IBM Notes/Domino 9.0 Social Edition テクニカルレビュー 2013年4月24日 Lotus Technical Update Workshop 日本IBMシステム・エンジニアリング株式会社
by user
Comments
Transcript
IBM Notes/Domino 9.0 Social Edition テクニカルレビュー 2013年4月24日 Lotus Technical Update Workshop 日本IBMシステム・エンジニアリング株式会社
® IBM Notes/Domino 9.0 Social Edition テクニカルレビュー 2013年4月24日 Lotus Technical Update Workshop 日本IBMシステム・エンジニアリング株式会社 コラボレーション・モバイル 村上 雄介 © 2013 IBM Corporation IBM Software Group | Lotus software © IBM Corporation 2013. All Rights Reserved. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報提供 の目的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生むものでもあ りません。本プレゼンテーションに含まれている情報については、完全性と正確性を帰するよう努力しましたが、「現状のまま」提供され、明示または暗示 にかかわらずいかなる保証も伴わないものとします。本プレゼンテーションまたはその他の資料の使用によって、あるいはその他の関連によって、いかなる 損害が生じた場合も、IBMは責任を負わないものとします。 本プレゼンテーションに含まれている内容は、IBMまたはそのサプライヤーやライセンス交付者 からいかなる保証または表明を引きだすことを意図したものでも、IBMソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図した ものでもなく、またそのような結果を生むものでもありません。 本プレゼンテーションでIBM製品、プログラム、またはサービスに言及していても、IBMが営業活動を行っているすべての国でそれらが使用可能であること を暗示するものではありません。本プレゼンテーションで言及している製品リリース日付や製品機能は、市場機会またはその他の要因に基づいてIBM独自の 決定権をもっていつでも変更できるものとし、いかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありませ ん。本資料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の向上、またはその他の結果が生じると述べる、または暗示すること を意図したものでも、またそのような結果を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザーが経験する実際のスループットや パフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、および処理されるワークロードなど の考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと同様の結果を得られると確約するもので はありません。 記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、またそれらのお客様が達成した結果の実例として示されたもの です。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 IBM、IBM ロゴ、ibm.com、Lotus および Lotus Notes、Lotus Domino、Lotus iNotesは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。 他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtmlをご覧ください。 Microsoft, Windows, Windows NT および Windowsロゴは Microsoft Corporationの米国およびその他の国における商標です。 他の会社名、製品名およびサービス名などはそれぞれ各社の商標。 IBM Software Group | Lotus software 目次 IBM Domino 9.0 概要 IBM Domino 9.0 セキュリティ新機能 IBM Domino 9.0 管理系新機能 このセッションの目標 IBM Domino 9.0 の新機能の概要を理解し、どのような場面でそれを 活用出来るかを理解する。 