Domino平台管理维护介绍Zhang XunIBM Lotus Service2日程§概述§保存验证者ID 文件及其口令§定期运行Compact、Fixup和Updall任务§创建拒绝访问组§了解服务器上的应用§去掉不必要的服务器任务§监视存取控制列表ACL§操作系统和Domino 的补钉程序§检查备份操作§监测服务器§强制用户改变口令§拷贝数据库模板§去掉磁盘映射和共享3概述§内容提要:Domino系统管理员的日常工作就是维护Domino系统的正常运行。以下简要说明了管理员所必做的一些工作。对于系统管理员特别是新建系统的管理员来说这些建议能帮助他们完成基本的维护工作。4保存验证者ID 文件及其口令§验证者标识符文件cert.id及所有组织单元的ID文件是Domino系统中最重要的的文件。特别是cert.id所有其它的ID文件都是由它创建的。如果丢失了这个文件或忘记了它的口令就无法在创建新的服务器和用户了。因此从系统建立之初就要注意保存验证者ID文件及其口令。一定要将它保存在安全的地方并作备份不要将它放在共享的网络驱动器上将口令记录下来但不要将口令告诉无关的人员。注意不要将口令设为“password”或其它易猜的单词。5定期运行Compact、Fixup和Updall 任务§Compact、Fixup和Updall任务是服务器自身的维护性任务。Compact用于释放数据库中的无用空间Fixup检测无效的文档和损坏的数据库并尝试修复它们Updall 重建视图索引和全文索引。这三个任务至少每周要运行一次。可以按以下步骤设置它们的运行时间。§1. 在Domino管理员客户端中打开要管理的服务器§2. 在“配置”标签下展开“服务器”-“程序”点击“添加程序”6Co nt.3. 在“基本”标签下“程序名”中输入任务的名称即Compact、Fixup或Updall“命令行”中输入所需的命令行选项“运行的服务器”中输入运行此任务的服务器的层次名4. 在“日程安排”标签下将日程安排设为“启用”并按需要设置任务启动的时间如果到了Compact、Updall和Fixup所安排的运行时间而系统正在文件访问被拒绝
执行其它任务这三个任务可能不被执行。因此在设置时间安排时应当尽量避免和其它任务以及定时代理重合。可以在服务器的控制台上输入命令“show schedule”来查看其它程序的时间安排输入命令“tell amgrschedule”来查看定时代理的时间安排。每个任务都有自己的命令行选项。例如“updall-R”将会重建已有的索引而不加“-R”选项时则只是更新已有的索引。必需选择适当的选项以完成所需的任务。每个任务的选项列表都可以在《Domino 6 管理员帮助》数据库中到。7创建拒绝访问组§禁止某些用户访问服务器是十分必要的。当用户离开公司时需要确保他们不能使用原来的Notes ID文件来访问服务器。管理员可以将这些用户的层次名加入拒绝访问组来保证这一点。创建拒绝访问组的步骤如下:§1. 在Domino 管理员客户端中打开要管理的服务器§2. 在“个人和组”标签下点击“拒绝访问组”点击“添加组”按钮§3. 在“组名称”中输入一个名字如DenyGroup将“组类型”选为“仅禁止存取列表”§4. 在“成员”中输入或选择要禁止访问的用户名§5. 保存并退出此文档§6. 在“配置”标签下打开要拒绝用户访问的服务器文档§7. 在“安全性”标签下“拒绝访问的服务器”中输入上面创建的拒绝访问组名称在此例中是DenyGroup。8Cont.§提示:创建了拒绝访问组之后管理员删除用户时可以将用户名自动地加入此组中这样不需手工操作就可以保证每个被删除的用户不再能访问服务器。9了解服务器上的应用§要确定服务器所支持的数据库的类型。服务器是主要用于一两个大型数据库还是用于多个小的应用数据库服务器上的应用设计怎样是否使用了对性能有较大影响的方式如在视图中使用日期/时间查询如果应用数据库的设计不合理管理员所能做的调整不可能起太大作用。§管理员还需要留意服务器的日
志Log.nsf。服务器日志中的信息是了解服务器及用户活动的关键。特别是日志中的“其它事件”视图大部分需要观察的信息都包含在其中。每天都应当浏览log.nsf从中出错误信息和异常信息判断服务器是否正常运行10去掉不必要的服务器任务§缺省情况下Domino服务器会自动启动一组服务器任务其中有些任务用户可能不会用到。去掉这些不必要的任务可以节省系统资源有利于其他任务和应用的运行。§服务器上自动启动的任务列表在服务器的notes.ini文件中。用任一文本编辑器打开Domino程序目录中的notes.ini文件到“ServerTasks”行删除其中不需要的任务名称则下一次启动服务器时这些任务就不会再启动了。例如如果不使用Notes的日历和日程安排功能可以将“calconn”和“sched”任务去掉。§在指定时间运行的服务器任务也可以考虑去掉。在服务器的notes.ini文件中到“ServerTasksAtY”行其中Y是代表时间的数字1代表凌晨1点5代表凌晨5点以此类推删除其中不需要的任务名称。例如如果不使用共享邮件则“ Object Collect mailobj.nsf”行中的“ObjectCollect mailobj.nsf”可以去掉。下一次重新启动服务器后这些被去掉的任务就不会再定时运行了。§关于每个服务器任务的名称和用途可参阅《Domino6管理员帮助》中“Domino服务器任务”主题。11监视存取控制列表ACL§管理员必须保证每个用户对每个数据库都有适合其需要的访问权限。存取控制列表ACL是服务器安全性的核心如果用户能够访问到他不应接触的信息则会威胁到服务器的安全和信息的安全。§要想方便地查看每个用户对每个数据库的权限可以打开服务器上的“目录R6”数据库查看“存取控制列表”-“按级别”视图。“目录R6”数据库的文件名是catalog.nsf 它是由服务器自动创建并更新的如果在服务器上未到catalog.nsf可以在服务器控制台上输入命令“load catalog”来立即创建它。§
