i b m c o n n e c t i o n s a d m i n b l as t - admincampfile/t3s8-ibmconnectionsadminblast.pdf ·...
TRANSCRIPT
1 @stoeps Admincamp 2018 #ibmcnxadminblast
IBM Connections Adminblast
Christoph Stoettner+49 173 8588719
2 @stoeps Admincamp 2018 #ibmcnxadminblast
+49 173 8588719 christophstoettner
Christoph StoettnerSenior Consultant bei
IBM Domino seit 1999IBM Connections seit 2009
SchwerpunktMigrationen, InstallationenPerformance Analysen
Focus aufMonitoring, Securitypanagenda ConnectionsExpert
[email protected] linkedin.com/in/christophstoettner stoeps.de
@stoeps
panagenda
3 @stoeps Admincamp 2018 #ibmcnxadminblast
1. Funktionieren die PUSH NotificationsApple Push Notification Service Zertifikate am 23.08.2018abgelaufen
Update fürIBM Connections Mobile v6.0 CR2IBM Connections Mobile v6.0 CR1IBM Connections Mobile v5.5 CR3IBM Connections Mobile v5.0 CR4
LO94020 - IBM Connections APNS certificates expiring on 23 Aug 2018 LO92576 - IBM Connections APNS certificates expiring on 20 Sep 2017
4 @stoeps Admincamp 2018 #ibmcnxadminblast
2a. Benutzer mit minimalen RechtenWebSphere Dienst stoppen benötigt Username/Passwort$DMGR/properties/soap.client.props
Absichern mit bin/PropFilePasswordEncoder.sh|bat
Konfiguration DienstAbsichern mit -encodeParams
Klartext
Beide Varianten nicht sicher, aber besser als Passwort im Klartext in der History!
5 @stoeps Admincamp 2018 #ibmcnxadminblast
2b. Benutzer mit minimalen Rechten fürWebSphere Dienst
Sicherheit erhöhenLokalen WebSphere Benutzer mit Rolle Operator anlegen
6 @stoeps Admincamp 2018 #ibmcnxadminblast
3. Surveys Setup mit IBM Connections 6Java 1.8 Voraussetzung mit Connections 6
$$WEBSPHERE_ROOT/java(_1.8_64)/jre/lib/stax.properties
Server Types ▸ Web Servers ▸ Servername ▸ Plugin-In Properties ▸ Caching
javax.xml.stream.XMLInputFactory=com.ibm.xml.xlxp.api.stax.XMLInputFactoryImpl javax.xml.stream.XMLOutputFactory=com.ibm.xml.xlxp.api.stax.XMLOutputFactoryImpl
Edge Side Include (ESI) deaktivieren
7 @stoeps Admincamp 2018 #ibmcnxadminblast
4. globalSenderEmailAddressEmpfehlung bisher: alwaysUseGlobalSender
notification-config.xml
5.5 - 6.0: Reply-To in Emails auf [email protected]
"alle" Mailadressen in notification-config.xml ersetzenRegex: \w*-
VIM Notepad++
<property name="globalSenderEmailAddress">[email protected]</property> <property name="alwaysUseGlobalSender">true</property> <property name="globalSenderName">Connections Newsletter</property>
8 @stoeps Admincamp 2018 #ibmcnxadminblast
5. Orient Me Install Cheat SheetMount Punkte definieren/pv-connections
/var/lib
Keine hosts Einträge benutzenAlles läuft in Containern (die haben eigene hosts)
Server müssen im DNS auflösbar seinWorkaround: Container mit Bind9
Setup benötigt InternetzugriffProxy mit Username/Passwort problematisch
Meisenzahl.org - All you need to know about Orient Me
9 @stoeps Admincamp 2018 #ibmcnxadminblast
6. WAS & 4096-bit SSL KeysSeit Java SDK SR5 FP10:
Unlimited Policy aktivkein Tausch mehr notwendig
Ohne SDK → Policy tauschenUm die alten Policies zu aktivierencrypto.policy=limited in java.security
JCE code signing certificate expires in October 2018
Ablauf hat keinen Einfluss auf die FunktionUpdate auf Java SDK SR5 FP20
10 @stoeps Admincamp 2018 #ibmcnxadminblast
6a. Ohne Java SDK Installation Kopieren nach: WEBSPHERE_ROOT/java/jre/lib/security
Nach jedem WebSphere Update wiederholen
Auf allen WebSphere Servern der Umgebung
Unrestricted SDK JCE policy files
11 @stoeps Admincamp 2018 #ibmcnxadminblast
Wurde bei Multinode Installationenempfohlen
Connections versucht die Seedlist perhttps zu holenKein TLS 1.2 Support
DefaultConnections interner Request (ohne https)Unterstützt auch Multinode
7. Community Katalog Seedlist nicht ändern
https://connectionshost.example.com
https://localhost
12 @stoeps Admincamp 2018 #ibmcnxadminblast
8. Seedlists nicht regelmäßig prüfenSeedlist Validierung löscht die temporären Dateien nicht
bei jedem Test werden die Seedlists gespeichertje nach Umgebung mehrere GB pro MonatDATA_LOCAL/search/persistence/seedlist*.attempted.xml
Wann?Seedlist Check über
wsadmin: SearchService.validateSeedlist()https://connectionshost.example.com/search/serverStatus
13 @stoeps Admincamp 2018 #ibmcnxadminblast
9. Textbox.io KonfigurationDokumentation:
/opt/ephox/application.conf
BOOTDRIVE:\opt\ephox\application.confmuss WebSphere Drive heissen!