IBM Software Group | Lotus software 目次 IBM Domino 9.0 概要 IBM Domino 9.0 セキュリティ新機能 IBM Domino 9.0 管理系新機能 IBM Software Group | Lotus software IBM Domino 9.0 新機能概要 1. セキュリティ機能の向上 SAML のサポート IBM HTTP Server を使った Transport Layer Security(TLS) のサポー ト ハッシュアルゴリズム (SHA-2) のサポート 2. 管理機能の向上 データベースメンテナンスツール(DBMT) Quality of Service 機能(QoS) Dominoディレクトリの機能拡張 当セッションの対象 3. ソーシャル対応 Open Socialガジェット、Embedded Experience のサポート OAuth 機能のサポート IBM Software Group | Lotus software 目次 IBM Domino 9.0 概要 IBM Domino 9.0 セキュリティ新機能 – SAML(Security Assertion Markup Language)サポート – TLS (Transport Layer Security) サポート – SHA-2 サポート IBM Domino 9.0 管理系新機能 IBM Software Group | Lotus software シングルサインオンに関するニーズ 1. パスワードプロンプトの表示回数を減らしたい パスワードプロンプトの表示は作業の流れを立ち、生産性を低下 させる システムの利用を遠ざける原因になる 2. パスワードの数そのものを減らしたい 多数のパスワードを覚えておくのは大変 多数のパスワードを管理するのは大変 パスワードに代わる認証方法があれば、 セキュリティを高め、管理コストを低下出来る × × IBM Software Group | Lotus software SAML(Security Assertion Markup Language)のサポート シングルサインオン(SSO)に関する標準規格の1つ – 様々な異なる製品間で、SSO が可能になる – ユーザーがパスワードを入力する回数を減らすことが出来る – ユーザーが覚えるパスワードの数を減らすことが出来る – IBM Notes/Domino 9.0 は、SAML 1.1, SAML 2.0 をサポート IBM Notes/Domino 9.0 のSAMLサポートで出来ること – SAML を使った、IBM Domino Webサーバーへのログイン – SAML を使った、IBM NotesクライアントのIDログイン • 「Notes Federated Login(Notes 統合ログイン)機能」と呼ばれる • IBM Notesクライアントは Standard版のみが利用可能 – SAML を使った、IBM iNotes 、暗号化メールのアクセス • 「Web Federated Login(Web 統合ログイン)機能」と呼ばれる IBM Software Group | Lotus software SAML環境の概要 SAML Identity Provider (IdP / IDプロバイダ) – 認証を行い、XMLメッセージ(SAML アサーション) を発行するサーバー • パスワードベースの認証、統合Windows認証(SPNEGO/Kerberos) などを使ってユーザー 認証する • SAML アサーションは電子署名されており、ユーザー情報、時間などが含まれる – IBM Notes/Domino 9.0 では、以下の 2つの IdP をサポート • Microsoft ADFS • IBM Tivoli Federated Identity Manager (TFIM) • (IBM Domino は 現在 IdP としては機能しない) Service Provider (SP / サービスプロバイダ) – IdP に問い合わせを行い、結果の SAML アサーション を処理する – IBM Domino 9.0 が SPとして動作する IBM Domino 9.0 の 新機能 クライアントは Webブラウザ、IBM Notes Standard 9.0 クライアント IBM Software Group | Lotus software SAMLを使ったWebログイン時の動作概略 IBM Dominoサーバーはユーザー認証必要時に、IdPへリダイレクトする IdPはユーザー認証を行い、SAML アサーションを伴って再度 IBM Dominoサーバー にリダイレクトする IBM Dominoサーバーは、SAML アサーションのユーザー情報(通常インターネット メールアドレス)を確認し、ユーザー認証を完了させる(セッション Cookie の発行) IdPで構成したディレクト リを使って認証する IdP ユーザーはIdPにロ グインする。 ③認証要求 ②IdPへリダイレクト ④SAML アサーション発行 およびSPへリダイレクト Webブラウザ ①サーバーアクセス ⑤セッションCookieの発行 IBM Dominoサーバー(SP) IBM Software Group | Lotus software SAMLを使った Web認証 SAMLを使うメリット ポイント 詳細 ユーザー文書にHTTPパスワードが不要 パスワードは IdP 管理となり、IBM Domino用のHTTPパスワードの管理 から、ユーザー・管理者は解放される これまで CookieベースのSSOは、インターネットドメインをまたぐこと が出来なかった。 SAMLでは、複数インターネットドメイン間でのSSOが可能。 例:xxx.ibm.com と xxx.lotus.com のサーバー間でのSSO インターネットドメインをまたぐSSO LTPAからの解放 SAMLに対応しているサーバーであれば、LTPA SSO に対応していない サーバーでも、シングルパスワード、SSOに参加が可能 統合Windows認証との組み合わせ IdPがSPNEGOに対応した場合、ユーザーはHTTPパスワードの入力不要。 従来も、Lotus Dominoサーバーで機能があったが、Windows版のサー バーに限定されていた。 Lotus Notes/Domino 8.5.x までの技術的制約の多くから解放される IBM Software Group | Lotus software SAMLを使った IBM Notesクライアントログイン時の動作概略 IBM Notesクライアントは適用されているポリシーを確認。SAML適用の場合は、埋め込みブラウザがIdPへ HTTPでアクセスし、認証を行う IdPは認証を行い、SAMLアサーションを発行する。IBM Notesクライアントは、それを NRPC プロトコル で、IDボールトサーバー に送信する IDボールトサーバーは、SAMLアサーションのインターネットアドレスを確認し、ユーザーIDファイルを識別す る。 IDボールトは パスワードをアンロックしたIDファイルをユーザーに送る。IDファイルは、IBM Notesクライア ントのメモリ上で管理され、ディスク上には残らない IdPのディレクトリを 使って認証する IdP IDファイルは、メモリの みに存在する ②認証要求 (HTTP) ③SAMLアサーション発行 ④SAMLアサーション送信 ①ポリシー適用の確認 IBM Notesクライアント NRPC IBM Domino ⑤パスワードアンロックされたIDファイル (ホームサーバー) NRPC IDボールトサーバー(Domino ) IBM Software Group | Lotus software SAMLを使った IBM Notesクライアントログイン(Notes 統合ログイン) SAMLを使った場合のメリット – IBM Notesクライアント/Webブラウザでのシングルパスワードを実現出来る – Windows/Mac/Linuxなど、クライアントのプラットフォームに依存せず利用可 能。 – Citrix環境においても利用可能 環境による制約があるため注意が必要 – スマートカード、USBインストール、複数パスワードのIDファイル、個人アドレ ス帳に格納されたIDファイル(ローミング)など、一部の特殊環境では利用出来な い。 • 詳細はヘルプ参照 Lotus Notes 8.5.x での共有ログイン機能の技術的制約の一部から解放される IBM Software Group | Lotus software SAMLを使った IBM iNotes暗号化メールアクセスの動作概略 IBM iNotesサーバーは、IDボールトへIDファイルを要求し、IDボールトサーバーは IdPへの リダイレクト要求を行う。 IdPはユーザー認証を行い、SAML アサーションを伴って再度 IBM iNotesサーバーにリダイレ クトする IBM iNotesサーバーは、SAMLアサーションをNRPCでIDボールトに送信して、アンロックさ れたIDファイルを入手。メールを復号し、ユーザーに表示させる。 IdPのディレクトリを 使って認証する IdP ⑤認証要求 (HTTP) IDファイルはメモリ 上のみにある ⑥SAML アサーション送信 ④SAML アサーション要求 ①暗号化メールへのアクセス(HTTP) Webブラウザ ⑨復号された暗号メール画面 ⑧アンロックしたID送信 ⑦アサーション送信 IBM iNotes ③IdPリダイレクト ②IDダウンロード要求 IDボールトサーバー(Domino ) IBM Software Group | Lotus software SAMLを使った IBM iNotes暗号化メールアクセス(Web 統合ログイン) SAMLを使った場合のメリット – メールDBに格納されたNotes IDのパスワードとインターネットパ スワードが異なった場合、これまでは暗号化メールのアクセスにパ スワード入力が必要であった – SAMLを利用することで、Notes IDのパスワード入力から解放され る – ユーザーは、複数パスワードの管理が不要になり、IdPのパスワー ドのみを管理すればよい Lotus Notes/Domino 8.5.x までの技術的制約の多くから解放される IBM Software Group | Lotus software IBM Dominoサーバーでの SAML 設定の概要 前提:IdP サーバーを準備しておく 1. IdP 情報をIBM Dominoサーバーに設定する 1. IdPサーバー情報をmetadata.xmlとして出力する 2. IBM Dominoサーバーに、 idpcat.nsf を作成。