2023/4/15 - 読み終える時間: 2 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

Domino Attachment and Object Service (DAOS) は、DBへ添付されたファイルをDBの外、つまりファイルシステムに配置することで、DBサイズを小さくするための仕組みです。

• DAOS を動作させるには、ODS 48 以上であることと、トランザクションロギングが有効であることが必要です。

  参考 URL: HCL Notes Domino環境における Domino Attachment and Object Service (DAOS) の管理/保守のポイント

• ファイルシステムに格納されたファイルは、リンク元のデータベース文書が削除された後、一定時間が経過すると自動的に削除されます。その期間は「オブジェクトを削除するまでの保留日数」という項目で任意の値が設定可能です。デフォルトは 30 日間です。

  参考 URL: 添付ファイル統合のサーバー設定を指定する

  参考 URL: 添付ファイルの統合の仕組み

• DAOS を運用をしていると何らかの理由 (DBの削除など) により、どのデータベース文書から参照されていない「孤立したファイル」が発生することがあります。時折、管理者はこの掃除をする必要があります。以下のコマンドを実行すると孤立したファイルを削除できます。

  tell daosmgr prune <日数>

• Tell DAOSMgr Dbsummary を実行すると、DAOS が有効なすべてのデータベースのステータスが表示されます。

  参考 URL: DAOS Manager の Tell コマンド

2023/4/7 - 読み終える時間: ~1 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

• Domino V12 では、メール受信データベースに関する改良が行われています。具体的には、細かな改良ですが 2つの項目について見直しておきましょう。以下は製品ドキュメントからの転記です。

  「[メール受信データベース/リソース]ビューに、メール受信データベースのインターネット・アドレスが表示されるようになりました。また、そのビューからメール受信データベースを開くための [データベースに移動] ボタンが追加されました。 」

  参考 URL: メール受信データベースの操作性の向上

• メールの統計情報についてひとつおさらいです。日時指定でメールを送信した場合、そのメールはルーター上で保持されます。現時点での保持数を示す統計情報の項目名は Mail.WaitingForSchedule です。「送信日時に向けて待機しているメール」ということで覚えておきましょう。

• メール機能 (1) の最後の項目である DKIM 機能について追記をしました。既に読まれた方は再度確認をお願いします。

2023/4/6 - 読み終える時間: ~1 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

• 「メールの監視」と言えば思いつく機能がいくつかあります。恐らく「メールジャーナリング」が筆頭でしょう。サーバー設定文書で設定した条件に合致した配信中のメールについてルーターが機械的にそのコピーを収集する機能です。大抵の場合、法律の要請に基づき、あるいは監査上の理由により、すべてのメールを対象にしてメールジャーナリングを実施します。

  参考 URL: メールジャーナル

• これに対して「メールトラッキング」はユーザーや管理者が意図的に使用するものです。メールトラッキングは、ユーザーや管理者が特定のメールメッセージをトラッキングして指定した受信者がメッセージを受信したかどうかを確認できます。Mail Tracker Store データベース (MTSTORE.NSF) に収集して保存され、管理者は統計情報として利用できます。

  参考 URL: メールをモニターするためのツール

• メールトラッキングはサーバー単位で設定が可能です。サーバー文書ではなく、サーバー設定文書で設定することを覚えておきましょう。

  詳細を説明すると、[ルーター/SMTP] > [メッセージトラッキング] タブ内の「メッセージトラッキングを許可するユーザー/サーバー」フィールドで設定できます。 このフィールドを空白のままにすると (デフォルト)、このサーバーの LocalDomainServers グループのメンバーだけがメッセージをトラッキングする権限を付与されます。

  参考 URL: サーバーのメッセージトラッキングを設定する

2023/4/4 - 読み終える時間: 2 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

V12 の新機能とあわあせてメールに関して一通りの基本知識が試験では試されます。まずは新機能からおさらいしていきましょう。4つのうち後ろの3つは標準化された機能ですので、仕組みの勉強として理解しておくとよいでしょう。

• データベースのレプリカは、自動的に容量制限も複製されるようになりました。V12 より前は個別に容量制限を設定する必要がありました。意図的に以前の動作にさせるには、notes.ini で DISABLE_REPL_QUOTA=1 を設定します。

