AC15 - Track1 - Session2 - Traveler Administration · Traveler- Verzeichnis innerhalb Data...

Traveler AdministrationGrundlagen, Troubleshooting

AC15 | Track 1 – Session 2 | Torsten Link (Tode)

|AC 15 Traveler Administration – Grundlagen, Troubleshooting 2

Traveler Administration - Grundlagen, Troubleshooting

Grundlagen

Installation

Elemente eines Traveler- Servers

Derby DB

Traveler- Verzeichnis

Trace- Verzeichnis

LotusTraveler.nsf

Serverdokument

notes.ini

Infrastruktur

Hochverfügbarkeit



Betrieb

LotusTraveler.nsf

Traveler Konsolenbefehle

Policies

Troubleshooting

Basis

Erweitert

Consolenlogging

Statistiken

EmpfehlungenMobile Device Management



Grundlagen

Traveler ist ein Servertask für Domino

Eigentlich „nur“ die Implementierung des Microsoft ActiveSync – Protokolls für die Kommunikation von Mobilen Endgeräten mit Domino sowie des SyncML-Protokolls für die Android- Synchronisation bzw. ToDos bei Apple

ActiveSync kommuniziert über http / https

http – Task mit funktionierendem Zertifikat nötig.

„Bleeding Edge“: Regelmäßige Updates nötig um neueste Endgeräte zu unterstützen (z.B. iOS9)

Manchmal dadurch instabil (leider zwischen 9.0.1.3 und 9.0.1.6 sehr anfällig für Crashes)

� DESHALB: nicht geeignet, um auf einem bestehenden Server „mitzulaufen“



Installation

Sprache für das Setup,Keine RelevanzFür Traveler



Installation

Nützlich für Traveler Serverohne weitereFunktion



Elemente der Installation

Traveler- Verzeichnis innerhalb Data enthält:

Derby- Datenbank (ntsdb- Verzeichnis)

Relationale Datenbank

Hält den Synchronisationsstatus vor

Herzstück der Traveler Installation

cfg- Verzeichnis

Vorlagen für die Konfigurationen der Endgeräte:

z.B. AppleTemplate.xml und Apple.xml für das generieren der ILNT.mobileconfig

map- Verzeichnis

Benutzerdefinierte Zuordnung von Feldern für Standard- Applikationen

Log- Verzeichnis

Innerhalb IBM_TECHNICAL_SUPPORT - Verzeichnis



Elemente der Installation

LotusTraveler.nsf

Datenbank für die ANZEIGE der Daten aus der Derby- Datenbank

Xpage Applikation

Hält die Daten nur als „Cache“: Löschen / Manipulation der Daten hat KEINE Auswirkung auf die tatsächlichen Datenbestände

Grafische Oberfläche für einige wenige Traveler Konsolenbefehle

Konfigurations- Oberfläche für zentrale Policies (gelten für alle Benutzer, die keine Policyim NAB haben)

Konfiguration der Client- Zuordnung (Android)

Übersicht über Benutzer / Geräte

ntsclcache.nsf

War nur in frühen Versionen nötig, hat keine Funktion mehr – kann gelöscht werden, wenn noch vorhanden.



Serverdokument

1,2 x Anzahl Geräte.Zu viel Threads = zu hoher Memory- VerbrauchZu wenige Threads = sehr lange Antwortzeiten



notes.ini

Einträge fangen alle mit NTS_ an.

Wenn vorhanden, dann überschreiben ini- Einträge die entsprechenden Einträge aus der notes.ini

ini- Referenz: http://www-10.lotus.com/ldd/dominowiki.nsf/xpDocViewer.xsp?lookupName=Administering+IBM+Notes+Traveler+9#action=openDocument&res_title=Notes.ini_settings_A9&content=pdcontent


Traveler Administration - Grundlagen, TroubleshootingInfrastruktur

www

Traveler Mailserver80 / 443 80 / 443 1352

DMZ Internes Netz

„klassische“ Topologie

Vorteile:

Kein direkter Durchgriff ins interne Netz / Protokollbruch

Keine zusätzliche Software für Zugriff auf Traveler

Nachteile:

Wenig Kontrolle über den Zugriff auf den Traveler

Keine zusätzlichen Schutzmechanismen, Traveler ist „exponiert“.



www

Traveler MailserverVPN 1352

Internes Netz

Zugriff per VPN

Vorteile:

Keine Exposition interner Server

Zusätzliche Steuerung von Berechtigungen über VPN

Nachteil:

Ohne VPN keine Mails (ggf. problematisch, was Akku- Laufzeit angeht)



www

Traveler Mailserver80 / 443 80 / 443 1352

DMZ Internes Netz

„managed“ (z.B. MobileIron Sentry oder Blackberry 12)

