给domino系统管理员的十二项建议

1、给domino系统管理员的十二项建议给domino系统管理员的十二项建议domino系统管理员的日常工作就是维护domino系统的正常运行。以下 简要说明了管理员所必做的一些丁作。对于系统管理员，特别是新建系统的 管理员來说，这些建议能帮助他们完成基本的维护工作。根据许多资深的domino管理员和咨询人员的经验，我们对domino系统 管理员们提出了一些建议，以帮助他们维护dornino系统的正常运行。这 些建议是针对domino r5的，而且只涉及到最基本的维护工作，每个系统 管理员还需要根据口己系统的特殊要求进行进一步的维护工作。在提出这些建议z前，必需强调一点：domino 5管理员帮助

2、应当是 所冇维护任务的出发点，管理员在进行维护工作z前一定要查阅管理员帮助 中相应的主题，以确保操作步骤的正确。1. 保存验证者id文件及其口令验证者标识符文件(cert.id及所有组织单元的id文件)是domino系统屮 最重要的的文件。特别是cert.id,所有其它的id文件都是由它创建的。如 果丢失了这个文件或忘记了它的口令，就无法在创建新的服务器和用户了。 因此，从系统建立之初就要注意保存验证者id文件及其口令。一定要将它 保存在安全的地方并作备份，不耍将它放在共享的网络駅动器上；将口令记 录下來，但不要将口令告诉无关的人员。注意不要将口令设为“password” 或其它易猜的单词。2

3、. 定期运行com pact > fixup和updall任务com pact > fixup和updall任务是服务器口身的维护性任务。compact 用于释放数据库屮的无用空间；fixup检测无效的文档和损坏的数据库，并 尝试修复它们；updall巫建视图索引和全文索引。这三个任务至少每周要 运行一次。可以按以下步骤设置它们的运行时间。1) .在dornino管理员客户端中打开要管理的服务器2) .在“配置”标签下，展开“服务器”“程序”，点击“添加程序”严晋保存退出程序基本日程安排管理程序名：compact 命令行：r j运行的服务器：kingserver/tsc注释：r.在

4、dornino管理员客户端屮打开要管理的服务器 .在“个人和群组”标签下，点击“拒绝访问群组”，点击“添加群组”按钮 .在“群组名称”中输入-个名字，如denygroup；将“群组类型”选为“仅 禁止存取列表” .在“成员”中输入或选择耍禁止访问的用八名 .保存并退出此文档 .在“配置”标签下打开要拒绝用户访问的服务器文档 .在“安全性”标签下“拒绝访问的服务器”中输入上而创建的拒绝访问群 3) .在“皋本”标签下，“程序名”中输入任务的名称,即compact、fixup或updall“命令行”屮输入所需的命令行选项“运行的服务器”中输入运行此任务的服务器的层次名4) .在“日程安排”标签下，

5、将口程安排设为“启用”，并按需要设置任务启动 的时间如果到了 com pact > updall和fixup所女扌i啲运行时间，而系统正在执行 其它任务，这三个任务可能不被执行。因此，在设置时间安排时，应当尽量 避免和其它任务以及定时代理重合。可以在服务器的控制台上输入命令 “show schedule”来查看其它程序的时间安排，输入命令“tell amgr schedule”来查看定时代理的时间安排。每个任务都有口己的命令行选项。例如，“updall-r”将会重建已有的索引， 而不加“r”选项时则只是更新冇的索引。必需选择适当的选项以完成所需 的任务。每个任务的选项列表都可以在domi

6、no 5管理员帮助数据库 屮找到。3. 创建拒绝访问群组禁止某些用户访问服务器是i分必要的。当用户离开公司时，需要确保他们 不能使用原來的notes id文件來访问服务器。管理员可以将这些用户的层 次名加入拒绝访问群组來保证这一点。创建拒绝访问群组的步骤如下：组名称，在此例中是denygroupo1謂口 1眼务跚任务internet 协议mta服务器： kingserver/tsc苴他爭务记录筲理服务異脸证；较多名称变化，较低安全性与保存录中旳 motes公用密祸比较：0是否允许匿名的hoz连接o是否狡脸hotes标识符口令：o启用介荼用仅允许列在通讯录中的用否尸访问服o：(拒绝访问的1翳醫1

7、刨逹制取抵库；adnin nx/tsc创逹数据库复本；0<lndn ni/tsc允许使用船观器：*不允许使用监視脣：从浏览異営理朋务掘adnin ni/tsc荃本安全性访阿本服务器.电话呼叫原因:允怦曲自捺提示：创建了拒绝访问样组z厉，管理员删除用户时可以将用户名自动地加 入此群组中，这样，不需手工操作就可以保证每个被删除的用户不再能访问 服务器。4. 了解服务器上的应用要确定服务器所支持的数据库的类型。服务器是主要用于一两个大型数据 库，还是用于多个小的应用数据库？服务器上的应用设计怎样？是否使用了 对性能有较大影响的方式，如在视图中使用口期/时间查询？如果应用数拯 库的设计不合理，管

8、理员所能做的调整不可能起太大作用。管理员还需要留意服务器的口志(log.nsf)o服务器口志屮的信息是了解服 务器及用户活动的关键。特别是口志中的“其它事件”视图，大部分需要观察 的信息都包含在其中。每天都应当浏览log.nsf,从中找出错谋信息和异常 信息，判断服务器是否止常运行。5. 去掉不必要的服务器任务 缺省情况下，dornino服务器会口动启动一组服务器任务，莫中有些任务川 八可能不会用到。去掉这些不必要的任务可以节省系统资源，有利于其他任 务和应用的运行。服务器上口动启动的任务列表在服务器的notes.ini文件中。川任一文本编 辑器打开dornino程序目录中的notes.ini

9、文件,找到mservertasks=m 行，删除其中不需要的任务名称，则下一次启动服务器时，这些任务就不会 再启动了。例如,如果不使jij notes的日历和日程安排功能,可以将 “calcorm” 和 “sched” 任务去掉。在指立时间运行的服务器任务也可以考虑去掉。在服务器的notes.ini文件 屮，找到“servertasksatyi行，其中丫是代表时间的数字(1代表凌晨1 点，5代表凌晨5点，以此类推)，删除其中不需要的任务名称。例如，如 果不使用共享邮件，贝ijmservertasksat2=object collectmailobj.nsf”行中的“object collect

10、 mailobj.nsf可以去掉。下一次重新 启动服务器后，这些被去掉的任务就不会再定时运行了。关于每个服务器任务的名称和用途，可参阅domino 5管理员帮助中 “domino服务器任务”主题。6. 监视存取控制列表(acl)管理员必须保证每个川户対每个数据库都有适合其需要的访问权限。存取控 制列表(acl)是服务器安全性的核心，如果用八能够访问到他不应接触的信 息，则会威胁到服务器的安全和信息的安全。耍想方便地查看每个用八对每个数据库的权限，可以打开服务器上的“ h录 (r5)”数据库，查看“存取控制列表”“按级别”视图。录(r5)”数据库的 文件名是catalog.nsf,它是由服务器h

11、动创建并更新的，如果在服务器上 未找到catalog.nsf,可以在服务器控制台上输入命令“load catalog"来立 即创建它。某些关键数据库的acl必须被严格监控，这包括通讯录(names.nsf)、0 录(catalog.nsf)、服务器口志(log.nsf)及所有包含重要信息的数据库。进一步來说，管理员需要查看哪些川户对数据库具有管理者(manager)权 限。由于管理者hj以改变数据库的acl及其他设置，只应给予需要管理这 些设置的用户这一权限。建议最好使用群组來设置管理者权限。例如，可以 创建名为domainmanagers的群组，将系统管理员的名字加入其中，然后 在

