Berichten met betrekking tot het beheer van HCL Notes, HCL Domino en overige applicaties
Zowel IBM Notes als Domino en Traveler zijn niet gevoelig voor de Heartbleed bug omdat deze producten geen gebruik maken van OpenSSL in SSL.
Dit is voor alle protocollen in de Domino producten van toepassing, dus ook voor de HTTP(S) server in Domino.
Met andere woorden er is geen reden om u zorgen te maken over uw Domino omgeving.
Lees het hele bericht op de IBM site: http://www-01.ibm.com/support/docview.wss?uid=swg21669782
Een van de redenen waarom een Domino Fixpack installatie op een Windows server niet goed werkt zijn services die de installatie blokkeren.
Dit kan antivirus software zijn, back-up software, monitoring software of zoals veel wordt gemeld op internet de Windows Management Instrumentation Service van Microsoft.
Wanneer de betreffende services zijn gestopt of de taken zijn gestopt met taakbeheer zou de installatie moeten werken.
Vanzelfsprekend dient men genoeg rechten te hebben op de machine en de installatie moet als beheerder worden gestart.
Zie ook:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=FBD9CF2F6410C46985257D0F000A7614
http://www.ineco.nl/2014/08/nice-voor-wanneer-een-her-installatie-van-notes-op-windows-even-niet-wil-lukken/
Bijna elk bedrijf dat nu IBM Notes gebruikt vraagt ons regelmatig wat nu de toekomst van Notes/Domino is.
Al jaren roepen tegenstanders of onwetende mensen dat Notes dood is. Door deze geruchten worden wel eens verkeerde beslissingen genomen.
IBM zelf promoot Notes niet, dit laten ze over aan hun Business Partners, die echter zelf ook vaak met deze vraag rondlopen.
De plannen voor de nieuwe versies van Notes gaan echter onverminderd door. Bijna elk kwartaal komen er Fixpack’s uit voor de huidige versies en groeit het lijstje met aanpassingen aan de komende nieuwe versie van Notes.
Is Notes dood? Wij vinden van niet, en gelukkig delen nog veel meer klanten en collega’s deze mening ook.
Het volgende plaatje geeft een beeld van hoe IBM de toekomst tot 2015 ziet, verder is er nog geen materiaal voor handen.
Vanaf Notes versie 8.01 is het mogelijk om het “Open bijlage” dialoogvenster te manipuleren.
De volgende notes.ini instellingen zijn beschikbaar:
AttachmentActionDefault=1
Zet de standaard instelling op “Openen”. Dit zorgt er voor dat de bijlage wordt geopend zonder tussenkomst van een dialoog.
AttachmentActionDefault=2
Zet de standaard instelling “Bewerken”.
AttachmentActionDefault=3
Zet de standaard instelling op “Weergeven”.
AttachmentActionDefault=4
Zet de standaard instelling op “Opslaan”.
Deze notes.ini instellingen zijn natuurlijk ook met een Desktop policy aan te passen.
Vanaf Domino versie 8.5.3 wordt de notes.ini parameter Debug_threadid automatisch toegevoegd aan de notes.ini met een waarde van “1”
Deze debug thread id is vooral handig om problemen op te lossen.
Wil je deze extra informatie niet dan kan de regel eenvoudig verwijderd worden uit de notes.ini of de waarde aangepast moeten worden naar CONFIG DEBUG_THREADID=0.
Dit kan door de notes.ini aan te passen, via het server configuratie document, of via het console commando SET CONFIG DEBUG_THREADID=0.
Voor meer informatie:
https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0028296
Dit whitepaper (80 pagina’s) biedt een uitgebreid overzicht van het beheer van IBM® Lotus® Domino®, waarbij de fundamentele componenten en terminologie worden uitgelegd, zodat nieuwe beheerders zich vertrouwd kunnen voelen met het product.
