...

Lotus Domino 6 サーバー新機能ガイド

by user

on
Category: Documents
46

views

Report

Comments

Transcript

Lotus Domino 6 サーバー新機能ガイド
Lotus Domino 6
サーバー新機能ガイド
はじめに
本資料は、Lotus Domino 6 サーバーの新機能をご紹介するものです。Domino 6 Release
Candidate 版の機能に基づいて書かれており、2002 年 4Q に出荷予定のゴールド・リリー
スでは、提供される機能の種類・
仕様・
名称等が変更される場合もありえます。
日本アイ・
ビー・
エム株式会社 ソフトウェア事業部 ロータス技術部
目次
お知らせ
1. サーバーの信頼性・
スケーラビリティー・
パフォーマンスの向上 ・
・
・
・
・
・
・
・
・
・
・
・
3
1.1 サーバーの信頼性・
可用性向上の追及 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
1.2 サーバーのパフォーマンスの向上 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
3
9
2. 運用管理機能の改善 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
12
2.1 ユーザー管理の強力な新機能 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
2.2 管理インターフェースとサーバー管理機能の拡張 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
12
17
3.Web サーバーとしての機能強化 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
23
4.ディレクトリーの拡張 ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
28
5.セキュリティー ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
32
6.メッセージング ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
36
7.ASP 対応(Domino ホスティング機能) ・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
・
41
Lotus Notes/Domino 6.0 の一部機能(
下記)
は、次期メンテナン・
スリリースで実装されるこ
とになりました。
•
•
•
シングル・
コピー・
テンプレート機能
ローミング・
ユーザー機能
iNotes Web Access クライアントでの暗号メールの表示機能
詳しくは、下記 URL をご確認ください。
http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/ldd_products_X_next_mr
特記事項
•
本資料の記載内容は、正式な IBM のテストやレビューを受けておりません。内容について、できる限り正確
を期すよう努めてはおりますが、いかなる明示または暗黙の保証も責任も負いかねます。本資料の情報は、
使用先の責任において使用されるべきものであることを、あらかじめご了承ください。
•
•
掲載情報は不定期に変更されることもあります。他のメディア等に無断で転載する事はご遠慮ください。
本資料の著作権は日本アイ・
ビー・
エムにあります。非営利目的の個人利用の場合において、自由に使用し
てもかまいませんが、営利目的の使用は禁止させていただきます。
•
IBM、は IBM Corporation の商標。
Lotus、Lotus Domino、Lotus Notes、は IBM-Lotus の商標。
その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。
2
1.サーバーの信頼性・スケーラビリティー・
パフォーマンスの向上
1.1 サーバーの信頼性・可用性向上の追求
Topics
•
•
•
•
サーバー・
ヘルス・
モニタリング
自動リカバリー機能
ビュー・
ロギング機能
その他の改善点
概要
Domino 6 では、サーバーの信頼性と可用性を向上させることを新リリース開発の最優先
課題の一つとしており、製品自体のクオリティを上げるのはもちろんのこと、障害の未然防
止を目的とした「
ヘルス・
モニタリング」
や、障害発生後にできるだけ早くサーバーを再起動
させることを目的とした「
自動リカバリー」,「ビュー・
ロギング」
など、さまざまな新機能の追
加や改善が行なわれています。
サーバー・
ヘル
ス・モニタリング
Domino 6 で提供される強力な新機能の一つに、「サーバー・
ヘルス・
モニタリング」
があり
ます。これは、複数のドミノサーバーの稼動状態を一定の間隔で継続的にモニターし、その
結果からサーバーの健康状態を「
良好」
「
要注意」
「
危険」
の 3 段階で判定し、わかりやすく
3 色で表示するものです。この機能によって管理者は、システム全体にわたって各サーバ
ーの健康状態をひとめで直感的に把握することができ、危険な状態に近づきつつあるサー
バーに対しても早めに対処することができるので、障害の未然防止に大いに貢献すること
が期待できます。
またサーバー・
ヘルス・
モニターは、サーバーでどのような問題が発生していてそれに対し
てどのような措置を取るべきか、推奨される対処方法を提示します。提示される内容は、ロ
ータスで長年蓄積された豊富なノウハウに基づき、そのサーバーの個々の状況をも考慮し
た上で適切なプランが表示されるので、たとえ経験の浅い管理者であっても、迅速に適切
な対応を取ることが可能となります。
次に、サーバー・
ヘルス・
モニターの各画面を見ながら、もう少し詳しく説明いたします。
サーバー・
ヘルス・
モニタリングは、
Domino 6 システム管理クライアントの [サーバー] [モニタリング] タブページから利用できます【
画面 01】。この画面は、R5 で既に提供されて
いた「
サーバー・
モニター」
画面とほぼ同じですが、サーバー名の横に新しく「Hea」
(
Health
の略)
という列が追加されています。この列に、サーバーの健康状態が色付きの温度計と
して表示されます。赤が危険、黄色が注意を要する、緑が良好、という意味です【
画面
02】
。サーバー・
ヘルス・
モニタリングは、Tivoli から提供される「IBM Tivoli Analyzer for
Lotus Domino」
と呼ばれる新機能の一部ですが、Domino 6 システム管理クライアントのイ
ンターフェースに統合された形で提供されます。
なおこの機能を有効にするには、基本的に Domino 6 システム管理クライアントのプロファ
イルを設定するだけでよく、Domino に新しいソフトウェアをロードする必要はありません。ま
3
たこの機能はシステム管理クライアントから起動され、クライアントのリソースを使って監
視・
分析されるので、サーバーのパフォーマンスに影響を与えることはありません。
(
注)
「
IBM Tivoli Analyzer for Lotus Domino」
は Notes/Domino 6 と同時期に発売予定の Tivoli
製品で、Notes/Domino 6 の製品版には同梱されません。ご利用にあたっては、別途 Tivoli
からライセンスを含めて購入し、Domino 6 システム管理クライアントが動作するマシンにイ
ンストールしていただく必要がございます。
【
画面 01】
サーバー・
ヘル
ス・
モニターの画
面
(
Domino 6 システ
ム管理クライアン
トに統合されてい
ます)
【
画面 02】
サーバーの健康
状態を色付き温
度計で表示
サーバー・
ヘルス・
モニタリングでは、サーバー上で動作しているMail Router,HTTP,
LDAP,NRPC Name Lookup などの各サーバー・
コンポーネントや、CPU,メモリー,ディス
クの使用率などのプラットフォームに関する情報といった個々の監視項目ごとに、健康状
態を確認することもできます【
画面 03】
。また現在の状態を表示するだけでなく、時系列順
に履歴として表示することも可能です【
画面 04】
。どの項目を監視対象とするかや、監視項
目ごとのしきい値について、カスタマイズすることもできます【
画面 05】
【
画面 06】
。
4
【
画面 03】
個々の監視項目
ごとのヘルス・
モ
ニタリング結果
【
画面 04】
モニタリング結果
の履歴表示
【
画面 05】
監視項目の設定
【
画面 06】
しきい値の設定
【
画面 07】
は、サーバー・
ヘルス・
モニターから提示される、対処方法を記した「
Overall
Health Report」
です。健康状態に問題のあるサーバーについて、具体的にどのような問題
5
が発生しており、短期的および長期的にどのような措置を取るべきかがガイドされます。
【
画面 07】
Overall Health
Report
自動リカバリー機 R4,R5 では UNIX プラットフォームでのみ提供されていた自動リカバリー機能(
Fault
能
Recovery)
が、Domino 6 ではいくつかの機能拡張が加えられ、Windows NT/Windows 2000
(Fault Recovery) プラットフォームでも提供されるようになりました。
自動リカバリーとは、異常終了した Domino を自動的にシャットダウンし再起動できるように
する機能です。Domino(
あるいは Domino で稼動している各サーバー・
タスクのいずれか)
が"Panic","例外"といった致命的なエラーの状況に陥ると、Domino の各プロセスは終了
し、関連する全てのリソースが開放されます。その後、Domino は再起動されます。これら
の処理は全て自動で行われ、管理者は一切介入する必要がありません。
この機能を有効化するには、Domino Directory のサーバー文書の基本タブで設定します
【
画面 08】
。
【
画面 08】
自動リカバリーの
設定
オプションで、再起動を行う前に実行させるクリーンナップ・
スクリプトを設定できますので、
例えばロータスから提供されるNSD(
診断ツール。Notes System Diagnostic)
を実行して、
障害発生時点の Domino に関する情報を収集することなどが可能です。なおこのスクリプト
自体が固まってしまうとサーバーが再起動せず意味がありませんので、スクリプトの最長
実行時間も設定できるようになっています。この設定値を超えると、スクリプトの実行を中
6
断して再起動のプロセスに入ります。
* NSD についての詳細は、リリース・
ノートやオンライン・
ヘルプをご覧ください。
なお、障害の根本的な原因を解決しないまま再起動してもサーバーを初期化中に再びクラ
ッシュするということがまれに起きますが、クラッシュ,自動再起動,クラッシュ,自動再起動....
