Связывание двух серверов 6.5

Тема в разделе "Lotus - Администрирование", создана пользователем Pacifyer, 26 фев 2007.

Статус темы:
Закрыта.
  1. Pacifyer

    Pacifyer Гость

    На данный момент у меня в организации есть два логически несвязанных сервера под управлением Lotus Domino 6.5. Сервера находятся в одной локальной сети, каждый из них обслуживает один домен интернета, используя шлюзовой релей с Postfix.

    Цель.
    1) Создать между ними маршрут для непосредственной передачи почты друг другу минуя релей
    2) Реплицировать друг другу адресные книги
    3) Сделать доступной информацию о занятости между серверами

    Очень прошу с наиболее возможными деталями описать как это сделать, ибо нет уже моих сил.
    Главная проблема, затрудняющая разбирательство - это вечная путаница что же имеется в виду под словом "Домен" - это а) домен Лотус б) почтовый домен интернет в) название домена из документа домена.

    Также одной из проблем является вынужденная установка сервера Домино на контроллер Active Directory, что сделало затруднительным использование LDAP. Просьба подсказать что можно сделать в этом случае, чтобы избежать проблем связи этих двух серверов.
     
  2. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Если я правильно понял, то эти два сервера находятся в разных Домино доменах. Домино домен - это группа серверов использующих одну адресную книгу, как Public Adress Book.

    Тогда надо
    1) В каждой адресной книге (на одном и другом серверах) создать Adjacent Domain документ, где описать домен и Calendar server name.
    2) Создать Connection document для каждого сервера, где также описать, что будут реплицироваться адресные книги и ходить почта.
    3) Кроссертифицировать сервера (можно, конечно, и домены, если предполагается, что пользователи будут иметь доступ кдругому серверу).
    4) Создать реплики адресных книг
    5) Возможно, что надо будет подправить права досупа серверов к адресным книгам и серверу.
     
  3. Pacifyer

    Pacifyer Гость

    Концептуально я себе представляю это все, проблема в том, что не получается сделать это на практике. Вот встречные вопросы.
    В документе домена что имеется в виду
    1) Adjacent domain name: это название домена Лотус или почтового?
    2) Calendar server name: в каком виде? имя ДНС сервера его IP или в формате Лотус типа Lotus-server/DOMAIN

    В документе connection
    1) Source server, Source domain, Destination server, Destination domain - это какие имеются в виду? Названия а-ля лотус или а-ля ДНС?
    2) При репликации адресный книг, это, как я понял names, не начнут ли они затирать одна другую или они объединятся в одну, в которой будет содержимое обеих?
    3) Где я могу указать права доступа ДРУГОМУ серверу?
    4) Понятие кроссертификации пока неясно

    Хочу уточнить, мне досталась уже рабочая среда, поэтому я еще не специалист в этих вопросах, хотя уже перечитал тонны документации и книгу по администрированию.

    Для опытных админов Лотуса многие мои вопросы из разряда "само собой разумеется", но именно в основополагающих вопросах я пока с трудом осваиваюсь...

    Хотя админ со стажем, Постфикс и Эксчендж в моей крови...
     
  4. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    В документе домена Лотусовые названия

    В документе connection...

    Если ты нажмешь левой кнопкой мыши на названии поля, то увидишь подсказку по нему.

    При создании реплики файл надо назвать по-другому, чтобы они файлово не перезаписали друг друга.

    Права указываются в ACL и на странице Security серверного документа

    Без обид. Верится с трудом, что ты перечитал тонны документации. Вся эта инфа есть в обычном help администратора. А вопросы по правам и кроссертификации - начального уровня.
     
  5. Pacifyer

    Pacifyer Гость

    Спасибо за ответы буду дальше разбираться

    Никаких обид просто знаешь как начальством ставятся задачи - чтоб послезавтра работало и все тут. Нет возможности действительно спокойно разобраться.

    Просто тут я столкнулся с рядом новых для себя понятий а-ля сертификация, сразу не разобрался, разбирался в чем понимал. Все потому, что слету. Также много где столкнулся с путаницей между доменами ДНС и Домино. Отсюда и грабли.

    А доки я прочитал довольно много, просто еще не успел все усвоить, а результат нужен довольно срочно.
     
  6. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Начальство всегда так...

    По поводу новых для тебя понятий все это знакомо. Но надо.

    Почитай книги Ионцева. Там все здорово объяснено. У него, кстати, есть и по почте.