Vorteile:

Weitere zwischengeschaltete Sicherheitsstufe

Verwaltung der Verbindung durch MDM

Nachteile:

Zusätzliche Lizenzkosten

Ggf. erschwertes Troubleshooting

„ReverseProxy“



Infrastruktur

Möglichkeit 1: Traveler in gleicher Domäne wie Mailserver

Vorteile:

Keine Querzulassungen / speziellen Berechtigungen müssen eingerichtet werden

Benutzer sind automatisch bekannt

Nachteile:

Bei jedem Update des Travelers sind „Vorsichtsmaßnahmen“ nötig: Kein Update der Systemdatenbanken, keine versehentliche Replikation der Templates, etc.

Wenn der Server in der DMZ steht, ist das Unternehmensadressbuch direkt angreifbar.

Möglichkeit 2: Traveler in eigener Domäne mit eigenem Zertifikat

Vorteile:

Komplett abgeschottete Installation

Nachteile:

Adressbuch muss über Directory Assistance hinzugefügt werden

Querzulassungen nötig

Keine ID Vault- Zugriffe möglich



Möglichkeit 3: Traveler in eigener Domäne, aber mit selbem Zertifikat

Der Traveler wird in der Domäne registriert, bekommt dann aber ein eigenes Adressbuch

Vorteil gegenüber Möglichkeit 2:

Keine Querzulassungen / speziellen Berechtigungen müssen eingerichtet werden

Installation

Traveler mit gleichem Zertifizierer im Adressbuch des Mailservers registrieren

Serverdokument aus dem Adressbuch manuell rauslöschen (nicht per Server löschen)

Server.id und cert.id für die Installation bereithalten

In den Dialogen die bestehende cert.id und server.id benutzen

ACHTUNG: Anderen Domain- Namen als in der Haupt- Domäne benutzen

Nicht vergessen: cert.id wieder zu löschen

Nach der Einrichtung hat man ein eigenes Adressbuch aber die selben Zertifikate


Traveler Administration - Grundlagen, TroubleshootingHochverfügbarkeit

Traveler

Traveler 1

Traveler 2

DB2 oderMS SQLCluster

HTTP Load Balancer 1

HTTP Load Balancer 2



Betrieb – LotusTraveler.nsf

https://traveler.mycompany.de/LotusTraveler.nsf (Achtung: Case sensitive auf Linux)

Gerätesicherheit

Setzt einfache Konsolenbefehle ab.




Client- Software




Geräteeinstellungen

Synchronisieren / Filtereinstellungen / Geräteeinstellungen / Sicherheitseinstellungen werden im Kapitel "Policies" noch behandelt

Gerätezugriff steuert, ob neue Geräte freigegeben werden müssen



Betrieb - Konsolenbefehle

Administration erfolgt zu einem Großteil über die Befehle

tell traveler show "Torsten Link"

Zeigt alle relevanten Informationen zu einem Benutzer

Wo liegt das Mailfile

Stimmt der Zugriff aufs Mailfile

Besteht Zugriff auf die ID

Welche Geräte hat der Benutzer registriert

tell traveler Security flagsAdd Flag Device User (Befehl wird auch über LotusTraveler.nsfaufgerufen)

Flags: all, wipeDevice, wipeApps, wipeStorageCard und lock.

Device: DeviceID oder * für alle

User: "Eindeutiger" Benutzername (kann Shortname sein, sicherer ist voll qualifiziert

tell traveler Security flagsRemove Flag Device User

Parameter: Siehe flagsAdd



Betrieb - Konsolenbefehle

tell traveler reset Device User

Gesamten Synchronisierungsstatus des Benutzers wird zurückgesetzt

Benutzer wird neu initialisiert: Das Device wird "geputzt" und neu befüllt.

tell traveler Security delete Device User / tell traveler delete Device User

Beide Befehle werden in den meisten Fällen im "Doppelpack" aufgerufen

Löschen sämtliche Informationen über den Benutzer aus der Datenbank

Security delete löscht Sicherheits- Flags

Das heißt: Sperren für den Benutzer / das Gerät werden aufgehoben.

Delete löscht den User selbst

ACHTUNG: Damit ist kein "Verbieten" des Benutzers verbunden. Ist das Gerät noch eingerichtet, wird es sich sofort wieder verbinden, und der Benutzer wird automatisch wieder eingerichtet (wenn keine Admin-Genehmigung notwendig ist, siehe LotusTraveler.nsf)

tell traveler stat show

Zeigt Statistiken. Siehe Troubleshooting.



