Enforce A Consistent Access Control List Across All Replicas Of This D

seoman2

Lotus team
17.02.2010
465
1
#1
Для чего нужна галочка в АЦЛ - Enforce a consistent access control list across all replicas of this database?

Эта галочка, чтобы я не смог добавить себя в ацл, еслиу меня реплика? если добавил, то больше не получу реплику?
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#2
А хэлп и поиск по форуму уже не помогают?
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 231
18
#3
Для чего нужна галочка в АЦЛ - Enforce a consistent access control list across all replicas of this database?

Эта галочка, чтобы я не смог добавить себя в ацл, еслиу меня реплика? если добавил, то больше не получу реплику?
конечно же нет, у тебя же еще есть FULL ACCESS

смысл этой галочки в том, чтобы на всех репликах была единая ACL - пойми админы тоже ленивые люди ;)
 

seoman2

Lotus team
17.02.2010
465
1
#4
Ну то что смысл этой галочки - "Установить согласованный список ацл для всех реплик" я знаю.
В хелпе пишется о том, что при этой галочке пользователь с уровнем доступа ридер не сможет редактировать доки в локальной реплике.

Но что меня интересует - АЦЛ можно менять только на главной реплике, видимо у административного сервака.
Если изменить АЦЛ у другого сервака, то репликация не будет работать.

А у нас тут проблема, как я понял плучаем реплики от одной конторы, в ацл указан их админ сервер и стоит галочка "Enforce a consistent".
Мы АЦЛ не трогаем, к нам поступает реглярно реплика.
А уже от нас на нашу сеть на дочерние реплики от нашей реплики репликация сбивается через время.
 

seoman2

Lotus team
17.02.2010
465
1
#6
Ситуация такая:
С сервера1 (админ сервер с контролем ацл) на сервер2 репликация идет, тип - Pull Push.
С сервера2 на сервер3 - репликация не проходит, ошибка "Access control is set in to not allow replication from". тип - Pull Push.
В ацл по дефаулту - ридер.

Обязательно ли для репликации дать права принимающему серверу - Manager? По идее - ридера хватит.

Вот тут логирую эксперименты, объяснить их пока не могу. И где копать - тоже не понимаю.
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#7
Обязательно ли для репликации дать права принимающему серверу - Manager? По идее - ридера хватит.
Каким образом сервер будет обрабатывать документы на себе самом, например агентами?
"По идее" тут не катит. Если установлена галка "Enforce a-a-a...", то все д.б. Manager'ами (для этого и есть группы LocalDomainServers и OtherDomainServers). Если не установлена и репликация ACL отключена, тогда можно уже мутить с ридерами.
 

seoman2

Lotus team
17.02.2010
465
1
#8
Наш сервер2 в базе, которую получаем с админ. сервера1 - имеет права ридер. Репликация идет.
Стоит галка Enforce.

Пробую на сервер3 с сервера2 сделать реплику - не идет.
Как это можно объяснить не понимаю.
ПОчему с сервера1 на сервер2 идет репликация, а с сервера2 на сервер3 - нет.
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#9
seoman2
На сервере3 в установках репликации стоит галка "Access control list"?

У сервера2 какой доступ? В такой схеме у сервера2 по любому д.б. Manager.

[offtop]Если сервер1 раздаёт сам, то при большом количестве серверов типа сервер2 на 1-й будет большая нагрузка. По моему, лучше, если сервер2 и т.д. будут запрашивать репликацию.[/offtop]
 

seoman2

Lotus team
17.02.2010
465
1
#10
> На сервере3 в установках репликации стоит галка "Access control list"?
Да, стоит.

> У сервера2 какой доступ?
В ацл есть записи
дефаулт, LocalDomainAdmins, LocalDomainServers, OtherDomainServers - все с правами Reader
сервер 1 - Manager

сервер2 скорее всего в группе серверов с правами Reader
сервер3 - не указан.
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#11
Если сервер2 с правами Reader, то он, естественно, не может сделать Push, т.к. может только читать.
 

seoman2

Lotus team
17.02.2010
465
1
#12
Так мне надо только вытянуть данные (пул) сервром3 с сервера2

В общем при пуле с сервера 2 на сервер 3
сервер2 - менеджер
сервер3 - ридер?
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#13
Смотрите. Как сервер3 вообще сможет работать с данными базы? Ну прочитал он, - прекрасно, а как он их записать к себе в базу сможет?
Кроме того, права не назначаются "чисто на репликацию". Даже с собственными данными сервер не сможет работать, - основная часть агентов в базе не сможет работать, т.к. права на изменение (сохранение) у сервера нет.
Я ж говорю, у всех серверов д.б. права, как минимум Editor'а, а лучше Manager'а. А 'реплицировать или не реплицировать документы' можно регулировать направлением репликации, READERS-полями в доках, селективной репликацией.
 

seoman2

Lotus team
17.02.2010
465
1
#14
В итоге попросил дать права серверу 2 (который тянет данные с сервера 1) - менеджер.
Репликация сервер2 сервер 3 - заработала.
 

seoman2

Lotus team
17.02.2010
465
1
#15
Еще вопрос.
Если у сервера1 права менеджера, у сервера 2 - ридер.
Сервер2 тянетс сервера 1 доки.
Репликация успешная.
Как сервер 2 записывает новые доки в свою базу, если он ридер?
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 231
18
#16
Еще вопрос.
Если у сервера1 права менеджера, у сервера 2 - ридер.
Сервер2 тянетс сервера 1 доки.
Репликация успешная.
Как сервер 2 записывает новые доки в свою базу, если он ридер?
нифига ты не разобрался

нужно понимать разницу между инициатором и обрабатывающим

сервер №2 - ридер, значит он видит какие-то доки, значит только ИХ он может реплицировать

и репликация это не создание документов, это его получение, права "ридер" в данном случае позволяет их получить а не "создать"

а вот агент запущенный на №2 из-за прав ридер ничего сделать не сможет - потому как прав на создание/изменение у него нет
 

VladSh

начинающий
Lotus team
11.12.2009
1 262
6
#17
и репликация это не создание документов, это его получение, права "ридер" в данном случае позволяет их получить а не "создать"
При таком объяснении вряд ли лучше разберёшься, только запутаешься.
 

Мыш

Премиум
12.02.2008
1 097
10
#19
Я кладу в копилку монету - я менеджер по отношению к ней. При этом копилка в меня ничего засунуть не может - у нее доступ только на чтение (получение) монет.