    Просто с Лотусом с наскока не получится. Сначала база, а потом кайф от администрирования. А то 5 минут наделаешь дел и будешь разгребать месяцами. Так и получается, что Лотус г... А он просто более требователен к знаниям, чем Exchange. Я это из своего собственного опута и опыта товарищей, которые с Exchange приходили.
     
  7. Pacifyer

    Pacifyer Гость

    Ну вот, приехал. Слава богу это был экспериментальный сервер-полигон.

    В результате установки (как я делаю вывод) ACL сервера меня (клиента) перестало пускать на сервер вообще... Похоже это связано с непоставленной галочкой с поле Access Server.

    Думаю этот экземпляр Лотуса я похоронил... Буду переустанавливать...
     
  8. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Да подожди ты переустанавливать.

    Что значит в результате переустановки ACL? Что конкретно ты менял и где?
     
  9. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.291
    Симпатии:
    0
    Инструкция по взлому:
    Опускаешь сервер (с консоли или вместе с операционкой - если сервис)
    Запускаешь на этой-же машинке клиента Нотес и лезешь в АК как в локальную базу. Чинишь
     
  10. Pacifyer

    Pacifyer Гость

    <!--QuoteBegin-puks+26:02:2007, 18:11 -->
    <span class="vbquote">(puks @ 26:02:2007, 18:11 )</span><!--QuoteEBegin-->Что значит в результате переустановки ACL? Что конкретно ты менял и где?
    [snapback]57347" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Я изменил в документе сервера в поле Access Server добавил сервер другого домена, но не поставил галочку дл ядоступа пользователей из доверенных ДД.

    Как результат пустое значение того параметра предусматривало доступ любого пользователя, а указание сервера явно включило фильтрацию, запретив доступ всем кроме того сервера, а значит и мне как пользователю.

    <!--QuoteBegin-Constantin A Chervonenko+27:02:2007, 10:16 -->
    <span class="vbquote">(Constantin A Chervonenko @ 27:02:2007, 10:16 )</span><!--QuoteEBegin-->Инструкция по взлому:
    Опускаешь сервер (с консоли или вместе с операционкой - если сервис)
    Запускаешь на этой-же машинке клиента Нотес и лезешь в АК как в локальную базу. Чинишь
    [snapback]57410" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Спасибо огромное, очень ценная информация на будущее. К сожалению я так и не смог проверить на практике, ибо до написания этого поста уже переустановил сервер. Т.к. он был чистым полигоном и не содержан ничего нового то я без особой жалости его снес.
     
  11. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    А еще лучше внести себя (или группу) в поле Full Access Administrators в серверном документе. Тогда можно будет открыть любую базу на сервере административным клиентов в режиме Full Access доступа.
     
  12. Pacifyer

    Pacifyer Гость

    Возвращаясь к нашим баранам.

    С вопросом сертификации я разобрался, сервера кросс-сертифицированы.

    Привожу выдержки из документов серверов:

    DOMAIN1:
    ==========================================
    Server name: test-lotus/DOMAIN1
    Server title: corp test server
    Domain name: domain1
    Fully qualified Internet host name: test-lotus.domain1.lan

    DOMAIN2:
    ==========================================
    Server name: Lotus_server/DOMAIN2
    Server title: main server
    Domain name: DOMAIN2.LAN
    Fully qualified Internet host name: Lotus_server.domain2.lan


    Создал документы Adjacent Domain. В них указал по типу этого

    DOMAIN1:
    ==========================================
    - Adjacent domain name: DOMAIN2
    - Calendar server name: Lotus_server/DOMAIN2

    DOMAIN2:
    ==========================================
    - Adjacent domain name: DOMAIN1
    - Calendar server name: test-lotus/DOMAIN1

    Документы Connection я создал на обоих серверах. Заполнил так:
    DOMAIN1:
    ==========================================
    Connection type: Local Area Network Usage priority: Normal
    Source server: test-lotus/DOMAIN1 Destination server: Lotus_server/DOMAIN2
    Source domain: DOMAIN1 Destination domain: DOMAIN2
    Use the port(s): TCPIP Optional network address: 192.168.0.21

    Replication task: Enabled Routing task: Mail Routing
    Replicate databases of: Low & Medium & High priority Route at once if: 1 messages pending
    Replication Type: Pull Push Routing cost: 1
    Files/Directory Paths to Replicate: (all if none specified) Router type: Push Only