某些关键数据库的ACL必须被严格监控这包括通讯录names.nsf、目录catalog.nsf、服务器日志log.nsf及所有包含重要信息的数据库。§进一步来说管理员需要查看哪些用户对数据库具有管理者Manager权限。由于管理者可以改变数据库的ACL及其他设置只应给予需要管理这些设置的用户这一权限。建议最好使用组来设置管理者权限。例如可以创建名为DomainManagers的组将系统管理员的名字加入其中然后在数据库的ACL中将DomainManagers设为管理者。这样即使系统管理员有所变动也只需修改该组的定义。§在服务器上安装新数据库时需要注意其ACL的缺省设置特别是Default和Anonymous的权限设置。对于重要的数据库最好不要让Default和Anonymous的权限高于“不能存取者”。当服务器可以从Web上进行访问时Anonymous或Default的权限高于“不能存取者”时会更为危险。12操作系统和Domino的补钉程序§各种操作系统都会发布一些补钉程序用于修补所发现的错误和漏洞。管理员应该留意这些补钉程序并将需要的补钉程序及时安装在服务器上。§Domino本身会不断发布新的维护版本.www-128.ibm/developerworks/lotus/downloads/more.htmlwww-1.ib m/support/docview.wssuidswg2401318213检?楸阜莶僮鳌管理员必需设定固定的备份流程。一般来说需要备份Domino 服务器上的所有数据文件包括数据库、模板文件、NOTES.INI 文件和ID 文件。§固定、可靠的备份对Domino服务器来说十分重要。进行备份时所用的备份软件必须支持对打开的文件的备份。这是因为通讯录names.nsf和服务器日志log.nsf等数据库在服务器运行时总是打开的如果备份软件没有这个功能那么这些关键数据库就得不到备份。§除了定期一般是每天备份外定期检查备份所用的介质如磁带也是必要的。这样可以避免因介质损坏而引起的不必要的
损失。14监测服务器§在Domino服务器上有一个用于监测服务器状态的数据
库:Statistics Events数据库Events4.nsf。当服务器的状态达到或超过管理员设定的警戒值时它还可以自动提醒管理员。§管理员应该建立监视器来监测服务器的一些基本状态如:1. 重要数据库的ACL Change Monitor为names.nsf、log.nsg、catalog.nsf等重要数据库建立ACLChange Monitor。当指定数据库的ACL发生改变时向管理员的邮箱中发送警告信息。2. 磁盘空间的Statistic Monitor为服务器上的每个逻辑盘创建Statistic Monitor。当磁盘上的剩余空间少于25时向管理员的邮箱中发送? 嫘畔ⅰR悦夥 衿饕蚝木〈排炭占涠 阑 ?5强制用户改变口令§用户一般不会自己去改变ID 文件的口令为了提高安全性应该强制用户定期修改口令。设置的步骤如下:§1. 编辑要设置的服务器文档§2. 在“安全性”标签下将“校验Notes标识符口令”设为“启用”§3. 在“个人”视图中选中要强制修改口令的用户选择“操作”“设置口令域”§4. 选择“检查口令”在“必须的更改时间间隔”和“宽限期”中输入适当的天数§注意服务器文档和个人文档都需要配置。如果只设置了其中一个则校验口令的功能不会起作用。§另外校验口令的另一主要功能是仅允许包含最新口令的ID文件访问服务器。管理员应提醒用户在每次修改口令之后重新备份自己的ID文件。因为原来备份的ID文件已失效了。4Domino服务器会记忆用户以前使用的口令且在修改口令时不允许用户再次使用以前用过的口令。因此如果强制修改口令的频率太高用户需要不断记住新的口令。为了减少用户的麻烦“必须的更改时间间隔”建议为90至180天。16拷贝数据库模板§Domino的光盘上带有许多模板。当不同的用户从光盘安装时同一个模板的复本ID Replica ID 都相同。因此当两台
服务器复制时可以看到相应的模板也在复制。如果不希望复制这些模板可以为这些模板新建拷贝。§新建拷贝不是指操作系统级的文件拷贝或更名而是指创建具有不同复本ID的模板。要保证新建的模板具有新的复本ID 可以在Notes客户端打开原有的模板使用“文件”-“数据库”-“新建拷贝”来创建。§更进一步管理员可以考虑去掉那些不需要的模板以节省服务器的磁盘空间并减少维护模板所需的工作量。17去掉磁盘映射和共享§从安全性的角度来看管理员当然不能允许其他人从操作系统级直接访问服务器上的文件。因为这样会绕过Domino内部的安全机制。要想保证所有对服务器的访问都在Domino的安全机制控制之下应该尽量不使用磁盘共享和磁盘映射特别是对Domino的程序目录、数据目录以及操作系统的目录。18QA
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论