Domino 9 - Was ist neu?

IBM Domino 9 Social Edition
© Ralph Belfiore 2013

● Reduzieren des TCO (Total Cost of Ownership)
● DBMT: Database Management Tool
● NSD Monitor für Unix
● Quality-of-Service Probe
● Weitere SSO Verbesserungen via SAML 2.0 Support
● Erweiterte Security/Integration
● SHA-2 Support für Verschlüsselung
● Transport Layer Security (TLS)
● OAUTH Credential Store für „Embedded Experiences“ Support
● Verbesserte Migrationstools (9.0+)
● Domino Migration Utility für Mail/Kalender Konvertierungen von
Exchange
IBM Domino 9.0 Social Edition
Schlüsselthemen

Agenda
●
Plattform Support
●
IBM HTTP Server
●
Database Management Tool - DBMT
●
Compact Replication
●
Quality of Service (QoS)
●
Geschützte Gruppen
●
SAML Support
●
Fault Analyzer

Plattform Support
●
NEU: Domino 64 Bit für Linux

Plattform Support
●
Nicht mehr supportet:
●
Diese Plattformen sind weiterhin mit Domino 8.5.x supportet
●
Domino 8.5.x und Domino 9 können ohne Probleme parallel existieren

IBM HTTP Server
●
IHS installieren – Customize Domino Server

IBM HTTP Server
●
IBM HTTP Server „Checkbox“ wählen

IBM HTTP Server
●
Ikeyman zum Erstellen einer Key.db für Zertifikate

IBM HTTP Server
●
Ikeyman – Menü - Schlüsseldatenbank
●
Neu

IBM HTTP Server
●
Schlüsseldatenbank – Dateiname festlegen
●
Speicherpfad auswählen

IBM HTTP Server
●
Kennwort für Schlüsseldatenbank vergeben
●
Option – Stashkennwort für eine Datei anhaken

IBM HTTP Server
●
Selbstsigniertes Zertifikat erstellen
●
Grundlage für SSL Aktivierung

IBM HTTP Server
●
Schlüsselkennsatz angeben – Bezeichner für das Zertifikat
●
Schlüsselgröße
●
Allgemeiner Name
●
Gültigkeitszeitraum
●
OK

IBM HTTP Server
●
Domino.conf Settings anpassen
●
Port 80, 443

IBM HTTP Server
●
Domino.conf editieren
●
# Zeichen entfernen
●
Ports dadurch „freischalten“
●
SSLEnable aktivieren
●
Keyfile Pfad angeben
●
Speichern

IBM HTTP Server
●
notes.ini editieren
●
HTTPIHSEnabled=1 aktiviert den Start des IBM HTTP Servers

IBM HTTP Server
●
IBM HTTP Server starten
●
Load http

IBM HTTP Server
●
Sh ta – Show Task
●
HTTP Server Ausgabe – Default Port 9288
●
HTTP Server erfolgreich gestartet

IBM HTTP Server
●
HTTPS Verbindung aufbauen

IBM HTTP Server
●
Zertifikat überprüfen

IBM HTTP Server
●
Zertifikat überprüfen
●
Self-Zert. Zertifikat mit Ikeyman erstellt
●
Es ist definitiv der „neue“ IBM HTTP Server

●
Ein einziges Werkzeug für Wartungsarbeiten an Benutzer-Datenbanken
●
Ersetzt UpdAll Task – ServerTasksAt2 = Updall
●
Server-Task dbmt muss separat gestartet werden
●
Zeitsteuerung idealerweise per Programmdokument oder Kommandozeile
●
Frei definierbare Wartungsfenster
●
Mehrmals täglich, wöchentlich
●
Compact wird auf Benutzer-Datenbanken ausgeführt
●
Fixup & Updall auf allen Datenbanken – auch den Systemdatenbanken

●
Was macht DBMT genau?
●
Reparatur von Datenbanken (fixup)
●
Aktualisierung der ungelesen Markierung
●
Volltextindex aktualisieren
●
Reorganisieren der Ordner
●
Ansichtsindex aktualisieren (inkrementel)
●
„copy-style“ Compact
●
In Clusterumgebungen wird nie die selbe Datenbank zur gleichen Zeit bearbeitet