このDBに、metadata.xmlを取り込み、IdP に関する情報を入力する 2. IBM Dominoサーバー情報を IdP に設定する 1. idpcat.nsf から idp.xml を出力する 2. IdPサーバーで idp.xml を取り込み、IBM Dominoサーバーの設定をする 3. IBM Dominoサーバーで、SAML 認証を有効にする 3. Dominoサーバー のWeb認証で SAMLを有効化 1-1. IdP情報を metadata.xmlとし て出力する 1-2. idpcat.nsfを作成し 、metadata.xmlをイ ンポート 2-1. idpcat.nsfから idp.xmlを出力 2-2. idp.xmlをイン ポートする IdPサーバー Dominoサーバー IBM Software Group | Lotus software IdPカタログデータベース(idpcat.nsf) 利用する IdP の証明書や設定情報を格納するデータベース – 広く公開すべきDBではないため、ACLを厳しく設定する – IdP で設定情報(metadata.xml)をエクスポートし、このDBへインポート する。 idpcat.nsf を使い、IdPの設 定インポート、IdPへの 設定エクスポートなどを 実施する IBM Software Group | Lotus software IBM Domino Webサーバーの設定 SAML の設定を、Webサーバーで設定する – インターネットサイト文書で、セッション認証のタイプを「SAML」にす る。 • 一度認証した後は、セッション Cookieを使ってアクセスする – Dominoディレクトリを使って認証するなど、SAML以外での認証要件が ある場合は、別途インターネットサイト文書を作成し、別のURLとして ログインさせる。 Webサイト文書で、認証の形 式に SAML を指定する IBM Software Group | Lotus software IDボールトDBの設定 Notes 統合ログイン、Web 統合ログインなど、IDファイルを使う場合は ID ボールトの設定も必須 ボールトDB、IdPカタログを作成し、ボールトDBの configuration文書にて 、ボールトDBに対応する IdP文書をリンクさせる。 idpcat.nsf の設定値を指定 し、ボールトDBでSAML を有効化する。 IBM Software Group | Lotus software SAML利用のためのポリシー適用 Notes 統合ログイン、Web 統合ログインを各ユーザーへ適用するに は、セキュリティポリシーを用いる – セキュリティ設定⇒パスワード管理⇒統合ログイン – IDボールトが有効になっている必要あり IBM Software Group | Lotus software SAML設定に関する Tips SAMLでHTTPを利用する部分については、HTTPSでの利用を推奨。 – IdPではSSLを使って、パスワードアクセスを保護する – SAML認証を有効にした IBM Dominoサーバーでは、HTTPSの利用はオ プション。 – IBM iNotesでの暗号化メールには、HTTPSが必須 SAMLアサーションの暗号化が可能 – idpcat.nsf の「証明書管理」機能を使うと、証明書の作成、および作成 した証明書をサーバーIDファイルに取り込むことが可能。 – 作成したキーを使い、SAMLアサーションの暗号化を実施出来る。 IBM Software Group | Lotus software TLS(Transport Layer Security) のサポート IBM HTTP Server(IHS)の機能を使い、TLSをサポート – これまでの SSL サポートに加え、TLSを使った暗号化が可能 – IBM Dominoのインストールオプションとして IHS が選択可能 – IHS サーバーが、IBM Domino サーバーと同一サーバーで稼動し、フロントエンド で HTTP接続を受け入れる。 • mod_dominoと呼ばれるプロキシーモジュールが、HTTP/HTTPSリクエストをIBM Domino に転送する。 • IBM Dominoサーバーは、ループバックアドレスのポート:9288で待機 – IBM Domino 9.0 では、Windows 環境のみがサポート HTTPリクエストを 受け、Dominoサー バーに転送する IHS Webブラウザ TLSでセキュアアクセス Domino IBM Software Group | Lotus software SHA-2 (Secure Hash Algorithm 2)のサポート IBM Notes/Domino の中でダイジェストを使う部分で、SHA-2 をサポー ト – X.509 証明書の署名 – S/MIME の署名 • notes.ini 変数、SMIME_CAPABILITIES_SENDを使って設定する – SHA_256, SHA_512,SHA_384の3種類を選択可能 – IDファイルの暗号化 – パスワードのダイジェスト IBM Software Group | Lotus software 目次 IBM Domino 9.0 概要 IBM Domino 9.0 セキュリティ新機能 IBM Domino 9.0 管理系新機能 – データベースメンテナンスツール(DBMT) – 複製圧縮 – Quality of Service機能(QoS) – Dominoディレクトリ管理 IBM Software Group | Lotus software データベースメンテナンスに関する従来の課題 メンテナンス処理に時間がかかり過ぎていた – DB数、DBサイズによっては、実行時間がかかり過ぎていた – ディレクトリを分けての多重化処理など、工夫が必要だった 終了時間が予測出来なかった – 一度実施を開始すると、ピーク時間まで実施し続けるケースもあっ た。 多数のDB、巨大サイズのDBに対して、安定して メンテナンスタスクを実行出来るニーズが高まっている IBM Software Group | Lotus software データベースメンテナンスツール (DBMT) (n)dbmt という新しいサーバータスク DBのメンテナンスをまとめて効率よく実施するためのツール – コピー形式圧縮 – ビュー索引の更新 – 全文索引作成 – フォルダ再編成 – 削除スタブパージ – ソフトデリート文書の破棄 – 未読リストの更新 – フェイルオーバーのために重要なビューの作成 限られたメンテナンス時間を有効に活用するための機能 – 「予想以上に compact の時間がかかり、ピーク時間にかかる」、といったことが DBMT を使うと回避出来る。 IBM Software Group | Lotus software DBMTの実行オプション(1) ~マルチスレッド実行~ コピー形式圧縮処理のマルチスレッド実行 – 最大 100スレッドまでの実行 ビュー索引更新処理のマルチスレッド実行 – 最大 100スレッドまでの実行 全文索引再構築のマルチスレッド実行 – 最大 100スレッドまでの実行 マルチスレッド処理をすることで、オフピーク時間帯のサーバー処理能力を有効活 用し、処理時間を最適化する。 スレッド数は、CPU使用率、I/O処理に影響があるため、運用でチューニングが必 須 IBM Software Group | Lotus software DBMTの実行オプション(2) ~スケジュール関連~ 指定の「開始時間」「終了時間」の間だけ、dbmt を実行させる – 例:AM1:00 – AM5:00 まで実施する – dbmtプロセスは終了後も残り続け、次の開始時間が来るのを待つ 圧縮実行時間の指定 – N分間だけ圧縮を実施し、N分後に圧縮は終了する – dbmtプロセスは時間後に終了する 停止時間の指定 – 指定した停止時間まで処理を実施し、その時間に終了する – dbmtプロセスは時間後に終了する DBメンテナンス処理が、ピーク時間までかかってしまうことが防げる IBM Software Group | Lotus software DBMTの実行オプション(3) ~その他~ 全文索引の定期再作成 – 作成日より、N日ごとに全文索引を再作成する 圧縮の再実行間隔の指定 – N日間、圧縮していないDBのみ圧縮する 修復オプション – 圧縮に問題があるDBに、修復を実施する – DB利用中以外の原因で、5回以上連続で圧縮にエラーが出るDBのみ 、修復を実施 – 修復の実施日時は、曜日指定が可能 IBM Software Group | Lotus software (参考)DBMTの圧縮対象外(システムDB) names.nsf log.nsf admin4.nsf ddm.nsf lndfr.nsf events4.nsf statrep.nsf dbdirman.nsf dircat.nsf clubusy.nsf domlog.nsf cldbdir.nsf busytime.nsf catalog.nsf daoscat.nsf mtdata/mtstore.nsf システム管理DBでは、「コピー形式圧縮」が除 外される。 IBM Software Group | Lotus software DBMTの機能 ~主要ビューの定期更新(1)~ 次のビューを作成・最新化・破棄しないようにすることで、クラスタフェイルオーバー時のアク セス速度を維持出来る。 