Oracle Data Warehouse – Datenbank basierte ETL-Prozesse DATA WAREHOUSE.
AC15 - Track1 - Session2 - Traveler Administration · Traveler- Verzeichnis innerhalb Data...
Transcript of AC15 - Track1 - Session2 - Traveler Administration · Traveler- Verzeichnis innerhalb Data...
Traveler AdministrationGrundlagen, Troubleshooting
AC15 | Track 1 – Session 2 | Torsten Link (Tode)
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 2
Traveler Administration - Grundlagen, Troubleshooting
Grundlagen
Installation
Elemente eines Traveler- Servers
Derby DB
Traveler- Verzeichnis
Trace- Verzeichnis
LotusTraveler.nsf
Serverdokument
notes.ini
Infrastruktur
Hochverfügbarkeit
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 3
Traveler Administration - Grundlagen, Troubleshooting
Betrieb
LotusTraveler.nsf
Traveler Konsolenbefehle
Policies
Troubleshooting
Basis
Erweitert
Consolenlogging
Statistiken
EmpfehlungenMobile Device Management
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 4
Traveler Administration - Grundlagen, Troubleshooting
Grundlagen
Traveler ist ein Servertask für Domino
Eigentlich „nur“ die Implementierung des Microsoft ActiveSync – Protokolls für die Kommunikation von Mobilen Endgeräten mit Domino sowie des SyncML-Protokolls für die Android- Synchronisation bzw. ToDos bei Apple
ActiveSync kommuniziert über http / https
http – Task mit funktionierendem Zertifikat nötig.
„Bleeding Edge“: Regelmäßige Updates nötig um neueste Endgeräte zu unterstützen (z.B. iOS9)
Manchmal dadurch instabil (leider zwischen 9.0.1.3 und 9.0.1.6 sehr anfällig für Crashes)
� DESHALB: nicht geeignet, um auf einem bestehenden Server „mitzulaufen“
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 5
Traveler Administration - Grundlagen, Troubleshooting
Installation
Sprache für das Setup,Keine RelevanzFür Traveler
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 6
Traveler Administration - Grundlagen, Troubleshooting
Installation
Nützlich für Traveler Serverohne weitereFunktion
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 7
Traveler Administration - Grundlagen, Troubleshooting
Elemente der Installation
Traveler- Verzeichnis innerhalb Data enthält:
Derby- Datenbank (ntsdb- Verzeichnis)
Relationale Datenbank
Hält den Synchronisationsstatus vor
Herzstück der Traveler Installation
cfg- Verzeichnis
Vorlagen für die Konfigurationen der Endgeräte:
z.B. AppleTemplate.xml und Apple.xml für das generieren der ILNT.mobileconfig
map- Verzeichnis
Benutzerdefinierte Zuordnung von Feldern für Standard- Applikationen
Log- Verzeichnis
Innerhalb IBM_TECHNICAL_SUPPORT - Verzeichnis
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 8
Traveler Administration - Grundlagen, Troubleshooting
Elemente der Installation
LotusTraveler.nsf
Datenbank für die ANZEIGE der Daten aus der Derby- Datenbank
Xpage Applikation
Hält die Daten nur als „Cache“: Löschen / Manipulation der Daten hat KEINE Auswirkung auf die tatsächlichen Datenbestände
Grafische Oberfläche für einige wenige Traveler Konsolenbefehle
Konfigurations- Oberfläche für zentrale Policies (gelten für alle Benutzer, die keine Policyim NAB haben)
Konfiguration der Client- Zuordnung (Android)
Übersicht über Benutzer / Geräte
ntsclcache.nsf
War nur in frühen Versionen nötig, hat keine Funktion mehr – kann gelöscht werden, wenn noch vorhanden.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 9
Traveler Administration - Grundlagen, Troubleshooting
Serverdokument
1,2 x Anzahl Geräte.Zu viel Threads = zu hoher Memory- VerbrauchZu wenige Threads = sehr lange Antwortzeiten
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 10
Traveler Administration - Grundlagen, Troubleshooting
notes.ini
Einträge fangen alle mit NTS_ an.
