Связывание двух серверов 6.5

[puks]

Для: Pacifyer

Шаги следующие:
1) Есть старый сервер Сервер_1/Организация_1@Домен_1 со своим доменным именем
2) Ставим новый сервер Сервер_2/Организация_2@Домен_2 со своим доменным именем
3) Кроссертифицируем сервера
4) Создаем Adjacent Domain документы для другого домена в каждой АК
5) Добавляем себя родимого в Full Administrator на закладке Security серверного документа, чтобы можно было достучаться до него при ошибке в правах.
6) Создаем Connection документы для другого сервера в АК.

Тестируем ЛОТУСОВУЮ почту, то есть пытаемся послать кому-нибудь с другого домена по адресу Имя/Организация@Домен

Рипликации и остальное настроим позже.

 

[Constantin A Chervonenko]

..
2) Ставим новый сервер Сервер_2/Организация_2@Домен_2 со своим доменным именем
3) Кроссертифицируем сервера
..

Зря.
Ставим Новый 1-й сервер. Он спрашивает: "Генерить cert.id?" Говорим - "Нет" и подсовываем существующий. Задаем имена сервера и нового домена
Далее по списку

 

[puks]

В этом случае ему придется делиться cert.id и паролем к нему с другими подразделениями, что не очень хорошо при их автономности.

 

[Constantin A Chervonenko]

В этом случае ему придется делиться cert.id и паролем к нему с другими подразделениями, что не очень хорошо при их автономности.

А подумать если?
Конечно, надо предварительно сгенерить ou_cert.id и подсовывать именно его. Его-же с рук на руки сдать - тамошнему офицеру безопасности

 

[puks]

Короче, это все споры на религиозные темы.
Предложены варианты. Оба - рабочие. Pacifyer решает.

 

[Pacifyer]

Спасибо огромное, ребят. К сожалению я на данный момент сильно заболел и не могу провести производственный эксперимент.

Кстати я таки разобрался с иерархией имен, так что теперь более глубоко проник в суть вещей. Литература все-таки рулит.

Вариант с раздельными деревьями я вижу как более перспективный в силу своей простоты. Ведь провести кросс-сертификацию ничем не обязывает тебя ни к чему. Особенно если случится что подразделение выйдет из холдинга, а у них на руках сертификат всех офисов. Пока что я слабо представляю угрозу от этого, но скорее всего с помощью этого сертификата можно в нашем домене зарегистрировать кого-угодно, а это есть нехорошо.

В своих экспериментах я дошел до успешной связи серверов для репликации, но уперся в то, что на производственном сервере на данный момент в разделе Security сервера ПУСТО! И нет ни одной группы безопасности! Я в шоке от того как так настроили!

Теперь стоит задача разобраться какие значения нужно внести в безопасность сервера, ибо пустые значения разрешают все, а начнешь указывать - что-то не заработает. Это к тому, что надо дать разрешение на репликацию, но это разрешение нужно явно не только другому серверу, а и администраторам этого и т.д. Я углубился в чтение литературы, побоявшись ставить эксперимент наживую.

Не понимаю, чем помешали группы безопасности, создаваемые Домино при установке по умолчанию, ака LocalDomainServers, ForeignDomainServers и т.д. Меня еще удивило, что когда меня добавляли в качестве администратора пришлось ребутать сервер. Дык конечно, надо ж туда группу изначально вставить, а потом просто добавлять туда пользователей, чтобы не ребутать.

В общем всем спасибо, теперь я приблизительно вижу план действий, остальное - детали.