テンプレート名は StdR7Mail,StdR8Mail,StdR85Mail,StdR9Mailのどれか – ($Inbox) – ($Drafts) – ($All), 正サーバー障害時のフェイル – ($RepeatLookup) オーバーに備え、主要な – ($ToDo) ビュー索引を事前に更新して おき、良好なレスポンスタイ – ($Calendar) ムを提供する。 – (Haiku_TOC) – ($Alarms) – (iNotes) – ($Users) – (iNotes_Contacts) Domino正サーバー Domino副サーバー – ($ThreadsEmbed) カスタマイズメールテンプレートがある場合は、以下の notes.ini を利用 – DBMT_MailTemplate=templatename1,templatename2,templatename3 – DJXメールテンプレート(DJXMail9)を指定 IBM Software Group | Lotus software (参考)DBMTの機能 ~主要ビューの定期更新(2)~ フェイルオーバー対策を、任意のDB、ビューに対して設定可能 – DBMT_TemplateName=ViewNameOrAlias1;ViewNameOrAlias2;...Vie wNameOrAliasN notes.iniの設定例 – DBMT_StdNotesLog=SecurityEvents, ReplicationEvents, MailRoutingEvents – DBMT_StdR4AdminRequests=All Requests by Time Initiated;All Request by Server – DBMT_StdR9Mail=($Sent), By Category notes.ini の設定は 128文字までなので注意が必要 IBM Software Group | Lotus software DBMT 統計項目 DBMTが実施終了すると、統計が生成されて自動的にコンソールに出力される。 show stat dbmt – DBMT.Compact.BackLog = 0 – DBMT.Compact.Began = 01/06/2013 21:00:14 EST – DBMT.Compact.Finished = 01/07/2013 02:15:46 EST – DBMT.Compact.Fixup = 0 – DBMT.Compact.Successful = 160 – DBMT.Compact.Unsuccessful = 1 – DBMT.Compact.Unsuccessful.InUse = 1 – DBMT.Compact.Unsuccessful.TimeLimit = 0 – DBMT.Updall.Began = 01/06/2013 21:00:14 EST – DBMT.Updall.Finished = 01/07/2013 02:16:38 EST – DBMT.Updall.Processed = 463 – 11 statistics found 失敗が確認された場合は、 コンソールを確認する IBM Software Group | Lotus software DBMTの利用(1) DBMT は以下のそれぞれを実行対象として指定可能 – DB名、インダイレクファイル(.ind)名、ディレクトリ名、ブランク(=全てのデー タベース) DBMT はこれまでの updall 処理の代わりになる – ServerTasksAt パラメータの見直し – プログラム文書 (updall) の見直し – 今後 DBMTを利用する場合は、notes.ini の SetupLeaveServerTasks=1パラメー タを使って、ServerTasksAtパラメータの逆戻りを防ぐ DBMT は コピー圧縮に関する compact -c コマンドの代わりになる – システムDBはスキップされるので注意 – DBIIDも変更になるので、トランザクションログ環境ではタイミングに注意 全DBに対する DBMT プロセスは、1つのみが有効 – 重複実施の防止のための制限 – 1つを停止したい場合は “tell dbmt quit” が有効 IBM Software Group | Lotus software DBMTの利用(2) 各機能は、dbmt プログラムの、引数として用意されている 実行例: dbmt -compactThreads 8 -updallThreads 8 -range 2:00AM 7:00AM -compactNdays 5 -force 1 • • • • 深夜2:00-7:00 の間実行する 圧縮は、5日間実施していないものが対象 コピー圧縮、ビュー更新それぞれ 8 スレッドで実施 圧縮に失敗するものがあれば、日曜日に修復を実施 IBM Software Group | Lotus software メールファイルの圧縮時配信機能 圧縮中のメールファイルに配信があった場合、現状の圧縮処理を 停止する。