という無限ループに陥るのを防ぐために、「
設定した頻度以上にサーバーがクラッシュする
場合は、それ以上自動リカバリーは行わない(
サーバーをダウンしたままの状態にしてお
く)」という制御が可能です。デフォルトの設定頻度は「5 分以内に 3 回以上」
となっていま
す。
また、指定したユーザーやグループにサーバーのクラッシュをメールで通知することもでき
ます。通知メールには、クラッシュしたサーバー名とクラッシュ時間、(
取得できた場合は)
障害に関する情報、が含まれます。
さらに自動リカバリー機能は Domino のパーティション・
サーバーもサポートしており、1 台
のマシン上の複数のパーティション・
サーバーのうち異常終了したパーティションのみを対
象として自動終了・
再起動を行うので、マシン上の他のパーティションには全く影響を与え
ません。
このように自動リカバリー機能によって、管理者は Domino を常に監視する必要がなくな
り、夜間や休日など管理者不在中の障害に対する備えともなり、Domino のダウンタイムの
大幅な短縮や TCO の削減に大いに貢献すると思われます。
UNIX プラットフォームでは R4 の頃から存在していた機能ではありますが、これまではそれ
ほど知名度が高かった訳ではなく、ともすれば「
知る人ぞ知る」
隠れた機能という印象があ
りました。それは、この機能が UNIX オペレーティング・
システム固有の特長を利用して設
計されていたためにプラットフォームの制約があったり、そのためこの機能の説明が汎用
的な管理者ガイドではなくリリースノートに記載されていた、などの理由によるのかもしれま
せん。しかし知名度が低いからといって実績が無いという訳では全くなく、特に IBM の AIX
プラットフォームではこれまでに実に数多くのシステムで利用され実績を挙げてきた機能で
あると言えます。
ビュー・ロギング
機能
データベースへの操作を対象とした R5 の新機能「トランザクション・
ロギング」
が、Domino
6 では拡張され、ビューもロギングの対象とすることができるようになりました。
まずトランザクション・
ロギングについて簡単に説明いたします。データベースは、オープン
されている間はサーバーのメモリー上にキャッシュされており、データベースに加えられる
一連の変更処理(トランザクション)
は、まずメモリー上のデータベースキャッシュに反映さ
れます。R4 までは、その後、キャッシュに書き込まれた変更をディスク上のデータベースフ
ァイルに書き出す(
コミットする)
ことを完了してはじめてトランザクションは成功とみなされて
いました。しかしR5 以降のトランザクション・
ロギングでは、トランザクション・
ログにレコー
ドを記録すれば成功とみなされ、ディスクへの書き込みは必要なくなりました。これにより、
サーバーの負荷が高い間はディスク上のデータベース・
ファイルへの更新を遅らせて、処
理時間を短縮することができるようになります。トランザクション・
ログはシーケンシャル・
フ
ァイルなのでシーク・
タイムがなく、ディスクにランダムに書き込むよりも速く処理できます。
また、トランザクションはすでにログに記録されているので、後でサーバーの負荷が軽くな
った時にまとめてディスクに書き込んでも安全です。もし変更がディスクに反映される前に
サーバーがクラッシュしたとしても、最も最近コミットされた時点まで遡り、それ以降の更新
7
についてはトランザクション・
ログを検査してデータを復旧することが できます。
トランザクション・
ロギングの最も大きなメリットは、サーバー・
クラッシュ後、再起動するまで
の時間を短縮できるということです。通常、障害が発生すると、データベースやビューが破
壊されたりデータの不整合が起きていないかをチェックするために、Fixup タスクが実行さ
れます。Fixup は各データベースの全ての文書を調べるので非常に時間がかかる場合が
あり、その間サーバーは使用できないままとなってしまいます。しかしトランザクション・
ログ
による復旧では、障害発生時にディスクに書き込まれていなかったトランザクションだけを
処理すればよいので、サーバーのダウンタイムが大幅に短縮され、サーバーの可用性向
上に役立ちます。
Domino 6 でビューのロギングが可能となったことで、再構築に時間のかかるビューでも短
時間で復旧できるようになり、ダウンタイム短縮にさらに効果的です。
一般に、表示する文書数や列の数が多かったり、列式に複雑な計算が含まれているような
ビューでは、再構築に時間がかかるので、ビュー・
ロギングによる効果が高くなります。特
に Domino Directory は、サーバー稼動に必要なファイルなので常にオープンされていて再
起動時には必ず整合性チェックの対象となりますが、大規模システムになればなるほどデ
ータベースサイズも大きくなり、$Users や$ServerAccess などのキーとなるビューにロギン
グを適用すればサーバー・
ダウンタイムの大幅な短縮が期待できるでしょう。
ビュー・
ロギングを行うためには、あらかじめトランザクション・
ロギングを設定しておき、デ
ータベースの ODS を最新の 43 に上げておく必要があります。そしてロギングを行う各ビュ
ーごとに、Domino Designer 6 でビューのプロパティーを表示し、拡張タブページにあるロギ
ングの項目にチェックを入れます【
画面 09】
。
なおトランザクション・
ロギングではログのサイズが大きくなりすぎる傾向があるため、全て
のデータベースやビューに対してロギングを行うのではなく、サイズが大きくて再起動時に
復旧に時間のかかるものや頻繁に更新されるものを選んで効果的に利用することが望ま
しいでしょう。
【
画面 09】
ビュー・
ロギング
の設定
その他の改善点
上記以外にも、スケジュール・
マネージャーの最適化によってサーバー起動時のオーバー
ヘッドが削減されたり、データベース・
キャッシュの改善によって再起動後サーバー上の全
てのデータベースを読み込み直す必要がなくなるなど、サーバーの起動を迅速化し可用性
を向上するためにいくつかの改善がなされています。
8
1.2 サーバーのパフォーマンスの向上
Topics
•
•
•
•
•
•
•
•
サーバーの改善点
ストリーミング複製
クライアント/サーバー間の動作の改善
ネットワーク圧縮
LZ1 圧縮方式
全文検索の機能拡張
式評価用の計算エンジンの強化
IMAP サーバーの強化
概要
Domino 6 では、サーバー自体や、クライアント/サーバー間のデータ転送など、様々な部
分で改善や新機能が追加されており、随所でパフォーマンス向上を実感していただけるで
しょう。
サーバーの改善
点
Domino 本体への改善点としては、以下のような項目が挙げられます。
• プロセス起動の最適化
• エージェント・マネージャーの起動プロシージャ-の最適化 ・・・これにより、全てのデ
ータベースを開くという、パフォーマンスを低下させる原因ともなっていた処理をする
必要がなくなりました
• ディレクトリー・
マネージャーのキャッシュを改善して永続性を持たせたことによる、名
前検索(
NAMELookup)
効率の向上 ・
・
・例えば、メール送信と配信時の検索では、
約 95%も効率がアップしています
ストリーミング複
製
Domino 6 の複製では、「ストリーミング」
技術がサポートされます。一般に「
ストリーミング」
とは、全てのデータのダウンロードが完了するのを待たずとも受け取った端からデータを利
用できるようにする技術のことで、オーディオやビデオの世界では馴染み深い用語と言え
ます。
R5 までの Notes/Domino の複製では、データが正しく受信されたかどうかを確認するため
に制御データ(
ACK)
を送信側と受信側との間でやりとりしていますが、この ACK のやりと
りは文書や添付ファイルなどの各要素ごとに行う仕組みとなっているため、トランザクション
が多数発生したり、要素数や文書数の増加とともに ACK が占めるオーバーヘッドの割合
が増加したりして、パフォーマンス低下の原因となっていました。
しかしDomino 6 で採用されたストリーミング複製では、この仕組みが変更され、1つの高
度なトランザクションを起動するだけで全ての文書や要素を取得できるようになりました。ト
ランザクション数が減少したことでサーバーの負荷が軽くなり、また ACK によるオーバーヘ
9
ッドが削減されたことで転送データサイズが小さくなるので、複製プロセスのパフォーマンス
は大きく向上します。さらにサーバーとクライアント間の複製では、ストリーミングの特長に
より、ユーザーはデータベース全体の複製が終わるまで待つ必要はなく、システムに取り
込まれた文書から順に即座に表示することができるので、ユーザーの体感パフォーマンス
は劇的に改善されます。またその効果をより高めるために、「小さいサイズの文書から先に
複製する」、「ビュー/フォルダーはダイナミックに更新され取り込まれた文書を即座に表示
する」
という細かい改善もなされています。
なおこのストリーミング技術は複製のほかに、データベースのコピーや、添付ファイルを開
いたり保存する場合にも適用され、それぞれのパフォーマンス向上に貢献しています。
ストリーミング機能を使うには、サーバーとクライアントとも「6」
である必要があります。
クライアント/サー
バー間の動作の
改善
Domino 6 では、クライアント/サーバー間の動作の効率も改善されています。例えば上述し
た通り、新しいストリーミング機能では添付ファイルもストリーミングされるので、開いたり保
存したりする操作の効率がアップしています。また、未読テーブルの交換頻度が下がった
ため、クライアントとサーバー間で転送されるバイト数が大幅に減り、クライアント/サーバ
ー間の動作効率が劇的に改善されています。このほかに、「
ビュー・
データの差分読み込
み」
もありますが、これは、設計情報の更新と、場合によってはユーザー・
ビューの更新に
使用されるものです。例えばユーザーが文書をあるフォルダから別のフォルダに移動する
とき、画面を更新するために、R5 までは新しいビュー全体の情報をサーバーから取り直し
てきていましたが、Domino 6 では差分のデータのみが要求される仕組みになっています。
ネットワーク圧縮
Domino 6 で提供される新機能「
ネットワーク圧縮」
は、Domino 間または Domino とNotes
間を流れるデータを圧縮して、ネットワークの使用率を下げる効果があります。ロータスで
行ったテストでは、送信されるデータ量は最大で約 50%圧縮されました。特に、WAN や
XPC など帯域の狭いネットワーク上でデータを送受信する場合には、この機能によって最
も大きなメリットが得られるでしょう。
ネットワーク圧縮の圧縮方式は、LZ1 アルゴリズムが採用されています(
この圧縮方式自
体もDomino 6 で新たに採用された機能です)。そのためネットワーク圧縮機能を有効にす
るためには、送信側と受信側の両方ともNotes/Domino 6 であり、かつ、ポートの設定でネ
ットワーク圧縮を有効にしている必要があります。この条件に一致しない場合は、データは
圧縮されずに転送されます。
LZ1 圧縮方式
Domino 6 では、添付ファイルの圧縮方式として「
LZ1 アルゴリズム」
を利用することができ
ます。LZ1 圧縮方式は、R5 までのハフマン方式に比べて、圧縮率が 10∼50%程度高くなり
ます。この数値は添付されるファイルの種類にもよりますが、スプレッドシートやワープロ文
書,プレゼンテーションといった複雑なファイルほど、ハフマン形式に比べて圧縮の効果が
顕著に高くなる傾向があります。また LZ1 方式の方が圧縮・
展開処理をハフマン方式より
も迅速に効率良く行えるという特長もあり、サーバーのディスク容量の節減とサーバーのパ
フォーマンスの向上という2つの効果が期待できます。
