Java-Patch SR16FP20 für Domino 9.0.1.5

[Mr.Langhaar]

Hallo,

seit ein paar Tagen gibt es den aktuellen Java-Patch der auf SR16FP20 aktualisiert.
http://www-01.ibm.com/support/docview.wss?uid=swg21976262

Hab den Patch hier mal auf 2 Dominos (9.0.1 FP5 IF1 x64 /Win 2008 R2) installiert und hab bei beiden jetzt das gleiche Problem, das ich mich mit der Domino Console am Server nicht mehr verbinden kann.
Es kommt die Fehlermeldung "Either the Server is not running on host server or is not listening on port 2050"
Der Dienst starte aber einwandfrei.

Eine Verbindung vom Client aus mit dem Domino Administrator 9.0.1 FP5 IF1 auf den Domino funktioniert.

Google sagt mir zu dem Problem mit dem Patch leider auch nichts.
Läuft das bei euch mit dem Patch?

Gruß
Thomas

[Chilli]

Dazu gibt's einen Beitrag im Domino Forum

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=1FFEBD8F3877038C85257F5700496D7F

Gilbert

[Mr.Langhaar]

Hallo Gilbert,

Danke das ist die Lösung.

Aus dem Domino Forum
I have just received the following update from IBM:

This was an intentional change by the JVM team in Java6SR16FP20 to tighten security by disabling the MD5 algorithm by default in last JVM release. Unfortunately the Domino server console can only do MD5 right now. Workaround is to re-enabled the MD5 algorithm in JVM

Navigate to this file. The values in blue were pointed out, so removing them should remedy.

jre/lib/security/java.security
jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768

It is a shame they could not have documented this beforehand!!!


Gruß
Thomas

[SC]

Habe beide MD5 Einträge dort entfernt, leider kann ich immernoch nicht mit der Konsole auf den Server zugreifen.
Server ist 9.0.1 FP5 IF1 x64 /Win 2008 R2.
Wirklich sehr komisch.
Gruß SC

[Pfefferminz-T]

Der Pfad zu der Datei sollte jvm/lib/security/java.security sein.

[SC]

Genau dort habe ich es auch geändert. Den Ordner JRE gibt es auf dem Server nicht.
Schon komisch, das es bei allen anderen wohl funktioniert.
Gruß SC

[schroederk]

Ich hatte auch mal bei einem Server das Problem... Ist aber schon ne Weile her.
Ich hatte damals einen Eintrag in die Notes.ini ergänzt und den Server neugestartet.
Der Eintrag war, glaube ich...: TCPIP_ControllerTcpIpAddress=x.x.x.x:2050

Der damals gefundene IBM-Eintrag war: http://www-01.ibm.com/support/docview.wss?uid=swg21449200

[JayDee]

Guten Tag,

ich bin hier neu, habe schon einige Infos nutzbringend aus diesem Forum ziehen können und hoffe, mich öfter mal inhaltlich beteiligen zu können.

Das Konsolenproblem mit diesem Java-Patch war bei uns (drei Dominoserver 9.0.1 FP5 unter Windows 2012) erst nach komplettem Serverneustart behoben, nur http neu starten reichte nicht aus.

MfG,
Thomas

[Pfefferminz-T]

Oops, von einem Neustart (am Besten auch vom OS) nach dem Einspielen eines FP oder HF bin ich ausgegangen...

[SC]

Guten Tag,

ich bin hier neu, habe schon einige Infos nutzbringend aus diesem Forum ziehen können und hoffe, mich öfter mal inhaltlich beteiligen zu können.

Das Konsolenproblem mit diesem Java-Patch war bei uns (drei Dominoserver 9.0.1 FP5 unter Windows 2012) erst nach komplettem Serverneustart behoben, nur http neu starten reichte nicht aus.

MfG,
Thomas

Es war tatsächlich notwendig, einen kompletten Windows Neustart zu machen, mehrere Neustarts vom Domino haben nicht ausgereicht.
Die Konsole funktioniert jetzt wieder, vielen Dank für Eure Hilfe.
Gruß SC

[harkpabst_meliantrop]

Wenn nur der Domino Server neu gestartet oder auch beendet wird, läuft immer noch der Server Controller (jconsole.exe). Da ist ja gerade der Witz an der Sache, nur so kann ich einen Domino Server, der beendet wurde, von einer Remote Workstation aus wieder starten.

Daher muss der Server Controller neu gestartet werden, damit er die Änderung in <domino_dir>\jvm\lib\security\java.security mitbekommt. Unter Windows sollte es dazu auch genügen, nur die Domino Dienste neu zu starten. Außer natürlich, man hat einen triftigen Grund, auch das Betriebssystem neu zu starten.

Es gibt die Information zur "verbesserten Sicherheit" auch mittlerweile offiziell und online bei IBM. Der "Flash (Alert)" - für eine Tech Note hat es wohl nicht gereicht - hat die Referenznummer 1977125 und ist momentan hier zu finden: http://www-01.ibm.com/support/docview.wss?uid=swg21977125&myns=swglotus&mynp=OCSSKTMJ&mync=E&cm_sp=swglotus-_-OCSSKTMJ-_-E
Unwahrscheinlich, dass der Link in ein paar Monaten noch funktioniert, ist ja IBM.

Was auch im "Flash (Alert)" leider nicht steht: Wer das Update auf die IBM J9 VM build pwi3260sr16fp20-20160111_01(SR16 FP20) auch auf seiner Workstation installiert (was zunächst einmal keine schlechte Idee ist), macht damit seine lokale Domino Console natürlich auch kaputt. Das heißt, nach dem Update kann man sich ebenfalls mit keinem Server mehr verbinden, auch nicht mit ungepatchten.

Immerhin ist die Lösung genau dieselbe, wie auf dem Server, also das bereits angesprochene Editieren der java.security Dateil