Aufsetzen eines Servers Mathias Bierl smartix consulting gmbh
Agenda Vorstellung Vorraussetzungen Vorbereitung Installation Basis-Konfiguration Detail-Konfiguration Tips & Tricks
Gründungsmitglied des deutschen Notes Expertenforums Projects Products Services Experts Groupware und Lotus Notes Consulting and IT services provider; high quality, technology-driven business solutions; Stuttgart (HQ); founded 1999; 5+ employees; strategic alliances; over 100 projects
Geschäftsfeld smartix No 1. Experts in Lotus Domino in Germany smartix employees passed all possible certifications in area Lotus Domino from IBM succesfully Domino.Doc, Lotus Workflow, SameTime, QuickPlace Interfaces from and to Notes (SAP, RDBS, MS Office) Mobile integration of Lotus Notes to handhelds Mobile Solutions
Wer bin ich? Mathias Bierl, Staatl. Gepr. Wirtschaftsinformatiker (bierl@smartix.de) Notesentwicklung / Administration seit 1997 (R 4 ND 7) Zertifizierungen: IBM Advanced Certified Application Developer R4/R5/ND6/ND7 IBM Advanced Certified System Administrator R4/R5/ND6/ND7
Wer bin ich? Projekte mit Lotus / Domino: Lotus Notes R4 ND 7 Domino.Doc, Domino.Workflow, Lotus Workflow, LEI, DECS, DGW Formelsprache, Skript, Klassen, JAVA, JS, HTML, Migration R4-R5-ND6-ND7 RDBS, C-/C++-API, WIN 3.11-WIN 2000, OS/2, AIX,... SAP XML/XSL, Servlet Mobile Datenanbindung
Vorraussetzungen - Planung Planung Was für ein Domino System will ich Aufsetzen? Cluster Stand-Alone oder Verbund Intern oder Extern/DMZ Transactional Logging
Vorraussetzungen - Betriebssystem Welches Betriebssystem? Windows, Linux, AIX, Solaris, Jedes Betriebssystem hat seine Vor- und Nachteile Sinnvolle Auswahl nach folgenden Kriterien: Vorhandene Administrationskenntnisse für OS Backup-Software Virenscanner Sonstige Zusatzsoftware Existierende Infrastruktur Persönliche bzw. Firmenpräferenzen
Vorraussetzungen - Hardware Hardware CPU/Arbeitsspeicher Abhängig vom Betriebssystem und den Anforderungen Grafisches Betriebssystem benötigt mehr Ressourcen Was läuft noch alles auf der Hardware? Festplatten/Controller Soll Transactional Logging eingesetzt werden? Verwendung des Servers als Mail/Applikationsserver Je eine Platte/Kanal für Betriebssystem, Auslagerungsdatei, Data- Verzeichnis, Transactional-Logging, evtl auch zusätzlich noch für Mail-Verzeichnis bzw besondere Applikationen
Vorraussetzungen - Netzwerk Netzwerk Für Cluster: Zusätzliche Netzwerkkarte für den Clusterreplikator Wird dann über Notes.ini Eintrag rein für den Cluster verwendet (Cluster_TCPIPAddress) Für Backup: Falls Backup im Netzwerk gemacht wird, ebenfalls eine zusätzliche Netzwerkkarte Bei Nutzung zusätzlicher Dienste auf dem Server: Weitere Netzwerkkarte sinnvoll
Vorbereitungen - Partitionierung Partitionierung Betriebssystem sowie Notes-Programmverzeichnis, Notes Data Verzeichnis und Transaction Log sollten jeweils in eigener Partition bzw in einem eigenen Ast des Verzeichnisbaums liegen Beispiel Windows: C: Betriebssystem/Notes-Programm, D: Notes-Data, E: Transaction Log Beispiel Linux: /: Betriebssystem, /opt/lotus: Notes- Programmverzeichnis, /local/notesdata: Notes-Data, /local/translog: Transaction Log
Vorbereitungen - Dienste Deaktivieren nicht benötigter Dienste Deaktivieren aller bereits vorhandener Dienste, die durch den Domino abgedeckt werden Idealer wäre diese gar nicht zu installieren bzw zu deinstallieren Deaktivieren aller Dienste, die nicht benötigt werden Idealer wäre auch hier diese gar nicht zu installieren bzw zu deinstallieren
