Tipy pro administraci IBM Domino serveru. Další informace pro adminy: http://www.jaknalotus.cz Nabídky školení a workshopů: http://www.hansgut.cz/nabidka-sluzeb/ Workshop Administrace IBM Domino serveru http://www.hansgut.cz/firemni-workshop-administrace-ibm-domino-serveru/ Workshop IBM Notes pro uživatele http://www.hansgut.cz/firemni-workshop-ibm-notes/

1. #dominoforever
sberank-DLP:Public
Tipy pro administrátory
IBM Domino
Na co se vyplatí myslet při správě
IBM Domino serveru
Martin Hansgut
JakNaLotus.cz

2. #dominoforever
sberank-DLP:Public
Martin Hansgut
• Více jak 20 roků v IT
• Více jak 20 roků práce s ICS (Lotus) produkty
• Uživatel Ytria Tools
• Administrátorská a uživatelská školení
IBM Domino a IBM Notes
• Autor blogu www.JakNaLotus.cz
@hansgut_martin
linkendin.com/in/hansgut
martin@hansgut.cz
www.jaknalotus.cz
www.hansgut.cz

3. #dominoforever
sberank-DLP:Public
Rozdělení serverů
• Administrační server
• Mailový server
• Aplikační server
• Produkční prostředí
• Testovací prostředí
• Vývojové prostředí

4. #dominoforever
sberank-DLP:Public
Rozdělení disků
• Disk pro systém
• Disk pro data
• Disk pro indexy
• Disk pro transakční logy
• Disk pro DAOS

5. #dominoforever
sberank-DLP:Public
Disk pro indexy - fulltext
• Nastavení přes notes.ini
– FTBasePath=I:FullText
• Restart server
• Spusťte updall na fulltextové indexy
– load updall –f
• Snížení I/O operací
• Snížení velikosti záloh
• Zkrácení zálohovacího okna

6. #dominoforever
sberank-DLP:Public
Disk pro indexy – Rebuild indexu pohledů
• Nastavení přes notes.ini
– VIEW_REBUILD_DIR=I:RebuildViewIndex
• Restart server

7. #dominoforever
sberank-DLP:Public
Disk pro indexy – Indexy pohledů
• Nastavení přes notes.ini
– NIFBasePath=I:ViewIndex
– NIFNSFEnable=1
– load compcat –c –nifnsf on
• Nové databáze s indexem na disku
– CREATE_NIFNSF_DATABASES=1

8. #dominoforever
sberank-DLP:Public
Disk pro transakční logy
• Nastavení přes server dokument

9. #dominoforever
sberank-DLP:Public
Disk pro DAOS
• Nastavení přes server dokument

10. #dominoforever
sberank-DLP:Public
Nastavení parametrů v NOTES.INI
• Konfigurační dokument serveru
– Domino Directory – Configuration document – Notes.ini
– Možnost nastavit parametr pro skupinu serverů
– Možnost přidávat i parametry mimo uvedený seznam
• Příkaz na konzolu
– výpis aktuálního nastavení parametru show config <parametr>
– nastavení hodnoty parametru set config <parametr> = <hodnota>
• Přímá editace souboru notes.ini
– C:LotusDominonotes.ini
• Použití SW třetí strany
– např. Ytria – scanEZ

11. #dominoforever
sberank-DLP:Public
Zabezpečení Internet Password
• Povolte zamykání internetových hesel
• Nastavte vyšší zabezpečení internetového hesla
– Domino Directory profile
– Yes - Password verification compatible with Notes/Domino release 8.01
or greater

12. #dominoforever
sberank-DLP:Public
Šifrování internetových přenosů
• Šifrované přenosy
– SSL podporováno pro všechny internetové protokoly
– Certifikát uložen v Domino Keyring souboru
• Ve verzích IBM Domino 9.0.1 FP2 a starších podporované pouze
SSL v3

13. #dominoforever
sberank-DLP:Public
Security Settings v server dokumentu
• Do polí doplňte skupiny

14. #dominoforever
sberank-DLP:Public
Zabezpečení přístupu přes HTTP
• Ve výchozím nastavení není aktivováno
– Bezpečnostní problém v přístupu k serveru
• Server document – Ports/Internet Ports – Web
– Enforce server access settings - YES