●
Standardmäßig wird bei Mailzustellung der Compact Task abgebrochen
●
Der notes.ini Eintrag MailfileDisableCompactAbort=1 verhindert dieses Verhalten
●
Dadurch bleiben die Mails in der mail.box des Servers und werden später zugestellt
●
Um in Clusterumgebungen eine Verzögerung der Mailzustellung zu vermeiden, kann
folgender notes.ini Eintrag gesetzt werden: MailfileEnableDeliveryFailover=1
●
Failover von Out-Of-Office
●
Failover von Mailregeln
●
Wie sieht der Aufruf aus?
●
DBMT [Pfad] [- Optionen]
●
Datenbank oder Verzeichnis
●
IND Datei (indirect file)
●
Ohne Angabe – Alle „nicht Systemdatenbanken“

●
Welche Optionen stehen zur Verfügung?
●
-compactThreads 5
●
Copy-style compact
●
Vorgabewert = 1
●
-compactNDays 30
●
Nur ausführen, wenn letzter compact 30 Tage her ist
●
-updallThreads 5
●
Reorganisiert die Ansichtsindizes
●
Vorgabe 1
●
-ftiThreads 5
●
Reorganisiert die Volltextindizes
●
Vorgabe 1
●
FtiNDays 30
●
Volltextindex neu aufbauen, wenn älter als 30 Tage
●
Vorgabe – Nur bei defekt

●
Welche Zeit-Optionen stehen zur Verfügung?
●
-range 9:00 PM – 7:00 AM
●
Start- und Maximale Endzeit
●
Muss im englischen Format angegeben werden
●
Dazwischen ist dbmt inaktiv
●
-timeLimit 120
●
Wert in Minuten, bis die Compact Operation abgebrochen wird
●
-stopTime 7:00 AM
●
Maximale Endzeit für die Aufgabe
●
Start erfolgt manuell oder über ein Programmdokument
●
-noCompactLimit
●
Compact läuft trotz Endzeit bis zum Schluß weiter
●
Kein weiterer Compact kann gestartet werden

●
Welche Zeit-Optionen stehen zur Verfügung?
●
-force 0
●
Werte entsprechen den Wochentagen( 1=Sonntag,2=Montag...,0=täglich)
●
DBMT garantiert bereits aufgebaute Ansichtsindizes für schnelleren Client Zugriff
●
DBMT verwaltete Mailansichten ab mail7.ntf oder höher
●
$Inbox, $All, $Drafts, $RepeatLookup, $Todo, $Calendars, $Users, iNotes,
iNotes_Contacts, Haiku_TOC
●
Es gibt eine neue Spalte im Admin-Client „Zuletzt komprimiert“

Beispiele
dbmt -compactThreads 8 -updallThreads 8 -range 2:00AM 7:00AM - compactNdays 5 -force 1
●
8 gleichzeitige Compact & Ansichtsaufbau Operationen
●
Start um 2 Uhr und Ende um 7 Uhr
●
Compact auf alle “non system” DBs mit mehr als 5 Tagen “Zeitfenster”
●
Fixup (Sonntags) von DBs die mehr als 5 mal nicht komprimiert werden konnten (Defekt)
DBMT Task wird beim Serverstart geladen und bleibt ausserhalb des Zeitfensters inaktiv
Überschneidungen mit anderen Aufgaben beachten (siehe FULL COMPACT)

Beispiele
dbmt d:dodata –ftiThreads 2 –ftiNdays 30 -stoptime 06:00AM –compactThreads 0 – updallThreads 0
●
2 gleichzeitige Threads zum Neuaufbau aller Volltextindizes – älter als 30 Tage
●
Compact und Ansichtsaufbau von allen Datenbanken sind deaktiviert !!!
●
DBMT Task wird um 18 Uhr und gestartet und spätestent um 6 Uhr wieder beendet
Überschneidungen – in dieser Zeit - mit anderen Aufgaben beachten

Failover
MailFileDisableCompactAbort=1 (Server.Notes.INI)
●
Verhindert Abbruch des DBMT Compact während einer Mailzustellung
●
Mail bleibt in der Mail.box bis die Maildatenbank wieder verfügbar ist (retry)
MailFileEnableDeliveryFailover=1 (Server.Notes.INI)
●
Domino 9 „Cluster mate“ Mail-DB Failover während
●
Copy-style compact
●
Fixup („performing consistency check ...“)
●
Maildatenbank fehlt („file does not exist“)
●
DBMT prüft „replica index“ in der cldbdir.nsf zur Verhinderung für gleichzeitige Compact
Operationen der Mail-DB im Cluster
●
Failover von Out-of-Office & Mail Regeln
●
Clusterserver müssen „monitoren“ können (Server ACL)