LZ1 圧縮方式を利用するためには、データベースの ODS を最新の 43 に上げ、データベー
10
スのプロパティーで有効化する必要があります【
画面 10】
。
ただし既に添付されているファイルについては、自動的に LZ1 形式に変換される訳ではあ
りません。LZ1 形式にしたい場合は、あらためて添付しなおす必要があります。また実際の
運用にあたっては、全てのクライアント/サーバーが Notes/Domino 6 になってからこの機
能を有効にすることをお勧めします。なぜなら、6 以前のリリース(R4/R5)
のクライアント/
サーバーは LZ1 方式で圧縮された添付ファイルを扱うことができないので、Domino 6 サー
バー上でいったんハフマン方式に戻してからデータを渡すからです。この処理はサーバー
にとって負荷が高く、場合によってはパフォーマンスに影響を及ぼすおそれがあります。
【
画面 10】
LZ1 圧縮方式を
有効化するデータ
ベース・
プロパテ
ィー
全文検索の機能
拡張
Domino 6 の全文検索機能も大きく変化しました。全文検索エンジンが、GTR-34 から
GTR-40 にバージョンアップされたことにより、大半のデータが即時に索引されるようになっ
ています。また、新しい検索プロセッサにより、テキストとフィールド値の取得がより密接に
統合され、検索の処理速度が大幅に向上しています。さらに、Domino がメモリー・
サービス
用に NSF バッファ・
マネージャを使用するようになったことで、キャッシュやメモリーの利用
が最適化されました。
式評価用の計算
エンジンの強化
Domino 6 では、式評価用の計算エンジン(Formula (
Compute)Engine)
も大幅に見直さ
れ、以前のリリースに比べ計算スピードが約 2 倍にアップしています。この改良により、ビ
ューの更新やエージェントの実行,フォームの表示などを含む多くのエリアで、パフォーマ
ンスが改善されています。
IMAP サーバーの
強化
前のリリースでは、IMAP クライアントからNotes のメール・
ファイルをアクセスする場合、
IMAP 特有のデータを処理するために IMAP 専用の Notes アイテムやビューを追加する必
要がありましたが、Domino 6 では IMAP サービスに必要なデータ処理が DB(
NSF)
でネイ
ティブにサポートされるようになりました。
また IMAP サーバーは今回アーキテクチャーから見直されていて、新たにマルチスレッド
化されたり、データ・
ストリーミング・
アーキテクチャを採用したことで、並列処理が可能とな
り、パフォーマンスとスケーラビリティーが大幅に向上しています。
11
2.運用管理機能の改善
2.1 ユーザー管理の強力な新機能
Topics
•
•
•
•
ポリシー・
ベースの管理機能
企業ポータル画面の自動配布
クライアント情報の管理
スマートアップグレード
概要
Domino 6 では、ユーザー管理業務にかかる TCO の大幅な削減に貢献する、強力な新機
能が追加されています。
ポリシー・ベース
の管理機能
概要
「
ポリシー・
ベースの管理機能」
は、Domino 6 で提供される新機能の中でもシステム管
理者が最も待ち望んでいた機能の一つでしょう。この機能を利用すると、ユーザー・
プリ
ファレンスや ECL やその他クライアント上で設定可能なほぼ全ての設定項目を、管理
者が各クライアントに対して動的に配布し管理することができるようになります。これに
より、管理者の負担は大幅に減少し、全社的な規模での計画的かつ統制の取れたクラ
イアント管理が実現されます。
ポリシーとは
ポリシー・
ベースの管理では、「
誰に」
「
どのようなポリシーを」
適用するか、ということを
管理者が定義します。「誰に」
については、ユーザーやグループ、組織または組織単位
で定義することが可能です。R5 で提供されていた「
セットアップ・
プロフィール」
が、ユー
ザー単位での設定しかできなかったことに比べて、より柔軟に定義できるよう改善され
ています。
次に「
どのようなポリシーを」
についてですが、ポリシーとは簡単に言ってしまえば、クラ
イアントに配布したい設定項目をセットにしたものと言えます。ポリシーは「
ポリシー文
書」
と「
設定文書」
の 2 種類の文書から構成されています。
そもそも、クライアントへ配布可能な設定項目の数は、軽く百は超えようというほど非常
に多くの種類があります。そこでこれらの設定項目は用途別に分類され、5 種類の「
設
定文書」
として定義されています。「
登録」,「セットアップ」,「デスクトップ」,「アーカイ
ブ」,「セキュリティー」
の各設定文書です【
画面 11】
。
管理者は、これらの設定文書をいくつでも自由に作成し各項目の値を定義できます。例
えば、全ユーザー用にアーカイブ設定文書を1 つだけ作成したり、正社員用のセキュリ
ティー設定文書とアルバイト社員用のセキュリティー設定文書とを作成し、違う内容を設
定することができます。
12
こうして作成した 5 種類の設定文書のどれとどれを組み合わせるかを定義しているの
が「
ポリシー文書」
です。例えば「
営業部正社員用」
ポリシー文書では、「全ユーザー用」
アーカイブ設定文書,「
営業部用」
デスクトップ設定文書,「正社員用」
セキュリティー設
定文書、の組み合わせを定義することができます。
ポリシー文書にも2 種類あります。「
組織階層(Organizational)
ポリシー」
と「
明示
(
Explicit)
ポリシー」
です。これらの違いは、そのポリシー文書のユーザーへの適用の仕
方にあります。組織階層ポリシーは、ノーツの認証体系に合わせて適用され るポリシー
です。例えば "*/East/Japan" の認証を持つユーザー全てに適用させたいポリシーは、
組織階層ポリシーとして作成します。一方、全ユーザーが同じ認証体系に属している環
境で部門ごとに異なるポリシーを適用させたいといった場合は、明示ポリシーとして作成
した後、どのユーザーやグループに適用するかをアサインします。
なお、これらの文書は全てDomino Directory で一元管理されるので、クライアントの管
理を全社的に整合性の取れた形で集中して実施することができます。
【
画面 11】
設定文書の例(
デ
スクトップ設定文
書)
ポリシーがクライアントに配布されるタイミング
管理者が定義したポリシーがクライアントに配布されるタイミングは、設定文書の種類に
よって異なります。
「
登録」
は管理者がユーザーを登録する時にその設定内容が引き継がれて登録されま
す。また「
セットアップ」
はユーザーがクライアントをセットアップする際にサーバーに接続
したタイミングで配布されます。これらはいずれも初期設定時に機能するものです。
13
それに対し「
デスクトップ」
「
アーカイブ」
「
セキュリティー」
は、初期設定時にも配布されま
すが、実際に運用が始まってからもダイナミックに機能するものです。クライアントがサ
ーバーにアクセスした時点で、これらの設定の追加や更新がクライアントに配布されま
す。
各設定文書に含まれる設定内容
各設定文書で設定できる項目をご紹介いたします。
◆登録設定
登録設定文書では、登録サーバー,パスワード設定,メールサーバーとメールテンプ
レート,インターネット・アドレス情報,認証者 ID,グループの割り当てなどを設定しま
す。
◆セットアップ設定/デスクトップ設定
セットアップ設定とデスクトップ設定の設定項目は全く同じで、Welcome ページ,ダイ
ヤルアップ接続情報,クライアントのブックマークに登録させるデータベースやクライ
アントにレプリカを作成させるデータベースの指定,ポートの設定,各種ユーザー・
プ
リファレンスなどの項目が含まれます。両者の違いは、セットアップ設定はクライアン
トの初期設定の時に一度だけ適用されるのに対し、デスクトップ設定は設定内容が
変更されるたびにクライアントに配布されます。したがって、常に最新の情報に保ち
たい項目はデスクトップ設定で定義しておく必要があります。
◆アーカイブ設定
アーカイブ設定には、データベースのアーカイブに関する設定が含まれます。また、
ユーザーが独自にアーカイブ設定を変更することを、管理者が許可するかどうかも設
定することができます。
◆セキュリティー設定
セキュリティー設定には、ECL や、パスワード管理の設定が含まれます。パスワード
管理について詳細は、「
セキュリティー」
の章の「ノーツのパスワードとインターネット・
パスワードの管理」
を参照してください。
ポリシーの階層構造
ポリシー機能は、ポリシーの階層化をサポートしています。つまりポリシーは親/子の階
層構造を持っており、子ポリシーが親ポリシーの値を引き継いだり、逆に親ポリシーが
子ポリシーに強制的に値を引き継がせることが可能です。【画面 11】
でわかるように、各
設定文書には各項目ごとに「Inherit」
と「
Enforce」
というチェックボックスがあり、Inherit を
チェックするとその項目の値は親ポリシーから引き継がれます。Enforce にチェックする
と、その項目の値を子ポリシーに強制的に引き継がせるという意味になります。このよう
に、ポリシーでは非常にきめの細かい設定が可能で、また親ポリシーの値を変更するだ
けでその子や孫ポリシーへと自動的に反映させることが可能なので、効率的な管理運
用を行うことができます。
企業ポータル画
面の自動配布
Domino 6 の新機能を組み合わせることで、企業全体や部門ごとのポータル画面をユーザ
ーに自動的に配布することができます。Welcome ページとしてポータル画面を作成し、デー
14
タベースに 1 つまたは複数の Welcome ページを保存して、デスクトップ設定文書でこのデ
ータベースを登録することで、どの Notes でも常にそのポータル画面が表示される、という
ようにすることができます。
クライアント情報
の管理
Notes 6 は、Domino 6 にアクセスする時に、Notes のバージョンや OS の種類,クライアント
のマシン名といった情報をサーバーに送信します。この情報は、Domino Directory 内の該
当するユーザーのユーザー文書に追加されるので【
画面 12】、どのユーザーがどのバージ
ョンの Notes を起動しているかを確認できます。例えば、Notes の移行状況を把握するの
に役立つでしょう。
【
画面 12】
ユーザー文書に
追加されるクライ
アント情報
スマートアップグ
レード機能
Notes/Domino 6 では、「スマートアップグレード」
と呼ばれる、Notes を自動的にバージョン
アップする機能が提供されます。この機能により、これまでクライアントのバージョンアップ
にかかっていたであろう多大なコストや、社内のクライアントのバージョン(
メンテナンス・
リ
リース)
が統一されていないために移行プランの作成やアプリケーションのテストを何パタ
ーン分も行わなくてはならない、といった問題が解決されます。
この機能を利用するためには、管理者が事前に多少準備をしておく必要があります。まず
サーバー上に、スマートアップグレード専用テンプレートを使ってデータベースを作成し、ア
ップグレードの対象とするクライアントのバージョンや OS などを定義した文書を作成します
【
画面 13】。そして、インストールキット(
差分インストーラーなど)
をこの文書に添付しておき
ます。次に、サーバー設定文書にこの DB のリンクを登録することで、ユーザーはアップデ
ートモジュールにアクセスできるようになります【
画面 14】
。
さて、ここまで作業した段階でも、ユーザーがスマートアップグレードを利用することは可能
ですが、この機能を利用するためには、ユーザーは自分で意識的に Notes から「
スマート
アップグレード」というメニューを実行しなくてはなりません。しかし管理者としてはおそらく、