  参考 URL: データベース制限値設定の複製

• 国際化ドメイン名 (IDN) のサポートが 12.0.1から始まりました。ドメイン名は一般的に ASCII 文字で構成されていましたが、国際化ドメイン名では非英語圏の文字も使われます。日本語もそうですがドイツ語のウムラウトなど、企業名や組織名の本来の名称でドメインを取得、運用している場合に、それと合致したドメイン名でメールのルーティングができるようになりました。

  日本では、日本語ドメイン名が一時期盛り上がりましたが現在は ASCII 名で落ち着いているようです。ヨーロッパなどの非英語圏では、この機能が重宝されています。

  参考 URL: Domino と国際化ドメイン名 (IDN) を持つドメイン間のメール・ルーティング

• メールのなりすましを軽減するために Sender Policy Framework (SPF) という仕組みが存在しています。これは、IP アドレスを使用して、メッセージの見かけ上の送信者のドメインから許可されたメッセージの送信者として送信側サーバーを認証できます。送信側ドメインは、TXT レコードを使用して DNS に SPF ポリシーを公開します。受信側サーバーは、DNS 参照によって送信側ドメインの SPF ポリシーを取得し、送信側サーバーの IP アドレスがドメインからのメールの許可された送信者として指定されているかどうかを判別するものです。送信側サーバーが許可された送信者でない場合、ポリシーによって SPF 評価の結果を分類する方法が指定されます。この仕組みを Domino V12 では備えています。

  参考 URL: スパムを減らすための Domino SMTP サーバーの構成

• Domino V12 では、ドメインキー識別メール (DKIM) を使用して、内部ユーザーから外部インターネットドメインに送信されたメッセージに署名できるようになりました。

  仕組みの詳細は RFC6376 で定義されています。ざっくり言えば、公開鍵を DNS に公開しておき、メールサーバーから外部へ送信時にメッセージのハッシュ値を秘密鍵で暗号化しヘッダーに不可するものです。受信側はヘッダーを公開鍵で復号し、メッセージのハッシュ値と照合することでメッセージが改変されていないことを確認できます。

  当然ながらキーを Domino 側で作成する必要があります。keymgmt コマンドを使用しますが、作成されたキーは「証明書ストアデータベース (credstore.nsf)」に格納されます。 詳細な手順は下記を参照してください。

  DKIM についてはその仕組みを理解しておくことが重要です。「DKIM 署名キー用に作成したファイルの情報を使用して、DKIM 署名キーの TXT レコードを DNS ドメイン設定に追加する」という作業があることにも注意しましょう。

  参考URL: 外部インターネット・ドメインに送信されるメッセージの DKIM 署名の構成

2023/3/31 - 読み終える時間: 2 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

ポリシー管理関係の話で 3 つほど難しそうなポイントを解説します。

• Notes クライアントの外観色はカラーテーマで制御可能です。では、そのテーマを各ユーザーの Notes クライアントに配布するにはどうすればよいでしょうか。

  カスタマイズされたカラーテーマは notes.ini で配布可能です。notes.ini の配布といえばデスクトップポリシー設定文書です。

  参考 URL: Notes クライアントでカスタムカラーテーマを有効にする

• セキュリティポリシーの中に「ID ボールトを使用した TOTP 認証を許可」という項目がある話は、以前「多要素認証」のブログポストで書きました。個人的に「知っていればなんともないけど、知らないとまったく分からない」問題だと感じたのでもう一度ここで書いてみます。 https://www.hcljapan.co.jp/software/blog/totp-3

  「[ID ボールトを使用した TOTP 認証を許可」を有効にすれば当然「TOTP 認証が済むと ID ボールトから ID ファイルを取り出せる」ようになります。「ID ファイルがあれば暗号化/復号化ができる」のでセキュアなメール環境になる、という流れです。

• 参考 URL: 4. TOTP の安全なメール操作を使用可能にする

• サイズの大きなメールを禁止する設定や 1 通のメールに添付できるファイル数を制限する設定 はよく見かけます。これはメールポリシー設定文書で行います。ポリシーなのでユーザーの属性により設定を柔軟に変更できます。セキュリティポリシー設定文書と勘違いしやすいので注意しましょう。