In het bijzonder worden de belangrijkste kenmerken en functionaliteiten uitgelegd, zoals het notes.ini-bestand, de Data Directory, ID’s, serveropdrachten en -documenten en serveractiviteiten.
Ook inbegrepen zijn discussies over serveronderhoud en NSD’s.
http://public.dhe.ibm.com/software/dw/lotus/DominoAdminforBeginnersFinal.pdf
De inhoud van dit bericht is niet meer actueel. Voor informatie over HCL Domino server beheer kunt u beter contact met ons opnemen of zoeken naar meer recente informatie op de website van HCL bijvoorbeeld: HCLSoftware U
Er is een niet of slecht gedocumenteerde waarde van de instelling LOG_SESSIONS die het mogelijk maakt om het ip adres van de sessie te tonen op de Domino console en weg te schrijven in het logboek. In de help bestanden worden slechts de waarde 0 en 1 beschreven, maar er blijkt ook een waarde 2 te bestaan.
Instelling: Log_Sessions=waarde
Mogelijke waardes:
0 – Geen sessies bijhouden
1 – Log sessie in het volgende formaat: 01-01-2010 10:00:00 Opened session for Marcel Rothuizen/INECO (Release x)
2 – Log sessie in het volgende formaat: 01-01-2010 10:00:00 Opened session for ‘CN=Marcel Rothuizen/O=INECO’ (Release x) SessId xxxxxxx Ip ‘192.168.1.1’ ‘Auth’ ‘C’
Als Log_Sessions op 2 staat wordt de informatie alleen in het logboek weggeschreven, niet naar de console.
Als laatste zal er standaard na het sluiten van een sessie een samenvattingsregel naar het log worden weggeschreven over de uitgevoerde acties op de server:
Closed session for ‘Marcel Rothuizen/INECO’ SessId 23CD10F7 Databases accessed: 1 Documents read: 0 Documents written: 0 Transactions: 2
Deze sessie informatie kan uit gezet worden door een notes.ini regel toe te voegen DISABLE_SESSION_INFO=1
Uit beveiligingsoogpunt kan het wenselijk zijn om zo min mogelijk gegevens over de servers mee te sturen met een bericht. Hoe minder details hoe minder kwetsbaar.
Met de notes.ini regel SMTPNoVersionInRcvdHdr=1 voorkom je dat Domino server product informatie wordt meegestuurd in de SMTP Received headers.
Mogelijke waardes:
0 (of niet aanwezig ) – de door Domino gegenereerde SMTP Received header bevat Domino server product informatie, inclusief de server versie.
1 – de door Domino gegenereerde SMTP Received header bevat geen Domino server product informatie.
Er was eens een tijd waar Notes beheerders het zwaar hadden….
Nu worden we verwend met nieuwe functies die het werk wel erg makkelijk maken.
Neem nu het in Notes 8.5 geïntroduceerde ID Vault (of vrij vertaald in het Nederlands een kluis om Notes ID’s in te bewaren).
Pfff, hoor ik de die-hard-domino beheerder al roepen, dat hadden we altijd al, eerst de Escrow agent in versie 4 en vanaf versie 5 Password Recovery.
Wat is er dan zo belangrijk aan dat ID Vault?
Welnu, eindelijk hebben beheerders de mogelijkheid om zelf wachtwoorden te resetten.
Vergeten wachtwoord, iets dat bij de meeste bedrijven als erg vervelend wordt ervaren.
Zeker als (altijd de zelfde) personen na hun vakantie het Notes wachtwoord (alweer) vergeten zijn.
Meestal was de oplossing om een oud ID met het initiële wachtwoord terug te plaatsen, met kans op verlies van certificaten en sleutels of inmiddels verlopen geldigheidsduur, of door middel van de ernstig vermoeiende Password Recovery procedure.
Is dit niet herkenbaar? Lees dan niet verder.
Anders is het volgende wellicht toch interessant.
Het opzetten van een ID Vault is een eenvoudige taak:
Start de Domino Administrator.
Open de server waar de ID Vault moet komen.
Klik het tabblad configuration, selecteer de server en klik rechts op Tools > ID Vaults > Create
Een dialoogvenster geeft uitleg over de ID Vault.
Klik Next om door te gaan.
Geef een naam voor de Vault, dit mag niet de zelfde naam als de Notes Organisatie naam zijn.
Geef eventueel een omschrijving op.
Klik Next.
Geef een nieuw wachtwoord op voor het Vault ID en controleer de locatie aan waar het ID opgeslagen wordt.
Klik Next
Controleer nogmaals of de server juist is.
Klik Next.
Selecteer de beheerders voor deze Vault.
Dit zijn overigens niet de personen die wachtwoorden mogen resetten, dit komt later.
Klik Next.
Geef op welke Organisaties of Units met deze Vault mogen werken.
In het voorbeeld is dat er slechts 1 organisatie (/INECO).
Klik Next.
Nu komen de personen aan bod die wachtwoorden mogen resetten.
Ook als er ID’s zijn waarmee applicaties gesigneerd worden die wachtwoorden mogen herstellen, en de server waarop zo’n applicatie draait dienen hier toegevoegd te worden.
Natuurlijk is dit later allemaal nog aan te passen.
Klik Next.
Geef op of er een bestaande Policy bijgewerkt moet worden, een nieuwe moet worden gemaakt, of dat je dit later handmatig wilt aanpassen.
In ons geval kiezen we om een bestaande aan te passen.
Klik Next.
Hier de gekozen Master policy in beeld.
Klik Add Vault Name om het Security settings formulier automatisch aan te passen.
Klik Next.
Selecteer het certifier ID van de organisatie.
Klik OK
Klik Next
Controleer of alles naar wens is in het dan volgende overzicht.
Klik Create Vault wanneer je door wilt gaan.
In de volgende dialoog kan een tekst worden ingegeven die aan een gebruiker wordt getoond wanneer deze klikt op wachtwoord vergeten.
Type de tekst en klik OK.
Wanneer alles goed is komt er een dialoog met een samenvatting van alle handelingen die zijn verricht.
De ID Vault is klaar voor gebruik!
ID bestanden van de gebruikers worden periodiek overgezet in de ID vault wanneer de gebruiker verbonden is met de server.
Het is dus belangrijk dat de gebruiker eerst een keer verbinding heeft gemaakt alvorens er een poging wordt ondernomen om het wachtwoord te resetten omdat het ID bestand anders niet aanwezig is!
Wanneer een ID in de Vault aanwezig is kan de beheerder via de Administrator Client naar de weergave Personen gaan, het slachtoffer selecteren, en rechts een keuze maken uit de nu beschikbare acties zoals Reset Password en Extract ID from Vault:
De meest voorkomende actie zal zijn Reset Password, een simpele dialoog verschijnt:
Vul de velden in en het wachtwoord is gereset.
Leuker kunnen we het niet maken, wel makkelijker was de leus van belastingdienst, die ook hier goed past.
Wanneer een gebruiker zijn HTTP wachtwoord aanpast in HCL Notes kan gedurende een periode van twee dagen zowel het oude als het nieuwe wachtwoord gebruikt worden.
Soms is dat wenselijk om het adminp proces de tijd te geven om het nieuwe wachtwoord op de hele omgeving door te voeren, maar kan ook zeer verwarrend zijn.
Deze “cache” periode” kan met de volgende notes.ini regel op de server aangepast worden:
Gebruik de volgende notatie:
HTTP_Pwd_Change_Cache_Hours=x
(x staat voor het aantal uur dat het oude wachtwoord nog geldig is)
Tijdens deze periode zijn zowel het oude als het nieuwe wachtwoord geldig, er van uitgaande dat het nieuwe wachtwoord wel gerepliceerd is naar alle HCL Domino servers waarop aangemeld wordt.
