прием/отправка почты работает.
     
  11. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Да, этот параметр на маршрутизацию не влияет, а вот пользователи из этих книг нормально проходят авторизацию на сервере по обычному лотусовому порту (1352)? Просто у меня в настройках безопасности стоит пускать пользователей только с доверенных адресных книг.
     
  12. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Отвечаю же на свой вопрос:
    при установки в DA параметра Trusted for Credentials в No выше описанные ошибки исчезли и в admin4.nsf все задачи отработали без ошибок, но при этом пользователей из других адресных книг перестало пускать т.к. при их доступе к серверу проверяются открытые ключи.

    И как быть в такой ситуации? Безопасность не хочется понижать :-(
     
  13. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    А если изменить полные имена у дубликатов в Вашей "глобальной" адресной книге? Скажем, добавить всем букву отчества или изменить имя организации? Т.е., Vasya Pupkin/Org превратить в Vasya A Pupkin/Org или Vasya Pupkin/Org2. Правда тогда могут быть проблемы с шифрованием почты. В общем, надо потренироваться "на кошках"...

    UPDATE. Мдя. не подумавши я написАл. Если ВСЕХ пользователей так изменить, то авторизоваться-то они не смогут... Мож, селективную репликацию этой базы организовать?
     
  14. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    не получится, после первой же репликации все встанет на круги своя...
    А вообще менять имена это не выход тогда будут проблемы не только с шифрованием, но и с маршрутизацией и еще что-нибудь вылезет.

    Чувствую, что должна быть какая-нибудь настройка позволяющая обрабатывать админ процессом только адресную книгу сервера, а на другие не обращать внимание. А где она находится ума не приложу.

    Может кто знает про такую настройку?

    Я даже менял сервер администрирования у da50.nsf, не помогло.
     
  15. Nosferatus

    Nosferatus Active Member

    Регистрация:
    1 сен 2009
    Сообщения:
    28
    Симпатии:
    0
    Теперь точно могу сказать какие действия не отрабатывают:
    Change HTTP Password in Domino Directory

    Остальные (сертификация и изминение альтернативного имени) отрабатывают нормально
     
Загрузка...

Поделиться этой страницей