Administrace Lotus Domino/Notes – 4/10

Aktualizováno 13. 2. o nastavení Global domain dokumentu.

A je to tady, máme nainstalovaný serverklienta a čeká nás jediné. To co nějak samo o sobě nyní funguje vyladit o kousek víc aby to fungovalo tak jak chceme.

Krok první je spuštění administračního klienta. Možností máme více, využít můžeme ikonu na ploše, ikonu Domino Administrator v levém panelu s ikonami v plném klientovi nebo pomocí webového rozhraní na adrese http://server/webadmin.nsf. Ano, pro tu poslední variantu jsme nemuseli instalovat klienta na svůj počítač a většinu administrace bychom pomocí něj zvládli. Dokonce si v dnešní době troufnu říct, že webový klient toho umí víc než ten plný klient (třeba zobrazení klíčových informací o serveru pěkně pohromadě, možnost náhledu na běžící služby v MS Windows a další), ale jednu věc neumí – registrovat další lidi bez využití certifikační autority. A to je kámen úrazu, kvůli kterému musíme jeden jediný krok provést v plném administrátorovi a vše ostatní můžeme dělat v tom webovém. Poslední informace na závěr – administrátor není v české verzi, narozdíl od klienta i návrháře.

Webový klient pro administraci Lotus Domino serveru

Po spuštění administrátora (a po zavření případného uvítacího okna, které se otevře při prvním spuštění) před sebou máme něco podobného jako na obrázku. Nyní je nejdůležitější zkontrolovat, že jsme připojení ke správnému serveru, abychom si nehráli na serveru produkčním případně na svém lokálním počítači. Kontrola je jednoduchá – jméno serveru je napsáno nahoře (tedy né úplně, ale o kousek níž). Pokud tam není ten, který si představujete tak zvolte menu File a Open server a vyberte (případně napište) jméno svého serveru a vše by mělo být v pořádku.

Ta spousta záložek nahoře zobrazuje potřebné informace se zaměřením na jednotlivé činnosti a v podstatě zobrazuje informace z různých databází Lotus Notes. Tou nejdůležitější je Domino Directory (se souborovým názvem names.nsf), přičemž všechny změny a nastavení je možné provést jak přímo v této databázi tak pomocí administračního klienta. Pro nás bude dnes nejdůležitější záložka poslední – Configuration.

Informace v této záložce jsou rozděleny do několika sekcí, každá z nich do dalších podsekcí a některé se opakují. Spousta věcí je navíc potřeba nastavit na více místech a na žádné nezapomenout. Doufám, že se mi vás konečně podařilo vystrašit 🙂 Může to znít hrozně, zase na druhou stranu je to díky tomu neuvěřitelně flexibilní a možné nastavit dle specifik každé organizace.

Začneme hned od shora – Current Server Document. Na první záložce je informací spousta, změnit ovšem doporučuji jediné pole – Automatically restart server after fault. To zajistí, aby když se serveru něco stane tak aby se znovu spustil. Jak uvádějí další pole, tak přitom může poslat někomu email a hlavně se dá nastavit, kdy se má o start přestat pokoušet. Přeci jenom kdyby vždy naběhl a zase spadl tak to moc smyslu nemá.

Bezpečnosti se věnuje další záložka a je to záložka hutná, jedna z nejhorších a nejhůře vysvětlitelných administrátorům. Levá polovina horní tabulky nastavuje práva administrátorů, pravá vývojářů. Popisek u každého pole (po kliknutí na název před polem) je relativně popisný, tak jenom pár informací. Full access administrator je pro uvedení administrátorů, kteří mají maximální práva a dostanou se do všech databází bez ohledu na nastavení přístupových práv. Má to jediný háček, nefunguje to neustále, ale musí si to administrátor vždy zapnout v menu Administration, položka Full Access administration v administračním klientovi. Ve vývojářské části je otázkou, co vše vývojářům umožnit. Osobně bych je nedával do pole „Run unrestricted methods“, což jim dovolí (hlavně) zapisovat na disk serveru. Vždy je lepší podepsat databázi po nasazení ID administrátora a mít tak trochu jistotu, co se na něm děje. Stejně tak položky „Sign to run on behalf of someone else“ mohou být zrádné, vývojář si tak může nastavit, aby se agent, kterého napsal, pustil pod identitou někoho jiného a získal tak vyšší práva než má on sám. Zase na druhou stranu jako administrátor nikdy nezkontrolujete co ten vývojář vlastně naprogramoval a musíte mu věřit, takže by se řeklo, že je to jedno.