Vorbereitungen - Benutzer Benutzeranlage Der Server läuft unter Windows standardmäßig unter dem SYSTEM-Account. Bei Netzwerkzugriff, z.b. auf Netzlaufwerk eines Fileservers muss ein eigener Account mit entsprechenden Berechtigungen angelegt werden: Immer die minimal notwendigsten Rechte Linux/UNIX: Anlage eines Benutzers und einer Gruppe für den Domino mit den minimal notwendigsten Rechten
Vorbereitungen Viren-Scanner Viren-Scanner Bei Einsatz eines Dateisystem-On Demand Scanners und eines Domino-integrierten Virenscanners sollten die Domino-Daten vom Dateisystem-Scanner ausgenommen werden. Ein Domino-integrierter Virenscanner ist zu empfehlen, da hierbei nur die tatsächlich verwendeten Teile gescannt werden und nicht die ganze Datenbank
Vorbereitungen - Firewall Bei Remotesetup Sicherstellen, daß Port 8585 des Servers erreichbar ist bei VPN Verbindungen Servern hinter Firewalls Zugriff zum Server auf Betriebssystemebene Zum Start des Listeners bzw Servers
Installation Installation über Setup Programm/Install Script Basis-Konfiguration: Lokal (nur Windows) Starten des Konfigurationsprogrammes Remote Starten des Servers mit der Option listen Starten des Remotekonfigurationsprogrammes
Basis Konfiguration - Servertyp Servertyp Neuer Server Aufsetzen einer neuen Domäne und des ersten Servers Zusätzlicher Server Aufsetzen eines weiteren Servers in einer existierenden Domäne
Basis Konfiguration - Angaben Auswahl einer existierenden ID für den Server Angabe von Servernamen, Servertitel Die folgenden Angaben sind nur bei einem neuen Server notwendig Angabe Organisationsname, Ländercode Auswahl einer existierenden Zertifizierer ID Angabe der Domino Domäne Anlage eines Administrator Accountes Auswahl einer existierenden User-ID
Basis Konfiguration - Dienste Auswahl der gewünschten Internet-Dienste HTTP, Mail (SMTP, POP3, IMAP), LDAP Auswahl weiterer gewünschter Dienste Nur die wirklich benötigten Dienste sollten ausgewählt werden Auswahl der zu verwendeten Anschlüsse Nur die wirklich zu verwendenden Anschlüsse aktivieren Cluster Anschluss wird später konfiguriert
Basis Konfiguration Zusätzl. Server Nur bei zusätzlichem Server Angabe des existierenden Servers für die Replikation der Systemdatenbanken oder Angabe eines Pfades zu Repliken der Systemdatenbanken Achtung: Diese müssen durch den Server zugreifbar sein, d.h. der Server muss die entsprechenden Zugriffsrechte haben
Basis Konfiguration - Zugriffsrechte Auswahl Standardzugriffsrechte Unbedingt auswählen um unberechtigten Zugriff zu verhindern und Zugriff auf Templates zu ermöglichen
Erster Serverstart Prüfen ob Fehlermeldungen beim Start auftreten Prüfen ob Server erreichbar Aktivierte Ports, z.b. HTTP, SMTP, Prüfen ob alle Dienste gestartet wurden Show tasks Prüfen ob Fehlermeldungen nach 2-3 Minuten auftreten Trifft vor allem nicht verfügbare Ports
Cluster Clusterreplikator ist nur ein Zusatz zum normalen Replikator kein Ersatz Clusterreplikation sollte über ein eigenes Netz und eine eigene Netzwerkkarte erfolgen Anlegen eines eigenen Anschlusses für die Clusterkommunikation
Cluster In der Notes.ini wird über den Parameter Cluster_TCPIPAddress die IP-Adresse definiert über die die Clusterreplikation durchgeführt wird. Cluster Verkehr über Cluster IP leiten: Server_Cluster_Default_Port = Cluster Alle Clusterserver sollten im gleichen IP-Netz sein
