[offen] User ID wird vom Adminclient kaputtgeschrieben

[DunkelHut]

Bei mir ist aufgefallen das unter bestimmten Konstellationen die genutzte User ID vom Adminclient kaputtgeschrieben wird.

Ausgangssituation

• Lotus Domino 8.5.3 FP1 64 Bit
• Windows Server 2008 R2 Standard x64
• Adminclient 8.5.3

Problematik
Das jeweils genutze ID-File wird nach einmaliger Anmeldung so verändert, dass das Passwort nicht mehr stimmt.

Beweis
Wenn ich auf besagtes ID-File einen Schreibschutz drauf lege, kann ich mich zwar anmelden und damit beginnen zu arbeiten, aber dann kommt nach ca. 30 Sekunden die Aussage das nicht in die Datei geschrieben werden kann, vermutlich die Platte voll ist. Nach Bestätigung dieser Meldung wird der Adminclient automatisch beendet. Entferne ich diesen Schreibschutz wieder, kann ich mich mit dem ID-File normal anmelden, aber eben auch nur einmal. Danach kommt die Meldung das das Passwort nicht mehr stimmt. Lösche ich dieses ID-File und arbeite mit einer Sicherheitskopie davon, kann ich mich genau 1x anmelden, dann wird auch dieses ID-File so von was auch immer verändert, das das Passwort auf einmal nicht mehr stimmt.

bisherige Massnahmen
Ich habe diesen Effekt sowohl unter dem Filesystem des alten Servers (RAID1) (Windows Server 2003) als auch des neuen Servers RAID5 (Windows Server 2008 R2) beobachtet und das Filesystem entsprechend auf Fehler geprüft und keine Fehler gefunden.

Besonderheiten
Aufgefallen ist mir das Ganze nur wenn ich mit dem AdminClient an dem Server arbeite auf dem auch Domino installiert ist. Arbeite ich von einem anderen Adminclient von einer anderen Maschine tritt dieser Effekt nicht auf.

Es ist auch vollkommen unerheblich ob die Version 8.5.2 oder 8.5.3 genutzt wird, der Effekt bleibt der gleiche.

Frage
Kann mir jemand erklären was da passiert und warum ?

LG
Stefan

[Micha B]

Und was für ein Filesystem benutzt Du für das Verzeichnis, wo Du die ID's speicherst? Klingt für mich so ähnlich wie http://www.ibm.com/support/docview.wss?uid=swg21429475

[DunkelHut]

Und was für ein Filesystem benutzt Du für das Verzeichnis, wo Du die ID's speicherst? Klingt für mich so ähnlich wie http://www.ibm.com/support/docview.wss?uid=swg21429475

Hallo Micha,

das Szenario bei mir ist vollkommen einfach:

• normaler Fileserver
• locale Profile
• die ID wird lokal gespeichert
• das Filesystem ist NTFS

Diese Situation hat sich auch vollkommen spontan ereignet. Das System lief damals noch unter 8.5.2 klaglos und unverändert, plötzlich trat dieser Effekt auf. Ich bin auch der einzigste Administrator und arbeite eher selten über den Adminclient der direkt auf dem Dominoserver installiert ist.

Mir ist auch kein Fall bekannt (außer bei Änderung des Passwortes) bei dem in das ID File geschrieben wird.

Lustiger Weise ergibt sich gerade eine vollkommen neue Situation.
Ich habe statt mit der üblichen Kopie nun mit einem ID File einer Datensicherung gearbeitet.

Ich konnte mich wiederholt problemlos einloggen und auch ein Schreibschutz auf dem ID File blieb ohne sichtbare Konsequenz. Eigenartiger Weise musste ich nur 1x das Passwort eingeben und dann nie wieder und das obwohl ich "PathTrue" nicht aktiviert habe und ich mich zwischenzeitlich komplett vom Server abgemeldet habe. Windows Username und der Name des Notes Users weichen auch von einander ab. Ich starte jetzt den Adminclient und komme vollkommen ohne Passwortabfrage in das Programm.

Jetzt bin ich etwas perplex...

LG
Stefan
[/list][/list][/list]

[Driri]

Admin-Client direkt auf dem Server zu öffnen ist schon seit langer Zeit nicht mehr State-of-the-Art. Dafür gibt es ja den FullAdmin.

Ich kann mich auch dunkel erinnern, daß man sich mit dem Beenden des Admin-Clients hin und wieder den Server direkt mit beendet hat. Von daher wären andere Effekte durchaus denkbar.

[DunkelHut]

Admin-Client direkt auf dem Server zu öffnen ist schon seit langer Zeit nicht mehr State-of-the-Art. Dafür gibt es ja den FullAdmin.

Ich kann mich auch dunkel erinnern, daß man sich mit dem Beenden des Admin-Clients hin und wieder den Server direkt mit beendet hat. Von daher wären andere Effekte durchaus denkbar.

Jo, das höre ich immer wieder das man das nicht macht.
Dennoch arbeiten eben nicht wenige so und selbst auf meinen Adminschulungen pflegte man dort eine zwiespältige Meinung zu dem Thema.

Mein PRO dazu ist, das man so in der Lage ist ein Problem einzukreisen OHNE das da irgendwelche  Netzwerkstörungen mal eben schnell das Ergebnis verwischen.

Ich administriere auch eher kleinere Dominostrukturen von max. 60 Mitarbeitern, was wiederum deutlich macht das an diese Firmen da der Server allein schon eine Herausforderung darstellt und man nicht wirklich dazu bereit ist da noch extra einen Rechner daneben zu stellen der dann den Domino administriert.

Im Grunde genommen wird sich IBM immer irgend welchen Mist an den Haaren herbeiziehen eben um nicht supporten zu müssen, so wie das inzwischen jeder Hersteller tut. Wenn man tatsächlich sich mal an alle Vorgaben hält, heißt das noch lange nicht das die wirklich helfen. Schlussendlich steht man immer allein da und das das so ist, beweißt die Existenz von Foren wie diesem. Da supporten sich User und Administratoren eben mal schnell selber, weil alles andere noch viel komplizierter ist...

Das beim Beenden des Admin-Clients da mal der Server runterfährt, das ist mir neu, aber man lernt eben nicht aus.

Ich denke man dürfte in der Zwischenzeit auch einfach mal erwarten das die Software so ausgereift ist das man zwei Programme parallel installieren kann ohne gleich eine Todsünde zu begehen.

Microsoft bemängelt auch wenn Domaincontroller und Mailserver etc. auf einer Maschine laufen. Man formuliert sich da argumentativ sehr wortreich. Lustig ist dann eben nur, das diese Regeln eben dann nicht gelten wenn mann so eine Wollmilchsau Small-Business-Server nennt. Dann ist auf einmal alles erlaubt...

Driri, leider kann ich im Moment mit dem Begriff "FullAdmin" nichts anfangen.

Es gab früher mal einen einfach gestrickten Adminclient der sich direkt im Domino Programmverzeichnis befunden hat. Aber den gibt es nach meinem Kenntnisstand nicht mehr.

Was darf ich bitte unter diesem "FullAdmin" verstehen ?
Meinst Du evtl. den Menuepunkt  "Administration mit voller Berechtigung" ?

LG
Stefan

[koehlerbv]

Stefan, Ingo meint den "Administrator mit voller Berechtigung".

Was den AdminClient auf dem Domino angeht: Es gab auch früher keinen "abgespeckten AdminClient für den Server", das war schon immer das "volle Rohr" - und hatte immer Nebeneffekte. Immerhin teilen sich dann der Domino und der Client gemeinsame Dateien. Und das ist gar nicht gut, und deswegen sagt IBM: Tu es nicht, das ist "nelsja - niente - nothing!".
Zudem verhält sich in Sachen Dateizugriff der 2008er Windows-Server auch wieder anders als ein Client-Betriebssystem, das betrifft auch andere Programme. M.E. gibt es in dieser Hinsicht auch entsprechende Einträge in der Lotus-KB. Und da der 2008er Server kein unterstütztes Client-OS ist, hätte IBM Lotus das gar nicht nötig, sowas dort reinzuschreiben.

Ich sehe keinen Grund, auf einem Domino einen Client einzurichten - da kam man zuletzt mit Notes 3.30 nicht drumrum. Und das war 1994 .... Wenn man es tut, sollte man den wenigstens vollkommen separat installieren mit Zugriff auf 127.0.0.1. Und für einen ordentlichen separaten AdminClient braucht man ja nun wirklich keine eigene Box - es wird ja wohl mind. einen Client-PC im Netzwerk geben 

Bernhard

[DunkelHut]

Stefan, Ingo meint den "Administrator mit voller Berechtigung".

Was den AdminClient auf dem Domino angeht: Es gab auch früher keinen "abgespeckten AdminClient für den Server", das war schon immer das "volle Rohr" - und hatte immer Nebeneffekte. Immerhin teilen sich dann der Domino und der Client gemeinsame Dateien. Und das ist gar nicht gut, und deswegen sagt IBM: Tu es nicht, das ist "nelsja - niente - nothing!".
Zudem verhält sich in Sachen Dateizugriff der 2008er Windows-Server auch wieder anders als ein Client-Betriebssystem, das betrifft auch andere Programme. M.E. gibt es in dieser Hinsicht auch entsprechende Einträge in der Lotus-KB. Und da der 2008er Server kein unterstütztes Client-OS ist, hätte IBM Lotus das gar nicht nötig, sowas dort reinzuschreiben.