V položce Security settings se už dnes (dříve ty možnosti byly hodně striktní) dá zvolit položka „Enforce key checking for Notes users and Domino servers listed in trusted directories only“ v poli „Compare public keys“, která zajistí při přístupu uživatele či serveru kontrolu jeho veřejných klíčů a podstrčeným ID, které se shoduje ve jméně ale nikoliv v klíči, přístup nedovolí. Stejně tak je možné povolit položku „Check passwords on Notes IDs“, která umožní přístup pouze ID s posledním platným heslem (hash hesla je uložen v dokumentu uživatele).

Konečně v sekci Server access je potřeba vyplnit skupinu do pole „Not access server“ a následně (nebo předtím) skupinu se stejným jménem vytvořit a nastavit jí jako „Deny List only“. Stejně tak se přimlouvám pro uvedení pouze vybraných lidí v poli „Create new databases“ a „Create new replicas“, aby na serveru nemohl zakládat databáze každý a dělat tam pěkný bordýlek, ve kterém se nikdo nevyzná.

Všechny ostatní možnosti se hodí, ale nejsou potřeba nastavovat vždy. A o sekci Passthru use si povíme někdy v budoucnu.

Na záložce Ports je zapotřebí si důkladně všimnout polí „Notes networks“ a „Net address“. V tom druhém musí být platná adresa serveru (ať už pomocí IP adresy nebo doménového jména) a o použití si řekneme za chvíli, při nastavování posílání pošty.

V podzáložce Internet ports doporučuji u všech portů povolit „Enforce server access“, což bude mít za následek respektování skupiny „Not access server“ na všech portech (normálně se totiž v potaz nebere). A pak zakázat porty, které používat nebudete.

No a to by v server dokumentu stačilo, takže uložit a přepínáme se do další sekce v levém menu – Messaging. Posílání pošty lze nastavit několika způsoby, ale zmíním se pouze o dvou z nich – tom úplně jednoduchém a tom o kousek složitějším, ale mnohdy vhodnějším. Nejjedodušší nastavení je použití pole „Relay host“ v položce „Messaging settings“. Zde se zadá jméno serveru na které se budou veškeré emaily relayovat a vše je vyřešeno. Toto ovšem nemusí platit pro složité implementace, kde je požadavek na předávání pošty mezi jednotlivými servery z nichž jeden je zodpovědný za odesílání do internetu. Pro tento způsob se použije varianta o kousek složitější.

V menu Domains vytvoříme novou doménu u které jako typ zvolíme Foreign SMTP domain. Pak se přepneme na záložku Routing, do pole „Internet domain“ zadáme „*.*“, což znamená všechny internetové domény. Pokud byste chtěli konkrétní internetovou doménu routoveat přes jiný server, tak do tohoto pole vyplníte jméno konkrétní domény, třeba „gmail.com“. V poli „Domain name“ (napravo od předchozího pole) zadáme smyšlené jméno domény, většinou se používá něco ve tvaru „All_Internet_Hosts“. V každém případě si toho jméno musíme zapamatovat. Dokumentu uložíme a zavřeme a přepneme se do pohledu Connections, kde vytvoříme nový dokument spojení. Jako „Connection type“ zvolíme SMTP, do pole Destination server vyplníme neexistující jméno serveru (říkal jsem, že spousta nastavení není logických) a do Destination domain vyplníme jméno domény, kterou jsme napsali do dokumentu domény. Pokud se mají emaily odesílat přímo do internetu tak je to vše, pokud na konkrétní relay server tak jeho adresu uvedeme do pole „SMTP MTA Relay host“. Potom se přepneme na záložku Replication, kde zkontrolujeme, že replikace je zakázáná a Routing task je Mail routing (nikoliv SMTP mail routing, které by lákalo použít). Na záložce Schedule ještě zkontrolovat, že poběží vždy (od 00:00 do 23:59) s tím, že Repeat interval můžeme nechat na hodnotě 360minut. Uložit, zavřít a pošta by nám (poté co si server uvědomí po pár minutách změnu) měla začít chodit jak chceme.