(デフォルト) – DBMTを確実に活用するため、notes.ini に MailFileDisableCompactAbort=1を設定すると動作が変わる • • • • 圧縮処理が終わるまで、メールはmail.boxの中で待機する 定期的な間隔で router は再処理を実施する 圧縮終了後、Routerの次回配信処理によって、メールが配信される メールファイルが特大の場合、新着メールを受信するのに時間がかかる可能性が ある。 8.5.3 FP3 より利用可能 Dominoサーバー DB圧縮完了まで 待ってから配信 DB圧縮中 メールDB Mail.box IBM Software Group | Lotus software (参考)ローカルメール配信のフェイルオーバー 配信対象のメールDBが利用不可ときに機能する – DBがオフラインメンテナンス中(コピー圧縮や整合性チェック)だった り、削除されていたりするときに動作 – MailFileEnableDeliveryFailover=1 の notes.ini パラメータがあると、 クラスタレプリカサーバーにメールを配信する – DBMTは、cldbdir.nsf を確認して、同一ファイルに対して全DB同じ時間 にcompactがかからないかどうかを確認する。 フェイルオーバー発生時 – 不在通知は普通に機能する – メールルールは以下の条件で動作する • サーバー文書のセキュリティタブ「モニターの使用を許可」にクラスタサーバー が含まれている必要あり – 配信文書には、実際に配信したDominoサーバー名が入った $MailClusterFailoverアイテムが追加される。 IBM Software Group | Lotus software 複製圧縮 (Compact Replication) 背景:一部のデータベースでは、IDテーブルが原因で破損することがあった。 – 頻繁に大量文書の作成・削除を繰り返すタイプのデータベースに顕著 – コピー圧縮(compact –c)では完全解決せず、新規に複製を作成し、これまでの データベースと置き換える必要があった。 IBM Domino 9.0 では、新しい圧縮形式が用意された。 – 圧縮すると、新規に複製を作成し、これまでのDBとファイルを置き換える – IDテーブルが原因による破損の予防 – 圧縮中もDBへのアクセスが可能 – 未読情報、ビュー索引情報は、新旧DBで同期される – 置き換え時にタイムアウトが発生した場合、サーバーの再起動を指定することも 出来る – 通常の圧縮とはやや種類が異なるため、代替となるものではない IBM Software Group | Lotus software (参考)複製圧縮の動作 ⑥置き換えに失敗する場 合は、サーバー再起動を 行う。 ②複製DB(.repl)の作成 を行う。文書だけでな く、ビュー索引、未読 テーブルも同期 ③複製が完成したら、オリジナル DBをオフライン化し、ファイルを 置き換える。 ④複製処理開始後の内容につい て、再度同期をはかる ① .nsfファイルの ID テーブルを見て、必要 性を判断 ⑤新しい.nsf をオンライ ンにする。 .nsfファイル .replファイル IBM Software Group | Lotus software (参考)複製圧縮(compact –replica)で使えるオプション -REPLICA – バックグラウンド複製を使った圧縮オプション -IDS_FULL=<nn> – (オプション) IDテーブルが使用率が nn%以上であったときのみ、複製圧縮 を実施する。 -REN_WAIT=<nn> – (オプション) 複製DBを作成した後にリネームが完了するまでの待機時間 (分) -RESTART – (オプション) リネームが失敗したときに、サーバー再起動を行う IBM Software Group | Lotus software 複製圧縮のシステムDBへの適用 システムDB群(インダイレクトファイル)に、複製圧縮を適用する。 – 例:log.nsf, names.nsf, admin4.nsf を system.ind で登録 – compact system.ind -replica -restart システムDBは、常に使用中のため、Dominoサーバーの再起動が発生する 再起動は、全システムDBの 複製圧縮処理が完了し、リネーム準備が出来たタイミン グで行われる。 現行で、「サーバー停止」「システムDBにオフラインメンテナンス」「サーバー起 動」とやっている処理に対して、この方法を使うことで、メンテナンス ウィンドウを 最小化できる。 IBM Software Group | Lotus software サーバー障害に関するこれまでの課題 サーバークラッシュへの対応は出来た – 自動再起動機能の活用 – クラッシュのみが有効であり、サーバーの応答がない場合は対応が 出来なかった。 外部からのポーリング、検知は出来た – イベントジェネレータ機能を利用することで、別の Lotus Domino サーバーから監視をし、応答がないかどうかを検知することは出来 た。 – 基本的に、検知後のアクションは、通知がメイン。 サーバーハングが発生した場合も、自動で復旧出来る 運用が求められてきている。 IBM Software Group | Lotus software Quality of Service 機能 (QoS) サーバーが応答しない、ハングしている、などを検知出来る機能 – Javaコンソールと、専用のタスク(qosprobe) を使い、IBM Domino サーバーの生存状態を確認する。 – 問題があった場合、管理者にSMTPでメール送信を行ったり、自動的に サーバーを再起動したりすることが可能 qosprobeサーバータスクが 起動するようにする。 一定間隔で、自身に対し て稼動確認を行う。 問題発生時はサーバー再 起動の上、管理者に SMTPメールを送信 IBM Dominoサーバーは 、Javaコンソール下で稼 動させる。 IBM Software Group | Lotus software QoS 機能 Tips 調査の間隔、タイムアウト値などは、notes.ini で設定が可能 SMTPメールについて、サーバーは、ログ添付の有無などが設定可 能。Notes.ini パラメータで設定を行う。 QoSが定期的に実施するポーリングはログが残されており、問題発生時の有 用情報ともなりえる。 IBM Software Group | Lotus software プログラム文書の機能拡張 「実行するサーバー」フィールドで、利用可能なサーバー指定パターンが増え た。 これまで可能だったパターン – フル階層でのサーバー名 (例: North/Sphere) – クラスタ名 – */組織 (文字列の最初のみ * が機能) – * (=全サーバー) IBM Domino 9.0 から使えるパターン – グループ名(サーバーグループに限る) – 「?」や「*」が、文字列内の場所を問わず利用可能 • 例: Mail??/Organization • 例: Mail*/Organization 「実行するサーバー」でワイル ドカードが利用可能 IBM Software Group | Lotus software プログラム文書用のサーバーグループ グループタイプに注意 – 「LocalDomainServers」グループは、デフォルトでは「多目的」 になっているため、そのままでは利用出来ない。 「グループタイプ」を 「サーバーのみ」にする。 IBM Software Group | Lotus software グループ文書の誤削除防止 IBM Notesクライアントや IBM Domino Administratorクライアント、IBM Domino Web サーバー管理クライアントから、重要なグループが誤って削除されて しまう事故を防ぐ機能 – プログラムやAPIツールなどからの削除は対応していない Dominoディレクトリのディレクトリプロフィール文書で設定 – StdR4PublicAddressBook のVersion 9 が必要 保護したいグループ名を設定する – デフォルトでは、LocalDomainServers, LocalDomainAdmins, OtherDomainServersが入っている – 有効にするためには、少なくとも1回は開いて保存する – 保護グループの追加・削除などは自由に設定可能 • 管理者グループ、サーバーグループなど、運用上不可欠のグループを自由に指定 IBM Software Group | Lotus software グループ文書の削除防止 Dominoディレクトリのディレクトリプロフィール文書で、削除禁止 のグループを設定する。 IBM Software Group | Lotus software グループ文書の削除防止 削除禁止のグループを IBM Notesクライアントから削除した場合、削 除エラーのポップアップダイアログが発生する。 IBM Software Group | Lotus software 参考文献 IBM Domino 9.0 Social Edition System Requirements http://www.ibm.com/support/docview.wss?uid=swg27037859 Upgrade Central: Planning your upgrade to IBM Notes and Domino 9.0 Social Edition http://www.ibm.com/support/docview.wss?uid=swg21623106 IBM Notes and Domino Wiki http://www-10.lotus.com/ldd/dominowiki.nsf IBM Connect 2013: Messaging and Collaboration Roadmap http://www.slideshare.net/edbrill/ibm-connect-2013-messaging-andcollaboration-roadmap