  参考 URL: 送信制限を超えたメッセージを拒否または許可する

• メールポリシー設定文書では特記事項の付加の設定ができます。この設定はシステム管理プロセスで反映されるのですが実行間隔が 12 時間であり、実際に利用されるまでに時間差が発生しがちです。tell adminp process mailpolicy を実行すれば即時に反映されます。

  参考 URL: メールの特記事項を設定し使用する

2023/3/30 - 読み終える時間: ~1 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

• 登録ポリシーを使うと、登録時の作業を大幅に削減できます。メール環境がクラスタリングされている場合はメールファイルを双方に作成することができます。 「メールレプリカを次の場所に作成」という項目からはクラスタリングのことが思い浮かびにくいですが、この設定を使うことでメールファイルを自動的にクラスタリング状態にできます。

  参考 URL: 登録ポリシー設定文書を作成する

• 定番の管理設定はパスワードの有効期限でしょう。これもポリシーで設定しますが使用するのは「セキュリティポリシー設定文書」です。これはなんとなくわかりますよね。

  参考 URL: 同上

• ポリシーがクライアントに渡っているかを調べる方法もおさらいしておきましょう。Notes クライアントの names.nsf に $Policies という非表示ビューがあります。ここにポリシーが格納されて反映する仕組みになっています。問題の切り分けに便利です。

  HCL Notes and Domino wiki : Domino policies : Troubleshooting Domino Policies

2023/3/30 - 読み終える時間: ~1 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

新機能と従来からの機能を取り混ぜて出題がされます。

• Notes クライアントのインストーラーを配布して実行する自動更新ツール (Auto Update Tool、AUT) という仕組みが Notes/Domino には備わっています。管理者側で設定が終わった後に最終的な配布の段階となった場合に使うツールはポリシーです。

  デスクトップポリシーの画面には AUT を設定する箇所があり、そのデスクトップポリシーをユーザーに配布することで、ユーザーの PCR でインストーラーのダウンロードとインストールが開始されるようになります。「AUT はデスクトップポリシーで」ということを覚えておきましょう。

  参考 URL: デスクトップ設定を使用してクライアントが更新をインストールできるようにする

• デスクトップポリシーついでにもうひとつ。「notes.ini の配布に使うのもデスクトップポリシー」であることを覚えておきましょう。

  参考 URL: デスクトップポリシーを使用して NOTES.INI 設定またはロケーション文書設定を割り当てる

• 複数のポリシーを設定すると「結局、このユーザーには何が設定されているのか」という問題が発生しがちです。そのような場合には管理者クライアントからユーザーを選択し右クリックで「ポリシーの一覧」 を選択します。デフォルトではローカルに「Policy Synopsis データベース (Policysyn.nsf)」に結果が格納されますので、これを開いて確認できます。

  参考 URL: ポリシー一覧ツールを使用して有効ポリシーを決定する

2023/3/27 - 読み終える時間: ~1 分

この記事は、「Domino管理者アップデート認定試験対策」シリーズです。

• トランザクションログが Domino 内蔵のバックアップ機能の要件ですが、トランザクションログには二種類あります。アーカイブと循環方式です。循環方式は上書きされるので、原則としてアーカイブ方式を使うことになります。

  アーカイブ方式のトランザクションログを使用している環境でバックアップを取る場合には特別なパラメーターがあります。-t と -i です。-i は新規取得時で、常用するのは -t です。-t の意味を下記製品ドキュメントで確認しておきましょう。

  あと、-b という定番オプションがあります。これはデータベースとテンプレートのみをバックアップするものです。

  参考URL: バックアップ・サーバー・タスクの実行

• 「Domino バックアップ・データベースをサードパーティーのリストア・アプリケーションと統合すると何が嬉しいか、デメリットはないのか」について見直しておきましょう。

  サードパーティ製品の中には DAOS の添付ファイルに対応したものがあります。Domino 内蔵のバックアップ/リストア機能と比較して、サードパーティ製品で欠けるものはあるでしょうか。答えは「ない」です。下記製品ドキュメントからの抜き出しです。「Domino 統合のリストアで使用できるリストア操作はすべて、サードパーティのリストアで使用できます。たとえば、複製の無効化、レプリカ ID の変更、文書とフォルダのリストアを行う機能などです」。

  分かりにくい文章かもしれません。意図を図りかねる問いがたまに現れることもある、ということです。

  参考URL: サードパーティーのリストアの有効化