Страница 1 из 2

Переставляю СА. Поделитесь опытом (+)

СообщениеДобавлено: 08 июл 2002, 16:55
Павел Орлов aka XerX
Короче слетел СА.
Собираюсь переставлять. Тиды все прочел по перестановке.
Там сказано что "нужно снести все объекты безопасности на всех серверах"
Меня интересуют проблемы с которыми я могу столкнутся в процессе перестановки (а конкретно после сноса). Что случится после сноса. На сколько окажется неработоспособна сеть. Какова вероятность того что сеть умрет совсем... и вообще на сколько критична эта операция ?

Дело было давно...

СообщениеДобавлено: 08 июл 2002, 18:10
Владимир Горяев
расскажу что помню.Раз уж они слетели то хуже не будет, если объекты прибить.Некоторые из них не удаляються из nwadmin нужно вроде использовать старенький netadmin из 4.xx или C1.Не будут правильно работать вещи кот используют CA(BM,WEB...) их нужно будет после перекофигурировать.Делать надо как описано в тидах и документации и все будет OK.

СообщениеДобавлено: 09 июл 2002, 11:38
Павел Орлов aka XerX
А что у меня при этом будет с работающим бордюром ?

СообщениеДобавлено: 09 июл 2002, 12:11
Владимир Горяев
Неработающий бордюр :?
Точнее скорее всего не будут работать SSO и SSL-аутен-я.
А может СА не слетел? Может в другом дело?
И насчет "нужно снести ВСЕ объекты безопасности на ВСЕХ серверах" я не уверен. А не достаточно ли снести старые СА и КМО и сделать их заново?

СообщениеДобавлено: 09 июл 2002, 12:50
Павел Орлов aka XerX
тады объясняю почему я решил что СА слетел.
1) новый бордюр не ставится (говорит не нахожу СА)
2) при тыке на объект СА говорит - не могу найти сервер к которому привязан объект.
3) бордюр пока работает (через клиент траст)

СообщениеДобавлено: 09 июл 2002, 14:24
Владимир Горяев
Может сервера к кот был привязан СА уже и нет в дереве?
А DSREPAIR не ругается по поводу СА? Наверно есть смысл дерево сначала полечить.

СообщениеДобавлено: 09 июл 2002, 14:29
Павел Орлов aka XerX
DSRepair не ругается. (только что еще раз проверил)
сервак один только убивали... и явно не тот к которому был привязан СА.

СообщениеДобавлено: 09 июл 2002, 15:20
Владимир Горяев
Ну тогда надо переставлять.
Хотя... если так еще:
На мастере, для начала
DSREPAIR -A ->Advanced options menu->Repair local DS database
Rebuild operational schema? Yes
Check local references? Yes
F10
Мож что всплывет.

СообщениеДобавлено: 12 июл 2002, 10:09
Павел Орлов aka XerX
НА счет перестройки схемы... сделал... ничего не всплыло. даже не ругнулось.

Reinstalling Certificate Server....

СообщениеДобавлено: 12 июл 2002, 19:54
skoltogyan

СообщениеДобавлено: 15 июл 2002, 09:56
Павел Орлов aka XerX
Я же сказал. Тиды все прочел. и этот в том числе.

Короче провел я сей эксперимент на своей сетке. Как всегда все пошло не так как описано в ТИДе.
снес объекты, удалил файлы, анинсталлил пкис и сас. при установке СА с дистрибутива - он мне заявил что не могу создать СА в дереве.
В общем я СА ручками создал, и потом теми же ручками к нему все объекты безопасности заново создавал и привязывал к СА.
Вроде бы все работает.. правда пришлось с 18.00 до 23.00 сидеть и нервы себе портить. 8-). Единственное что - это КМО не встало...

Всем спасибо за советы особенно
Владимиру Горяеву

СообщениеДобавлено: 15 июл 2002, 10:28
Владимир Горяев
Пожалуйста :wink: .
Про КМО. Где-то попадалась инфа, что надо его делать 512-бит(а не 2048 по умолчанию) и указывать не имя сервера а его IP.

СообщениеДобавлено: 15 июл 2002, 10:45
Павел Орлов aka XerX
А поподробнее по настройке КМО ... а то я сейчас вообще без него живу...

СообщениеДобавлено: 15 июл 2002, 12:19
Владимир Горяев
В двух словах не расскажу...

Что касается ВМ то можно почитать тут:
http://www.novell.com/documentation/lg/ ... skz48.html

А про Novell Certificate Server тут:
http://www.novell.com/documentation/russian/index.html

Решил продолжить в старой ветке

СообщениеДобавлено: 26 сен 2003, 15:20
Данияр Кенжеев
Привет!
У нас ситуация такая. Сервер Sertificate Server с обьектами Secutity Domain Key and Organizational CA ещё жив, но находиться в другом городе. Дерево росло оттуда. Решили перенести Sertificate Server к себе. В тиде Certificate Server Issues-Removing a Server from a Tree - TID10056795 (last modified 30DEC2002) как вариант, советуют Novell Migration Wizard 6.0. Кто нибудь пробовал работать с визардом? Может сразу врукопашную? И ещё. Там есть такая фраза.

You will need to find which servers in your tree hold a copy of the Security Domain key. Typically, those servers that have rights to the W0 object will have a copy of this key. The key is in the SYS:\SYSTEM\NICI directory in a file called NICISDI.KEY. Note that this key is encrypted in a server specific key and cannot be used by another server.

на обьект W0 все остальные сервера имеют право read, compare кроме мастера рута (supervisor). Вот и не пойму кто же всё таки имеет копию Security Domain key? Все сервера или только мастер?