Application Server ▸ JVM Generic Properties für alle OS
1 bis Connections 5.5CR1 notwendig, danach weglassen
-Dephox.allowed-origins.origins.0=https://cnx.example.com -Dephox.allowed-origins.origins.1=http://cnx.example.com -Dephox.allowed-origins.url=https://cnx.example.com/ephox-allowed-origins/cors 1
14 @stoeps Admincamp 2018 #ibmcnxadminblast
10. SPNEGO und LimitRequestFieldSizeManche Benutzer können u.U. SPNEGO nicht nutzen
Mitglied vieler Gruppenhäufig VIP BenutzerFehler: HTTP 400 - Bad Request (Request header too long)
SPNEGO authentication header kann bis zu 12392 Bytes benutzenIHS Default: LimitRequestFieldSize 8192 Bytes
Alle Gruppen des Benutzers im Header
httpd.conf
LimitRequestFieldSize 16384
15 @stoeps Admincamp 2018 #ibmcnxadminblast
11. Datenbank TuningDB2 Maintenance Skripts beschleunigen ConnectionsCONNECTIONS_ROOT\xkit\connections.sql
Reihenfolge beachten (db2 -tvf <script>)Runstat.sql
Reorg.sql
Runstat.sql
Regelmäßig ausführenNur für Connections Core Applikationen verfügbar
Meisenzahl.org: Connections Database Performance Tuning
16 @stoeps Admincamp 2018 #ibmcnxadminblast
12. Download Connections 6.0 SoftwareListe mit Part Nummern
Leider nicht alles enthaltenGuter Ausgangspunkt
http://www-01.ibm.com/support/docview.wss?uid=swg24043485
17 @stoeps Admincamp 2018 #ibmcnxadminblast
13. Homepage DB wird riesigMehrmals bei Kunden aufgefallenHomepage Datenbank wächst und wächst
Rekord im Augenblick 150 GB
Tabelle: SR_INDEX_DOCSZwei Ursachen
SearchNodes nach Migration nicht bereinigt
Message Store defekt
Message Store reparieren / löschen und nach Neustart behoben
Removing a node from the index management table
SR_INDEX_DOCS table in Homepage database grows unexpectedly
18 @stoeps Admincamp 2018 #ibmcnxadminblast
14. Suchindex OptimierenVerwenden Sie nur ein Wörterbuch/Dictionary
Probleme seit Verbindungen 2.5
Aktivieren Sie "Akzentunabhängige Suche"/Accent-insensitiveSearch
Sie finden "René" bei der Suche nach "Rene"
Aktivieren Sie "1 to 2 Matching"Sie finden "Stoettner" bei der Suche nach "Stöttner"
Integrieren Sie die "Die Einstellung Ignore punctation funktioniert nicht
Die Suche nach "IBM" zeigt "I.B.M." nicht in den Ergebnissen an
Typeahead Suche (Apache Solr)
19 @stoeps Admincamp 2018 #ibmcnxadminblast
15. Orient Me SizingCFC Master, Boot, Proxy node
4 CPU, 2.x GHZ, 8GB memory, and at least 100GB disk
Worker node8 CPU, 2.x GHZ, 24GB memory, and 100GB disk
Storage (MongoDB, Solr)100GB disk
Sie möchten eine kleine Orient Me Entwicklungsumgebungbetreiben?
6.0.0.1+ benötigt min. 8 KerneDas ist möglich, wird aber nicht unterstützt! Downsizing von Orient Me
20 @stoeps Admincamp 2018 #ibmcnxadminblast
16. How-to: Set EMPLOYEE_EXTENED Rolle füralle Benutzer
Change role using a wsadmin call
Changing role directly within the database is not supported!
Export all user mail addresses using a SQL exportconnect to peopledb; EXPORT TO mail.txt OF DEL MODIFIED by NOCHARDEL select e.PROF_MAIL FROM EMPINST.EMPLOYEE e inner join EMPINST.EMP_ROLE_MAP r on r.PROF_KEY=e.PROF_KEY where r.ROLE_ID!='employee.extended'; connect reset;
execfile("profilesAdmin.py") ProfilesService.setBatchRole(EMPLOYEE_EXTENDED, "mail.txt")
21 @stoeps Admincamp 2018 #ibmcnxadminblast
17. FNGCD / FNOS wird riesigProblem Beschreibung
Migrierte FileNet InstanzconnectionsAdmin und filenetAdmin = wasadmin
fileRegistry.xml nicht angepaßt
System stürzte nachts während Backup abFilenet Datenbank > 200GB
ca. 8 Log-Messages pro Sekunde in die DB geschriebenWortlaut der Fehlermeldung "Missing admin rights"
Nie komplett behoben, da CCM in dem System kurz daraufdeaktiviert wurde.
22 @stoeps Admincamp 2018 #ibmcnxadminblast
18. Read-only ProfilfelderProfil-Felder auf read-only wenn vom LDAP synchronisiert
Überprüfen Sie ihre Konfiguration
Wir sehen das sehr häufigBenutzer ändert seine Beschreibung oder Mobiltelefonnummerbeim nächsten TDI Sync → Feld leer oder veraltet
profiles-types.xml: ersetzen von readwrite mit read
23 @stoeps Admincamp 2018 #ibmcnxadminblast
19. ACCE (FileNet Admin Interface) Loginfunktioniert nicht
HTTPServer/acce von der Komprimierung mit mod_deflate ausnehmen
Englisch als Browser Sprache verwenden
SetEnvIf Request_URI ^/acce(.*) no-gzip dont-vary
24 @stoeps Admincamp 2018 #ibmcnxadminblast
20. Surveys Setup: Browser languageBei Neuinstallation oder Upgrade Fehlermeldung beim Zugriff auf /surveys
Forms Experience Builder Url geändert /forms → /surveys
Funktioniert nicht mit nicht-englischen BrowsersprachenDie Benutzeroberfläche ist nur auf Englisch verfügbar
Verwenden Sie den tragbaren Firefox
25 @stoeps Admincamp 2018 #ibmcnxadminblast
21. Interesse an Orient Me und CustomizerBeschäftigen Sie sich mit
KubernetesDocker, Calico, Helm, GlusterfsIBM Cloud PrivateRed Hat Openshift
Connections "pink" mit CR3 wird ohne gebundeltes ICP geliefertHelm Skripte kümmern sich um die Installation der Anwendungen
IBM Cloud Private ist eine der einfacheren Möglichkeiten eine private Cloud mit Kubernetes aufzusetzen.
26 @stoeps Admincamp 2018 #ibmcnxadminblast
22. Connections Tasks nach UpdateTemp Verzeichnis nach Installation und Update löschenAPPSERVER_PROFILE/temp/*
APPSERVER_PROFILE/wstemp/*
Oft Problem mit langen Pfaden (Popup)
1 Leeres Verzeichnis anlegen2 Leeren Inhalt nach temp kopieren
Ansonsten kommt es zu unterschiedlichen UI Bugs (altes Layout)
cd D:\IBM\WebSphere\AppServer\profiles\AppSrv01 mkdir empty robocopy /purge empty temp robocopy /purge empty wstemp rmdir empty
1
2
27 @stoeps Admincamp 2018 #ibmcnxadminblast
23. Debug FileNet ohne ACCEProbleme beim FileNet Start und kein Zugriff auf /acce
Debug Settings als Generic JVM Arguments
-DskipTLC=true -Dlog4j.configuration=file://log4j.xml
Debugging FileNet Issues without using ACCE
28 @stoeps Admincamp 2018 #ibmcnxadminblast
24. Komprimierung am HTTP Server aktivieren
An Tip #19 denken.
