Tipy pro administraci IBM Domino serveru.
Další informace pro adminy:
http://www.jaknalotus.cz
Nabídky školení a workshopů:
http://www.hansgut.cz/nabidka-sluzeb/
Workshop Administrace IBM Domino serveru
http://www.hansgut.cz/firemni-workshop-administrace-ibm-domino-serveru/
Workshop IBM Notes pro uživatele
http://www.hansgut.cz/firemni-workshop-ibm-notes/
2. #dominoforever
sberank-DLP:Public
Martin Hansgut
• Více jak 20 roků v IT
• Více jak 20 roků práce s ICS (Lotus) produkty
• Uživatel Ytria Tools
• Administrátorská a uživatelská školení
IBM Domino a IBM Notes
• Autor blogu www.JakNaLotus.cz
@hansgut_martin
linkendin.com/in/hansgut
martin@hansgut.cz
www.jaknalotus.cz
www.hansgut.cz
5. #dominoforever
sberank-DLP:Public
Disk pro indexy - fulltext
• Nastavení přes notes.ini
– FTBasePath=I:FullText
• Restart server
• Spusťte updall na fulltextové indexy
– load updall –f
• Snížení I/O operací
• Snížení velikosti záloh
• Zkrácení zálohovacího okna
7. #dominoforever
sberank-DLP:Public
Disk pro indexy – Indexy pohledů
• Nastavení přes notes.ini
– NIFBasePath=I:ViewIndex
– NIFNSFEnable=1
– load compcat –c –nifnsf on
• Nové databáze s indexem na disku
– CREATE_NIFNSF_DATABASES=1
10. #dominoforever
sberank-DLP:Public
Nastavení parametrů v NOTES.INI
• Konfigurační dokument serveru
– Domino Directory – Configuration document – Notes.ini
– Možnost nastavit parametr pro skupinu serverů
– Možnost přidávat i parametry mimo uvedený seznam
• Příkaz na konzolu
– výpis aktuálního nastavení parametru show config <parametr>
– nastavení hodnoty parametru set config <parametr> = <hodnota>
• Přímá editace souboru notes.ini
– C:LotusDominonotes.ini
• Použití SW třetí strany
– např. Ytria – scanEZ
11. #dominoforever
sberank-DLP:Public
Zabezpečení Internet Password
• Povolte zamykání internetových hesel
• Nastavte vyšší zabezpečení internetového hesla
– Domino Directory profile
– Yes - Password verification compatible with Notes/Domino release 8.01
or greater
15. #dominoforever
sberank-DLP:Public
Zabezpečení portů
• Ve výchozím nastavení jsou všechny porty povoleny
– LDAP, POP3, IMAP, HTTP, IMAP, ...
• Pokud některý z tasku spustíte, je port povolen a zůstane povolen i
nadále
• V server dokumentu zakažte porty, které nepoužíváte
16. #dominoforever
sberank-DLP:Public
Update Server Access
• Změny se běžně projeví až po restartu serveru.
– vynutit okamžitě a to příkazem
• L UPDALL NAMES -R -T ($ServerAccess)
• Změnu nastavení přístupu k databázi bere klient až po nově
navázané relaci se serverem.
– Proveďte zamknutí ID uživatele Ctrl + F5
• Po zadání hesla uživatele bude navázaná nová session a pro
uživatele budu aplikované nové přístupy
17. #dominoforever
sberank-DLP:Public
Full Access Admin
• Používejte samostatné ID pro FAA
• Při zapnutí FAA je toto logováno na konzolu serveru
• Přes DDM možné vyvolat alert
• FAA by měl být poslední možnost nikoli běžný přístup
• Na serveru možno zakázat příkazem v NOTES.INI
– SECURE_DISABLE_FULLADMIN=1
18. #dominoforever
sberank-DLP:Public
ID Vault
• Trezor pro ukládání ID souboru uživatelů
– Uložení ID souboru při registraci uživatele
– Reset hesla
– Stažení ID souboru při instalaci Notes klienta
• Nastavení přes průvodce z admin klienta
– Přiřazení na základě Security settings a politiku v Domino directory
19. #dominoforever
sberank-DLP:Public
Ochrana kritických skupin
• Umožňuje zakázat smazání kritických skupin z Domino directory
• Nastavení přes Directory Profile v Domino Directory
– Domino directory musí mít design verze 9
• Skupiny chráněné ve výchozím nastavení
– LocalDomainAdmins, LocalDomainServers, and OtherDomainServers
• Open Domino Directory > Actions > Edit Directory Profile
20. #dominoforever
sberank-DLP:Public
Kontrola hesel v ID souboru
• Základní nastavení pro bezpečnost ID souboru
• Nutno povolit na dvou místech
– Server dokument
– Person dokument
• Možnost nastavovat přes politiky
21. #dominoforever
sberank-DLP:Public
Zabezpečení ID souboru serveru
• Serverová ID většinou bez hesel
– Potencionální bezpečnostní problém
