Verbindung zweier Server als Cluster führt zu: 401 permission denied - invalid PMG ticket

[BlueManOne]

Hallo in die Runde,

ich habe auf zwei Servern jeweils das Mail Gateway in Version 7.0-6 installiert.
Die Systeme möchte ich als Cluster verwenden, sodass ich in den DNS-Einstellungen meiner Domains jeweils beide Server mit Priorität 10+20 als MX-Record eintragen kann.

Beide GUI´s habe ich bereits per Lets´Encrypt gesichert und erhalte auch keine SSL-Zertifikat-Fehler vom Browser mehr.
Auf dem ersten Host (Master) habe ich über Cluster -> Erstellen den Master definiert. Das hat auch geklappt.

Über die GUI des weiten Servers (Slave) klicke ich bei Cluster -> Beitreten auf den Menüpunkt und trage alle erforderlichen Werte ein, die mir in der GUI des Masters unter "Hinzufügen" angezeigt werden:
IP-Adresse
Passwort
Fingerprint

Nach dem Absenden sehe ich erstmal keine Veränderung in der Tabelle unter "Cluster" und muss die Seite neu laden.
Dann erscheinen beide Systeme als Knoten und auch mit den passenden Rollen (Master / Slave).
Bei Status allerdings steht beim Master "syncing" und beim Slave steht "error".

Die Fehlermeldung lautet:
401 permission denied - invalid PMG ticket

Ein Login auf die GUI des Slaves ist mir danach nicht mehr möglich, wahrscheinlich durch den Sync. Ich werde eingeloggt und danach sehe ich direkt wieder die Loginseite auf dem Slave-Server.

Leider weiß ich nicht, was ich falsch gemacht haben könnte oder wo ich suchen soll.
Ich habe bereits zweimal die cluster.conf auf beiden Servern im Ordner /etc/pmg/ gelöscht und die Einrichtung neu begonnen. Aber immer nach der Verbindung beider Server tritt dieser Fehler auf.

Danke für eure Unterstützung.

 

[fluxX04]

Hi,

haben beide Server die gleiche Serverzeit und wird diese mit einem Dienst synchronisiert?

Greetz

 

[BlueManOne]

Hallo,

danke für den Hinweis / Tipp. Ich habe mir das eben mal angeschaut und beide Server haben dasselbe Tagesdatum und auch dieselbe Uhrzeit.

Im Syslog konnte ich diese Einträge finden:

Jul 20 14:28:34 mx01.w4h.email pmgmirror[2514]: database sync 'mx02' failed - DBI connect('dbname=Proxmox_ruledb;host=/run/pmgtunnel;port=2;','root',...) failed: could not connect to server: No such file or directory
    Is the server running locally and accepting
    connections on Unix domain socket "/run/pmgtunnel/.s.PGSQL.2"? at /usr/share/perl5/PMG/DBTools.pm line 66.
Jul 20 14:28:34 mx01.w4h.email pmgmirror[2514]: cluster synchronization finished  (1 errors, 0.01 seconds (files 0.00, database 0.01, config 0.00))
Jul 20 14:28:57 mx01.w4h.email pmgtunnel[2508]: restarting crashed tunnel 3253 193.xx.xx.xx
Jul 20 14:28:57 mx01.w4h.email pmgtunnel[2508]: tunnel finished 3253 193.xx.xx.xx
Jul 20 14:29:13 mx01.w4h.email pmg-smtp-filter[2503]: starting database maintenance
Jul 20 14:29:13 mx01.w4h.email pmg-smtp-filter[2503]: end database maintenance (18 ms)
Jul 20 14:30:06 mx01.w4h.email pmgtunnel[2508]: restarting crashed tunnel 3259 193.xx.xx.xx
Jul 20 14:30:06 mx01.w4h.email pmgtunnel[2508]: tunnel finished 3259 193.xx.xx.xx
Jul 20 14:30:22 mx01.w4h.email pmgproxy[2467]: Use of uninitialized value $ticket in pattern match (m//) at /usr/share/perl5/PMG/Service/pmgproxy.pm line 199.
Jul 20 14:30:27 mx01.w4h.email pmgpolicy[2519]: starting policy database maintenance (greylist, rbl)
Jul 20 14:30:27 mx01.w4h.email pmgpolicy[2519]: end policy database maintenance (21 ms, 5 ms)
Jul 20 14:30:33 mx01.w4h.email pmgdaemon[1784]: successful auth for user 'root@pam'
Jul 20 14:30:33 mx01.w4h.email pmgdaemon[2424]: successful auth for user 'root@pam'
Jul 20 14:30:34 mx01.w4h.email pmgmirror[2514]: starting cluster synchronization
Jul 20 14:30:34 mx01.w4h.email pmgmirror[2514]: database sync 'mx02' failed - DBI connect('dbname=Proxmox_ruledb;host=/run/pmgtunnel;port=2;','root',...) failed: could not connect to server: No such file or directory
    Is the server running locally and accepting
    connections on Unix domain socket "/run/pmgtunnel/.s.PGSQL.2"? at /usr/share/perl5/PMG/DBTools.pm line 66.

Die IP-Adressen habe ich mit "x"-Zeichen versehen. Sie stehen vollständig im Log.

 

[BlueManOne]

Bzgl. der Zeit wird in PMG angezeigt, dass der Systemdienst "timesyncd" nicht installiert ist. Dabei handelt es sich doch um einen Systemdienst, der zusammen mit PMG installiert werden müsste, oder?
Ich habe gestern die aktuellste ISO zur Installation genutzt. Eine Subscription existiert auch, Updates gibt es keine.



Dafür ist "chrony" installiert und läuft auch. Ich nehme an, dass "chrony" den Zeitsynchronisierungs-Job übernimmt?

 

[Stoiko Ivanov]

mgtunnel[2508]: restarting crashed tunnel 3259 193.xx.xx.xx

* ist es möglich sich von einem node auf den anderen als root mittels ssh zu verbinden? (ohne Passwort abfrage)?
* passen die fingerprints in der/den /etc/pmg/cluster.conf mit jenen, die kommen wenn die Weboberfläche angesurft wird?
* wurde für Let's Encrypt die PMG-integration (über die PMG gui) verwendet?

 

[BlueManOne]

* ist es möglich sich von einem node auf den anderen als root mittels ssh zu verbinden? (ohne Passwort abfrage)?
* passen die fingerprints in der/den /etc/pmg/cluster.conf mit jenen, die kommen wenn die Weboberfläche angesurft wird?
* wurde für Let's Encrypt die PMG-integration (über die PMG gui) verwendet?

1.) Eine SSH-Verbindung mittels root ist möglich, allerdings mit Passwort-Abfrage.
2.) Ja, die Fingerprints passen
3.) Ja

Ich nutze auf beiden Servern zwar identische, aber andere Ports für SSH. (anstatt Port 22)
Könnte das das Problem sein?

 

[dcsapak]

Ich nutze auf beiden Servern zwar identische, aber andere Ports für SSH. (anstatt Port 22)
Könnte das das Problem sein?

ja, in dem fall muss man den default ssh port in der '/etc/ssh/ssh_config' (nicht sshd_config) auch ändern, damit sich die clients auf den richtigen port verbinden

 

[BlueManOne]

ja, in dem fall muss man den default ssh port in der '/etc/ssh/ssh_config' (nicht sshd_config) auch ändern, damit sich die clients auf den richtigen port verbinden

Danke, dass war das Problem. Der Sync-Vorgang klappt nun und es gibt auch nach dem Sync keine Fehler.