Compact Replication
●
Datenbank - ID Table
●
Beinhaltet „pointer“ zu jeder Dokument ID und Löschungen
●
Komprimiert, jedoch mit Größenlimit
●
„copy style“ Compact reduziert nur das Fragmentierungsproblem
●
Nur bei der Erstellung einer neuen Replik wird die ID Table neu aufgebaut

Compact Replication
●
ID Table Fehler wg. fehlerhafter Fragmentierung
●
„Unable to extend ID Table - insufficient memory“ (SPR JPAI6W8KUJ)
●
Tritt auf wenn eine Datenbank mehr als 100.000 Dokumente (und/oder Löschungen)
beinhaltet
●
Tausende Transaktionen (Dokumente erstellen und löschen) pro Tag stattfinden
●
Was bedeutet das?
●
Meistens kein Zugriff auf die Datenbank(en) mehr möglich
●
Compact, Fixup & Updall meistens „ohne Erfolg“
●
Hoffentlich die Lösung...
●
Neue Funktion in Domino 9 „Compact Replication“

Compact Replication
●
Erstellt automatisch eine „lokale Replik“ der Datenbank am Server
während die Quelldatenbank erreichbar bleibt
●
Ausnahme = kurze „rename phase“ (Datenbank umbenennen)
●
Ist die Quell-Datenbank nicht frei gegeben („db is in use ...“), kann optional eine
„rename time period“ definiert und/oder ein Server Neustart durchgeführt werden
●
Sync. Ansichten und Lesemarkierungen der Quell- und Zieldatenbank während des
compacts
●
Reduziert die ID Table Fragmentierung und sollte bei „grossen“ Datenbanken angewendet
werden
●
Ersetzt keinen „in-place“ (-i) oder „copy style“ (-c) compact

Compact Replication
●
Was passiert?
(1) ID Table Analyse (Muss die ID Tabelle komprimiert werden?)
(2) Erstellung und Synchronisation der TEMP.REPL mit der ORG.NSF
a. Note copy phase
b. View synchronization
c. Unread synchronization
(3) Nehme die ORIG.NSF „Offline“ und tausche gegen die TEMP.REPL
a. „Drop all users“ von der ORIG.NSF
b. Nehme die ORIG.NSF „Offline“
c. Rename ORIG.NSF > OLD.ORIG d. Rename TEMP.REPL > NEW.NSF

Compact Replication
●
Was passiert?
(4) Synchronisation der NEW.NSF mit der OLD.ORIG
a. Note copy phase von neuen Dokumenten in die NEW.NSF
b. View Sync. – akt. Ansichten in NEW.NSF (basierend auf der OLD.ORIG)
c. Unread Sync. – akt. Lesemarkierungen in NEW.NSF (basierend auf der OLD.ORIG)
(5) Nehme die NEW.NSF „Online“
(6) Wenn Phase 3 abbricht (z.B. rename time out) kann ein Server Restart initiert
a. Phase 4 wird nach dem Start fortgesetzt

Compact Replication
●
Compact [path] [-options]
●
Replica
●
„compact replica“ wird ausgeführt
●
IDS_FULL 30 (optional)
●
Wert in Prozent zwischen 0 und 100, Vorgabe = 0 (immer)
●
Nur ausführen wenn ID Tabelle zu 30 Prozent (oder mehr) voll ist
●
REN_WAIT 3 (optional)
●
Wert in Minuten zwischen 0 und 100
●
Vorgabe = keine Wartezeit, NEW.REPL bleibt bis Serverstart liegen
●
Wenn Umbenennung abbricht, warte 3 Minuten
●
RESTART (optional)
●
Vorgabe = keine Restart, NEW.REPL bleibt bis Serverstart liegen
●
Wenn Umbenennung abbricht (auch nach REN_WAIT Timeout)
Serverneustart

Compact Replication
●
System.ind –replica –restart System.ind mit Systemdatenbanken
(log, names, admin4, etc.)
●
Wöchentliches Programmdokument (z.B. So – 20 Uhr)
●
Ermöglicht dem Administrator eine automatische „off user“ Wartung der wichtigsten
Domino Systemdatenbanken
●
Ersetzt den in der Regel „alten“ offline Prozess (z.B. in Windows Umgebungen)
●
Net stop „Lotus Domino Server“
●
Call <domprog>ncompact.exe –c –i system.ind
●
Net start „Lotus Domino Server“