Wenn vorhanden, dann überschreiben ini- Einträge die entsprechenden Einträge aus der notes.ini
ini- Referenz: http://www-10.lotus.com/ldd/dominowiki.nsf/xpDocViewer.xsp?lookupName=Administering+IBM+Notes+Traveler+9#action=openDocument&res_title=Notes.ini_settings_A9&content=pdcontent
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 11
Traveler Administration - Grundlagen, TroubleshootingInfrastruktur
www
Traveler Mailserver80 / 443 80 / 443 1352
DMZ Internes Netz
„klassische“ Topologie
Vorteile:
Kein direkter Durchgriff ins interne Netz / Protokollbruch
Keine zusätzliche Software für Zugriff auf Traveler
Nachteile:
Wenig Kontrolle über den Zugriff auf den Traveler
Keine zusätzlichen Schutzmechanismen, Traveler ist „exponiert“.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 12
Traveler Administration - Grundlagen, TroubleshootingInfrastruktur
www
Traveler MailserverVPN 1352
Internes Netz
Zugriff per VPN
Vorteile:
Keine Exposition interner Server
Zusätzliche Steuerung von Berechtigungen über VPN
Nachteil:
Ohne VPN keine Mails (ggf. problematisch, was Akku- Laufzeit angeht)
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 13
Traveler Administration - Grundlagen, TroubleshootingInfrastruktur
www
Traveler Mailserver80 / 443 80 / 443 1352
DMZ Internes Netz
„managed“ (z.B. MobileIron Sentry oder Blackberry 12)
Vorteile:
Weitere zwischengeschaltete Sicherheitsstufe
Verwaltung der Verbindung durch MDM
Nachteile:
Zusätzliche Lizenzkosten
Ggf. erschwertes Troubleshooting
„ReverseProxy“
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 14
Traveler Administration - Grundlagen, Troubleshooting
Infrastruktur
Möglichkeit 1: Traveler in gleicher Domäne wie Mailserver
Vorteile:
Keine Querzulassungen / speziellen Berechtigungen müssen eingerichtet werden
Benutzer sind automatisch bekannt
Nachteile:
Bei jedem Update des Travelers sind „Vorsichtsmaßnahmen“ nötig: Kein Update der Systemdatenbanken, keine versehentliche Replikation der Templates, etc.
Wenn der Server in der DMZ steht, ist das Unternehmensadressbuch direkt angreifbar.
Möglichkeit 2: Traveler in eigener Domäne mit eigenem Zertifikat
Vorteile:
Komplett abgeschottete Installation
Nachteile:
Adressbuch muss über Directory Assistance hinzugefügt werden
Querzulassungen nötig
Keine ID Vault- Zugriffe möglich
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 15
Traveler Administration - Grundlagen, TroubleshootingInfrastruktur
Möglichkeit 3: Traveler in eigener Domäne, aber mit selbem Zertifikat
Der Traveler wird in der Domäne registriert, bekommt dann aber ein eigenes Adressbuch
Vorteil gegenüber Möglichkeit 2:
Keine Querzulassungen / speziellen Berechtigungen müssen eingerichtet werden
Installation
Traveler mit gleichem Zertifizierer im Adressbuch des Mailservers registrieren
Serverdokument aus dem Adressbuch manuell rauslöschen (nicht per Server löschen)
Server.id und cert.id für die Installation bereithalten
In den Dialogen die bestehende cert.id und server.id benutzen
ACHTUNG: Anderen Domain- Namen als in der Haupt- Domäne benutzen
Nicht vergessen: cert.id wieder zu löschen
Nach der Einrichtung hat man ein eigenes Adressbuch aber die selben Zertifikate
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 16
Traveler Administration - Grundlagen, TroubleshootingHochverfügbarkeit
Traveler
Traveler 1
Traveler 2
DB2 oderMS SQLCluster
HTTP Load Balancer 1
HTTP Load Balancer 2
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 17
Traveler Administration - Grundlagen, Troubleshooting
Betrieb – LotusTraveler.nsf
https://traveler.mycompany.de/LotusTraveler.nsf (Achtung: Case sensitive auf Linux)
Gerätesicherheit
Setzt einfache Konsolenbefehle ab.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 18
Traveler Administration - Grundlagen, Troubleshooting
Betrieb – LotusTraveler.nsf
Client- Software