LoadModule deflate_module modules/mod_deflate.so DeflateCompressionLevel 6 AddOutputFilterByType DEFLATE application/atom+xml AddOutputFilterByType DEFLATE application/atomcat+xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/json AddOutputFilterByType DEFLATE application/octet-stream AddOutputFilterByType DEFLATE application/x-javascript AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/javascript AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/xsl SetEnvIf Request_URI ^/acce(.*) no-gzip dont-vary SetEnvIfNoCase Request_URI \\.(zip|exe|jar|gz|jpe?g|png)$ no-gzip dont-vary Header append Vary User-Agent env=!dont-vary
29 @stoeps Admincamp 2018 #ibmcnxadminblast
25. Nach FileNet und IBM Docs UpdatesApplikation zum Webserver mappen
Applications ▸ IBM Docs ▸ Manage ModulsFileNet & Navigator
Docs, Viewer & Conversion
Sonst sind die Applikationen nicht erreichbar!
30 @stoeps Admincamp 2018 #ibmcnxadminblast
26. serviceReference prüfenLotusConnections-config.xml
Es gab einige Probleme in früheren VersionenSind Einträge für /viewer und /docs vorhanden oder doppelt → CCM-Integration funktioniert nicht → Zugriff auf die Dateivorschau über Activity Stream nicht möglich
<sloc:serviceReference bootstrapHost="admin_replace" bootstrapPort="admin_replace" clusterName="" enabled="true" serviceName="docs" ssl_enabled="true"> <sloc:href> <sloc:hrefPathPrefix>/docs</sloc:hrefPathPrefix> <sloc:static href="http://connections.example.com" ssl_href="https://connections.example.com"/> <sloc:interService href="admin_replace"/> </sloc:href> </sloc:serviceReference>
31 @stoeps Admincamp 2018 #ibmcnxadminblast
27. Neue Orient Me InstallationenVerwenden Sie die neueste Fix-Version (6.0.0.5)Ältere Versionen werden nicht erfolgreich installiert!Beserer Proxy SupportJedes Fix-Release benötigt eine vollständige Deinstallation undNeuinstallation
Das ändert sich hoffentlich mit 6.0.0.6 (parallel zu CR3)
Mountpoints haben sich seit 6.0.0.1 geändertÜberprüfen ob evtl noch Daten in /pv
Neuer Mountpoint: /pv-connections
32 @stoeps Admincamp 2018 #ibmcnxadminblast
28. Communities per Skript löschenDer erste REST-Aufruf legt die Community in den PapierkorbDer zweite Aufruf löscht dann endgültig
Bei der Erstellung von Communities im Rahmen des Monitoringssollten Sie den REST-Aufruf zweimal ausführen!
Deleting communities programmatically
33 @stoeps Admincamp 2018 #ibmcnxadminblast
29. Nach jedem Update: Connections DatenbankSkripte (DB2)
Überprüfen von NUMDB Wert nach jedem Connections DB Update
Skripte enthalten z.T. Änderungen des NUMDB
Bei zu kleinem NUMDB startet mindestens eine Applikation nicht!