各ユーザーにスマートアップグレードの利用を強制させたいことでしょう。そこで、上述した
「
ポリシーベースの管理機能」
がその威力を発揮します。デスクトップ設定文書に「
スマート
アップグレード機能を利用してバージョンアップをさせたいクライアントのリリース」
と「
バー
ジョンアップ期限」
という項目があるので設定します【
画面 15】
。
こうしておくと、このポリシーの条件に一致するクライアントがホーム・
サーバーにアクセスし
た時点で、アップデートするかどうかを問うダイアログボックスが表示されます。ユーザーは
「
すぐにアップデートを実行する」
か「
後で行う」のいずれかを選択できますが、「すぐに実行
する」
を選択するとサーバーからインストールキットがダウンロードされアップグレードと再
15
起動が自動的に行われます。なお、ユーザーがずっと「
後で行う」を選択し続けアップグレ
ードを行わないでいると、期限の最終日には、ダイアログボックスには「
すぐに実行する」
ボ
タンしか表示されなくなるので、アップグレードを強制させることが可能です。
なお、この機能を利用できるのは、Notes 6 以降なのでご注意ください。また実際の利用に
あたっては、ネットワークやホーム・
サーバーへの負荷などいくつかの考慮点についての検
討が必要となります。
【
画面 13】
スマートアップグ
レード・
キット文書
【
画面 14】
サーバー設定文
書の設定
【
画面 15】
デスクトップ設定
文書の設定
【画面 14】
【画面 15】
16
2.2 管理インターフェースとサーバー管理機能の拡張
Topics
•
•
•
•
•
新しいドミノWeb 管理クライアント
サーバー・
コンソール機能の進化
Ø コンソールの表示機能の拡張
Ø 新しく追加された「
Java コンソール」
サーバー・
ヘルス・
モニタリング
サーバー統計情報のグラフ表示
サーバー・
アクティビティ・ロギング
概要
Domino 6 では、従来の Web 管理クライアントが一新されたり、サーバー・
コンソール機能
の強化・
拡張が行われており、リモートからの複数サーバーの一括管理を、より多様な環
境から柔軟かつパワフルに行えるようになっています。またサーバーの管理機能について
も、サーバーの稼動状況を把握するための新機能の追加や機能拡張が行われています。
新しいドミノWeb
管理クライアント
R4.6 の時代からWeb 管理クライアントが提供されてはいましたが、ドミノ管理クライアント
に比べると操作できる項目が非常に限定されていました。しかしDomino 6 で提供される
Web 管理クライアントは、全面的に大幅な修正と改善が施され、機能もインターフェースも
ほぼドミノ管理クライアントと変わらないほどの非常に充実したツールになっています【
画面
16】
。
新しい Web 管理クライアントでは、設計への署名の機能が一部制限されたり、[サーバー パフォーマンス] タブページが存在しないなどサポートされない機能もありますが、操作で
きる管理項目の一例を挙げると、データベースやレプリカDB の新規作成,ACL の管理,
サーバー・
コンソールの表示やコマンドの実行,サーバーの統計情報の表示,サーバー文
書やサーバー設定文書の表示・
編集のほかに、サーバーの Notes.ini ファイルの表示や編
集まで可能であり、新しい Web 管理クライアントの機能がいかにドミノ管理クライアントに近
いものであるかがおわかりいただけると思います。
また特筆すべきは、Web 管理クライアントからユーザーやサーバーの新規登録ができるよ
うになったことです。これは、Domino 6 の新機能である「CA Process」
という新しいサーバ
ータスクと連動することによって実現されています。CA Process について詳しくは、「セキュ
リティー」
章の「
新しい認証機能」
をご参照ください。さらに、ユーザーの登録だけでなく削除
することも可能で、これはシステム管理プロセスと連動して、削除されたユーザーをグルー
プ文書や ACL などから自動的に取り除くという処理も行われます(
逆に言うと、Web 管理ク
ライアントで管理を行う場合は、必ず AdminP サーバータスクを起動させておく必要があり
ます)
。
Domino 6 の Web 管理クライアントの動作環境としては、IE 5.5
(
Win98/NT4/Win2000/XP)
,Netscape 4.7x(
Win98/NT4/Win2000/XP とLinux 7.x)
がサポ
ートされる予定となっていますが、IE 5.0 や IE 6.0、Netscape 6.x などはサポートされませ
17
ん。
【
画面 16】
Web 管理クライア
ントのインターフェ
ース
なお、"Web 管理クライアント"の実体は、サーバー上の「
WebAdmin.nsf」
というノーツデータ
ベースであり、サーバーでHTTP タスクが初めて起動されるタイミングで自動的に作成され
ます。ここまでは R5 までと同じです。しかしR5 では、この WebAdmin.nsf の ACL に手動で
適切なアクセス権を設定する必要があったのに対し、Domino 6 では、サーバー文書で
「
Administrators」
および「
Full Access Administrators」
として登録されているユーザーが、
HTTP タスクによって自動的にACL に追加されます。またサーバー文書で新しい管理者が
追加された場合も、HTTP タスクが自動的にACL を更新してくれる仕組みになっています。
サーバー・
コンソ
ール機能の進化
Domino 6 では、サーバー・
コンソール機能が大きく進化を遂げています。
コンソールの表示機能の拡張
18
まず、コンソールのインターフェースが機能拡張されています。Domino 6 のコンソール
は R5 までと同様にドミノ管理クライアントで表示可能ですが、メッセージの種類によって
色を分けて表示することができるようになりました【
画面 17】。またメッセージのフィルタリ
ングを行ったり【
画面 18】、重要なメッセージであれば画面上に停止して表示されるよう
に設定することもできるようになり、管理者が致命的なメッセージを見逃したりすることの
ないように工夫されています。さらにコンソール上で、コマンド・
ライン・
ヘルプが提供され
るようになり、コマンドに「
-?」
を付けて入力すると、そのコマンドに関する詳しい説明を見
ることができます(
例 :tell adminp -?)
【
画面 19】
。
【
画面 17】
メッセージの種類
ごとの色分け設
定
【
画面 18】
メッセージ表示の
フィルタリング設
定
【
画面 19】
コマンド・
ライン・
ヘルプの提供
19
新しく追加された「Java コンソール」
Domino 6 のコンソールのもう一つ大きな新機能としては、Java ベースの「
Domino コント
ローラー」
と「
Domino コンソール」
の提供があります。
これらはセットで動作する Java ベースのプログラムで、コントローラーは Domino サーバ
ーが稼動しているサーバー機上で起動しておく必要があります。一方、コンソールの方
は、Java が動作するどのようなマシンの上でもサーバーから独立して起動することがで
きます。
2 つのプログラムは互いに通信しあい、管理者がコンソールから入力したコマンドがコン
トローラーを経由して Domino に渡されたり、Domino からのメッセージがコントローラー
を通じてコンソール上に表示されたりします。なお、これらは 2050 番のポートを使って通
信しており、コントローラーとリモートにあるコンソールとの間にファイヤーウォールが設
置されている場合などは注意が必要です。
なお【
画面 20】
は、「
Domino コンソール」
のインターフェースです。Domino コンソールで
も、メッセージの種類別の色分け表示などのカスタマイズが可能です【
画面 21】
。
【
画面 20】
Domino コンソー
ルのインターフェ
ース
【
画面 21】
メッセージの色分
け表示のカスタマ
イズ設定画面
20
サーバー・
ヘル
ス・モニタリング
「
1.1サーバーの信頼性・
可用性向上の追及」
の章で詳しく述べたように、Domino 6 では
「
サーバー・
ヘルス・
モニタリング」
という新機能が導入され、サーバーの健康状態をモニタ
ーすることができるようになっています。
サーバー統計情
報のグラフ表示
6 では、ドミノ管理クライアントのサーバータブに「
パフォーマンス」
という新しいタブが追加さ
れており、サーバーの稼動状況(
統計項目の値)
を、時間軸でグラフ表示できるようになっ
ています【
画面 22】。管理者は、気になる統計項目を複数表示したり、複数のサーバーに
ついて表示するように設定することができます。また、現在のリアルタイムな状況を表示さ
せることも、Statrep.nsf に格納されたデータを使用して過去の履歴を表示させることもでき
ます。
【
画面 22】
サーバー統計情
報のグラフ表示
サーバー・
アクテ
ィビティ・ロギング
Domino 6 では、「
アクティビティ・ロギング」
という新機能が提供されており、これを利用する
とDomino の利用状況を詳細に把握することができます。収集できる情報の種類は、Notes
セッション,データベース,スケジュール化されたエージェント・アクティビティ,POP3,
HTTP,SMTP,IMAP,NNTP,LDAP、と多岐に渡っています。収集されたデータはログファ
イル(
log.nsf)
に格納されますが、その情報を表示するためには、API プログラムあるいは
標準のアクティビティ分析ツールを利用する必要があります。標準の分析ツールを利用す
るとアクティビティ・ロギングの結果が分析用のデータベースに出力され、管理者はこのデ
ータベースのビューから、利用状況の傾向を詳細に知ることができます【
画面 23】
。
なおこの機能は、課金を行ったり、将来のサーバー増強計画の基礎データとして利用す
る、などの目的で使用されるケースが多いでしょう。
21
【画面 23】
アクティビティ・ロ
ギング
22
3.Web サーバーとしての機能強化
Topics
•
Internet Sites ビューによる一元管理
•
HTTP サーバータスクの拡張
Ø
Ø
•
Web セキュリティーの強化
Ø
Ø
•
DoS 攻撃への対策強化(HTTP プロトコル制限)
IP アドレスリストによるアクセス制御
HTML 生成エンジンの拡張
Ø
Ø
XHTML の生成
地域設定/タイムゾーンのプリファレンスの保持
•
WebDAV サポート
•
IMAP サーバータスクの拡張
Ø
Ø
Ø
Ø
Ø
•
NAMESPACE サポート
IMAP Thread Pool の提供
Automatic Database Conversion
設定変更の自動反映
IMAP アクティビティ・ロギング
その他
Ø
Ø
概要
HTTP 1.1 持続的接続(Persistent Connection)
タイムアウト管理
J2EE 対応とWeb サービス
IPv6 サポート
Domino 6 Web 関連では、主にサーバーのパフォーマンスとスケーラビリティーの強化が図
られ、また開発者向けには Domino Designer とWeb Application サーバーの改良や最新の
インターネット標準への対応によってよりパワフルで動作性に優れたアプリケーション開発
が可能となっています。
Internet Sites ビ R5 までは Web 関連の設定の定義場所が分散していて、サーバー文書の複数のタブペー
ューによる一元管 ジや[Web 設定]ビュー上の何種類かの文書などを項目に応じて設定する必要がありまし
理
た。しかしDomino 6 では、全ての Web 関連の設定は各プロトコルごとのインターネットサ
イト文書(
例:
Web Site、POP3 Site、LDAP Site などの各文書)
で定義し(
ただしポートの設
定などごく一部はサーバー文書で設定します)、これらの文書は全て[Internet Sites]ビュー
という新しいビューに一括して表示されるようになったので、非常に設定・
管理しやすくなっ
ています【
画面 24】
。
23
【
画面 24】
Domino Directory
の [Internet
Sites] ビューに一
括表示される各イ
ンターネットサイト
文書
HTTP サーバータ Domino 6 では、HTTP サーバータスクが新しく書き直されており、HTTP 1.1 の持続的接続
スクの拡張
(
Persistent Connection)
機能がサポートされるとともに、セッション・
ハンドリングの機能が
改善されています。これにより、ブラウザー画面上に表示されるテキストや画像の各々につ
いて毎回 "コネクションの確立 → データの取得 → コネクションの切断" というプロセスを
繰り返すのではなく、サーバーへの接続を維持した状態で複数のデータ取得要求が処理さ
れるため、サーバーの負荷軽減とパフォーマンス向上が期待されます。また 1 回のコネク
ションで受け付けるリクエストの回数の指定や、R5 までの入力/出力/CGI タイムアウトに
加え持続的接続についてもタイムアウトの設定が可能となっています。これらの設定は、
[Domino Directory - サーバー文書 - Internet Protocols - HTTP - Timeouts] で行ないま
す【
画面 25】
。
【
画面 25】
HTTP 1.1 持続的
接続とタイムアウ
トの設定
Web セキュリティ さらに HTTP サーバーでは、HTTP プロトコルで要求できる URL 長やパス・
セグメント数な
ーの強化
どを制限することで、DoS(
Denial of Service)
攻撃への対策を強化しています【
画面 26】
。
また HTTP サーバーへのアクセス可能な IP アドレス、あるいはアクセス不可なIP アドレス
をあらかじめリストとして登録しておき、クライアントの接続時にこれらのリストと照合するこ
とで、IP アドレスによるアクセス制御を行うことも可能になっています。例えば IP address
allow list にプロキシサーバーの IP アドレスを指定すると、ユーザーは決められたプロキシ
サーバー経由でしかアクセスができなくなり、セキュリティの強化が図られます。IP アドレス
24
はワイルドカード(
*)
での指定もできるので(
例 123.45.*)、あるサブネットからのアクセスを
全て制御するといったことも可能です【
画面 27】
。
これらの設定は、[Domino Directory - サーバー文書 - Internet Protocols - HTTP] の各
セクションで行ないます。
【
画面 26】
HTTP プロトコル
制限
【
画面 27】
IP アドレスリスト
によるアクセス制
御
(
この例では、2
台の ProxyServer
からのアクセスの
みを許可)
HTML 生成エンジ
ンの拡張
HTML 生成エンジンも機能拡張され、生成されるページは標準により準拠したものになり
(
例:
ページには doctype ヘッダーが付けられる)、ページを XHTML で出力する機能も追
加されました(
XHTML で出力したいページの URL に &outputformat=XHTML10 を付加しま
す)
。
また Web ページに、地域設定(
通貨,日付表示形式など)
やタイムゾーンといったプリファ
レンスを永続Cookie として持たせ OpenPreferences URL コマンドでアクセスする機能が
追加されましたので、その Web ページを使用しているユーザーごとにプリファレンスを設定
させ、Web アプリケーション側ではプリファレンス設定に基づきユーザーごとに地域性を反
映させた画面表示にするといったきめ細かなアプリケーションの構築が可能となりました。
WebDAV サポート Domino 6 Web サーバーでは WebDAV(
Web-Based Distributed Authoring and Versioning)
テクノロジーをサポートしています。WebDAV とは、RFC2518 で規定されているIETF 標準
で、設計要素の編集時には排他制御が行われるので、多人数かつ分散環境での同時並
行的な開発作業を安全に進めることが可能となります。開発ツールとしては、Domino
Designer6 のほかにも他のサード・
パーティ製の WebDAV 準拠の各種開発ツールが利用
できます。
Domino 6 が WebDAV 対応になったことで、アプリケーション開発において、Notes/Domino
25
の開発者と一般的なWeb アプリケーションの開発者とのコラボレーションが促進されること
になります。つまりWebDAV 対応によって、開発ツールとして他社ツールが利用できるよう
になり、また NSF(ノーツデータベース)
を設計要素の共通のリポジトリとして利用できるよう
になったので、Web アプリケーション開発者は必ずしもDomino Designer を使う必要はな
く、自分たちのお気に入りのツールで今まで通りイメージや HTML ファイルなどを開発し(
こ
れらはおそらくNotes 開発者よりもWeb 開発者が得意とするところと思われますが)、それ
をDomino Web アプリケーションに取り込むことができるようになります。
IMAP サーバータ Domino 6 では、IMAP サーバータスクについても以下のような様々な新機能が追加されて
スクの拡張
います。
NAMESPACE サポート
RFC2342 への準拠によりNAMESPACE 拡張をサポートするようになりました。これによ
りユーザーは自分のメール・
ファイルだけでなく、代理人としてアクセス許可が設定され
ている他のユーザーのメール・
ファイルや、共有データベースなどのパブリック・
フォルダ
についても、IMAP クライアントからアクセスできるようになりました。
なおデフォルトでは、自分のメール以外のファイルを参照するためには IMAP クライアン
トが NAMESPACE 拡張をサポートしている必要がありますが、サーバー設定文書での
設定により、IMAP クライアントが NAMESPACE 非対応の場合でも他人のメールやパブ
リックフォルダを表示させることが可能です。
IMAP Thread Pool の提供
IMAP サービスは、IMAP クライアントからのリクエストを受けて Domino メール・
サーバ
ーにメッセージを要求したり、メール・
サーバーから返されたメッセージを IMAP クライア
ントに送信するといった処理を行っていますが、Domino 6 ではこの処理を行うための
IMAP 専用の Thread Pool が提供され、マルチスレッド化もされたので、このプロセスの
処理効率が高められパフォーマンスが向上しています。
Automatic Database Conversion
IMAP クライアントからアクセスするにはメール・
ファイルが IMAP 用にコンバージョンさ
れている必要がありますが、ユーザー・
ログイン時にこれを自動で行う機能が追加され
ました。この機能はデフォルトで有効となっており、ユーザーがIMAP サービスに接続す
ると、そのユーザーのメール・
ファイルが IMAP に対して有効になっているかどうかが調
べられ、有効になっていない場合は IMAP サービスによって自動的にコンバージョン・
ユ
ーティリティが起動されてそのユーザーのメール・
ファイルがフォーマットされます。もしロ
グイン時に自動コンバージョンを発生させたくない場合は、サーバー設定文書でこの機
能をDisable にすることができます。
設定変更の自動反映
R5 までは、IMAP サーバーの設定を変更した場合は IMAP サービスを再起動する必要
がありましたが、Domino 6 では一定の間隔で(
デフォルトは 2 分)
設定文書や Notes.ini
をサーチし、設定に変更があれば自動的に IMAP サーバーに反映させる仕組みになり
ました。これにより設定変更のたびに IMAP サービスを落とす必要がなくなり、IMAP サ
ーバーの可用性向上に貢献します。
26
IMAP アクティビティ・ロギング
Domino 6 のアクティビティ・ロギングの機能は IMAP でも利用できます。IMAP サービス
への接続について、ユーザー名,サーバー名,クライアントの IP アドレス,クライアント
がサーバーに送信またはサーバーから受信したデータ量,セッションの接続時間、とい
った統計情報を取得することができます。取得した情報を元に、ユーザーに課金したり、
システムの使用状況をモニターしたり、今後のシステムのリソース計画に役立てていた
だくことが可能です。
その他
J2EE 対応とWeb サービス
Domino 6 では、J2EE 環境への対応として Domino JSP カスタムタグ・
ライブラリが提供
されます。これにより、サード・パーティ製のツールでJ2EE アプリケーションを開発する
開発者は、低レベルの Java コードを書かなくてもDomino データベースや Domino オブ
ジェクト(
ビュー、フォーム、フィールドなど)
に容易にアクセスできるようになるので、
J2EE の世界からDomino のデータやサービスを利用しやすくなります。タグは JSP 1.1
標準に基づいているので、この標準をサポートする Web アプリケーション・
サーバーで
の使用が可能です。
Domino 6 の J2EE 対応が意味するところは、単なる機能拡張以上のものがあります。こ
れまで Domino は、プレゼンテーション層・
アプリケーション層・
データ層の全てを備えた
オール・
イン・
ワンのシステムとしての、ある意味閉じた世界での使われ方が多かったと
言えます。しかしJ2EE のオープンな世界における Domino の位置付けを考えた時、
Domino をJ2EE 環境におけるデータ・
コンテナの一つとしてみなすこともできるようにな
ります。しかもDomino は単純なデータの入れ物ではなく、メッセージング,コラボレーシ
ョン,ワークフローといった強力な機能を既に備えもった、付加価値と実績のあるデー
タ・
コンテナなのです。
現在のインターネットの世界では「
Web サービス」
というキーワードが盛んに取り上げら
れていますが、Domino 6 の J2EE 対応により、Domino という「
製品」
の構成要素である
メッセージング,カレンダー,コラボレーション,オフラインサービス,ワークフローといっ
た各機能が、「
Web サービス」
としても提供可能となりました。また今後Domino は、その
使いやすく機能豊富な開発環境を武器に、J2EE 環境で Web サービス・
アプリケーショ
ンを作成するための強力なツールとしても発展していくことでしょう。
IPv6 サポート
現在、IPv6 に対応しているネットワーク機器やアプリケーションはまだ少なく、したがって
企業や一般ユーザーの IPv6 への移行もこれからゆっくりと進むと予想されます。
Domino 6 では、SMTP,POP3,IMAP,LDAP,HTTP の各プロトコルについてIPv6 がサ
ポートされることになりました(
対応プラットフォームは AIX,Solaris,Linux 版)。もちろん
Domino 6 は IPv6 とIPv4 の両方をサポートするので、IPv6 を有効化した状態であっても
接続相手が IPv6 をサポートしていない場合は IPv4 形式で接続できるので問題はあり
ません。
27
4.ディレクトリーの拡張
Topics
•
•
•
•
•
•
Domino Directory の中央化(
Central Directory Architecture)
拡張 ACL
ディレクトリーの検索キャッシュ改善によるパフォーマンス向上
2 次ディレクトリーでの認証の拡張
LDAP の拡張
Active Directory との統合
概要
Domino 6 のディレクトリー関連では、大規模/マルチディレクトリーといった環境を意識し
て、パフォーマンスやセキュリティーなどの強化、LDAP の機能拡張、Active Directory との
統合などが図られています。
Domino Directory
の中央化
(
Central
Directory
Architecture)
Domino Directory には、システムの稼動に必要な各種設定文書と、ユーザーやグループ
の文書とが含まれています。このうちユーザーやグループ文書は必ずしも全てのサーバー
が必要とする訳ではありません。
R5 までは同一ドメイン内の全てのサーバーは同じDomino Directory を複製して所有して
いましたが、Domino 6 では、ディレクトリーを2 種類に分け(
全ての文書を含む「
Primary
Directory」
と、設定文書のみ含む「
Configuration Directory」)、ドメイン内の一部のサーバ
ーのみに Primary Directory を所有させ、残りのサーバーには Configuration Directory を
配布しユーザーやグループのデータが必要な時はその都度 Primary Directory サーバー
に照会する、という仕組みが利用できるようになりました。
また複数ドメインの場合でも、他のドメインのユーザー情報をディレクトリー・
カタログとして
Primary Directory サーバーに所有させ、Configuration Directory サーバーから照会させる
ことが可能です。
この新機能により各サーバーにディレクトリー全体を置く必要がないので、ディスク・
スペー
スの節約や Domino Directory の複製時間の短縮,ユーザーやグループ文書の更新が(
複
製によって同期されるのを待たずとも)
即座に各サーバーで利用できる、といったメリットが
あり、特にユーザー数・
サーバー台数の多い大規模システムにおいて効果が高いと思わ
れます。
なお Primary Directory サーバーの台数は、障害に備えて少なくとも2 台以上用意しておく
ことをお勧めいたします。1 台目が応答しない場合、2 台目,3 台目...と自動的にフェイ
ルオーバーする機能が、もちろんあらかじめ製品に組み込まれています。
拡張 ACL
Domino Directory のセキュリティーは、拡張 ACL によって強化されました。拡張 ACL と
は、Domino Directory と拡張ディレクトリー・
カタログでのみ利用可能な新機能で、既存の
28
ACL をよりきめ細かく制限するための機能です。R5 でも[UserCreator],[ServerModifier]と
いったロールによる制御が可能でしたが、「ユーザーのうち"West"という組織階層に属する
ユーザー文書のみ編集可能」
といった細かい制御は困難でした。拡張 ACL ではアクセス
制御の対象(
ユーザー文書,サーバー文書など)
を「
特定の組織階層に属する文書群」
とし
て一括して扱えることと、「
表示」
「
作成」
「
編集」
「
削除」
といったレベルでの可/不可を細かく
制御できるようになったことが特長です【
画面 28】
。
具体的な利用法としては、1つのドメイン内に複数の組織が存在しているシステム(
ASP
や、企業の組織ごとに OU を定義しているケース、本社・
子会社・
関連会社ごとに OU を定
義して全体で1つのドメインを構成しているケース、など)
で、組織ごとの管理者にその人の
組織の管理は任せるが、自分の組織以外の組織についてはユーザー文書やサーバー文
書などの表示・
作成・
編集・
削除を一切許可しない、といった例などが考えられます。
【
画面 28】
拡張 ACL の設定
ダイアログ
ディレクトリーの
Domino 6 では検索キャッシュの改善により、Domino Directory への NAMELookup リクエス
検索キャッシュの トのパフォーマンスが非常に向上しています。例えば、メール送信と配信時の検索では、約
改善によるパフォ 95%も効率がアップしているというデータがあります。
ーマンス向上
2 次ディレクトリー
での認証の拡張
2 次ディレクトリー(
Domino または他社製 LDAP)
での Web クライアントの認証は、R5 まで
は HTTP クライアントのみに限られていましたが、Domino 6 では IMAP,POP3,LDAP,
NNTP の各クライアントについてもサポートされるようになりました。
LDAP の拡張
Domino 6 では LDAP の機能が拡張され、また LDAP の検索処理やスキーマ・
ローディン
29
グについてもパフォーマンスが向上しています。
LDAP の拡張機能としては、例えば LDAP サーバータスクから自動的に起動される「
スキ
ーマ・
デーモン」
によってスキーマの変更が自動的にドメイン内の全 Domino LDAP サーバ
ーに複製される「
スキーマ自動メンテナンス・
プロセス」
や、他社製 LDAP ディレクトリーに
含まれているユーザーとグループのエントリをDomino Directory に直接移行できる「ドミノ
アップグレード・
サービス」
ツール、またディレクトリー・
アシスタントでは複数の代替 LDAP
サーバーを設定可能となり、障害などでアクセスできないと「
自動的に他の LDAP サーバ
ーにフェイルオーバーする」
機能などが加わりました。
Active Directory
との統合
Domino 6 では、Active Directory との本格的な統合を実現しています。
具体的には、MMC(
Microsoft Management Console)
のスナップイン機能に対応する
「
ADSync」
というツールが提供され、Active Directory の管理画面(AD MMC)
からActive
Directory とDomino Directory の両方に対してユーザー/グループのデータを一元管理す
ることができます【
画面 29】
。
例えば、AD MMC からActive Directory とDomino Directory の両方に同時にユーザー/グ
ループを新規登録することができますし(*)
、Active Directory または Domino Directory で
行なわれた既存のユーザー/グループに対する操作(
更新,削除)
をもう一方のディレクトリ
ーに同期させることも可能です。同期できるデータとしては、e-mail アドレスや電話番号と
いった一般的な情報のほかに、Windows パスワードとDomino の HTTP パスワードの同期
や、ユーザー/グループのリネームも含まれます。
それ以外にも、Active Directory とDomino Directory のスキーマのマッピングを簡単にカス
タマイズする機能(
「
Field Mappings」
【
画面 30】
)
や、Active Directory のコンテナとNotes
の認証者およびポリシーとをマッピングする機能(
「
Container Mappings」
・
・
・
これにより階
層化された Active Directory とドミノの組織認証体系とをうまく対応付け、ユーザー登録時
にドミノのポリシーを適用することができます)
など、提供される機能は非常に多岐にわたっ
ています。
*・
・
・ドミノ管理クライアント6 から、Domino Directory とActive Directory の両方に同
時にユーザー/グループを新規登録することも可能です。
なお、Active Directory に既にユーザー/グループが登録されており、その全部あるいは一
部をDomino Directory に一括登録(
移行)
したいという目的のために、「
Active Directory
Domino Upgrade Service (
AD DUS)
」
というツールも新しく提供されます。
30
【
画面 29】
Active Directory
の管理画面から
の Domino のユー
ザー登録
【
画面 30】
Field Mapping
31
5.セキュリティー
Topics
•
新しいセキュリティー標準への対応
Ø
Ø
•
PKCS #11(
スマート・カード)
S/MIME V3
新しい認証機能
Ø
Ø
Ø
Ø
CA Process
登録局と認証局の役割の分離
認証者 ID の使用許諾の管理、認証者 ID ファイル不要のノーツユーザー登録
認証切れリストの管理
•
Notes のパスワードとインターネット・
パスワードの管理
•
ECL の集中管理
概要
Domino 6 では、インターネットのセキュリティーとの統合や、セキュリティー全般のより一層
の強化といった観点で、様々な新機能の追加や機能拡張が行われています。
新しいセキュリテ
ィー標準への対
応
PKCS #11(
スマート・カード)
のサポート
スマート・カード用のセキュリティー標準であるPKCS #11 がサポートされるようになりま
した。スマート・カードによるログインを有効化すると、Notes にログインするためには
Notes のパスワードの代わりに、スマート・カードとスマート・カードPIN の両方が要求さ
れるようになるので、より強固なセキュリティが実現されます。スマート・カードによるログ
インの有効化は、Notes 6 に新しく追加された「
ユーザーセキュリティー」
画面(メニュー
[ファイル] - [セキュリティー] - [ユーザーセキュリティー])
から行います。
なお、ID ファイルへのスマート・カード関連データの格納フォーマットは、Release
Candidate 版とそれ以前のベータ版とでは変更されており、そのため以前のベータ版で
有効化された ID ファイルを使って RC 版 Notes にログインしようとしてもエラーとなって
しまいます。RC 版でスマート・カード・ログインをテストするには、ID ファイルのバックアッ
プに対して RC 版でスマート・カード・
ログインを有効化する必要があります。今後も、最
終バージョンまでにフォーマットが変更される可能性もあるので、スマート・
カード・ログイ
ンを有効化する場合は必ず事前に ID ファイルのバックアップを忘れずに取得することを
お勧めいたします。
S/MIME v3 のサポート
Notes/Domino 6 では S/MIME v3 がサポートされます。また、Notes で、S/MIME で暗号
化されたメールの送受信などができるようになりました。Notes は、メールを暗号化する
ためのパブリック・
キーを、個人アドレス帳、Domino Directory、LDAP ディレクトリーのい
ずれかから取得することができます。
32
新しい認証機能
Domino 6 では、Notes の認証とインターネットの証明書の両方を、R5 までと比べてより簡
単かつ柔軟に管理できるような新しい認証の機能が提供されるので、ノーツの認証者 ID
を使わずに Notes ユーザーを登録できるようになったり、インターネット証明書を従来より
もわかりやすく簡単な手順で発行できるようになっています。この新しい機能は、新しい認
証メカニズムを処理・
管理する新しいサーバータスク(CA Process)
を中心として、CA
Process を利用するための新しいインターフェース(
より使いやすく改善された認証機関ア
プリケーション、認証者や発行された証明書に関するあらゆる情報を保存するための新し
いデータベースなど)
から構成されています。
CA Process
新しく提供される認証機関プロセス(CA Process)
というサーバータスクは、Notes の認
証およびインターネットの証明書を発行する統一したメカニズムと、Notes の登録にイン
ターネットのキーを統合する機能の両方を提供します。CA Process を使用することで、
Notes やインターネットの認証者は以下のような機能を利用することができます。なお
CA Process を利用するかどうかはオプションであり、R5 までの従来通りの方法を続け
ることも可能です。
◆登録局と認証局の役割の分離
認証者 ID ファイルを使ってできることは、ユーザーやサーバーなどをシステムに登
録することと、下位の階層の新しい組織認証を作成することの 2 種類です。Domino 6
ではこれらの役割を明確に分離し、ユーザーやサーバーの新規登録や既存の ID フ
ァイルの再認証、インターネット証明書の認証要求を承認するなどの処理をするロー
ルを「
登録局(RA :Registration Authority)」、新しい組織認証(
下位の認証者 ID に
相当)
やドミノ認証機関(
新しいキー・
リング・
ファイルに相当)
の作成や管理を行うロ
ールを「
認証局(CA :Certificate Authority)
」
と定義します。認証局のロールをアサ
インされている管理者は、他のユーザー(
下位組織階層の管理者など)
にこれらのロ
ールをアサインすることができます。
◆認証者 ID の使用許諾の管理、認証者 ID ファイル不要のノーツユーザー登録
R5 までは、認証者 ID ファイル(
cert.id)
を入手してパスワードを知ってさえいれば誰
でも使うことができました。しかしCA Process を利用すると、認証者 ID を使用できる
ユーザーを明示的に指定したり、使用可能期間や使用時に必要となるパスワード
(
cert.id 自体のパスワードとは別のもの)
などを指定することもできます【
画面 31】
【
画
面 32】
。これにより、各組織単位(OU)
も含めた認証者 ID ファイルの管理や権限の
委譲を、より強力かつ安全に行うことが可能となります。管理の対象となるファイル
は、ノーツの認証者 ID だけでなく、インターネットの認証に使うキー・
リング・
ファイル
も含まれます。
なおこの設定により、認証者 ID ファイルは CA Process に登録されるので、権限を委
譲されたユーザーは、認証者 ID ファイルを用意したりそのパスワードを入力しなくて
もユーザーやサーバーの登録などの処理をすることが可能となります。したがって、
これまでは Notes ユーザーを登録するのに Notes が必要でしたが、CA Process を
利用することで、Web ブラウザーからも Notes ユーザーの登録ができるようになりま
す。
33
【
画面 31】
認証者 ID の使用
許諾などの設定
【
画面 32】
認証者 ID の使用
可能期間の設定
◆認証切れリストの管理
例えば退職した社員のインターネット証明書などのように、有効期限内ではあるが無
効となった証明書についての情報をリストとして管理できるようになりました。このリス
トは、CRL(
Certificate Revocation List)
と呼ばれます。CRL は、CA Process によって
発行され管理されます。Domino HTTP サーバーへの Web クライアントのログイン時
など、インターネット証明書が提示される際に、CRL リストをチェックすることで不正な
ユーザーが認証されるのを防止することができます。
* Domino 6 の認証機関では、ここに挙げた以外にも様々な新機能が提供されています。詳細はシステム管理ヘ
ルプをご参照ください。
ノーツのパスワー
ドとインターネッ
ト・パスワードの
管理
Domino 6 では、セキュリティー・
ポリシーの設定【
画面 33】
により、Notes およびインターネ
ット・パスワードに対して以下のような設定ができるようになりました。
•
•
•
•
•
•
インターネット・パスワードの変更を、ユーザーが Web ブラウザーから行うのを許
可する
インターネット・パスワードをノーツのパスワードと同期させる
パスワードの有効期限を設定して、一定期間おきにパスワードの変更を強制する
パスワードが期限切れになってから何日以内までパスワードの変更を許可するか
(
この猶予期間を過ぎるとパスワードは変更できなくなる)
パスワード・クオリティのレベル
(
Notes の場合のみ)
過去に使ったパスワードの再利用の禁止
34
【
画面 33】
パスワード管理の
設定
ECL の集中管理
Notes/Domino では、プログラムやマクロなどがクライアントに対して不正な操作(
例えば勝
手にメールを送信したり、ファイルを削除するなど)
を行うのを防ぐために、ECL(
Excecution
Control List)
という機能が R4,R5 ですでに用意されています。
Domino 6 では、管理 ECL というひな型の ECL が提供され、システム管理者はこれを自由
にカスタマイズして、組織やグループごとに固有の管理 ECL を作成することが可能です。
そして、作成した管理 ECL をポリシーに登録しておくことで、管理者は ECL の設定をクライ
アントに動的に配布することができます。
これにより、正社員用の ECL とパート社員用の ECL を用意しておいて、新しくインストール
されたクライアントにそのユーザーに応じた ECL がセットされるようにしたり、既存の管理
ECL の更新を全クライアントに配布したりといったことができるようになります。
35
6.メッセージング
Topics
概要
•
•
•
•
•
•
サーバー・
メール・
ルール
メール・
ジャーナル
DNS ブラックリスト・
フィルター
SMTP Inbound Relay コントロールの拡張
メール・
ファイルのサイズ管理の改善
不在エージェント
Domino 6 では、iNotes Web Access や Domino Everyplace などの新製品の登場によって、
Domino 6 のメッセージング・
サービスへのアクセス端末として、Web ブラウザーはもちろ
ん、携帯電話や各種 PDA についてもますます利用しやすい環境が提供されることになりま
す。
またサーバーのメッセージング機能についても、スパム・
メール対策などのセキュリティー
面での強化や、膨れ上がるメール・
ファイルのサイズ管理に役立つ機能など、時代のニー
ズに応じた数々の新機能が提供されています。
サーバー・
メー
ル・ルール
「
メール・
ルール(Mail Rules)
」
とは、ある条件に一致したメールに対して指定した処理を行
う、という機能です。
このルール機能自体は R5 にもありましたが、クライアント側で提供される機能で、ユーザ
ーが各自で設定する必要があり、また指定できる処理も「
指定したフォルダに移動またはコ
ピーする」,「メールの重要度を変更する」,「メールを削除する」
のいずれかから選択するよ
うになっており、どちらかと言うとユーザーの利便性を高める機能という意味合いが強いも
のでした。
しかしDomino 6 では、サーバー上でこの機能が動作するようになり、指定できる処理の種
類も増えて、例えばメッセージの受け取りを拒否したり、メッセージを配信せずに隔離用の
データベースに移動することもできるようになりました。これにより、全社レベルでのセキュ
リティー管理や社内を流れるメールの規制といった目的にまで、飛躍的に用途が広がった
と言えます。
具体的な利用例としては例えば、特定のベンダー(
メール・
マガジンのサイトなど)
からのメ
ールの受け取りを拒否したり、特定の種類のファイル(
EXE,VBS,VBE など)
が添付されて
いるメールはいったん隔離用のデータベースに移動して管理者がチェックしたり(
問題が無
ければ受信者に転送できる)、メールの件名に「
お得」
「
飲み会」
など業務に無関係な言葉
が含まれる場合は配信しない、などの使い方が考えられます。
そのほかにも、メールのサイズや添付されているファイル数で条件を指定できますので巨
大なメールが流されることを防いだり、受信者の数を指定することで全社員宛ての一斉送
信メールを制限することもできます。またスパム・
メールのサイトを指定した「
このサイトから
36
のメールの受け取りを拒否する」
というルールを、インバウンドの入口となるサーバー上で
動かすことにより、スパム・
メールを水際でシャットアウトするとともに、社内ネットワークのト
ラフィックを下げる効果があり、スパム対策として有効な方法になります。
* メール・
ルールの条件や処理の設定について詳細は、システム管理ヘルプをご参照ください。
なお、メール・
ルール機能を、ウィルス対策ソフトに置き換わるものとして考えることは絶対
に避けるべきです。なぜならば、メール・
ルールはウィルス対策専用に開発されたものでは
ないので、ウィルス定義リストを常に最新の状態に保つ機能や、ウィルスが見つかったこと
を知らせる機能、発見したウィルスを自動的に安全に除去するといった機能は備わってい
ないからです。
メール・ジャーナ
ル
「
メール・
ジャーナル(
Mail Journaling)
」
とは、上述のサーバー・
メール・
ルールと連動する機
能で、サーバーの MAIL.BOX を通過するメールのうちある条件に一致したメールのコピー
をメール・
ジャーナル用のデータベースに保存する、という機能です。
例えば政府機関などでは、特定の業務に関連する全ての送受信メールのコピーの保存が
義務付けられる場合がありますが、そのような場合にメール・
ジャーナル機能が有用です。
メール・
ジャーナルでは、メールのコピーをデータベースに保存した後でそのメールの配信
が続行されます。またデータベースに保存されるコピーは暗号化されるので、管理者など
許可されたユーザーしかジャーナルされたメールを見ることができず、セキュリティー面で
の配慮がなされています。
DNS ブラックリス
ト・フィルター
Domino 6 で提供されるスパム・
メール対策の新機能には、サーバー・
メール・
ルールのほ
かにもう一つ、「
DNS ブラックリスト・
フィルター」
がある。DNS ブラックリスト(DNSBLs)
とは、
RBLs(
Realtime Blacklists)
とも呼ばれ、スパム・
メールやオープン・
リレーのサイトのホスト
名(
や IP アドレス)
をリストアップしたデータベースのことで、無料または有料のサイトでオ
ンラインで照会することができます。この機能を有効にすると、Domino が外部からの
SMTP 接続要求を受け取るたびに、その SMTP サーバーがブラックリストに挙がっている
かどうかをサイトに問い合わせます。接続を要求しているSMTP サーバーがリストと一致
する場合は、メッセージの受け取りを拒否したりログにホスト名を記録するといった処理が
行われます。
DNSBLs はそれを運用しているサイトによってメンテナンスされているので、サーバー・メー
ル・
ルールでスパム・
メール対策を行うよりもDomino システム管理者の負担は軽くなりま
す。ただし毎回オンラインでリストを照会するのはパフォーマンスに影響する場合がありま
す。サイトによっては、必要情報をコピーとして提供する有料サービスを実施しているところ
もあるので、これを利用すれば DNSBLs の照会をローカルホストに対して行えるようになり
パフォーマンス改善に役立つでしょう。
DNS ブラックリスト・
フィルターの設定は、サーバー設定文書の [Router/SMTP] [Restrictions and Controls] - [SMTP Inbound Controls] タブページで行います【
画面 34】
。
37
【
画面 34】
DNS ブラックリス
ト・フィルターの設
定
* 表示されている
DNSBLs サイトは架空
の URL です
SMTP Inbound
Relay コントロー
ルの拡張
R5 までは、不正な中継を制御するためのインバウンド・
