Переставляю СА. Поделитесь опытом (+)

Обсуждение технических вопросов по продуктам Novell

Переставляю СА. Поделитесь опытом (+)

Сообщение Павел Орлов aka XerX » 08 июл 2002, 16:55

Короче слетел СА.
Собираюсь переставлять. Тиды все прочел по перестановке.
Там сказано что "нужно снести все объекты безопасности на всех серверах"
Меня интересуют проблемы с которыми я могу столкнутся в процессе перестановки (а конкретно после сноса). Что случится после сноса. На сколько окажется неработоспособна сеть. Какова вероятность того что сеть умрет совсем... и вообще на сколько критична эта операция ?
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Дело было давно...

Сообщение Владимир Горяев » 08 июл 2002, 18:10

расскажу что помню.Раз уж они слетели то хуже не будет, если объекты прибить.Некоторые из них не удаляються из nwadmin нужно вроде использовать старенький netadmin из 4.xx или C1.Не будут правильно работать вещи кот используют CA(BM,WEB...) их нужно будет после перекофигурировать.Делать надо как описано в тидах и документации и все будет OK.
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Павел Орлов aka XerX » 09 июл 2002, 11:38

А что у меня при этом будет с работающим бордюром ?
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Владимир Горяев » 09 июл 2002, 12:11

Неработающий бордюр :?
Точнее скорее всего не будут работать SSO и SSL-аутен-я.
А может СА не слетел? Может в другом дело?
И насчет "нужно снести ВСЕ объекты безопасности на ВСЕХ серверах" я не уверен. А не достаточно ли снести старые СА и КМО и сделать их заново?
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Павел Орлов aka XerX » 09 июл 2002, 12:50

тады объясняю почему я решил что СА слетел.
1) новый бордюр не ставится (говорит не нахожу СА)
2) при тыке на объект СА говорит - не могу найти сервер к которому привязан объект.
3) бордюр пока работает (через клиент траст)
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Владимир Горяев » 09 июл 2002, 14:24

Может сервера к кот был привязан СА уже и нет в дереве?
А DSREPAIR не ругается по поводу СА? Наверно есть смысл дерево сначала полечить.
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Павел Орлов aka XerX » 09 июл 2002, 14:29

DSRepair не ругается. (только что еще раз проверил)
сервак один только убивали... и явно не тот к которому был привязан СА.
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Владимир Горяев » 09 июл 2002, 15:20

Ну тогда надо переставлять.
Хотя... если так еще:
На мастере, для начала
DSREPAIR -A ->Advanced options menu->Repair local DS database
Rebuild operational schema? Yes
Check local references? Yes
F10
Мож что всплывет.
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Павел Орлов aka XerX » 12 июл 2002, 10:09

НА счет перестройки схемы... сделал... ничего не всплыло. даже не ругнулось.
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Reinstalling Certificate Server....

Сообщение skoltogyan » 12 июл 2002, 19:54

skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Павел Орлов aka XerX » 15 июл 2002, 09:56

Я же сказал. Тиды все прочел. и этот в том числе.

Короче провел я сей эксперимент на своей сетке. Как всегда все пошло не так как описано в ТИДе.
снес объекты, удалил файлы, анинсталлил пкис и сас. при установке СА с дистрибутива - он мне заявил что не могу создать СА в дереве.
В общем я СА ручками создал, и потом теми же ручками к нему все объекты безопасности заново создавал и привязывал к СА.
Вроде бы все работает.. правда пришлось с 18.00 до 23.00 сидеть и нервы себе портить. 8-). Единственное что - это КМО не встало...

Всем спасибо за советы особенно
Владимиру Горяеву
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Владимир Горяев » 15 июл 2002, 10:28

Пожалуйста :wink: .
Про КМО. Где-то попадалась инфа, что надо его делать 512-бит(а не 2048 по умолчанию) и указывать не имя сервера а его IP.
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Павел Орлов aka XerX » 15 июл 2002, 10:45

А поподробнее по настройке КМО ... а то я сейчас вообще без него живу...
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Владимир Горяев » 15 июл 2002, 12:19

В двух словах не расскажу...

Что касается ВМ то можно почитать тут:
http://www.novell.com/documentation/lg/ ... skz48.html

А про Novell Certificate Server тут:
http://www.novell.com/documentation/russian/index.html
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Решил продолжить в старой ветке

Сообщение Данияр Кенжеев » 26 сен 2003, 15:20

Привет!
У нас ситуация такая. Сервер Sertificate Server с обьектами Secutity Domain Key and Organizational CA ещё жив, но находиться в другом городе. Дерево росло оттуда. Решили перенести Sertificate Server к себе. В тиде Certificate Server Issues-Removing a Server from a Tree - TID10056795 (last modified 30DEC2002) как вариант, советуют Novell Migration Wizard 6.0. Кто нибудь пробовал работать с визардом? Может сразу врукопашную? И ещё. Там есть такая фраза.

You will need to find which servers in your tree hold a copy of the Security Domain key. Typically, those servers that have rights to the W0 object will have a copy of this key. The key is in the SYS:\SYSTEM\NICI directory in a file called NICISDI.KEY. Note that this key is encrypted in a server specific key and cannot be used by another server.

на обьект W0 все остальные сервера имеют право read, compare кроме мастера рута (supervisor). Вот и не пойму кто же всё таки имеет копию Security Domain key? Все сервера или только мастер?
Аватара пользователя
Данияр Кенжеев
 
Сообщения: 49
Зарегистрирован: 09 сен 2002, 12:52
Откуда: Алматы

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron