Tipy pro administratory IBM Domino - ICS Café Brno, březen 2019

ICS Café, Brno 1.3.2019
Tipy pro administrátory IBM Domino
Na co se vyplatí myslet při správě IBM Domino
serveru aneb i v Domino 10 se hodí znalosti z
předchozích verzí.
Martin Hansgut
JakNaLotus.cz
www.jaknalotus.cz
www.facebook.com/jaknalotus
www.hansgut.cz
www.facebook.com/hansgut.martin
ICS Café
Brno, 1.3.2019
IBM, Technická 2

Martin Hansgut
• V oblasti collaboration produktů od roku 1995
• Od roku 1995 na postech správce prostředí IBM Domino / Notes v několika
firmách
• Od roku 1996 uživatelská školení / workshopy IBM Notes
• Od roku 2000 admin školení / workshopy správy IBM Domino serverů
• Uživatel Ytria Tools
• Ocenění IBM Champion 2018 a 2019
• Autor blogu www.JakNaLotus.cz
@hansgut_martin
linkendin.com/in/hansgut
martin@hansgut.cz
www.jaknalotus.cz
www.hansgut.cz

Rozdělení serverů
• Podle funkcí
– Administrační server
– Mailový server
– Aplikační server
• Podle prostředí
– Produkční prostředí
– Testovací prostředí
– Vývojové prostředí

Rozdělení disků
• Disk pro systém
• Disk pro data
• Disk pro indexy
• Disk pro transakční logy
• Disk pro DAOS

Disk pro indexy - fulltext
• Nastavení přes notes.ini
– FTBasePath=I:FullText
• Restart server
• Spusťte updall na fulltextové indexy
– load updall –f
• Snížení I/O operací
• Snížení velikosti záloh
• Zkrácení zálohovacího okna

Disk pro indexy – Rebuild indexu pohledů
– VIEW_REBUILD_DIR=I:RebuildViewIndex
• Restart server

Disk pro indexy – Indexy pohledů
– NIFBasePath=I:ViewIndex
– NIFNSFEnable=1
– load compcat –c –nifnsf on
• Nové databáze s indexem na disku
– CREATE_NIFNSF_DATABASES=1

Disk pro transakční logy
• Nastavení přes server dokument

Disk pro DAOS
• Nastavení přes server dokument

Reálný dopad DAOSu a rozdělení disků
Položka Velikost v GB
Logická velikost 1800
Fyzická velikost 500
DAOS 670
Full Text 111
Indexy pohledů 31

Ještě dva parametry které se mohou hodit
• LogFile_Dir
– Přesune adresář IBM_TECHNICAL_SUPPORT do uvedené složky
• LogFile_Dir=C:Disk-L IBM_TECHNICAL_SUPPORT
• Notes_TempDir
– Přesune Temp adresář používaný serverem do uvedené složky
• Notes_TempDir=C:Disk-T

Nastavení parametrů v NOTES.INI
• Konfigurační dokument serveru
– Domino Directory – Configuration document – Notes.ini
– Možnost nastavit parametr pro skupinu serverů
– Možnost přidávat i parametry mimo uvedený seznam
• Příkaz na konzolu
– výpis aktuálního nastavení parametru show config <parametr>
– nastavení hodnoty parametru set config <parametr> = <hodnota>
• Přímá editace souboru notes.ini
– C:LotusDominonotes.ini
• Použití SW třetí strany
– např. Ytria – scanEZ

Změna z NOTES.INI do Config doc
• ENABLE_SRVCFG_NAB_UPDATE=1
• set config <parametr> = <hodnota>
– Přidá / aktualizuje parametr v Configuration documents
– Pokud neexistuje Configuration document pro server tak se automaticky vytvoří
• Pokud o tom nevím, může nastat problém

Zabezpečení Internet Password
• Povolte zamykání internetových hesel
• Nastavte vyšší zabezpečení internetového hesla
– Domino Directory profile
– Yes - Password verification compatible with Notes/Domino release 8.01 or greater

Šifrování internetových přenosů
• Šifrované přenosy
– SSL podporováno pro všechny internetové protokoly
– Certifikát uložen v Domino Keyring souboru
• Ve verzích IBM Domino 9.0.1 FP2 a starších podporované pouze SSL v3

Security Settings v server dokumentu
• Do Server Access doplňte skupiny

Zabezpečení přístupu přes HTTP
• Ve výchozím nastavení není aktivováno
– Bezpečnostní problém v přístupu k serveru
• Server document – Ports/Internet Ports – Web
– Enforce server access settings - YES

Zabezpečení portů
• Ve výchozím nastavení jsou všechny porty povoleny
– LDAP, POP3, IMAP, HTTP, IMAP, ...
• Pokud některý z tasku spustíte, je port povolen a zůstane povolen i nadále
• V server dokumentu zakažte porty, které nepoužíváte

Update Server Access
• Změny se běžně projeví až po restartu serveru.
– vynutit okamžitě a to příkazem
• L UPDALL NAMES -R -T ($ServerAccess)
• Změnu nastavení přístupu k databázi bere klient až po nově navázané relaci se serverem.
– Proveďte zamknutí ID uživatele Ctrl + F5
• Po zadání hesla uživatele bude navázaná nová session a pro uživatele budu aplikované nové přístupy

Full Access Admin
• Používejte samostatné ID pro FAA
• Při zapnutí FAA je toto logováno na konzolu serveru
• Přes DDM možné vyvolat alert
• FAA by měl být poslední možnost nikoli běžný přístup
• Na serveru možno zakázat příkazem v NOTES.INI
– SECURE_DISABLE_FULLADMIN=1

ID Vault
• Trezor pro ukládání ID souboru uživatelů
– Uložení ID souboru při registraci uživatele
– Reset hesla
– Stažení ID souboru při instalaci Notes klienta
• Nastavení přes průvodce z admin klienta
– Přiřazení na základě Security settings a politiku v Domino directory

Ochrana kritických skupin
• Umožňuje zakázat smazání kritických skupin z Domino directory
• Nastavení přes Directory Profile v Domino Directory
– Domino directory musí mít design verze 9
• Skupiny chráněné ve výchozím nastavení
– LocalDomainAdmins, LocalDomainServers, and OtherDomainServers
• Domino Directory > Actions > Edit Directory Profile

Kontrola hesel v ID souboru
• Základní nastavení pro bezpečnost ID souboru
• Nutno povolit na dvou místech
– Server dokument
– Person dokument
• Možnost nastavovat přes politiky

Zabezpečení ID souboru serveru
• Serverová ID většinou bez hesel
– Potencionální bezpečnostní problém
• Při použití příkazu Restart Server není heslo vyžadováno
• Při restartu po fault recovery není heslo vyžadováno

Více hesel k ID souboru
• Identita vyžaduje vyšší bezpečnost
– Možno nastavit požadavek na zadání více hesel
• Heslo k ID pro Full Access Admin
• Heslo k ID souboru pro reset hesla
• …
• Admin klient > Configuration > Certification > Edit Multiple Password

On-Disk Structure
• Parametr do notes.ini serveru
– Create_R10_Databases=1
• Max velikost db 256 GB
• Převod současných databází na serveru
– load compact –c nebo load compact -ODS
• Převod současných databází na klientu
– NSF_UpdateODS=1

Odložení restartu serveru
• Příkaz RESTART SERVER
– Server restartován za 10 sekund
– Může být problém pokud ukončení trvá déle
• Sametime, Traveler, …
– Uvolnění paměti operačního systému
• RESTART_SERVER_DELAY=N
– příklad: set config SERVER_RESTART_DELAY=30

Cluster Commands – vytvoření databáze
• Vytvoření kopie databáze z jednoho serveru na server s využitím příkazu na konzoli serveru
– CL copy serverA!!db1.nsf serverB!!db2.nsf
• nejedná se o repliku, ale o kopii
– Použití s různými parametry
• CL copy serverA!!db1.nsf serverB!!db2.nsf REPLICA bude vytvořena replika
• CL copy serverA!!db1.nsf serverB!!db2.nsf TEMPLATE bude vytvořena pouze kopie designu
• CL copy db1.nsf db2.nsf vytvoření kopie na stejném serveru
• Pro použití uvedených příkazů není podmínkou cluster, ale je podmínkou nastavení parametru
CLUSTER_ADMIN_ON=1
CL DELETE database.nsf nebo případně CL DELETE server!!database.nsf

Kdo má aktivováno Out of Office
• “Tell Router o”
– Výpis schránek kde je povolen OOO service
• Admin klient > záložka Files

Skrytí dokumentů v Domino directory
• Potřebujete omezit kdo může poslat email na skupinu AllUsers?
– Řešením je tuto skupinu schovat
• Vytvořte skupinu, která bude mít oprávnění posílat emaily na AllUsers
• Ve vlastnostech skupiny AllUsers přejděte na záložku Security
• Zrušte zatržení „All Readers and above“
• Přidejte vytvořenou skupinu a dále skupiny
– LocalDomainServers
– LocalDomainAdmins

Z jaké IP adresy přistupuje uživatel k serveru
• Přidejte do notes.ini serveru
– LOG_Sessions=2
• K záznamu Opened session bude přidána i IP adresa
– Zobrazí se na konzole serveru
– Bude zaznamenána v log.nsf

Session information bez zápisu do log.nsf
• Pozitivní dopad na performance serveru
– LOG_DISABLE_SESSION_INFO=1

Omezení přeposílaní e-mailů do externích domén
• Konfigurační dokument serveru
– Router/SMTP > Restrictions and Controls > Delivery Controls
• Vztahuje se pouze na pravidla v emailové schránce
– Forwarding v person dokumentu funguje

Aktualizace konfigurace router tasku
• Pokud provedete změny v nastavení routeru, tyto změny se standardně neprojeví hned. Pokud ale
na konzolu serveru zdáte
– tell router update configuration dojde k okamžitému uplatnění změn
– tell smtp update configuration dojde k okamžitému uplatnění změn

Zakažte náhodné smazání složky v emailu
• Uživatel chce smazat email, ale je v navigatoru a klepne na Delete
– Místo emailu smaže složku
• Smazání složky je nepříjemné a špatně obnovitelné
• Parametr DisableDelKEyForNavigator=1
– v notes.ini klienta, tomuto zabrání

Otevření mail-in databáze
• Přidejte si tlačítko pro otevření mail-in databáze
– File > Preferences > Toolbar > Custom
– New > Button…
– Přidejte následující formuli
• @Command([FileOpenDatabase];MailServer:MailFile)

Vložení příkazu v domino console
• Klávesová zkratka CTRL + V přepíše text
• Klávesová zkratka SHIFT + INSERT vloží text za již napsaný

Auto-populate skupiny
• Automaticky plněné skupiny
– Při změně podmínky se změní obsah skupiny
• Default dle home serveru
– Výběr serverů které mají být ve skupině
– Možno vyloučit/přidat skupiny nebo jména
• Do pole Home Servers možno zadat vlastní podmínku
– *)(Location="Brno„
– *)(|(Location="Brno„)(Location="Ostrava„)

Spuštění více Notes klientů
• Společný programový adresář
• Samostatné datové adresáře s notes.ini
• Upravený zástupce pro spuštění
• "C:Program Files (x86)IBMNotesnlnotes.exe" "=C:DataIBMNotesDataGeminiPlacenotes.ini"

Tipy pro administratory IBM Domino - ICS Café Brno, březen 2019

Recommandé

Recommandé

Contenu connexe

Similaire à Tipy pro administratory IBM Domino - ICS Café Brno, březen 2019

Similaire à Tipy pro administratory IBM Domino - ICS Café Brno, březen 2019 (20)

Tipy pro administratory IBM Domino - ICS Café Brno, březen 2019