●
Prüft die generellen Operationen eines Domino-Servers, um ihn am laufen
●
QoS kann so konfiguriert werden, dass auf Fehler reagiert werden kann
●
Wenn QoS erkennt, dass ein Server nicht mehr antwortet oder hängt, kann beispielsweise
eine Mail an den Admin mit der Problembeschreibung geschickt werden
●
Ein automatischer Server-Kill („smart kill“) und Neustart iniziiert werden
●
Die QoS Protokolle können für die Fehleranalyse verwendet werden

●
Fault Recovery (NSD)
●
NSD ist ein Bestandteil des Domino Fault Reports
●
Reports werden nur bei erfolgreichem Serverneustart geschickt
●
QoS ist Bestandteil des Java Controllers und nicht des Domino Servers
●
Reports können an externe SMTP Server geschickt werden

●
QoS Controller ist ein neuer Thread und Teil der Domino „Java Console“ (n)server –jc
●
Wie wird QoS eingerichtet?
●
QoS Probe = Domino Addin Task „load qosprobe“
●
QoS Probe Parameter (Server.Notes.ini)
●
QoS_ENABLE=1 Vorgabe= 0 oder inaktiv
●
QoS_PROBE_INTERVAL=1 Vorgabe= 1 Minute
●
QoS Controller Paramter (dcontroller.ini)
●
QoS_ENABLE=1 Vorgabe= 0 oder inaktiv
●
QoS_PROBE_TIMEOUT=5 Vorgabe= 5 Minuten
●
Dieser Wert sollte größer als QOS_PROBE_INTERVALL sein, sonst
ständiger Server Neustart)!

●
Weitere QoS Controller Paramter (dcontroller.ini)
●
Limit, bei deren Erreichen QoS deaktiviert wird
●
QOS_RESTART_LIMIT_ENABLE=1 Vorgabe= 0
●
QOS_RESTART_LIMIT_MAXIMUM=3 Vorgabe= 3 Intervall
●
QOS_RESTART_LIMIT_PERIOD=30 Vorgabe= 30 Minuten
●
Limit für „smart kill“ Zeitfenster
●
QOS_SHUTDOWN_TIMETOUT=5 Vorgabe= 5 Minuten
●
QOS_RESTART_TIMEOUT=5 Vorgabe= 5 Minuten
●
QOS_APPS_TIMEOUT=10 Vorgabe= 10 Minuten
●
„long running operation“ Timeout wie Compact, Fixup, Backup, DBPurge, DBCopy...
●
QOS_NOKILL=1 Vorgabe= 0 (disable „smart kill“)

●
Weitere QoS Controller Paramter (dcontroller.ini)
●
Einstellungen für QoS Report Versand (ohne SMTP Authentifizierung bzw. Passwort)
●
QOS_MAIL_TO=admin@rslnet.local QOS Report Empfänger
●
QOS_MAIL_SMTP_SERVER=smtp.rslnet.local QOS Report SMTP Server
●
QOS_MAIL_ATTACH_LOGS=1 Vorgabe= 0
●
Deaktivierung
●
QOS_DISABLE_PROBING=1

Geschützte Gruppen
●
Verhindert die Löschung von „definierten“, kritischen Gruppen im Domino Directory
●
Programmatische Löschungen durch API werden nicht geschützt!
●
Benötigt das Design der pubnames.ntf Domino 9
●
Über das Directory Profil werden die zu schützenden Gruppen definiert
●
Dokument muss einmalig gespeichert werden, damit es aktiv ist!

SAML Support
●
SAML = Security Assertion Markup Language
●
Ein XML-Framework zum Austausch von Authentifizierungs- und
Autorisierungsinformationen
●
Ziel ist die Vereinfachung der Benutzerauthentifizierung durch Reduzierung der Anzahl der
verwendeten Passwörter
●
SAML Web Authentifizierung ist eine Alternative zu den bereits existierenden Single Sign-On
(SSO) Techniken in Domino (LTPA, SPNEGO)
●
Vorteil gegenüber LTPA ist, dass SAML nicht DNS abhängig ist und somit
Domänenübergreifend verwendet werden kann.

SAML Support
●
SAML benötigt einen „Identity Provider“ (IdP) – Windows AD, der die Anmeldung entgegen
nimmt und einen Service Provider (Domino 9), der die Anwendung zur Verfügung stellt

SAML Support
●
Benutzer Anforderungen
●
Benutzer muss im Active Directory sein
●
Personendokument und AD Account müssen die Internetadresse besitzen
●
SSO funktioniert nur, wenn der Benutzer und die Workstation im Active Directory sind
●
In diesem Fall wird kein weiteres Passwort mehr benötigt. Die Workstation-Sicherheit
beeinflusst, dass die notes.id online benutzt wird
●
Die notes.id ist nur im Arbeitsspeicher gespeichert!