Cluster Cluster für Web wird über den ICM (Internet Cluster Manager) gebildet Client sendet Anfrage an ICM Server Dieser gibt dem Client den verfügbarsten Server zurück und leitet die Anfrage um Konfiguration über Serverdokument: ServerTasks\Internet Cluster Manager
Sicherheit Sicherheit Auf dem Register Sicherheit bei allen Namensfeldern Gruppen eintragen und diese anlegen Änderungen am Serverdokument bedingen einen Neustart des Servers bzw der betroffenen Tasks Werden nun Gruppen bei der Sicherheit eingetragen, kommt eine Änderung ohne Serverneustart aus Deny Access Gruppe Wichtig: Diese gilt nur für Notes Zugriffe, Web Zugriffe können damit nicht unterbunden werden
Sicherheit Sicherheit Internet Zugriff sollte auf Weniger Namensvariationen gesetzt werden Damit kann sich dann nicht mehr über Kurznamen angemeldet werden Anonyme Notes Verbindungen Nicht zulassen
Ports Portkonfiguration Definieren welche Ports für wen verfügbar sind Web (HTTP/HTTPS), LDAP, IMAP, SMTP, POP3, DIIOP Unverschlüsselt und SSL Anonym und mit Name/Passwort Serverzugriffseinstellungen
Verbindungen Verbindungen werden für die folgenden Aufgaben verwendet: Mail-Routing Periodische Replizierung Einschränkung der Replizierung auf selektierte Verzeichnisse/Datenbanken
Domänen Erstellen einer Globalen Domäne Messaging\Domains Definiert Standardeinstellungen für die Domäne Adresskonvertierung Adressformat Mail-Restrictions Internet-Domänen Sollte immer angelegt werden um bspw. ungültige email-adressen zu verhindern
Mail-Konfiguration Erstellen einer Konfiguration Messaging\Configuration Globale Konfiguration definiert Vorgaben für die gesamte Domäne Serverspezifische Konfiguration überschreibt globale Konfiguration
Mail-Konfiguration Serverspezifische Konfiguration SmartUpgrade SMTP: Einschränkungen, Regeln, Message Tracking, Journaling MIME Einstellungen Notes.ini Variablen Domino Web Access
Mail-Konfiguration Globale Konfiguration Zusätzlich noch folgende Einstellungen LDAP Felder, Zugriff, Anonymous Change Control
Internet Sites Erstellen der globalen Web-Einstellungen Web\Internet Sites\Create Global Web Settings Erstellen der Internet Site Dokumente Web\Internet Sites Für Web, IMAP, POP3, LDAP, SMTP Inbound und IIOP möglich Ermöglichen unterschiedliche Einstellungen für verschiedene Hostnamen/IP-Adressen Vorgabe sind die Einstellungen im Serverdokument
Programme Programmdokumente ersetzen bzw erweitern die Notes.ini Einträge ServerTasks und ServerTasksAt Bei Änderung ist kein Neustart des Servers mehr nötig Zeitpläne können minutengenau und wiederholend definiert werden Programme können für alle Server eingerichtet werden Betriebssystembefehle können ausgeführt werden
Programme Ersetzen der ServerTasks Zeile durch Programmdokumente mit Starttyp Nur beim Serverstart Ersetzen der ServerTasksAtX zeile durch Programmdokumente
Verzverw Verzeichnisverwaltung Weitere Adressbücher einbinden LDAP Verzeichnisse Trennung von Notes- und reinen Web-Usern Einrichten auch wenn es nicht genutzt wird, da Änderung am Serverdokument notwendig Verzeichnisverwaltung wird je Server eingerichtet
Verzverw Verzeichnisverwaltung Anlegen einer Datenbank auf Basis der Schablone Directory Assistance Lese-Zugriff für alle Benutzer Eintragen des Pfades zur Verzeichnisverwaltung Anlegen der Dokumente in der Verzeichnisverwaltungsdatenbank für die zusätzlichen Adressbücher Idealerweise sollte das über den Pfad geschehen, alternativ über Datenbanklinks