Betrieb - Policies

Steuern die Einstellungen, die pro Benutzer / Gerät gelten

Werden als Profildokumente im Mailfile des Benutzers abgelegt:

travelerprofile: Beinhaltet generelle Informationen

devprofile: Für jedes Gerät einzeln vorhanden, beinhaltet die Einstellungen für jedes Gerät

secprofile: Ebenfalls für jedes Gerät vorhanden, beinhaltet die Sicherheitsrelevanten Einstellungen für jedes Gerät

Werden durch den Befehl tell adminp process traveler aktualisiert.

In den Policies kann gesteuert werden

WAS synchronisiert wird

E-Mail, Kalender, Aufgaben, Kontakte, Journal sind separat anzuwählen

WIE synchronisiert wird (push, periodisch oder manuell)

Separate Einstellungen für "Hauptzeiten" und "Nebenzeiten"

WIE VIEL synchronisiert wird

Initiale Größe des Zusammenfassungstextes, Maximale Größe von Attachments



Betrieb - Policies

In den Policies kann gesteuert werden

Welche Sicherheitseinstellungen gelten müssen

Geräteverschlüsselung

Gerätepasswort

Verhindern des Downloads von Anhängen

ACHTUNG: Für jeden Gerätetyp unterschiedliche Einstellungen möglich aufgrund der unterschiedlichen Verwaltbarkeit der Betriebssysteme

Einsatz von Policies sinnvoll !? - Siehe Empfehlungen später.



Troubleshooting

6 Punkte Plan für "Gerät synchronisiert nicht", um der Ursache auf den Grund zu gehen.

Wer sich "sklavisch" an diese Punkte hält hat einen Großteil der Probleme behoben, ohne bis zum letzten Punkt durchzukommen.

1. Browser an beliebigem Rechner öffnen und Traveler- URL eingebenhttps://traveler.mycompany.de/travelerIch empfehle hier Google Chrome: Der ist, was Sicherheits- Kriterien angeht momentan am strengsten und meldet falsche Zertifikate / fehlende Ciphers / etc.

a. Akzeptiert der Browser das Zertifikat?

b. Lässt sich die URL überhaupt öffnen?

2. Mit problematischem Benutzer / Kennwort einloggen

a. Funktioniert das?

b. Internet- Kennwort im Personendokument richtig?

c. Auf dem richtigen Server geschaut (Stichwort Directory Assistance)?

d. Benutzer in der inetlockout.nsf?

e. Hat der Benutzer die Erlaubnis den Server / den Traveler zu benutzen? (Serverdokument)



Troubleshooting

6 Punkte Plan - Fortsetzung

3. Wenn einloggen erfolgreich: Was sagt die Website: Alles grün?

a. Findet der Traveler- Server den Mailserver des Benutzers

b. Findet der Traveler- Server das Mailfile des Benutzers

c. Hat der Traveler- Server die nötige Berechtigung auf das Mailfile?

d. Irgendeine andere Meldung bezüglich eines Problems?

4. Wenn ein "Proxy" in Benutzung ist (Mobileiron Sentry, BES10 / 12 Server, Reverse Proxy)Funktionieren Tests 1-3 auch direkt von der Maschine aus

a. Wenn nur Telnet / Konsole möglich: Kann der "Proxy" den Traveler- Server ohne Authentication erreichen telnet traveler.mycompany.de 443

b. Wenn Browser vorhanden: Sind Tests 1-3 erfolgreich

5. Jetzt geht’s ans Endgerät: Tests 1-3 mit einem Browser auf dem Gerät testen

a. Wenn der Traveler nur intern verfügbar ist, dann Gerät in ein internes LAN hängen, sonst gleich von extern testen



Troubleshooting

6 Punkte Plan - Fortsetzung

6. Profil / Software einrichten auf Endgerät.

a. Grundsätzliche Daten: Benutzer: Fully Qualified oder Mail- Adresse gehen immer, Shortname nur, wenn am Traveler- Server eingerichtetPasswort: Internet- KennwortDomäne: Ist bei Domino immer leerServer: traveler.mycompany.de/traveler

b. Für iOS- Geräte kann man dazu den Link benutzen, den man in Test 5 sowieso schon im Browser zur Verfügung hat. Dieser Link generiert eine ilnt.mobileconfig mit allen Account- Daten. Diese wird unter iOS als Profil installiert. (kleiner Tipp: Man kann das Mail- Konto nicht separat wieder löschen, sondern man muss das Profil löschen). Die Datei kann man sich auch am PC mal ansehen mit einem Text-Editor, indem man den Link "Apple-Profil für Apple-E-Mail, -Kontakte und -Kalender-Apps generieren" anklickt. Ist ein XML- File, die Inhalte sind selbsterklärend, am wichtigsten ist der Abschnitt "<key>Host</key>"

c. Für Android benutzt man am besten den Traveler Verse Client aus dem Appstore

d. ACHTUNG: Für Blackberry muss man aufpassen: Die "automatische" Konfiguration jubelt dem Benutzer gerne mal eine Domäne unter (weil für Outlook ActiveSync braucht man eine). Diese muss man -auf Webkonsolenebene, ggf. für jeden User einzeln- entfernen, sonst geht gar nichts.