db2 get dbm cfg | grep NUMDB
34 @stoeps Admincamp 2018 #ibmcnxadminblast
30. Oracle: Benutzer Passwort Ablauf prüfenOracle DB Benutzer erstellt mit Connections WizardOracle Standard Passwortgültigkeit ist 365 Tage
SQLALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED
35 @stoeps Admincamp 2018 #ibmcnxadminblast
31. Debug Benutzer SynchronisationTDISOL/etc/profiles_tdi.properties)
1 update, profile, collect, managers2 debug, fine, finer, all3 temporäre Dateien bleiben erhalten
Zurückstellen nicht vergessen! Performance und Plattenplatz
source_ldap_debug=true debug_*=true trace_profile_tdi_javascript=* sync_updates_clean_temp_files=false
1
2
3
log4j.rootCategory=DEBUG, Default
36 @stoeps Admincamp 2018 #ibmcnxadminblast
32. Connections und Docs mit UNC Pfad Nach Installation und Updates unbedingt Konfiguration überprüfenWebSphere Variablen: Backslash in Forwardslash konvertierensib-engine.xml: Hier Backslash verwenden
Oder WebSphere Variable ${MESSAGE_STORE_PATH} definierensib-engine.xml Pfad mit Variable
mklink /d Link Target verwenden
INSTALL PROBLEM FOR WEBSPHERE CLUSTER SETTINGS WITHUNC SHARES
37 @stoeps Admincamp 2018 #ibmcnxadminblast
33. Import der DB2 LizenzDB2 funktioniert nach der Installation für 90 Tage ohne LizenzAb DB2 11.x enthält die Lizenz auch den Servertyp
ESE
In DB2 10.5 FP8 war in der Connections DB2 Lizenz kein TSAMPSupport mit HADR enthalten
# Prüfen der Lizenz db2licm -l Expiry date: "Permanent"
38 @stoeps Admincamp 2018 #ibmcnxadminblast
34. Debug Windows Connections PluginDITrace.exe starten INSTALLATIONSPFAD/Connections Desktop Plugins
Fehler reproduzierenTrace Log mit DITrace.exe speichern
hängt sich zwischen alle HTTP Requests, traced also auchNotes und Desktop Plugins
Collecting Data: IBM Connections Desktop Plugins for MSWindows and Office
Fiddler4
39 @stoeps Admincamp 2018 #ibmcnxadminblast
35. Connections & Google Chrome 60Immer wieder Probleme nach Chrome 6x Updates
Oft alle Connections Versionen betroffen
Kommentare auf Statusupdates gehen nichtCommunity Events können nicht erstellt werdenFür Chrome 60 gab es Updates
http://www-01.ibm.com/support/docview.wss?uid=swg22007236
40 @stoeps Admincamp 2018 #ibmcnxadminblast
36. Strong ciphers configurationhttpd.conf
Schwierig mit IHS eine höhere Stufe zu bekommenTips meistens für Apache
IHS nutzt eigenes SSL Module
SSLCipherSpec ALL NONE SSLCipherSpec ALL +TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec ALL +TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec ALL +TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 SSLCipherSpec ALL +TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL +TLS_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec ALL +TLS_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL +TLS_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec ALL +TLS_RSA_WITH_AES_256_CBC_SHA256 Notes 8.5.x and < TLS 1.2 support (SSL LABS B) SSLCipherSpec ALL +TLS_RSA_WITH_AES_128_CBC_SHA SSLCipherSpec ALL +TLS_RSA_WITH_AES_256_CBC_SHA
41 @stoeps Admincamp 2018 #ibmcnxadminblast
37. Connections Browser Push NotificationAb Connections 5.5Neue Applikation: PushNotification
Verwendet long-polling RequestsClient sendet POST Request an /push/form/comet/connect
Unabhängig von "Desktop Notification erlauben"!
Server hält den Request offenClient sendet immer neue Requests
42 @stoeps Admincamp 2018 #ibmcnxadminblast
38. Sprache der Logs ändernEnglische Fehlermeldungen bei Recherche leichter zu findenIBM Support hat meist Probleme mit dem Lesen von non-englishLogWebSphere JVM Generic Properties aller AppServer,nodeaget und dmgr
TDI: Editieren von ibmdisrv.sh/bat
-Duser.language=en -Duser.region=US
LOG_4J="-Dlog4j.configuration=file:etc/log4j.properties” -Duser.language=en -Duser.region=US
43 @stoeps Admincamp 2018 #ibmcnxadminblast
39. mod_proxy Konfiguration absichern
1 In IBM Blogposts oft weggelassen, WICHTIG!2 Einschränken auf interne IPs falls möglich
LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass /abc http://<fqdn>/abc ProxyPassReverse /abc http://<fqdn>/abc
1
2
44 @stoeps Admincamp 2018 #ibmcnxadminblast
40a. Log Rotation konfigurierenWebsphere (AppServer, Node Agents, Dmgr)
Application servers ▸ AppServer ▸ JVM LogsConnections installer (5.5 only)
Rollover 24 Stunden, History 30 Tage
Nach Updates und Installation Einstellungen überprüfen
DB2db2 update dbm cfg using diagsize 256
45 @stoeps Admincamp 2018 #ibmcnxadminblast
40b. Log Rotation konfigurierenTDI
TDISOL/etc/log4j.properties
IHS
httpd.conf
Für IHS und DB2 cronjob um alte Logs zu löschen!