Katalog Verzeichniskatalog Kompakt Basierend auf Schablone dircat5.ntf Verwendung mit Notes Clients Sehr klein Erweitert Basierend auf Schablone pubnames.ntf Verwende Verwendung auf Domino Servern Größer als kompakte Verzeichniskataloge
Katalog Verzeichniskatalog Einrichtung kompakter Verzeichniskatalog Anlegen Datenbank auf Basis Schablone dircat5.ntf Aufruf Konfiguration: Erstellen\Konfiguration Einrichtung erweiterter Verzeichniskatalog Anlegen Datenbank auf Basis Schablone pubnames.ntf Aufruf Konfiguration: Erstellen\Erweiterter Verzeichniskatalog
Katalog Verzeichniskatalog Konfiguration in Datenbank erstellen Welche Verzeichnisse, Felder und Elemente sollen aufgenommen werden? Zusätzliche Einstellungen, wie Komprimierdichte, Zusatzfelder und Mischfaktor (nur bei kompaktem Verzeichniskatalog)
Katalog Client-Einrichtung kompakter Verzeichniskatalog Lokale Replik erstellen (manuell oder per Richtlinie) Eintragen in Arbeitsumgebung (manuell oder per Richtlinie) Server-Einrichtung kompakter Verzeichniskatalog Eintrag in Serverdokument Basics Directory Information Name of condensed directory catalog on this server Server-Einrichtung erweiterter Verzeichniskatalog Eintrag in Verzeichnisverwaltung
Dircat Dircat-Task Einrichten im Admin Client über Configuration\Directory\Directory Cataloger\Settings Eintrag der zur verarbeitenden Verzeichnisse Die Verzeichnisse werden nach den Einstellungen in den angegebenen Datenbanken gefüllt Definieren der Ausführungszeitpunkte
Dircat Hinweise: Bei großen Verzeichnissen oder vielen zusammenzuführenden Verzeichnissen sollte dies nicht auf einem Server geschehen auf dem Benutzer arbeiten Dircat sollte immer nur auf einem Server der Domäne laufen
Richtlinien Richtlinien definieren Vorgaben bzw zwingende Einstellungen für die Bereiche Archivierung Archivierungseinstellungen Desktop Arbeitsbereichseinstellungen Registrierung Vorgaben für die Registrierung
Richtlinien Sicherheit Passwort ECL Setup Arbeitsumgebungs- und Oberflächeneinstellungen
Richtlinien Richtlinien können explizit oder organisationsbezogen zugewiesen werden Explizite haben immer Vorrang Für nicht definierte explizite Richtlinien werden die organisationsbezogenen verwenden Dies bezieht sich nicht nur auf komplette Richtlinien sondern auch auf einzelne Einstellungen
LDAP Wird in der globalen Konfiguration festgelegt Über die LDAP Schema Datenbank (schema.nsf) können die Attribute, Objektklassen und Schema Elemente betrachtet werden Anhand der Schema Datenbank werden die Schema Informationen an untergeordnete LDAP Server der Domäne weitergeleitet
Tips & Tricks Auf die Benutzerverzeichnisse nur den notwendigen Benutzern Zugriff gewähren Einfach: Serverzugriffsgruppe Google nach names.nsf suchen DenyAccess Gruppe nur für Notes Zugriffe gültig Bleiben ehemalige Benutzer im Verzeichnis dann sollte das Passwort gelöscht werden
Tips & Tricks Benutzer-IDs niemals im Domino Verzeichnis speichern bzw nach der Registrierung sofort löschen Lokale Repliken des Domino Directories verbieten Für Adressauswahl einen mobilen Verzeichniskatalog verwenden
Tips & Tricks Gruppen mit vorangestelltem Sonderzeichen werden am Ende der Auswahlliste angezeigt z.b. $ oder % Gruppen immer nach dem Verwendungszweck definieren Zugriffsgruppe auch nur als Zugriffsgruppe Gemischte nur einsetzen wenn keine andere Möglichkeit
Q & A Fragen??
Kontakt smartix consulting gmbh Emilienstr. 23 D-70563 Stuttgart fon: +49 (0)711-459 991 30 fax: +49 (0)711-459 991 35 web: http://www.smartix.de Mathias Bierl bierl@smartix.de