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 19
Traveler Administration - Grundlagen, Troubleshooting
Betrieb – LotusTraveler.nsf
Geräteeinstellungen
Synchronisieren / Filtereinstellungen / Geräteeinstellungen / Sicherheitseinstellungen werden im Kapitel "Policies" noch behandelt
Gerätezugriff steuert, ob neue Geräte freigegeben werden müssen
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 20
Traveler Administration - Grundlagen, Troubleshooting
Betrieb - Konsolenbefehle
Administration erfolgt zu einem Großteil über die Befehle
tell traveler show "Torsten Link"
Zeigt alle relevanten Informationen zu einem Benutzer
Wo liegt das Mailfile
Stimmt der Zugriff aufs Mailfile
Besteht Zugriff auf die ID
Welche Geräte hat der Benutzer registriert
tell traveler Security flagsAdd Flag Device User (Befehl wird auch über LotusTraveler.nsfaufgerufen)
Flags: all, wipeDevice, wipeApps, wipeStorageCard und lock.
Device: DeviceID oder * für alle
User: "Eindeutiger" Benutzername (kann Shortname sein, sicherer ist voll qualifiziert
tell traveler Security flagsRemove Flag Device User
Parameter: Siehe flagsAdd
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 21
Traveler Administration - Grundlagen, Troubleshooting
Betrieb - Konsolenbefehle
tell traveler reset Device User
Gesamten Synchronisierungsstatus des Benutzers wird zurückgesetzt
Benutzer wird neu initialisiert: Das Device wird "geputzt" und neu befüllt.
tell traveler Security delete Device User / tell traveler delete Device User
Beide Befehle werden in den meisten Fällen im "Doppelpack" aufgerufen
Löschen sämtliche Informationen über den Benutzer aus der Datenbank
Security delete löscht Sicherheits- Flags
Das heißt: Sperren für den Benutzer / das Gerät werden aufgehoben.
Delete löscht den User selbst
ACHTUNG: Damit ist kein "Verbieten" des Benutzers verbunden. Ist das Gerät noch eingerichtet, wird es sich sofort wieder verbinden, und der Benutzer wird automatisch wieder eingerichtet (wenn keine Admin-Genehmigung notwendig ist, siehe LotusTraveler.nsf)
tell traveler stat show
Zeigt Statistiken. Siehe Troubleshooting.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 22
Traveler Administration - Grundlagen, Troubleshooting
Betrieb - Policies
Steuern die Einstellungen, die pro Benutzer / Gerät gelten
Werden als Profildokumente im Mailfile des Benutzers abgelegt:
travelerprofile: Beinhaltet generelle Informationen
devprofile: Für jedes Gerät einzeln vorhanden, beinhaltet die Einstellungen für jedes Gerät
secprofile: Ebenfalls für jedes Gerät vorhanden, beinhaltet die Sicherheitsrelevanten Einstellungen für jedes Gerät
Werden durch den Befehl tell adminp process traveler aktualisiert.
In den Policies kann gesteuert werden
WAS synchronisiert wird
E-Mail, Kalender, Aufgaben, Kontakte, Journal sind separat anzuwählen
WIE synchronisiert wird (push, periodisch oder manuell)
Separate Einstellungen für "Hauptzeiten" und "Nebenzeiten"
WIE VIEL synchronisiert wird
Initiale Größe des Zusammenfassungstextes, Maximale Größe von Attachments
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 23
Traveler Administration - Grundlagen, Troubleshooting
Betrieb - Policies
In den Policies kann gesteuert werden
Welche Sicherheitseinstellungen gelten müssen
Geräteverschlüsselung
Gerätepasswort
Verhindern des Downloads von Anhängen
ACHTUNG: Für jeden Gerätetyp unterschiedliche Einstellungen möglich aufgrund der unterschiedlichen Verwaltbarkeit der Betriebssysteme
Einsatz von Policies sinnvoll !? - Siehe Empfehlungen später.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 24
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting
6 Punkte Plan für "Gerät synchronisiert nicht", um der Ursache auf den Grund zu gehen.
Wer sich "sklavisch" an diese Punkte hält hat einen Großteil der Probleme behoben, ohne bis zum letzten Punkt durchzukommen.