12、数据库的acl 'i'将domainmanagers设为管理者。这样，即使系统管 理员有所变动，也只需修改该群组的定义。在服务器上女装新数据库时，需要注意其acl的缺省设置，特别是default 和anonymous的权限设置。对于重要的数据库，最好不要让default和 anonymous的权限高于“不能存取者”。当服务器可以从web上进行访问 时，anonymous或default的权限高于“不能存取者”时会更为危险。7. 操作系统和dom ino的补钉程序各种操作系统都会发布一些补钉程序，用于修补所发现的错误和漏洞。管理 员应该留意这些补钉程序，并将需要的补钉程序及时安装

13、在服务器上。对于windows nt 4.0,目前最新的补钉程序是service pack 6a。注意 在service pack 6上运行domino时会有严重的问题,因此一定要使用 6a而不是6。在unix操作系统(如aix、solaris. hp-ux)±安装dornino时，都要求 必须安装某些补钉程序。具体要求的补钉程序编号可参阅release notes : domino / notes 5.0.x。domino木身会不断发布新的维护版木，口j以到上查阅每 个版本的改进，以决定是否将目前使用的版木升级。8. 检查备份操作管理员必需设定固定的备份流程。一般来说，需要备份do

14、mino服务器上 的所有数据文件，包插数据库、模板文件、notes.ini文件和id文件。固定、可靠的备份对domino服务器来说十分重要。进行备份时，所用的 备份软件必须支持对打开的文件的备份。这是因为通讯录(names.nsf)和服 务器口志(log.nsf)等数据库在服务器运行时总是打开的，如果备份软件没有 这个功能，那么这些关键数据库就得不到备份。除了定期(一般是每天)备份外，定期检查备份所用的介质(如磁带)也是必要 的。这样可以避免因介质损坏而引起的不必要的损失。9. 监测服务器在dornino服务器上，有一个用于监测服务器状态的数据库：statistics & events

15、数据库(events4.nsf)。当服务器的状态达到或超过管理员设定的 警戒值时，它还可以口动提醒管理员。管理员应该建立监视器來监测服务器的一些基木状态，如：1) .重要数据库的 acl change monitor为 names.nsfx log.nsg、catalog.nsf 等重要数据库建立 acl change monitoro当指定数据库的acl发主改变时，向管理员的邮箱中发送警告信 息。2) .磁盘空间的 statistic monitor为服务器上的每个逻辑盘创建statistic monitor。当磁盘上的剩余空间少 于25% w，向管理员的邮箱屮发送警告信息。以免服务器因耗尽

16、磁盘空间 而死机。10.强制用户改变口令用户一般不会自己去改变id文件的口令，为了提高安全性，应该强制用户 定期修改口令。设置的步骤如下：1) .编辑要设置的服务器文档2) .在“安全性”标签下，将“校验notes标识符口令”设为“启用”3) .在“个人”视图中选中要强制修改口令的用户，选择“操作”，“设置口令域”4) .选择“检查口令”，在“必须的更改时间间隔”和“宽限期”中输入适当的天 数注意服务器文档和个人文档都需要配置。如果只设置了其中一个，则校验口 令的功能不会起作用。另外，校验口令的另一主要功能是仅允许包含最新口令的id文件访问服务 器。管理员应提醒用户在每次修改口令之后，重新备份自己的id文件。因 为原來备份的id文件己失效了。domino服务器会记忆用户以前使用的口令，ii在修改口令时不允许川八再 次使用以前用过的口令。因此，如果强制修改口令的频率太高，用户需要不 断记住新的口令。为了减少用户的麻烦，“必须的更改时间间隔”建议为90 至180天。1 1.拷贝数据库模板dornino的光盘上带有许多模板。当不同的用户从光盘安装时，同一个模板 的复本id (replica id)都相同。因此，当两台服务器复制时，可以看到 相应的模板也在复制。如果不希望复制这些模板，可以为这些模板新建拷贝。 新建拷贝不是指操作系统级的文件拷贝或更名，而是指创建具有不同复木 id的