log4j.appender.Default=org.apache.log4j.RollingFileAppender log4j.appender.Default.MaxFileSize=10MB log4j.appender.Default.MaxBackupIndex=10
ErrorLog "|/IHS_ROOT/bin/rotatelog –l IHS_ROOT/log/error_log.%Y.%m.%d 10M" CustomLog"|/IHS_ROOT/bin/rotatelog –l IHS_ROOT/log/access_log.%Y.%m.%d 10M" common
46 @stoeps Admincamp 2018 #ibmcnxadminblast
41. Orient Me & SPNEGOSSO klappt nicht ohne AnpassungConfigmap connections-env muss angepaßt werden
Pods neu deployenorient-webclient-*itm-services-*
ic-homepage-url: https://cnx6.pana.local/social/auth/blue-auth
47 @stoeps Admincamp 2018 #ibmcnxadminblast
42. Monitoring WebSphereMit PMI
Analyze der zentralen WebSphere EinstellungenConnections Pool Size, Heap Size, Offene DB Verbindungen
Bereits mit WebSphere installiert
Using Health CenterInklusive CPU, I/O, Java runtime, ThreadsEclipse IDE Plugin
Performance Monitoring Infrastructure (PMI)
IBM Monitoring and Diagnostic Tools
48 @stoeps Admincamp 2018 #ibmcnxadminblast
43. How-to: Zusätzliche Profile Types anlegenWozu?
Anpassungen der angezeigten oder verfügbaren ProfilfelderAktivieren und deaktivieren von Widgets1. map_dbrepos_from_source.properties
profileType zuordnen2. profiles-types.xml anpassen
Default muss immer am Ende der Datei definiert werden1. widgets-config.xml anpassen
<layout resourceSubType=”<customprofile>”> … </layout>
49 @stoeps Admincamp 2018 #ibmcnxadminblast
44. Orient Me & https onlyAnpassung an der connections-env configmap
Delete orient-webclient-* and itm-services-* PodsErstellen sich automatisch neu
kubectl edit configmaps
kubectl get pods -n connections -o wide orient-webclient-2180930634-d6k12 orient-webclient-2180930634-m1wq6 orient-webclient-2180930634-qxl61 kubectl delete pods -n connections orient-webclient-2180930634-d6k12 ...
Configuring Connections server to only allow https traffic
50 @stoeps Admincamp 2018 #ibmcnxadminblast
45. Mobile Push mit Forward ProxyOhne direkte Verbindung zu den Apple und Google Push Gateways
Verwenden eines Forward Proxy
mobile-config.xml
Authenfizierung über J2C AliasproxyMobilePushNotificationJAASAuth
<ProxyHost>proxy.example.com</ProxyHost> <ProxyPort>3128</ProxyPort>
51 @stoeps Admincamp 2018 #ibmcnxadminblast
47. Post-upgrade Task: 5.5 CR2 Surveys/forms wurde zu /surveys umbenannt
Rewrite /forms um kaputte Links zu vermeiden
httpd.conf
Testen nicht vergessen.
RewriteRule ^/forms/(.*)$ https://%{SERVER_NAME}/surveys/$1 [NE,L,R]
52 @stoeps Admincamp 2018 #ibmcnxadminblast
48. wsadmin Funktionalität in Linux erweitern wsadmin.sh bietet keine Historie von Befehlen oder Navigation
mit Pfeiltastenrlwrap bringt die fehlenden Funktionen
Alias in ~/.bashrc einrichten
Das klappt auch mit anderen Kommandozeilentools wie db2 oderSQLPLUS
https://github.com/hanslub42/rlwrap
rlwrap ./wsadmin.sh –lang jython
alias wsadmin='cd /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/bin;rlwrap ./wsadmin.sh -lang jython'
53 @stoeps Admincamp 2018 #ibmcnxadminblast
49. LDAP Gruppen 2+ Domino LDAPConnections Umgebungen mit mehr als einem Domino Directoryz.B. interne und externe BenutzerRepositories müssen mit Base DN angelegt werdenroot klappt nur mit einem Domino LDAP
für root mit WebSphere 8.5.5.12+13 wird extra Fix benötigt!
Editieren der wimconfig.xml PI88438
# Old: <config:baseEntries name="o=pana" nameInRepository="o=pana"/> NEW: <config:baseEntries name="o=pana" nameInRepository=""/>
54 @stoeps Admincamp 2018 #ibmcnxadminblast
httpd.conf
1 Admin-IP oder Netz, bzw. Monitoring-Server hinzufügen
50. Monitoring IHS
LoadModule status_module modules/mod_status.so <IfModule mod_status.c> ExtendedStatus On <Location /server-status> SetHandler server-status Order deny, allow Allow from 127.0.0.1 </Location> </IfModule>
1
55 @stoeps Admincamp 2018 #ibmcnxadminblast
51. connectionsAdmin J2C roleNicht den lokalen WebSphere Admin verwendenEs kommt immer wieder zu Problemen mit lokalen Admins ohneProfil in Connections
Thumbnails in Gallery (3.0)CCM und Docs lassen nach gewisser Zeit keine Anmeldung zuCCM Datenmigration viel einfacher
connectionsAdmin kann man ändern, auch das Kennwort
Change password of connectionsAdmin
56 @stoeps Admincamp 2018 #ibmcnxadminblast
52. Variablen in der widgets-config.xmlverwenden
Widget Dokumentationen zeigen oft Pfade im Shared DirectoryOder schlimmer → Dateiein in die ear kopieren
Gehen bei Updates verloren
BesserDateien in {CONNECTIONS_CUSTOMIZATION_PATH}/communities
{communitiesSvcRef} verweist auf diesen Pfad
Sollte sich der Pfad einmal ändern, reicht es die WebSphere Variablezu ändern
57 @stoeps Admincamp 2018 #ibmcnxadminblast
53. Orient Me: Indices Cleaner JobConnections pink verwendet für die Indices ElasticsearchIndices werden nach 3 bzw 5 Tagen gelöschtOder Platte läuft voll2 Möglichkeiten
Skript erstellen und über cronjob ausführen
Docker Storage Driver auf Devicemapper ändernDevicemapper ist die empfohlene Konfiguration für RHEL und CentOS (von Docker)Inzwischen auch vom ICP Installer supportet
Orient Me, Elasticsearch and Disk space
Orient Me: Rethink your Docker storage driver configuration
58 @stoeps Admincamp 2018 #ibmcnxadminblast
54. Preview Source mit IBM Docs ViewerGatekeeper Url
Gatekeeper Zugriff über Admin Rolle in der Common App!
FILEVIEWER_PREVIEW_TEXT suchen und auf True stellen
Gatekeeper ist offiziell nicht supportet.
https://your-connections-fqhn/connections/config
59 @stoeps Admincamp 2018 #ibmcnxadminblast
55. TDI → Sync_update_hash_fieldTDI deckt Userlifecycle komplett absync_update_hash_field: uid [Default]|guid|email
Umbenennung ändert uid und email
Auf Basis des Feldes werden Hashes in DB und LDAP erstelltGleiche Hashes → User mapping zwischen DB und LDAPHash nur im LDAP → Neuer User wird angelegtHash nur in DB → User wird deaktiviert
Wenn hier UID verwendet wird, Wiederverwendung der Anmeldenamen klären.
60 @stoeps Admincamp 2018 #ibmcnxadminblast
56. populate_from_dn_file.shSiehe auch Tip #55Unabhängig vom sync_update_hash_field
Lösung wenn sich die guid einmal ändertCopy & Paste des PersonendokumentsBenutzer wird nach Kündigung oder Elternzeit neu angelegt
collect.dns und populate_from_dn_file.sh benutzenSynchronisiert auf Basis des $DN
61 @stoeps Admincamp 2018 #ibmcnxadminblast
57. Alias für LCC, DMGR und nodeLogs Terminals sind prima
Geschwindigkeit erhöhenAliase in .bashrc erstellen
1 Variablen Definition von Alias getrennt → wiederverwendbar2 Startet wsadmin im Dmgr-Profil von überall ausgeführt
export WAS_HOME=/opt/IBM/WebSphere/AppServer export dmgrPrf=Dmgr01 export nodePrf=CnxNode01 alias dmgrBin='cd $WAS_HOME/profiles/$dmgrPrf/bin' alias wsadmin='cd $WAS_HOME/profiles/$dmgrPrf/bin; rlwrap ./wsadmin.sh -lang jython;cd -' alias nodeBin='cd $WAS_HOME/profiles/$nodePrf/bin' alias nodeLogs='cd $WAS_HOME/profiles/$nodePrf/logs' alias LCC='cd /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/config/cells/CNX6Cell01/LotusConnections-calias DCC='cd /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/config/cells/CNX6Cell01/IBMDocs-config'
1
2
62 @stoeps Admincamp 2018 #ibmcnxadminblast
58a. Batchmode in wsadmin SkriptenJython Kommandos in Skripts verwendenMultinode Umgebungen: Abfrage beim execfile('xxxAdmin.py')
newsAdmin.py 12 Mal Dialog beantworten → LANGWEILIG!