Ich sehe keinen Grund, auf einem Domino einen Client einzurichten - da kam man zuletzt mit Notes 3.30 nicht drumrum. Und das war 1994 .... Wenn man es tut, sollte man den wenigstens vollkommen separat installieren mit Zugriff auf 127.0.0.1. Und für einen ordentlichen separaten AdminClient braucht man ja nun wirklich keine eigene Box - es wird ja wohl mind. einen Client-PC im Netzwerk geben  

Bernhard

Hallo Bernhard,

danke für die Aufklärung, die Erklärung zum Sinn und Unsinn des Adminclient auf einem Server...

Zwei Fragen ergeben sich mir da noch:

Frage 1
Welche Dateien teilen sich Adminclient und Domino Server ?

Der Domino Server befindet sich, wenn man sich an den Standard hält den Windows anbietet, im Programmpfad:
C:\Program Files\IBM\Lotus\Domino

Der Adminclient befindet sich, wenn man sich an den Standard hält den Windows anbietet, im Programmpfad
C:\Program Files (x86)\IBM\Lotus\Notes

Frage 2
Ist es tatsächlich so, dass Lotus Notes zuweilen in dem ID-File rumschreibt (damit meine ich nicht bei Passwortänderung) ?

LG
Stefan

[koehlerbv]

Servus Stefan,

dass Programmverzeichnis ist hier ziemlich wurscht - wo liegt das Datenverzeichnis des AdminClients? Wie greift der auf den Domino zu?
Und was Du nicht los wirst, ist das Verhalten von WinServer 2008 in Bezug auf ausgemachte Client-Software.
Die Frage ist: Wozu brauchst Du den AdminClient auf dem Domino wirklich?

Bernhard

[DunkelHut]

Servus Stefan,

dass Programmverzeichnis ist hier ziemlich wurscht - wo liegt das Datenverzeichnis des AdminClients? Wie greift der auf den Domino zu?
Und was Du nicht los wirst, ist das Verhalten von WinServer 2008 in Bezug auf ausgemachte Client-Software.
Die Frage ist: Wozu brauchst Du den AdminClient auf dem Domino wirklich?

Bernhard

Bernhard, ich will nicht recht haben, ich möchte es nur verstehen...

Ich weiß worauf Du anspielst, der AdminClient ist aber eben kein MultiUserClient.

In dem Verzeichnis C:\Users\Administrator.xx\AppData\Local\ befinden sich nur Daten des Lotus Notes AdminClient.
Wenn man das überhaupt Daten nennen kann.

• zum einen C:\Users\Administrator.xx\AppData\Local\IBM\Lotus Notes  mit sechs 1k großen BIN Files drin
• zum anderen C:\Users\Administrator.xx\AppData\Local\Lotus\Notes\Data\workspace\logs mit einem Install Log drin

So wie das ausschaut, befindet sich in diesen Verzeichnissen aber Installationsmüll....

Die Verzeichnisse von Lotus Domino Server und Lotus Notes AdminClient liegen vollkommen voneinander getrennt.

Verzeichnisse von Lotus Domino Server x64:
C:\Program Files\IBM\Lotus\Domino\prog
C:\Program Files\IBM\Lotus\Domino\data

Verzeichnisse von Lotus Notes AdminClient
C:\Program Files (x86)\IBM\Lotus\Notes\prog
C:\Program Files (x86)\IBM\Lotus\Notes\data

Auf Dateiebene ist das nach meiner Auffassung schon alles sauber von einander getrennt.

Der Zugriff vom AdminClient erfolgt über das Netz.
...und ja, auch 127.0.0.1 ist eine Netzwerkadresse...

Warum das Ganze ?
Ich halte es immer so, das wenn ich mal vom Bus überrollt werde, man auf einfachen Wege auch ohne mich die Server verwalten kann. Den AdminClient schmeiße ich schon aus Sicherheitsgründen eben mal nicht auf irgend einen PC. Warum ? Weil da eben auch ein paar Daten drin liegen die eben so sicher verwahrt sein sollten wie die Serverdaten.

Bringt ja nix wenn der Server im Sicherheitsbereich steht und die Fernsteuerung dazu sich auf der Workstation der Sekretärin oder irgend eines Mitarbeiters befindet.

LG
Stefan

[Driri]

Den AdminClient schmeiße ich schon aus Sicherheitsgründen eben mal nicht auf irgend einen PC. Warum ? Weil da eben auch ein paar Daten drin liegen die eben so sicher verwahrt sein sollten wie die Serverdaten.

Das wäre mir neu. Ich bin zwar kein Admin, sondern Entwickler, aber ich tummele mich jetzt auch schon seit gut 15 Jahren im Domino-Umfeld und ich kann mich nicht erinnern, daß jemals Sicherheitsbedenken gegen eine Installation eines Admin-Clients auf einem PC geäußert worden sind. Eher im Gegenteil.

Zitat aus der Domino Admin Hilfe :

Do not install the Domino Administrator on the same system on which you installed the Domino server. Doing so compromises Domino's security and impairs server performance.