SAML Support
●
Theoretisches „Quick Setup“
●
Identity Provider (IdP) muss vorhanden sein
●
ADFS (Active Directory Fedration Services) – SAML 2.0
●
ADFS – SSL Verbindung einrichten
●
FederationMetadata.xml Export (ADFS)
●
IdP Catalog erstellen (ldpcat.ntf)
●
IdP Config Dokument ausfüllen (IdP Catalog)
●
FederationMetadata.xml Import in das IdP Config Dokument
●
HTTP Session Authentication auf SAML stellen (Session Cookie)
●
Fertig
●
Die Praxis sieht etwas anders aus :)

SAML Support
●
Federated Login Limitationen
●
Smartcard geschützte ID
●
Notes Roaming User, dessen ID Datei in der names.nsf (Persönliches Adressbuch) auf
dem „Roaming Server“ gespeichert ist
●
Notes auf USB (NOMAD)
●
Notes.id mit Mehrfachkennwörter
●
In diesem Falle macht SSO ohnehin keinen Sinn!
●
Serverbasierte Kennwortüberprüfung für Notes-Benutzer
●
Passwortüberprüfung ist nicht notwendig, da keine lokale ID benutzt wird, die
geschützt werden müsste. Die Authentifizierung geht gegen den IdP.

SAML Support
●
Notes Federated Login
●
Notes Client benutzt SAML um sich die user.id aus dem ID Vault zu holen
●
ID File im Speicher anstatt auf Festplatte gespeichert
●
Geht unter Cirix, Linux, Mac und Windows
●
Das einzige „Notes-Passwort“ ist das IdP-Passwort
●
Nur verfügbar, wenn Benutzer und Workstation im Active Directory sind
●
Benötigt den Notes Standard Client
●
Notes Shared Login (NSL) und Federated auf Windows
●
Arbeitet zusammen um Offline-Benutzung zu unterstützen
●
SAML arbeitet online um die notes.id zu empfangen
●
NSL schützt die lokale notes.id

SAML Support - Ablauf
●
SAML Authentifizierung in Verbindung mit ID Vault ermöglicht „federated login“
●
Web Federated Login (iNotes)
●
Notes Federated Login (ID Datei im Speicher)
1)Benutzer startet Notes und verbindet sich mit ID Vault
2)ID Vault (SAML Authentifizierung) verbindet sich mit dem IdP (ADFS)
3)IdP frägt die Anmeldedaten des Benutzers ab
4)Anmeldedaten werden zur Verfügung gestellt
5)IdP stellt SAML „Artefakt“ XML der ID Vault zur Verfügung
6)ID Vault schickt die notes.id zum Client
●
Sobald die Notes Session generiert wurde, wird die ID vom Notes Client gelöscht und nur
im Arbeitsspeicher gehalten

Fault Analyzer
●
Verbesserungen
●
Fehlermeldungen erscheinen in einer neuen Ansicht (und werden auch analysiert), um
auftretende Probleme besser zu erkennen

Fragen & Anworten
Demos
RSL Systemberatung e.K., Inhaber: Ralph Belfiore, Bocksdornweg 62,
76149 Karlsruhe, http://www.rslnet.de, info@ka.rslnet.de

➢
Für den Fall, dass wir Interesse geweckt bzw. Sie noch
Fragen haben, freuen wir uns auf ein persönliches
Gespräch
➢
Ihr Team von RSL Systemberatung e.K.
➢
https://www.facebook.com/rslnet
RSL Systemberatung e.K., Inhaber: Ralph Belfiore, Bocksdornweg 62,
76149 Karlsruhe, http://www.rslnet.de, info@ka.rslnet.de

Quellen
●
IBM Notes Domino 9 Wiki - http://www-10.lotus.com/ldd/dominowiki.nsf
●
Alexander Novak, Edcom – http://de.slideshare.net
●
Daniel Nashed, nashcom – http://www.nashcom.de
●
Quick Referenzen - http://infolib.lotus.com/resources/experience/notes/
●
OpenNTF – http://www.openntf.org/blogs/openntf.nsf/d6plinks/NHEF-97GARQ

Domino 9 - Was ist neu?

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (19)

Ähnlich wie Domino 9 - Was ist neu?

Ähnlich wie Domino 9 - Was ist neu? (20)

Mehr von Ralph Belfiore

Mehr von Ralph Belfiore (6)

Domino 9 - Was ist neu?