Troubleshooting

Erweitertes Serverseitiges Troubleshooting

Darf der Benutzer überhaupt den Traveler benutzen

Server- Zugriff für Traveler- Server (wenn enforced)

Traveler- Zugriff gesteuert über Traveler- Tab

Inetlockout.nsf

Kommt das Gerät überhaupt beim Server an

tell traveler show "Username"

Wird das neue Gerät gelistet?

Besteht unter Umständen noch eine Sperre (User gesperrt, Gerät gesperrt), die über tell traveler security delete entfernt werden kann?

Consolelogging einschalten: Gibt es Auffälligkeiten (hauptsächlich in den Antwortzeiten)?

Set config NTS_CONSOLE_REQUEST_RESPONSE=true

[27886:00040-2261510976] 09/21/2015 13:59:05 Traveler: (Torsten Link, ApplXXXXXEFBF18W) pushAS D->S (0b, 32ms, Continuation)[27886:00018-2278529856] 09/21/2015 13:59:15 Traveler: (Torsten Link, ApplXXXXX3WDDFHW) pushAS D<-S (13b, 1ms, 200rc, No Changes)



Troubleshooting

tell traveler status: "Traveler: The overall status of IBM Traveler is Green."

Wenn das nicht der Fall ist, dann liegt das an einem der folgenden Werte. Für alle Werte gibt es ini- Einträge um diese zu tunen, falls der Traveler zu "pingelig" ist: Immer YELLOW oder RED an Stelle der YYY einsetzen in die ini- Werte, um die Thresholds entsprechend zu setzen

Freier Platz auf dem Data- VerzeichnisNTS_STATUS_DATA_DIR_FREE_PERCENTAGE_YYY

Anzahl gleichzeitiger HTTP- Threads aufgebraucht.NTS_STATUS_HTTP_THREAD_PCT_YYY

Sehr viele 503- Errors (Server nicht verfügbar)NTS_STATUS_DS_FAILURE_NON_503_YYY

Sehr viele HTTP- Errors (<>503)NTS_STATUS_ERROR_COUNT_YYY_USER



Troubleshooting - Statistiken

tell traveler stat show

Leitungs- Probleme zwischen Traveler und Mail- / Homeserver zeigen sich sofort im WertDCA.DB_OPEN.Time.Histogram.SERVERNAME.000-001 = 900

Die Zahl gibt an, wie viele Verbindungen in der angegebenen Zeit fertig waren (im oberen Beispiel 0 - 1 Sekunde). Je langsamer die Verbindung, desto mehr Werte wird man bekomme, die so aussehen:DCA.DB_OPEN.Time.Histogram.SERVERNAME.030-060 = 100 (also zwischen 30 und 60 Sekunden)

Geht die Dauer zu weit hoch, kommt es zu Verbindungsabbrüchen -> Keine Initial Syncs mehr möglich, oder mehrere Stunden für die Initialisierung eines Clients

Ursache für Verbindungsprobleme können sein:

Langsame Leitungen mit hoher Auslastung

Riverbed- Leitungsoptimierer in Verbindung mit Notes- Port- Verschlüsselung

QoS auf Leitungen

Zusammenfassung am Ende gibt guten Anhaltspunkt, ob es dem Traveler- System insgesamt gut geht, >95% der Device- Syncs sollten "successfull" sein.



Empfehlungen

Mobile Device Management als Ergänzung auf jeden Fall in Erwägung ziehen

Keine manuelle Einrichtung der Clients, Automatischer Push der Einstellungen

Sanktionen / Reaktionen bei Fehlverhalten wesentlich umfangreicher / wirksamer

Im Fall von "Proxy"- Lösungen: Höhere Sicherheit durch verlagern des Traveler- Servers ins interne Netz, zusätzliche Ebene der Sicherheit

Möglichkeit von "Containerlösungen": Zusätzliche Absicherung der Daten auf dem Device

|24.09.2015 Traveler Administration – Grundlagen, Troubleshooting 31

Zeit für Ihre Fragen.

Weitere Infos:bechtle.com

AC15 - Track1 - Session2 - Traveler Administration · Traveler- Verzeichnis innerhalb Data...

Documents

Transcript of AC15 - Track1 - Session2 - Traveler Administration · Traveler- Verzeichnis innerhalb Data...