    DOMAIN2:
    ==========================================
    Connection type: Local Area Network Usage priority: Normal
    Source server: Lotus_server/DOMAIN2 Destination server: test-lotus/DOMAIN1
    Source domain: DOMAIN2 Destination domain: DOMAIN1
    Use the port(s): TCPIP Optional network address: 192.168.0.113

    Replication task: Enabled Routing task: Mail Routing
    Replicate databases of: Low & Medium & High priority Route at once if: 1 messages pending
    Replication Type: Pull Push Routing cost: 1
    Files/Directory Paths to Replicate: (all if none specified) Router type: Push Only

    Теперь гвоздь с репликацией. Я так понимаю сервера еще до сих пор толком не знают о существовании друг друга... Информации в документах Connection явно не хватает.

    Попытавшись создать реплику файла names.nsf с сервера test-lotus/DOMAIN1 в файл names_domain1.nsf сервера Lotus_server/DOMAIN2 (указав его вручную) я получил в консоли ошибку что для сервера Lotus_server/DOMAIN2 в ДД нет документа.

    Отсюда вопрос - что я пропустил?

    Также повторю: мне надо обменяться адресными книгами, устроить пересылку почты и обмен календарной информацией.

    Пожалуйста просветите неуча ибо вопрос горит...
     
  13. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Не было времени все просмотреть внимательно, но сразу же

    1) Синтаксис имени Name\OUn\...\OU1\O@Domain
    OU - Organization Unit
    O - Organization

    Ты же пишешь "Server name: test-lotus/DOMAIN1" . Ты с иерархическими именами разобрался? Ты не путаешь в лотусе Organization и Domain?

    Как я понял второй сервер тоже внутренний и сейчас он тестовый. Зачем тебе вообще 2 лотусовых домена? Какую задачу ты решаешь?

    Connection документа вполне достаточно, чтобы сервера знали как связаться с друг другом. В нем же описывается репликация разрешение на хождение почты. Но реплики ты должен создать руками. Правила раутинга определяются (в твоем случае) domain документом.
     
  14. Pacifyer

    Pacifyer Гость

    Ух...

    Ну я сразу сказал что у меня проблема с пониманием названий в Лотусе и различии доменов в частности...

    Один сервер есть рабочий и настроенный. Второй я установил у себя тестовый.

    Задача стоит олотусить несколько автономных подразделений, соединенных корпоративной сетью.

    Я так понимаю имеющийся сервер настраивался не с большого ума, а я хочу с толком во всем разобраться.

    С политикой именования я так понимаю я не разобрался, но делал все в меру своего понимания.

    Я потому и написал выдержку из документов сервера, что боюсь что неправильно понял именно концепцию именования...

    Поэтому просил бы показать как бы выглядела ПРАВИЛЬНАЯ конфигурация, если есть 2 ДНС домена и у них соответственно 2 сервера:
    test-lotus.domain1.lan
    Lotus_server.domain2.lan
    Которые каждый релеит почту для своего домена интернет. Но это уже не важно. Главное что есть 2 полностью автономных сервера Домино и надо как-то их связать. Желательно не объединять их в какие-либо более сложные иерархические структуры, а оставить автономными...

    Я понимаю, что прошу слишком много, но учусь быстро, и все пойму если хоть раз увижу.

    Заранее премного благодарен
     
  15. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Понимаешь, то, что сейчас тебе может казаться более сложной иерархической структурой, потом может оказаться самым разумным решением и легким по администрированию (вообще в Лотусе администрирование вообще очень простая вещь, если понимаешь базовые вещи).

    Я спрашиваю про структуру, так как в Nоtes есть разные варианты решения.

    1) Ты хочешь создавать для каждого подразделения отдельный лотусовый сервер? (Отдельный сервер еще не предполагает, что они должны быть в разных лотусовых доменах).
    2) Они (вне лотусовой структуры) представляют одну организацию, но разные подразделения?
    3) Они используют какие-нибудь общие базы?
    4) Все ли они имеют более или менее нормальный доступ к интернет, т.е. не модем?
    5) Почему вообще ты хочешь иметь разные Лотусовые домены? Ты хочешь иметь для них совершенно различные адресные книги? Почему? Будут ли они выбирать людей из других подразделений из какой-либо комбинированной адресной книги (если уж ты решишь иметь разные книги)?

    Не привязывайся к ДНС доменам. Интернет почту можно получать и из разных доменов одним сервером.
     
  16. Pacifyer

    Pacifyer Гость

    Сразу хочу поблагодарить за столь глубокую помощь.