Einfach am Beginn des Skripts batchMode=1 setzen
batchMode=1 execfile("newsAdmin.py")
How to run a batch of wsadmin admin commands
63 @stoeps Admincamp 2018 #ibmcnxadminblast
58b. Batchmode in wsadmin SkriptenSkript ohne batchMode
1 Ctrl-C oder 1|2
Skript mit batchMode=1
[root@cnx1 bin]# ./wsadmin.sh -lang jython -username admin -password xxx -f search-test.py WASX7209I: Connected to process "dmgr" on node CNX6CellManager01 using SOAP connector; The typ... 1: WebSphere:cell=CNX6Cell01,name=SearchService,type=LotusConnections,node=brittanyNode01,proce... 2: WebSphere:cell=CNX6Cell01,name=SearchService,type=LotusConnections,node=cnx-p60-was-02Node01... Which service do you want to connect to?
1
[root@cnx1 bin]# ./wsadmin.sh -lang jython -username admin -password xxx -f search-test.py WASX7209I: Connected to process "dmgr" on node CNX6CellManager01 using SOAP connector; The type ... 1: WebSphere:cell=CNX6Cell01,name=SearchService,type=LotusConnections,node=brittanyNode01,process... 2: WebSphere:cell=CNX6Cell01,name=SearchService,type=LotusConnections,node=cnx-p60-was-02Node01,p... Connecting to WebSphere:name=SearchAdminService,type=LotusConnections,cell=CNX6Cell01,node=britta... Search Administration initialized
64 @stoeps Admincamp 2018 #ibmcnxadminblast
59. Widgets registrierenSeit Connections 6.0 CR1 müssen Widgets registriert werdenEin nicht registriertes Widget →
CR1 - komplette Community Overview lädt nichtCR2 - nur das Widget lädt nicht
1 Oder zwölf Mal die 1 drücken2 In einer Zeile
batchMode=1 execfile("newsAdmin.py") WIDGET1=NewsWidgetCatalogService.addWidget(title="CE Community Usage widget", \ text="CE Community Usage widget", url="https://YOUR_CE_URL/gadgets/communitystats.xml", \ categoryName=WidgetCategories.NONE, isGadget=FALSE,appContexts=[WidgetContexts.EMBEDXP],\ policyFlags=[GadgetPolicyFlags.TRUSTED], prereqs=["communities"]) NewsWidgetCatalogService.enableWidget(WIDGET1) NewsWidgetCatalogService.clearWidgetCaches()
1
2
65 @stoeps Admincamp 2018 #ibmcnxadminblast
60. sync_store_source_urlBei der Verwendung mehrerer TDISOL Verzeichnisse
Update funktioniert manchmal nicht → Assemblyline fühlt sich nicht mehr zuständig → Benutzer nicht mehr aktualisiert → Benutzer nicht deaktiviert wenn nicht mehr im LDAP
Update des DB Feldes mittels SQL
Direkte Änderungen der Datenbanken sind nicht supportet!
sync_store_source_url=true sync_source_url_enforce=true sync_source_url_override=true
66 @stoeps Admincamp 2018 #ibmcnxadminblast
61. Whitelisting deaktivierenEingeführt mit Connections 6.0 CR1Löscht u.a. style= Attribute
ProblembeschreibungFormatierungen von Text oder Bild verschwinden beim Speichern
LotusConnections-config.xmlSuchen von acp-configkey__default.xml ersetzen mit acf-config-n*.xml
Dokumentation zu Whitelist noch nicht komplett, laut IBM nicht mehr Default in CR2.
67 @stoeps Admincamp 2018 #ibmcnxadminblast
/etc/motd anpassen
Wird bei jedem Login (ssh) amTerminal ausgegeben
62. motd für Server Informationen
Unter kann man verwenden
BgInfo
68 @stoeps Admincamp 2018 #ibmcnxadminblast
63. Datenbank verkleinernsollte eine Datenbank nach einem Problem anwachsenProblem behebenDB Größe bleibt riesig (Dump wird kleiner)truncate auf Tabelle ausführen
sehr schnell
truncate löscht den kompletten Tabelleninhalt
69 @stoeps Admincamp 2018 #ibmcnxadminblast
+49 173 8588719 christophstoettner
[email protected] linkedin.com/in/christophstoettner stoeps.de
@stoeps