Domino Configuration Tuner (DCT) update

Sinds versie 7 van IBM Notes zit bij de administrator client een handige tool Domino Configuration Tuner (DCT) genaamd.
Met deze tool kan je eenvoudig een controle uitvoeren op je Domino servers aan de hand van een set aanbevelingen van IBM.
Na de controle zie je een rapportage met instellingen die aanbevolen worden en mate van belangrijkheid.

Verouderd

Een aantal jaar is er echter niets aangepast aan de set met instellingen, waardoor je met een controle op een Domino 9 server soms wat verkeerde adviezen kreeg.
Op 16-10-2014 is er echter een update beschikbaar gekomen die de set van 15-02-2011 vervangt.
Deze update heeft echter nog steeds niet helemaal door wat een versie 9 server is en zal daardoor bijvoorbeeld nog steeds met adviezen komen die alleen voor versie 8.5 gelden.
Toch is deze tool een aanrader voor Domino omgevingen tot en met versie 9.0.x.

HCL

(tekst toegevoegd op 26-10-2025)

De DCT is ook te downloaden bij HCL:
Domino Configuration Tuner for Download

Zelfs in de documentatie van HCL Notes 14.5 staat de DCT nog genoemd en is er een link naar de bovenstaande download te vinden.

Waarschuwing:

Bij al mijn pogingen om de DCT te gebruiken met de nieuwe HCL clients wil HCL Notes niet meer starten na het openen van de applicatie.

Maatwerk

Als u een tool zoekt om uw HCL Domino server(s) periodiek te controleren op bepaalde vooraf ingestelde regels die eventueel zelf aan te maken, of aan te passen zijn, is het mogelijk om INECO opdracht te geven dit te maken. Wij hebben wij met de DCT als voorbeeld meerdere keren voor onze klanten opgeleverd.


Batterij Dell 1950 raid controller

De batterij van de PERC 5/i controller in een van de 1950 servers was defect.
Nu stond ergens op internet dat deze vervangen konden worden met de server nog aan. Dat gaat ook prima, maar de server dacht daarna dat er geen batterij meer in zat en was niet tot andere gedachte te brengen.
Pas na de server helemaal uitgezet en ook helemaal van spanning was gehaald en opnieuw gestart was begon de batterij weer te laden en was deze zichtbaar in de Dell Openmanage software.

Vandaar een paar minuten downtime vandaag.

VAR-verklaring ZZP’ers en freelancers blijft langer

De Tweede Kamer besloot vandaag het debat over een wetsvoorstel om de VAR te vervangen tot nader order uit te stellen.

Staatssecretaris Eric Wiebes (Financiën) wil de VAR (Verklaring arbeidsrelatie) voor ZZP’ers en freelancers vervangen door de BGL, de Beschikking geen loonheffingen.

Maar in de Tweede Kamer bestaat daar weinig enthousiasme voor. Ook Wiebes’ eigen VVD is zeer kritisch, en meerdere keren hebben de zelfstandigenorganisaties en andere belangenbehartigers zoals ZZP-Nederland overleg gevoerd met zowel kabinet als Tweede Kamerleden om  te voorkomen dat er een overhaast besluit zou worden genomen dat uiteindelijk niets op zou leveren.

De huidige Verklaring Arbeidsrelatie blijft (gelukkig) voorlopig dus bestaan.

Nu hopen dat meneer Wiebes eerst even goed nadenkt voor hij weer zo veel onrust veroorzaakt!

WTF?

…. is een dienst op de site myfonts.com die ik toch wel het vermelden waard vind.
Onlangs lieten wij een bedrijf in Heteren een logo ontwerpen.
Omdat wij graag het bijbehorende lettertype willen gebruiken voor een nog te ontwikkelen WordPress thema vroegen wij de naam van het lettertype.
In afwachting van het antwoord zochten wij op internet in diverse databases met vrij te gebruiken lettertypes.
Er was echter zoveel aanbod, en geen van de duizenden lettertypes leek op het ontwerp dat wij gekregen hadden.

Onbegonnen werk

Bijna onbegonnen werk, tot we deze pagina vonden: https://www.myfonts.com/WhatTheFont/

Je bied een afbeelding met de tekst aan, en de website zoekt in de database of er een bijbehorend lettertype gevonden kan worden.
In ons geval was er direct het juiste resultaat en kon het lettertype gratis gedownload worden!

ENABLE_SRVCFG_NAB_UPDATE

Wanneer je een “set config” commando op de Domino server console uitvoert, bijvoorbeeld “set config server_restricted=2”, om de waarde van een bestaande notes.ini parameter aan te passen, wordt de parameter in het configuratie document niet aangepast.
Hierdoor wordt het console commando na een tijdje weer overschreven door de instelling in het configuratie document.

Wil je dit aanpassen zodat een console commando het configuratie document bijwerkt kan de volgende regel in de notes.ini van de server worden toegevoegd:

ENABLE_SRVCFG_NAB_UPDATE

IBM heeft toch een Interim Fix uitgebracht tegen POODLE attack

In eerdere berichten gaf IBM aan voorlopig geen oplossing te hebben voor de Domino HTTP server en het Poodle attack probleem.
Nu zijn er sinds 5 november toch Interim Fixes uitgebracht voor Domino 8.5.1 FP5, 8.5.2 FP4, 8.5.3 FP6, 9.0 en 9.0.1FP2.

Hoe wordt IBM Domino beïnvloed door de POODLE aanval ?

SSLv3 bevat een kwetsbaarheid die is aangeduid als de Padding Oracle On Downgraded Legacy Encryption (POODLE) aanval. Dit is een zogeheten man-in-the-middle-attack die webbrowsers kwetsbaar maken.
Browsers verbinden via SSLv3 naar Domino servers over HTTP en kunnen zo worden blootgesteld aan de POODLE aanval.
Een oplossing zou zijn om SSLv3 in de browser uit te schakelen.
Als dit echter in de browsers uitgeschakeld wordt zal er geen verbinding meer mogelijk zijn met de Domino servers omdat tot nu toe SSLv3 het enige beveiligingsprotocol is dat Domino servers ondersteunen.

IBM heeft nu dus de Interim Fixes voor Domino, die TLS 1.0 implementeert met TLS_FALLBACK_SCSV om HTTP te beschermen tegen de POODLE aanval, vrijgegeven.
TLS 1.0 voor Domino is de bescherming tegen de POODLE aanval en maakt het mogelijk om browsers die ingesteld zijn om geen SSLv3 te gebruiken toch met Domino te verbinden.

Meer informatie vind je op http://www.ibm.com/support/docview.wss?uid=swg21687167

Poodle attack (Dit is bruce, boxer want op het Poodle plaatje zat een auteursrecht)

Beveiligingslek in SSL 3.0 – ook van toepassing voor IBM Domino

Afgelopen week was het weer raak: diverse beveiliging sites waarschuwen voor een probleem met SSL (HTTPS verkeer).
Zie bijvoorbeeld: www.security.nl
Met POODLE (Padding Oracle On Downgraded Legacy Encryption) is een aanval via een SSL versie 3 verbinding mogelijk.

SSL 3.0

SSL 3.0 blijkt een forse fout te bevatten waardoor hackers toegang kunnen krijgen tot versleutelde informatie.
Doordat het verouderde SSL 3.0 protocol ook in de nieuwe standaard, TLS, nog steeds beschikbaar is als terugval-optie, is de ‘Poodle’ bug ook voor nieuwe systemen een aanmerkelijk risico.

Diverse software leveranciers zijn druk bezig met een oplossing voor dit probleem.
Tot er een oplossing is wordt aanbevolen SSL2 en SSL3 uit te zetten op uw webserver en gebruik te maken van het veiligere TLS.
Voor webservers als Apache is dit geen probleem, op internet zijn diverse manieren te vinden die dit helemaal uitleggen.
Echter voor Domino servers met de standaard HTTP taak, is dit geen optie.

De laatste versie van Domino, 9x Social Edition heeft ook de mogelijkheid om IBM HTTP Server als alternatieve webserver te gebruiken.
Dit is al een hele verbetering omdat de IBM HTTP Server, gebaseerd op Apache, wel de veiligere verbindingen ondersteund.
Met een paar aanpassingen (dezelfde als bij Apache) kan SSLv3 uitgeschakeld worden.
Het installeren van IBM HTTP Server is een optie in het installatie programma van Domino 9. Zie ook http://www.ibm.com/support/docview.wss?uid=swg27039743
Toch zijn ook met deze opzet diverse (andere) problemen gemeld op internet.
IBM zelf heeft nog geen officiële reactie gegeven op dit probleem. Zie ook: Poodle SSL vulnerability – HCL Domino / Domino Forum – HCLSoftware Digital Solutions Community

Apache reverse proxy

Op dit moment lijkt het de meest betrouwbare oplossing om een Apache webserver te installeren die als reverse proxy wordt ingesteld om alle verzoeken door te sturen naar Domino.
Dit kan, mits de server voldoende capaciteit heeft, op de zelfde machine geïnstalleerd worden zodat er geen extra hardware nodig is.
De veilige SSL verbinding wordt dan tot stand gebracht met de Apache webserver die op zijn beurt intern een normale verbinding via HTTP met Domino maakt.
Het voordeel is dat problemen met Apache veel sneller opgelost worden door de Open Source gemeenschap.
Ten opzichte van de Domino HTTP server is certificaat beheer in IBM HTTP Server en Apache ook veel eenvoudiger.

Microsoft IIS

Voor Windows beheerders die liever met Microsoft IIS werken, natuurlijk is dat ook mogelijk in combinatie met IBM Domino.
Op de site van Microsoft is ook informatie te vinden SSLv3 (en overige protocollen) uit te schakelen: http://support.microsoft.com/kb/187498/en-us

Om te controleren of uw webserver kwetsbaar is zijn er diverse testen op internet te vinden, onder andere op:

www.ssllabs.com
ssltools.websecurity.symantec.com

Vanzelfsprekend kunnen wij u helpen met het testen, adviseren en zo nodig het oplossen van dit probleem!

Update 23 oktober 2014

IBM heeft ook een Technote geplaatst over dit onderwerp:
http://www.ibm.com/support/docview.wss?uid=swg21687167

Zie ook:
http://www.ibm.com/support/docview.wss?uid=swg21418982

 

INECO - IBM Discover homepage bugfix 05

De Ontdekken Pagina ofwel Discover Page niet tonen in Notes 9

Bij een update van IBM Notes 8.5.3 naar 9.01 FP2 bij een klant kreeg iedereen de standaard Ontdekken pagina te zien.
Geen probleem natuurlijk, weg klikken en je kunt weer verder.
Toch leek het handig om dit in de Desktop policy Setting aan te passen. Op het Basis tabblad staat een instelling bij Home Page Options voor Social Edition Options. Daar aangegeven niets te tonen.
Bij Discover Page Options ook de keuze “Do not show” gemaakt.
Instellingen opgeslagen, en ja hoor iedereen kreeg de Ontdekken pagina in beeld, en bleef die ook krijgen. In de notes.ini was de regel $DISCOVER_HOMEPAGE=2 toegevoegd door deze aanpassing.
Nu las ik op de Developerworks pagina van IBM een tip om dan een Custom setting te maken in de Desktop Policy Setting om die regel de waarde 0 te geven. Nou vergeet het maar….
Zeg maar nee dan krijg je er twee in dit geval.

Er was zelfs een APAR bij IBM te vinden met dit probleem, en de oplossing was helder: de gebruiker begreep het niet of had een fout gemaakt….. Welke, wat en hoe?

Na wat zoekwerk blijkt er wel degelijk een fout te zitten in het Desktop Settings formulier. Paul McBride heeft op 10 juli 2014 ook de oplossing die hij van IBM had gekregen na het aanmelden van een incident beschreven.
Voor die mensen die van plaatjes houden heb ik een paar schermafdrukken gemaakt van de aanpassingen die IBM voor versie 9.0.2 (eerste kwartaal 2015) zal maken.

  • Open het database sjabloon pubnames.ntf met de IBM Domino Designer.
  • Open het Policy Settings\Desktop Settings formulier.
  • Verander op het Basics tabblad de formule voor het veld $Pref$DISCOVER_HOMEPAGE$HA in @If(SocEdHome=”2″ & SocEdHome$HA!=”1″;””;tmpDISCOVER_HOMEPAGE$HA)
ibm_discover_homepage_bugfix_01
  • Verander de input translation formule van het veld $Pref$DISCOVER_HOMEPAGEin
    tmpOut:=@If((SocEdHome=”0″ | SocEdHome=””) & tmpDISCOVER_HOMEPAGE=”5″;”5″;SocEdHome=”2″ & SocEdHome$HA!=”1″ ;”4″;”2″);
    @If(tmpOut=””;”2″;tmpOut)
ibm_discover_homepage_bugfix_02
  • Verander de eigenschappen van het veld $Pref$DISCOVER_HOMEPAGE zo dat in plaats van een Checkbox een Dialog list wordt getoond, en haal het vinkje weg bij “Allow multiple values”.
ibm_discover_homepage_bugfix_03
  • Er staan nu een aantal velden in de tabel onder Discover page: pas om het netjes te maken de “Hide When” formules zo aan dat deze ook verborgen worden als de waarde van het veld SocEdHome ”2” is. Een voorbeeld SocEdHome=”1” moet SocEdHome=”1″:”2” worden.
ibm_discover_homepage_bugfix_04
  • Sla het formulier op.
  • Vernieuw het ontwerp van names.nsf met het aangepaste sjabloon
  • Ga naar de desktop policy setting, bewerk dit document en sla het op.
ibm_discover_homepage_bugfix_05
  • Nu zou de Ontdekken pagina niet meer getoond mogen worden.

In ons geval werkte dit goed!

Wetsvoorstel: ook opdrachtgever verantwoordelijk voor fiscale beoordeling van arbeidsrelatie zzp’er

Bron: http://www.rijksoverheid.nl

Opdrachtgevers en zelfstandigen zonder personeel (zzp’ers) worden beiden verantwoordelijk voor de beoordeling of hun arbeidsrelatie moet leiden tot afdracht van loonbelasting en premies. Dat staat in een wetsvoorstel dat staatssecretaris Eric Wiebes van Financiën vandaag naar de Tweede Kamer heeft gestuurd. Door de Wet ‘invoering Beschikking geen loonheffingen’ kan de Belastingdienst het onderscheid tussen een dienstverband en ondernemerschap beter handhaven.

De staatssecretaris maakt met de invoering van de Beschikking geen loonheffing (BGL) zowel opdrachtgever als opdrachtnemer verantwoordelijk voor de vraag of feitelijk sprake is van een dienstbetrekking. In dat geval moet de opdrachtgever loonheffingen afdragen.

VAR
De BGL vervangt de zogenoemde Verklaring Arbeidsrelatie, de VAR. Bij de VAR vraagt een zzp´er vooraf een oordeel van de Belastingdienst of zijn inkomen wel of niet wordt beoordeeld als loon. De opdrachtgever is nu niet betrokken bij deze aanvraag en ondervindt geen gevolgen als achteraf blijkt dat geen sprake was van ondernemerschap van de zzp´er, maar van een dienstbetrekking. De financiële consequenties komen in dat geval alleen voor rekening van de zzp’er.

Handhaving
Opdrachtgevers vragen zzp’ers een VAR te tonen zodat zij geen loonheffingen hoeven in te houden en af te dragen. Voor zzp´ers is de VAR van belang bij het werven van opdrachten. Dit kan schijnzelfstandigheid in de hand werken: arbeidskrachten die op papier werken als zzp´er, maar in de praktijk een dienstbetrekking vervullen.

Het kabinet wil echte ondernemers ondersteunen en tegelijkertijd schijnconstructies bestrijden opdat die mensen de zekerheid krijgen van een dienstverband. Doordat de BGL zowel de opdrachtgever als de opdrachtnemer verantwoordelijk maakt voor de beoordeling van hun arbeidsrelatie kan de Belastingdienst het onderscheid tussen een dienstverband en ondernemerschap beter handhaven.

Bij de aanvraag van een BGL beantwoordt een zzp’er via een webmodule een aantal vragen. Als deze vragenreeks tot een beschikking leidt, staat daarin vermeld onder welke voorwaarden de opdracht wordt uitgevoerd. De opdrachtgever dient de beschikking te controleren voordat hij de opdracht daadwerkelijk verstrekt. Een zzp’ er hoeft niet voor elke opdracht een nieuwe beschikking aan te vragen: bij opdrachten waar werkzaamheden, omstandigheden en voorwaarden gelijk zijn, kan de zzp’er dezelfde beschikking gebruiken.