    Эти "подразделения" - самостоятельные компании, которых объединяет лишь топ менеджмент.
    Рядовым сотрудникам вовсе не нужно знать о сотрудниках других компаний.
    Но топ менеджмент хочет иметь идентичную систему для всех компаний. При этом использовать назначение задач и совещания между компаниями.

    Также необходимо разделение глобальной адресной книги таким образом, чтобы сотрудники отдельно взятой компании из одной ардесной книги могли брать адреса сотрудников только локальной компании, а из других соответственно для других компаний, при этом адресные книги других компаний должны реплицироваться всем остальным.

    В принципе возможно стоило бы сделать нескольно организационных единиц в одном домене, сервера соединены довольно быстрым постоянным каналом, но есть несколько обстоятельств.

    Во-первых есть в наличии уже развернутый 1 сервер. В нем все развернуто без организацционных единиц. Переноса его конфигурации и почтовых баз я хотел бы избежать, ибо баз 70, и все они имеют названия типа user01.nsf, спасибо настройщику, так что идентифицировать их и подключать весьма проблематично.

    Также мне на данный момент нет резона реплицировать все почтовые базы между всеми серверами, хотя было бы интересно, если бы некоторые избранные пользователи из любого офиса могли получить доступ к своей почтовой базе, используя локальный сервер.

    Прежде всего, этот проект на данном этапе в процессе разработки, но окончательно не утвержден. Я должен построить работающую модель взаимодействия серверов, после чего в случае положительного результата это будет внедряться повсеместно. Очень не хочется никоим образом нарушать работу существующего сервера.

    Также, каждое подразделение имеет свой штат администраторов, поэтому хотелось изначально сделать сервера наиболее независимыми по возможности. Отсюда и идея с самостоятельными доменами. Также работа серверов не должна никоим образом нарушаться при отсутствии связи между друг другом.

    Возможно я и ошибаюсь в своих выводах, уж больно поверхностны мои взгляды. Безусловно буду признателен за наставление на путь истинный.
     
  17. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.291
    Симпатии:
    0
    Так-так... Сетевой проект...

    IMHO:
    1."подразделения" - разные Нотес-домены. Тогда у них будут независимые АК
    2.Дерево имен, думаю, общее. С=<имя холдинга>, OU1=<имя "подразделения"> Не придется мудрить с кросс-сертификатами. И для топов в дереве место есть (в корне)
     
  18. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Домены разные, это точно.
    Общее дерево не самый лучший вариант при совершенно автономных IT. Лучше уж пусть каждое подразделение имеет свое дерево. Кроссертифицировать сервера - не большая проблема.
     
  19. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Для: Pacifyer

    Был очень занят. Завтра распишу мой вариант.

    Для: Constantin A Chervonenko

    Костя!
    Я тут спокойно обдумал твой вариант и появились вопросы. Я понимаю, что это теоретически возможно. А как это получается на практике? Понятное дело, что домен ты можешь прописать какой угодно и даже поменять потом, так как в ID он не прописывается. Ты действительно предлагаешь все в одном дереве или только по названию? Судя по тому, что кроссертифицировать ты не собираешься, то дерево ты хочешь иметь одно.
    Но как ты поставишь новый сервер? Что ты ответишь на вопрос это первый сервер или уже нет? Если первый, то создаются новые сертификаты и новая адресная книга. Если не первый, то надо же указать адресную книгу, а мы хотим иметь их раздельными. Получается, что надо делать трюки с регистрацией сервера в существующей книге. Потом делать ее копию, ставить на новый сервер, удалять ненужные записи и тп.

    Поправь, если я не прав. Просто я не делал такой установки. У тебя есть такой опыт?
     
  20. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.291
    Симпатии:
    0
    1 дерево или 2 - вопрос уже почти политический. Если хозяева общие - лучше одно. Рулить будет легче; подписи проверять. При кросс-сертификации же рядовым юзерам все равно будут вылезать запросы и создаваться доп.кросс-сертификаты - в Личной АК.
    О регистрации. Не админил уже лет 5, завершил на 4.6.6. Там ТОЧНО была возможность зарегистрить 1-й сервер, но НЕсоздавать корневой сертификат (указамши существующий). Т.о. рожался новый домен, но в старом дереве. Сомневаюсь, что из 6-ки это вырезали. Разве что спрятали от шаловливых ручек новичка.
    PS: иТрастовская книжка с инструкцией осталась в той конторе, где админил, не сошлюсь
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей