Enforce A Consistent Access Control List Across All Replicas Of This D

seoman2

Well-Known Member
Lotus team
#1
Для чего нужна галочка в АЦЛ - Enforce a consistent access control list across all replicas of this database?

Эта галочка, чтобы я не смог добавить себя в ацл, еслиу меня реплика? если добавил, то больше не получу реплику?
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#3
Для чего нужна галочка в АЦЛ - Enforce a consistent access control list across all replicas of this database?

Эта галочка, чтобы я не смог добавить себя в ацл, еслиу меня реплика? если добавил, то больше не получу реплику?
конечно же нет, у тебя же еще есть FULL ACCESS

смысл этой галочки в том, чтобы на всех репликах была единая ACL - пойми админы тоже ленивые люди ;)
 

seoman2

Well-Known Member
Lotus team
#4
Ну то что смысл этой галочки - "Установить согласованный список ацл для всех реплик" я знаю.
В хелпе пишется о том, что при этой галочке пользователь с уровнем доступа ридер не сможет редактировать доки в локальной реплике.

Но что меня интересует - АЦЛ можно менять только на главной реплике, видимо у административного сервака.
Если изменить АЦЛ у другого сервака, то репликация не будет работать.

А у нас тут проблема, как я понял плучаем реплики от одной конторы, в ацл указан их админ сервер и стоит галочка "Enforce a consistent".
Мы АЦЛ не трогаем, к нам поступает реглярно реплика.
А уже от нас на нашу сеть на дочерние реплики от нашей реплики репликация сбивается через время.
 

seoman2

Well-Known Member
Lotus team
#6
Ситуация такая:
С сервера1 (админ сервер с контролем ацл) на сервер2 репликация идет, тип - Pull Push.
С сервера2 на сервер3 - репликация не проходит, ошибка "Access control is set in to not allow replication from". тип - Pull Push.
В ацл по дефаулту - ридер.

Обязательно ли для репликации дать права принимающему серверу - Manager? По идее - ридера хватит.

Вот тут логирую эксперименты, объяснить их пока не могу. И где копать - тоже не понимаю.
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#7
Обязательно ли для репликации дать права принимающему серверу - Manager? По идее - ридера хватит.
Каким образом сервер будет обрабатывать документы на себе самом, например агентами?
"По идее" тут не катит. Если установлена галка "Enforce a-a-a...", то все д.б. Manager'ами (для этого и есть группы LocalDomainServers и OtherDomainServers). Если не установлена и репликация ACL отключена, тогда можно уже мутить с ридерами.
 

seoman2

Well-Known Member
Lotus team
#8
Наш сервер2 в базе, которую получаем с админ. сервера1 - имеет права ридер. Репликация идет.
Стоит галка Enforce.

Пробую на сервер3 с сервера2 сделать реплику - не идет.
Как это можно объяснить не понимаю.
ПОчему с сервера1 на сервер2 идет репликация, а с сервера2 на сервер3 - нет.
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#9
seoman2
На сервере3 в установках репликации стоит галка "Access control list"?

У сервера2 какой доступ? В такой схеме у сервера2 по любому д.б. Manager.

[offtop]Если сервер1 раздаёт сам, то при большом количестве серверов типа сервер2 на 1-й будет большая нагрузка. По моему, лучше, если сервер2 и т.д. будут запрашивать репликацию.[/offtop]
 

seoman2

Well-Known Member
Lotus team
#10
> На сервере3 в установках репликации стоит галка "Access control list"?
Да, стоит.

> У сервера2 какой доступ?
В ацл есть записи
дефаулт, LocalDomainAdmins, LocalDomainServers, OtherDomainServers - все с правами Reader
сервер 1 - Manager

сервер2 скорее всего в группе серверов с правами Reader
сервер3 - не указан.
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#11
Если сервер2 с правами Reader, то он, естественно, не может сделать Push, т.к. может только читать.
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#13
Смотрите. Как сервер3 вообще сможет работать с данными базы? Ну прочитал он, - прекрасно, а как он их записать к себе в базу сможет?
Кроме того, права не назначаются "чисто на репликацию". Даже с собственными данными сервер не сможет работать, - основная часть агентов в базе не сможет работать, т.к. права на изменение (сохранение) у сервера нет.
Я ж говорю, у всех серверов д.б. права, как минимум Editor'а, а лучше Manager'а. А 'реплицировать или не реплицировать документы' можно регулировать направлением репликации, READERS-полями в доках, селективной репликацией.
 

seoman2

Well-Known Member
Lotus team
#15
Еще вопрос.
Если у сервера1 права менеджера, у сервера 2 - ридер.
Сервер2 тянетс сервера 1 доки.
Репликация успешная.
Как сервер 2 записывает новые доки в свою базу, если он ридер?
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 203
24
38
Киев
ToxaRat.com
#16
Еще вопрос.
Если у сервера1 права менеджера, у сервера 2 - ридер.
Сервер2 тянетс сервера 1 доки.
Репликация успешная.
Как сервер 2 записывает новые доки в свою базу, если он ридер?
нифига ты не разобрался

нужно понимать разницу между инициатором и обрабатывающим

сервер №2 - ридер, значит он видит какие-то доки, значит только ИХ он может реплицировать

и репликация это не создание документов, это его получение, права "ридер" в данном случае позволяет их получить а не "создать"

а вот агент запущенный на №2 из-за прав ридер ничего сделать не сможет - потому как прав на создание/изменение у него нет
 

VladSh

начинающий
Lotus team
11.12.2009
1 248
2
Киев (Русь)
#17
и репликация это не создание документов, это его получение, права "ридер" в данном случае позволяет их получить а не "создать"
При таком объяснении вряд ли лучше разберёшься, только запутаешься.
 

Мыш

Well-Known Member
Lotus team
12.02.2008
1 084
13
#19
Я кладу в копилку монету - я менеджер по отношению к ней. При этом копилка в меня ничего засунуть не может - у нее доступ только на чтение (получение) монет.