1. Browser an beliebigem Rechner öffnen und Traveler- URL eingebenhttps://traveler.mycompany.de/travelerIch empfehle hier Google Chrome: Der ist, was Sicherheits- Kriterien angeht momentan am strengsten und meldet falsche Zertifikate / fehlende Ciphers / etc.
a. Akzeptiert der Browser das Zertifikat?
b. Lässt sich die URL überhaupt öffnen?
2. Mit problematischem Benutzer / Kennwort einloggen
a. Funktioniert das?
b. Internet- Kennwort im Personendokument richtig?
c. Auf dem richtigen Server geschaut (Stichwort Directory Assistance)?
d. Benutzer in der inetlockout.nsf?
e. Hat der Benutzer die Erlaubnis den Server / den Traveler zu benutzen? (Serverdokument)
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 25
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting
6 Punkte Plan - Fortsetzung
3. Wenn einloggen erfolgreich: Was sagt die Website: Alles grün?
a. Findet der Traveler- Server den Mailserver des Benutzers
b. Findet der Traveler- Server das Mailfile des Benutzers
c. Hat der Traveler- Server die nötige Berechtigung auf das Mailfile?
d. Irgendeine andere Meldung bezüglich eines Problems?
4. Wenn ein "Proxy" in Benutzung ist (Mobileiron Sentry, BES10 / 12 Server, Reverse Proxy)Funktionieren Tests 1-3 auch direkt von der Maschine aus
a. Wenn nur Telnet / Konsole möglich: Kann der "Proxy" den Traveler- Server ohne Authentication erreichen telnet traveler.mycompany.de 443
b. Wenn Browser vorhanden: Sind Tests 1-3 erfolgreich
5. Jetzt geht’s ans Endgerät: Tests 1-3 mit einem Browser auf dem Gerät testen
a. Wenn der Traveler nur intern verfügbar ist, dann Gerät in ein internes LAN hängen, sonst gleich von extern testen
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 26
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting
6 Punkte Plan - Fortsetzung
6. Profil / Software einrichten auf Endgerät.
a. Grundsätzliche Daten: Benutzer: Fully Qualified oder Mail- Adresse gehen immer, Shortname nur, wenn am Traveler- Server eingerichtetPasswort: Internet- KennwortDomäne: Ist bei Domino immer leerServer: traveler.mycompany.de/traveler
b. Für iOS- Geräte kann man dazu den Link benutzen, den man in Test 5 sowieso schon im Browser zur Verfügung hat. Dieser Link generiert eine ilnt.mobileconfig mit allen Account- Daten. Diese wird unter iOS als Profil installiert. (kleiner Tipp: Man kann das Mail- Konto nicht separat wieder löschen, sondern man muss das Profil löschen). Die Datei kann man sich auch am PC mal ansehen mit einem Text-Editor, indem man den Link "Apple-Profil für Apple-E-Mail, -Kontakte und -Kalender-Apps generieren" anklickt. Ist ein XML- File, die Inhalte sind selbsterklärend, am wichtigsten ist der Abschnitt "<key>Host</key>"
c. Für Android benutzt man am besten den Traveler Verse Client aus dem Appstore
d. ACHTUNG: Für Blackberry muss man aufpassen: Die "automatische" Konfiguration jubelt dem Benutzer gerne mal eine Domäne unter (weil für Outlook ActiveSync braucht man eine). Diese muss man -auf Webkonsolenebene, ggf. für jeden User einzeln- entfernen, sonst geht gar nichts.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 27
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting
Erweitertes Serverseitiges Troubleshooting
Darf der Benutzer überhaupt den Traveler benutzen
Server- Zugriff für Traveler- Server (wenn enforced)
Traveler- Zugriff gesteuert über Traveler- Tab
Inetlockout.nsf
Kommt das Gerät überhaupt beim Server an
tell traveler show "Username"
Wird das neue Gerät gelistet?