Aby Domino vědělo, pro jaké domény poštu z venku přijímat, tak je třeba vytvořit ještě jeden dokument domény. Tentokrát její typ zvolíme Global domain, vymyslíme jméno (je to jedno), v poli Global domain role zvolíme SMTP (první položka) a přepneme se na záložku Conversion, kde v poli Local primary internet domain napíšeme jméno internetové domény (firma.cz) a v poli Alternate Internet domain aliases můžeme dopsat všechny další domény, oddělené novým řádkem. V poli Internet address lookup zvolíme Enabled, což znamená, že server při odesílání emailu (jasně, psal jsem, že se tím řídí pro koho se pošta přijímá) se podívá do uživatelského dokumentu jaká je jeho emailová adresa, kterou má připojit k emailu.

Tím jsme vyřešili posílání pošty směrem ven, ale co posílání pošty uvnitř organizace v případě, že máme více Domino serverů? V tom případě se pošta řídí polem „Notes network“ v server dokumentu. Pokud mají všechny servery stejné Notes network tak pošta chodí přímo mezi nimi a pro zjištění IP adresy serveru se použije pole „Net address“ v server dokumentu. Pokud se notes network (někdy také označované jako NNN) liší, tak je potřeba, aby mezi jednotlivými servery existovaly Connection dokumenty. Servery si potom samy spočítají nejlepší (nebo jedinou možnou v případě hub-spoke varianty) cestu a poštu předávají mezi jednotlivými servery. Nastavení takových connection dokumentů je stejné jako u replikace, takže přeskočíme rovnou k replikaci.

Spojení mezi servery pro replikaci se může nastavit v pohledu Connections, ve kterém už jsme, případně se přepnout do položky Replication v levém menu a tady nám to ukáže to samé. Pokud máte pocit, že dokumentů spojení vidíte málo tak to může být způsobeno faktem, že klient automaticky skočí na první dokument spojení pro server, který máme otevřený. U nového dokumentu spojení jako typ necháme „Local area network“, zkontrolujeme jméno zdrojového a cílového serveru a port, po kterém se komunikuje (vybírá se pomocí tlačítka). Domény můžeme nechat prázdné, servery jsou uvnitř organizace většinou ve stejné doméně, v poli „Optional network address“ uvedeme IP adresu cílového serveru. Na záložce Replication vybereme Replication type (Pull push říká, že celou operaci zajišťuje zdrojový server, při Pull Pull zdrojový server stáhne data a řekne druhému serveru, aby si nyní stáhl data on, u ostatních možností se provede pouze „poloviční“ replikace). Zadáme, které adresáře, případně konkrétní databáze se mají replikovat a které naopak nemají. Pokud nám jde i o posílání pošty tak zkontrolujeme, že v poli „Routing task“ je uvedeno Mail routing a v dalším poli po kolika emailech dojde k přenosu na druhý server. Na záložce Schedule zvolíme kdy má ke komunikaci docházet a jak často. Přičemž jak často platí pro replikaci a pro posílání mailů pouze v případě, že jsme nastavili vyšší počet emailů, po kterých má k přenosu dojít. V tom případě se tyto dvě hodnoty kombinují – pokud dřív dojde k nashromáždění dostatečného počtu emailů tak dojde k jejich odeslání, pokud dřív uplyne určený čas tak se odešle to co zrovna je.