• Při použití příkazu Restart Server není heslo vyžadováno
• Při restartu po fault recovery není heslo vyžadováno
22. #dominoforever
sberank-DLP:Public
Více hesel k ID souboru
• Identita vyžaduje vyšší bezpečnost
– Možno nastavit požadavek na zadání více hesel
• Heslo k ID pro Full Access Admin
• Heslo k ID souboru pro reset hesla
• …
• Admin klient > Configuration > Certification > Edit Multiple Password
23. #dominoforever
sberank-DLP:Public
On-Disk Structure
• Parametr do notes.ini serveru
– Create_R10_Databases=1
• Max velikost db 256 GB
• Převod současných databází na serveru
– load compact –c nebo load compact -ODS
• Převod současných databází na klientu
– NSF_UpdateODS=1
24. #dominoforever
sberank-DLP:Public
Odložení restartu serveru
• Příkaz RESTART SERVER
– Server restartován za 10 sekund
– Může být problém pokud ukončení trvá déle
• Sametime, Traveler, …
– Uvolnění paměti operačního systému
• RESTART_SERVER_DELAY=N
– příklad: set config SERVER_RESTART_DELAY=30
25. #dominoforever
sberank-DLP:Public
Cluster Commands – vytvoření databáze
• Vytvoření kopie databáze z jednoho serveru na server s využitím
příkazu na konzoli serveru
– CL copy serverA!!db1.nsf serverB!!db2.nsf
• nejedná se o repliku, ale o kopii
– Použití s různými parametry
• CL copy serverA!!db1.nsf serverB!!db2.nsf REPLICA bude
vytvořena replika
• CL copy serverA!!db1.nsf serverB!!db2.nsf TEMPLATE bude
vytvořena pouze kopie designu
• CL copy db1.nsf db2.nsf vytvoření kopie na stejném serveru
• Pro použití uvedených příkazů není podmínkou cluster, ale je
podmínkou nastavení parametru CLUSTER_ADMIN_ON=1
27. #dominoforever
sberank-DLP:Public
Skrytí dokumentů v Domino directory
• Potřebujete omezit kdo může poslat email na skupinu AllUsers?
– Řešením je tuto skupinu schovat
• Vytvořte skupinu, která bude mít oprávnění posílat emaily na
AllUsers
• Ve vlastnostech skupiny AllUsers přejděte na záložku Security
• Zrušte zatržení „All Readers and above“
• Přidejte vytvořenou skupinu a dále skupiny
– LocalDomainServers
– LocalDomainAdmins
28. #dominoforever
sberank-DLP:Public
Z jaké IP adresy přistupuje uživatel k serveru
• Přidejte do notes.ini serveru
– LOG_Sessions=2
• K záznamu Opened session bude přidána i IP adresa
– Zobrazí se na konzole serveru
– Bude zaznamenána v log.nsf
30. #dominoforever
sberank-DLP:Public
Omezení přeposílaní e-mailů do externích domén
• Konfigurační dokument serveru
– Router/SMTP > Restrictions and Controls > Delivery Controls
• Vztahuje se pouze na pravidla v emailové schránce
– Forwarding v person dokumentu funguje
31. #dominoforever
sberank-DLP:Public
Aktualizace konfigurace router tasku
• Pokud provedete změny v nastavení routeru, tyto změny se
standardně neprojeví hned. Pokud ale na konzolu serveru zdáte
– tell router update configuration dojde k okamžitému uplatnění změn
– tell smtp update configuration dojde k okamžitému uplatnění změn
32. #dominoforever
sberank-DLP:Public
Zakažte náhodné smazání složky v emailu
• Uživatel chce smazat email, ale je v navigatoru a klepne na Delete
– Místo emailu smaže složku
• Smazání složky je nepříjemné a špatně obnovitelné
• Parametr DisableDelKEyForNavigator=1
– v notes.ini klienta, tomuto zabrání
33. #dominoforever
sberank-DLP:Public
Otevření mail-in databáze
• Přidejte si tlačítko pro otevření mail-in databáze
– File > Preferences > Toolbar > Custom
– New > Button…
– Přidejte následující formuli
• @Command([FileOpenDatabase];MailServer:MailFile)
35. #dominoforever
sberank-DLP:Public
Auto-populate skupiny
• Automaticky plněné skupiny
– Při změně podmínky se změní obsah skupiny
• Default dle home serveru
– Výběr serverů které mají být ve skupině
– Možno vyloučit/přidat skupiny nebo jména
• Do pole Home Servers možno zadat vlastní podmínku
– *)(Location="Brno„
– *)(|(Location="Brno„)(Location="Ostrava„)
36. #dominoforever
sberank-DLP:Public
Spuštění více Notes klientů
• Společný programový adresář
• Samostatné datové adresáře s notes.ini
• Upravený zástupce pro spuštění
• "C:Program Files (x86)IBMNotesnotes.exe"
"=C:DataIBMNotesDataGeminiPlacenotes.ini"