Besteht unter Umständen noch eine Sperre (User gesperrt, Gerät gesperrt), die über tell traveler security delete entfernt werden kann?
Consolelogging einschalten: Gibt es Auffälligkeiten (hauptsächlich in den Antwortzeiten)?
Set config NTS_CONSOLE_REQUEST_RESPONSE=true
[27886:00040-2261510976] 09/21/2015 13:59:05 Traveler: (Torsten Link, ApplXXXXXEFBF18W) pushAS D->S (0b, 32ms, Continuation)[27886:00018-2278529856] 09/21/2015 13:59:15 Traveler: (Torsten Link, ApplXXXXX3WDDFHW) pushAS D<-S (13b, 1ms, 200rc, No Changes)
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 28
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting
tell traveler status: "Traveler: The overall status of IBM Traveler is Green."
Wenn das nicht der Fall ist, dann liegt das an einem der folgenden Werte. Für alle Werte gibt es ini- Einträge um diese zu tunen, falls der Traveler zu "pingelig" ist: Immer YELLOW oder RED an Stelle der YYY einsetzen in die ini- Werte, um die Thresholds entsprechend zu setzen
Freier Platz auf dem Data- VerzeichnisNTS_STATUS_DATA_DIR_FREE_PERCENTAGE_YYY
Anzahl gleichzeitiger HTTP- Threads aufgebraucht.NTS_STATUS_HTTP_THREAD_PCT_YYY
Sehr viele 503- Errors (Server nicht verfügbar)NTS_STATUS_DS_FAILURE_NON_503_YYY
Sehr viele HTTP- Errors (<>503)NTS_STATUS_ERROR_COUNT_YYY_USER
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 29
Traveler Administration - Grundlagen, Troubleshooting
Troubleshooting - Statistiken
tell traveler stat show
Leitungs- Probleme zwischen Traveler und Mail- / Homeserver zeigen sich sofort im WertDCA.DB_OPEN.Time.Histogram.SERVERNAME.000-001 = 900
Die Zahl gibt an, wie viele Verbindungen in der angegebenen Zeit fertig waren (im oberen Beispiel 0 - 1 Sekunde). Je langsamer die Verbindung, desto mehr Werte wird man bekomme, die so aussehen:DCA.DB_OPEN.Time.Histogram.SERVERNAME.030-060 = 100 (also zwischen 30 und 60 Sekunden)
Geht die Dauer zu weit hoch, kommt es zu Verbindungsabbrüchen -> Keine Initial Syncs mehr möglich, oder mehrere Stunden für die Initialisierung eines Clients
Ursache für Verbindungsprobleme können sein:
Langsame Leitungen mit hoher Auslastung
Riverbed- Leitungsoptimierer in Verbindung mit Notes- Port- Verschlüsselung
QoS auf Leitungen
Zusammenfassung am Ende gibt guten Anhaltspunkt, ob es dem Traveler- System insgesamt gut geht, >95% der Device- Syncs sollten "successfull" sein.
|AC 15 Traveler Administration – Grundlagen, Troubleshooting 30
Traveler Administration - Grundlagen, Troubleshooting
Empfehlungen
Mobile Device Management als Ergänzung auf jeden Fall in Erwägung ziehen
Keine manuelle Einrichtung der Clients, Automatischer Push der Einstellungen
Sanktionen / Reaktionen bei Fehlverhalten wesentlich umfangreicher / wirksamer
Im Fall von "Proxy"- Lösungen: Höhere Sicherheit durch verlagern des Traveler- Servers ins interne Netz, zusätzliche Ebene der Sicherheit
Möglichkeit von "Containerlösungen": Zusätzliche Absicherung der Daten auf dem Device
|24.09.2015 Traveler Administration – Grundlagen, Troubleshooting 31
Zeit für Ihre Fragen.
Weitere Infos:bechtle.com