リレー制御設定は(
【
画面 35】。サ
ーバー設定文書の[ルーター/SMTP] - [制限と制御] - [SMTP インバウンド] タブページで
設定)、接続を要求する SMTP サーバーが外部のドメインのサーバーである場合にしか適
用されませんでした。しかしDomino 6 では、内部のサーバーからのリレー要求に対して
も、設定したインバウンド・リレー制御を強制することができるようになりました。これによっ
て、社内で他の SMTP メール・
サーバー(Sendmail など)
が稼動している場合や、社内で他
のメール・
クライアント(
POP3 や IMAP など)
を使用しているユーザーがいる場合でも、それ
らからDomino SMTP サーバーを中継してインターネットに不正にメールが送信されるのを
制御することが可能になりました。
この設定は、サーバー設定文書の [Router/SMTP] - [Restrictions and Controls] [SMTP Inbound Controls] タブページの [Inbound Relay Enforcement] セクションで行いま
す【
画面 36】
。「
Perform Anti-Relay enforcement for these connecting hosts」
フィールドに
「
All connecting hosts」
を設定すれば、外部のサーバーだけでなく内部のサーバーに対し
てもインバウンド・リレー制御設定が適用されるようになります。デフォルト値は「
External
hosts」
で、外部のサーバーに対してだけ制御が適用されます。
具体的な例を通して、この機能の有用性を考えてみましょう。
例えばセキュリティー上の理由で、Domino SMTP サーバーを直接インターネットに接続す
るのではなく、インターネットとDomino SMTP サーバーとの間にファイアーウォールやイン
ターナルなSMTP リレー・
ホストを立てる場合があります。インターネットから送られてきた
社内ドメイン向けのメッセージは、まずこのファイアーウォールや SMTP リレー・
ホストが受
信し、次に Domino SMTP サーバーにルートされ、それから社内の各メール・
サーバーに配
信されます。もしファイアーウォールや SMTP リレー・
ホストで適切なリレー制御が設定され
ていない場合、Domino SMTP サーバーは、社内 Domino ユーザー宛てではないメッセージ
も受け取ってしまう可能性があります。このときにもしDomino SMTP サーバーの AntiRelay enforcement フィールドが外部サーバーのみに設定されていると、ファイアーウォー
ルや SMTP リレー・
ホストからルートされるメッセージに対して、インバウンド・リレー制御の
設定は適用されません。なぜならば Domino SMTP サーバーにとって、メッセージを渡した
ファイアーウォールや SMTP リレー・
ホストは、内部のサーバーとみなされるからです。そ
のために、このメッセージに対してこの時点では適切な処理は行われず、その後初めてメ
ッセージがシステムに取り込まれて、次のプロセスへとまわされます。しかし結局のところ
受信者が見つからないので、外部のインターネットに差し戻されることになります。
しかし、内部サーバーに対してインバウンド・リレー制御を適用できていれば、そのメッセー
ジを実際にシステムに取り込む前に差し戻すことができ、無駄なプロセスをサーバーに処
38
理させずに済むという点で、メリットは大きいと言えます。
このほか、外部ドメインにあるISP を経由して社内の Domino に接続しているPOP3 や
IMAP のクライアントから外部インターネット宛てのメールを送信しようとすると、インバウン
ド・リレー制御が適用されてうまく送信できない場合がありますが、「
Inbound Relay
Enforcement」
設定の「Exceptions for authenticated users」
フィールドで「
認証されたユーザ
ー全員にリレーを許可する」
設定にしておけば、正しいユーザーID とパスワードを入力して
認証されたユーザーについてはインバウンド・リレー制御の適用が免除されます。
【
画面 35】
インバウンド・リレ
ー制御の設定
【
画面 36】
Inbound Relay
Enforcement の
設定
メール・ファイル
のサイズ管理の
改善
R4,R5 でも、管理者がメール・
ファイルに「
割り当てサイズ」
や「
警告するしきい値」
を設定し
てサイズを管理する機能がありました。しかし、割り当てサイズに達してもデフォルトではメ
ールの配信はそのまま継続されたり、しきい値に達した時の警告メッセージはサーバー上
のログ・
ファイル(
Log.nsf)
に記録されるなどのため、メールの所有者自身は、自分のメー
ル・
ファイルのサイズが制限値に達している(
警告値を超えた)
ことになかなか気が付かな
いという場合が少なくありませんでした。
Domino 6 では、これらの問題が改善されています。
まず、メール・
ファイルが割り当てサイズを超えた場合のメールの配信についてですが、そ
のまま継続して配信するか、配信せず送信者にエラーを返すということのほかに、サーバ
ーの MAIL.BOX に一定期間保留しておき、その間にユーザーがメール・
ファイルを整理し
て制限値以下まで小さくしたら再配信する、ということもできるようになりました。
また、メールのサイズがしきい値や制限値に達すると、メールの所有者本人に通知メール
を送付する機能も追加されました。通知メールに記される内容は、現在のメール・
ファイル
のサイズや使用率、しきい値や割り当てサイズがいくつに設定されているのか、どのような
メールを配信しようとして制限値に達したのか(
そのメールのサイズ、送信者、件名など)
、
そのメールの状況(
送信者にエラーが返されたのか、サーバー上で保留されているのか)
、
ユーザーはどのような対応をすべきか、など非常に詳しいものになっています。また、自社
39
のヘルプデスクの電話番号などを追加することもできるようになっています。通知メールを
送るタイミングは、「
ファイル・
サイズが制限値に達した以後、新しいメールを配信しようとす
るたびに」
か、「一定間隔ごとに」
(
1日おき、3時間おきなど)
が選択できます。なお通知メ
ールの送信は、ユーザーがメールをアーカイブしたり削除したりして、メール・
ファイルのサ
イズがしきい値または制限値よりも小さくなるまで続けられます。
不在エージェント R5 までは、不在エージェント(Out Of Office)
を設定したり起動するにはメール・
データベー
スに対して管理者権限が必要でしたが、Notes/Domino 6 からは、新しいセキュリティー・
モ
デルが採用されたことにより、編集者の権限でできるようになりました。
40
7.ASP 対応(Domino ホスティング機能)
Topics
概要
•
•
•
•
•
•
•
•
2 つのアドレス・
モデル
複数組織を含む Domino Directory
セキュリティーの強化
プロトコルのサポート
メール・
ルーティング
課金用のアクティビティ・ロギング
サーバー・
ユーティリティ・
プログラムのサポート
スケーラビリティー
Domino 6 では新しく「ホスティング機能」
が提供されており、xSP(
サービス・
プロバイダー)
のサポートが強化されています。
この機能を利用すると、1 台の Domino サーバーで複数の組織(
会社)をサポートすること
ができます。ホスティングされている各会社のユーザーは、自社のデータにしかアクセスで
きない仕組みが提供されるので、セキュリティーが確保されます。また xSP にとっても、こ
の機能を利用することにより、サーバーの管理工数が削減されます。
2 つのアドレス・
モ この機能の利用にあたっては、2 種類の IP アドレス構成モデルのうち、どちらかを選択しま
デル
す。1 つは、ホスティングされる会社ごとに固有の IP アドレスを持つモデルで、もう1 つは、
複数の組織で 1 つの IP アドレスを共有するモデルです。
複数組織を含む
Domino Directory
「
Multiple Organization Domino Directory」
機能によって、実際は 1 つの Domino Directory
に複数の組織が登録されているにもかかわらず、あたかも各組織がそれぞれ独自のサー
バー(
独自のディレクトリー)
でサービスされているかのようにコントロールされます。例え
ば、以下のような制御が実現されます。
•
•
•
セキュリティーの
強化
各組織ごとに独自のファイル・
ディレクトリーを定義したり、独自の Web アプリケー
ションを使用する
各組織で別々の認証コントロールを行う
各組織の、下位組織の新規作成や新規証明書の発行,サブディレクトリーの作成
などの処理を、xSP が行えるようにする
ホスティング環境では、1 つの Domino Directory に複数の組織の定義情報が含まれるの
で、各文書ごとにより強固なセキュリティーを実現できるよう、拡張 ACL によってアクセス
が細かく制御されます。また各アプリケーション・
データベースのセキュリティーについて
は、通常の ACL と、サーバーのディレクトリーへのユーザー・
アクセス権限を設定できる新
しい機能である「
.ACL ファイル」
(
acl という拡張子のファイル)
とによって、組織ごとのデー
41
タベースの安全性が確保されます。そのほかに、あるデータベースを複数の組織が共有し
て使用したい場合には、その共有データベースへの複数組織からのアクセスを可能にする
仕組みも提供されます。
プロトコルのサポ
ート
Domino 6 では、xSP は顧客に対して、HTTP/IMAP/POP3/LDAP/SMTP/SSL/IIOP の各
プロトコルでのサービスを提供することが可能です。
また、DOLS についてもサポートします。
メール・
ルーティン メール・
ルーター・
タスクは、1 台の Domino サーバー上で複数の組織が含まれるという環
グ
境でも正常に動作するよう変更されています。
課金用のアクティ Domino 6 で提供される新機能「
サーバー・
アクティビティ・ロギング」
によって、Domino のア
ビティ・ロギング
クティビティに関するデータが Log.nsf ファイルに収集されます。収集されたデータを参照す
るには API 経由でアクセスする必要があり、セキュリティーが保護されます。データは組織
ごとに収集され、プロトコル別に分類されます。各レコードには組織名が含まれているの
で、xSP は、顧客ごとの課金方式を適用することができます。
サーバー・
ユーテ 組織ごとによりきめ細かい制御を実現するため、compact/fixup/updall/design などのサー
ィリティー・
プログ バー・
ユーティリティー・
プログラムを実行するディレクトリーを指定できるようになりました。
ラムのサポート 例えばこの機能を利用すると、A 社のデータベースの圧縮を午前 2 時に、B 社のデータベ
ースの圧縮を午前 3 時にそれぞれ実行するように、設定することができます。
スケーラビリティ
ー
ホスティング環境でスケーラビリティーを向上させるための機能として、次のものが含まれ
ます。
•
サーバーのパフォーマンスを向上させるために、設定文書だけを含む
「
Configuration Directory」
をサポート
•
Domino Directoryでの名前検索において、修飾名を基に対応する組織だけを検索
させることで、名前検索のパフォーマンスが向上
•
負荷分散やフェイル・
オーバーを実現するネットワーク・
スプレイヤー(
負荷分散機
器)
の利用をサポート
42
日本アイ・
ビー・
エム株式会社
ソフトウェア事業部
ロータス技術部
43
Fly UP