15. #dominoforever
sberank-DLP:Public
Zabezpečení portů
• Ve výchozím nastavení jsou všechny porty povoleny
– LDAP, POP3, IMAP, HTTP, IMAP, ...
• Pokud některý z tasku spustíte, je port povolen a zůstane povolen i
nadále
• V server dokumentu zakažte porty, které nepoužíváte

16. #dominoforever
sberank-DLP:Public
Update Server Access
• Změny se běžně projeví až po restartu serveru.
– vynutit okamžitě a to příkazem
• L UPDALL NAMES -R -T ($ServerAccess)
• Změnu nastavení přístupu k databázi bere klient až po nově
navázané relaci se serverem.
– Proveďte zamknutí ID uživatele Ctrl + F5
• Po zadání hesla uživatele bude navázaná nová session a pro
uživatele budu aplikované nové přístupy

17. #dominoforever
sberank-DLP:Public
Full Access Admin
• Používejte samostatné ID pro FAA
• Při zapnutí FAA je toto logováno na konzolu serveru
• Přes DDM možné vyvolat alert
• FAA by měl být poslední možnost nikoli běžný přístup
• Na serveru možno zakázat příkazem v NOTES.INI
– SECURE_DISABLE_FULLADMIN=1

18. #dominoforever
sberank-DLP:Public
ID Vault
• Trezor pro ukládání ID souboru uživatelů
– Uložení ID souboru při registraci uživatele
– Reset hesla
– Stažení ID souboru při instalaci Notes klienta
• Nastavení přes průvodce z admin klienta
– Přiřazení na základě Security settings a politiku v Domino directory

19. #dominoforever
sberank-DLP:Public
Ochrana kritických skupin
• Umožňuje zakázat smazání kritických skupin z Domino directory
• Nastavení přes Directory Profile v Domino Directory
– Domino directory musí mít design verze 9
• Skupiny chráněné ve výchozím nastavení
– LocalDomainAdmins, LocalDomainServers, and OtherDomainServers
• Open Domino Directory > Actions > Edit Directory Profile

20. #dominoforever
sberank-DLP:Public
Kontrola hesel v ID souboru
• Základní nastavení pro bezpečnost ID souboru
• Nutno povolit na dvou místech
– Server dokument
– Person dokument
• Možnost nastavovat přes politiky

21. #dominoforever
sberank-DLP:Public
Zabezpečení ID souboru serveru
• Serverová ID většinou bez hesel
– Potencionální bezpečnostní problém
• Při použití příkazu Restart Server není heslo vyžadováno
• Při restartu po fault recovery není heslo vyžadováno

22. #dominoforever
sberank-DLP:Public
Více hesel k ID souboru
• Identita vyžaduje vyšší bezpečnost
– Možno nastavit požadavek na zadání více hesel
• Heslo k ID pro Full Access Admin
• Heslo k ID souboru pro reset hesla
• …
• Admin klient > Configuration > Certification > Edit Multiple Password

23. #dominoforever
sberank-DLP:Public
On-Disk Structure
• Parametr do notes.ini serveru
– Create_R10_Databases=1
• Max velikost db 256 GB
• Převod současných databází na serveru
– load compact –c nebo load compact -ODS
• Převod současných databází na klientu
– NSF_UpdateODS=1

24. #dominoforever
sberank-DLP:Public
Odložení restartu serveru
• Příkaz RESTART SERVER
– Server restartován za 10 sekund
– Může být problém pokud ukončení trvá déle
• Sametime, Traveler, …
– Uvolnění paměti operačního systému
• RESTART_SERVER_DELAY=N
– příklad: set config SERVER_RESTART_DELAY=30

25. #dominoforever
sberank-DLP:Public
Cluster Commands – vytvoření databáze
• Vytvoření kopie databáze z jednoho serveru na server s využitím
příkazu na konzoli serveru
– CL copy serverA!!db1.nsf serverB!!db2.nsf
• nejedná se o repliku, ale o kopii
– Použití s různými parametry
• CL copy serverA!!db1.nsf serverB!!db2.nsf REPLICA bude
vytvořena replika
• CL copy serverA!!db1.nsf serverB!!db2.nsf TEMPLATE bude
vytvořena pouze kopie designu
• CL copy db1.nsf db2.nsf vytvoření kopie na stejném serveru
• Pro použití uvedených příkazů není podmínkou cluster, ale je
podmínkou nastavení parametru CLUSTER_ADMIN_ON=1

26. #dominoforever
sberank-DLP:Public
Kdo má aktivováno Out of Office
• “Tell Router o”
– Výpis schránek kde je povolen OOO service
• Admin klient > záložka Files

27. #dominoforever
sberank-DLP:Public
Skrytí dokumentů v Domino directory
• Potřebujete omezit kdo může poslat email na skupinu AllUsers?
– Řešením je tuto skupinu schovat
• Vytvořte skupinu, která bude mít oprávnění posílat emaily na
AllUsers
• Ve vlastnostech skupiny AllUsers přejděte na záložku Security
• Zrušte zatržení „All Readers and above“
• Přidejte vytvořenou skupinu a dále skupiny
– LocalDomainServers
– LocalDomainAdmins

28. #dominoforever
sberank-DLP:Public
Z jaké IP adresy přistupuje uživatel k serveru
• Přidejte do notes.ini serveru
– LOG_Sessions=2
• K záznamu Opened session bude přidána i IP adresa
– Zobrazí se na konzole serveru
– Bude zaznamenána v log.nsf

29. #dominoforever
sberank-DLP:Public
Session information bez zápisu do log
• Pozitivní dopad na performance serveru
– LOG_DISABLE_SESSION_INFO=1

30. #dominoforever
sberank-DLP:Public
Omezení přeposílaní e-mailů do externích domén
• Konfigurační dokument serveru
– Router/SMTP > Restrictions and Controls > Delivery Controls
• Vztahuje se pouze na pravidla v emailové schránce
– Forwarding v person dokumentu funguje

31. #dominoforever
sberank-DLP:Public
Aktualizace konfigurace router tasku
• Pokud provedete změny v nastavení routeru, tyto změny se
standardně neprojeví hned. Pokud ale na konzolu serveru zdáte
– tell router update configuration dojde k okamžitému uplatnění změn
– tell smtp update configuration dojde k okamžitému uplatnění změn

32. #dominoforever
sberank-DLP:Public
Zakažte náhodné smazání složky v emailu
• Uživatel chce smazat email, ale je v navigatoru a klepne na Delete
– Místo emailu smaže složku
• Smazání složky je nepříjemné a špatně obnovitelné
• Parametr DisableDelKEyForNavigator=1
– v notes.ini klienta, tomuto zabrání

33. #dominoforever
sberank-DLP:Public
Otevření mail-in databáze
• Přidejte si tlačítko pro otevření mail-in databáze
– File > Preferences > Toolbar > Custom
– New > Button…
– Přidejte následující formuli
• @Command([FileOpenDatabase];MailServer:MailFile)

34. #dominoforever
sberank-DLP:Public
Vložení příkazu v domino console
• Klávesová zkratka CTRL + V přepíše text
• Klávesová zkratka SHIFT + INSERT vloží text za již napsaný

35. #dominoforever
sberank-DLP:Public
Auto-populate skupiny
• Automaticky plněné skupiny
– Při změně podmínky se změní obsah skupiny
• Default dle home serveru
– Výběr serverů které mají být ve skupině
– Možno vyloučit/přidat skupiny nebo jména
• Do pole Home Servers možno zadat vlastní podmínku
– *)(Location="Brno„
– *)(|(Location="Brno„)(Location="Ostrava„)

36. #dominoforever
sberank-DLP:Public
Spuštění více Notes klientů
• Společný programový adresář
• Samostatné datové adresáře s notes.ini
• Upravený zástupce pro spuštění
• "C:Program Files (x86)IBMNotesnotes.exe"
"=C:DataIBMNotesDataGeminiPlacenotes.ini"

37. #dominoforever
sberank-DLP:Public
SUTOL.cz