Osobně u nastavení replikací preferuji hub-spoke řešení, kdy jeden server je zodpovědný za komunikaci mezi ostatními servery a stačí tak na jednom místě kontrolovat, zda se replikují databáze, případně posílá pošta. Pokud totiž nastavíte spojení všichni se všemi tak servery neustále s někým komunikují a mnohdy už ani nevědí co mají přenášet. Stejně tak se zamyslete nad tím, jak často replikovat. Osobně si myslím, že každou hodinu dostačuje, u jednoho klienta jsem viděl replikaci každou minutu, přičemž tak rychle žádné dokumenty nevznikaly takže to bylo relativně zbytečné. A navíc – pokud někdy potřebujete zreplikovat okamžitě, tak je lepší zadat jeden příkaz na serveru (jaký si povíme příště) než se spoléhat na to, že server replikuje každou minutu.

To jsme nastavili bezpečnost, posílání pošty, replikaci databází a měl bych se zmínit ještě o nastavení webu. I ten má dvě varianty, tu jednodušší (která je standardně zapnutá a o které budu mluvit i já) a ta „složitější“, která je trochu flexibilnější. Nicméně zpět k té jednoduché. Vše se nastavuje v server dokumentu (v tom, co jsme dnes měnili jako první) na záložce „Internet protocols“. Na podzáložce HTTP bych změnil jedinou věc – Home URL, kde uvedete databázi, kterou chcete otevřít když se zadá jenom jméno serveru. Většinou to bývá nějaký intranet nebo portálek, který si necháte vyvinout. Na podzáložce Domino Web Engine je toho ke změně víc. Většinou doporučuji změnit položku „Default regional locale“ na „Server locale“, což zajistí, že se formáty data a času zobrazují všem uživatelům stejně a sice tak, jak je nastaveno na serveru a nikoliv tak, jak mají nastaveno na svém počítači. V poli „Default character set“ je potom ještě nutné uvést „Central European“, aby se nám správně kódovala písmenka. To by skoro stačilo co se týká nastavení, teď jenom jak vytvořit další virtuální server nebo přesměrování jinam. K tomu slouží tlačítko „Create Web“ v horní tlačítkové liště. Položka Virtual server slouží pro vytvoření dalšího virtuálního serveru na té samé fyzické mašině, kterému se bude otevírat jiná startovní stránka. A položka URL Mapping/Redirection slouží k tomu, aby se jednoduchá adresa ve tvaru http://server/anketa či něco podobného, uživatelsky přítulného, změnilo na http://server/aplications/anketa.nsf/novaAnketa?OpenForm či cokoliv, co programátoři potřebují. Na první záložce v tomto dokumentu se zvolí jako typ URL -> Redirection URL a na záložce Mapping v Incoming URL uveden /anketa/* v Redirection URL pak /aplications/anketa.nsf/novaAnketa?OpenForm. Restartovat HTTP úlohu a mělo by to fungovat.

Na závěr této spousty informací ještě jedna. Když už jsme si pověděli o Domino Directory (names.nsf) tak které další soubory na tom serveru stojí za zkouknutí? Určitě je to log.nsf, kam se zaznamenává vše co se na serveru děje a to je místo, které by se mělo pravidelně kontrolovat zda se tam neobjeví nějaké informace o chybách. Dalším souborem je mail.box, kam se ukládají emaily než se odešlou a tady zjistíte, že se vám emaily neodesílají. Pak je ještě admin4.nsf, což je databáze administračního procesu, ve které jsou vidět veškeré úlohy, které někdy zpracuje administrační proces (takový hodný pomocník administrátora). Tedy většina toho, co jste po serveru chtěli a ještě se nestalo. Domino Domain Monitoring (ddm.nsf) databáze je takovou „nadstavbou“ logové databáze (od verze 7), kde by měly být vypsány všechny chyby, které si nastavíte, že vás zajímají.

A to už by pro dnešek snad opravdu stačilo, sem s dotazy a nejastnostmi.

1 komentář

  1. Nejcasteji to byva spatne zadanym jmenem a heslem – jmeno bych zkusil zadat plne, tedy jmeno/certifikat. Pokud je problem u dodatecne vytvoreneho uctu (tedy ne ten, ktery byl vytvoren pri instalaci) tak to muze byt I tim, ze neni zadano webove heslo (to se muze lisit od notesoveho)

Leave a Reply