Beiträge von CarstenH

Nette Diskussion über ein hausgemachtes Problem. Daher auch meine 5 Cents mal dazu, und (weils so schön ist) lasse ich mal den Besserwisser-Trainer raushängen:

Beispiel 1:

Ich gebe jemanden das Recht als Entwickler und wundere mich hinterher warum er sich munter Agenten erzeugt und überlege, wie ich das unterbinden kann.

Lösung für 1: ich gebe ihm halt das entsprechend niedrigere Recht.

(Das Thema war insbesondere bei älteren Notesinstallationen im Zusammenhang mit dem Out-Of-Office Agenten und dessen Aktivierung gern angefragt).

Beispiel 2:

Ich gebe jemanden das Recht als Editor und wundere mich, warum er munter Dokumente erzeugen kann (übrigens nicht nur per Copy und Paste, aber das nur nebenbei).

Lösung für 2: ich gebe ihm das für Nutzer eigentlich auch vorgesehene Recht als Autor. Der Rest ist easy per Programmierung lösbar. Haken beim Recht zum Dokumente erstellen fliegt weg und wenn er Dokumente im Sinne der Anwendung erzeugen muß tut der Knopf das über einen Hintergrundagenten, der mit anderen Rechten läuft und den Nutzer in ein Autorenfeld einträgt.

Alles andere ist "Bastelei". Selbst wenn hier mit supertollen Scripten an Stelle a) das Einfügen verhindert wird kann der Nutzer es über Stelle b). Ich werde jetzt hier nicht ausführlich werden, welche Wege es noch gibt, aber ein Beispiel als die simple Version: neuen Ordner anlegen ohne Gestaltung eines anderen zu übernehmen und schon geht da drin auch wieder das Einfügen (wenn ich Editor bin).

Der Editor ist nunmal das höchste Recht (!) auf Dokumentebene, das es innerhalb einer Datenbank überhaupt gibt. Also fangt bitte nicht an mit superaufwändigen Programmierungen Rechte neu abzubilden, die es schon lange gibt, nur weil der eigentliche Programmierer nicht in der Lage war/ist mit Leser- und Autorenfeldern vernünftig umzugehen!

Carsten

Das stimmt alles Ralf, es gibt (auch und insbesondere außerhalb von Notes) noch etliche Dinge die zu einem sicheren Netzwerk gehören. Und wenn sich jeder mit einem beliebigen PC (oder einer VM) ins Netz einstöpseln kann und noch per DHCP bedient wird...ich rede mal nicht weiter, worums geht sollte klar sein.

Wenns tatsächlich ein TS ist dann tippe ich aber sogar mal darauf, dass der Kollege einen anderen Kollegen beauftragt hat, während seines Urlaubs mal ein weinige Spam aufzuräumen. Auch dass solls geben. Und es würde erklären, warum der Kollege an die ID rankommt.

Carsten

Es ist ein reiner Konsolen-Befehl, den übrigens der Admin-Client sowieso jedesmal ausführt, wenn man mit diesem z.B. die Nutzerliste abruft.

show users

Liefert ganz normal die Nutzer, die gerade eine Session geöffnet haben und

show users debug

liefert noch deren IP dazu.

Allerdings ist es ein reiner Konsolenbefehl, da wird nichts permanent aufgezeichnet zum späteren Nachschauen. Und bitte keine "Ideen" wie z.B. per Programmdokument alle 5 Minuten aufrufen...

Ich verstehe generell die Schwierigkeit an der Nachvollziehbarkeit gerade nicht so richtig, schließlich hat jedes Personendokument ein deutlich sichtbares Feld mit der Bezeichnung "Notes Client-Computer" wo die Liste der PC's drinsteht, von denen aus mit dieser ID bereits irgendwann einmal zugegriffen wurde. Sogar Betriebssystem und Version stehen dabei.

Das sollte sehr schnell zum Erfolg führen und funktioniert auch im Nachhinein, es sei den der "Täter" ist jemand, der seine Spuren zu beseitigen wußte. In dem Falle ist es aber entweder ein Admin oder aber ihr solltet ihn sofort zum Admin machen oder sein Gehalt verdoppeln, scheinbar weiß der dann nämlich mehr über Notes als eure aktuellen Admins

Carsten

Sollte eigentlich problemlos funktionieren, wenn keine Vertipper drin sind.

Allerdings gibt es ein paar unschöne Nebeneffekte, wenn jemand per URL löschen darf (und auch das Command kennt).

Daher würde ich dir eine Alternative mit Hilfe eines LöschAgenten empfehlen, die Möglichen Varianten sind hier sehr schön beschrieben:

An Alternative to Using The ?DeleteDocument URL Command

Carsten

Da wir gerade erst einen ähnlichen Fall hier hatten (siehe hier) hatte ich mir auch dieses Tool mal runtergeladen und getestet. Hat nicht ein Dokument "gerettet". Hat nichtmal ansatzweise was gemacht.

Meines Erachtens ist das ein reines Dokument-Kopier-Tool, sobald eine DB wirklich im Eimer ist wird das nicht gehen.

Aber das kann man ja testen bevor man da bezahlt. Und sollte es doch as taugen kannst du es gern hier berichten.

Abgesehen davon liegt der Fall hier doch scheinbar etwas anders, die DB an sich ist ja wohl nicht kaputt im Sinne von Fehlermeldungen etc.

Für mich sieht es eher nach Löschungen aufgrund von Reparaturversuchen aus. Dann hast du schlechte Karten. Ganz schlechte. Genaugenommen Null. Da Notes die Daten nicht einfach nur zum Löschen markiert sondern aus Sicherheitsgründen ausradiert und mehrfach überschreibt. Ist ein Feature, was Leute davon abhalten soll das zu tun worüber wir grad reden. Gelöschte Daten zurückholen.

Die Frage ist, wann und wie versucht wurde zu reparieren. Und, wie Ralf im Posting vor mir schrieb, die Anzahl der Deletion Stubs wäre interessant, wobei sicher nicht so 100%ig aussagekräftig, da ein Fixup gar keine erzeugt. Daher die Frage was jetzt im einzelnen unternommen wurde, wo die DB in der ganzen Zeit stand (Server oder lokal) und und und.

Ein Design Replace löscht keine Dokumente - es überschreibt höchste die Speicherbereiche wo mal welche standen...

Der einzige Reparatur-Versuch bzw. Servertask der wirklich Dokumente ohne Vorwarnung selbständig löscht ist Fixup. Wenn er ohne Parameter läuft. Er schreibts aber wenigstens hinterher aus, es ist im Log also nachvollziehbar.

(Deshalb verstehe ich übrigens Admins nicht, die Fixup einmal die Woche ohne Zusatz-Schalter per Programmdokument laufen lassen)

Carsten

Es gibt sogar eine ganze Menge Besonderheiten, u.a.:

- bessere Performance als bei DB's (durch komplette Umgehung der Domino-Engine)
- Zugriffsschutz ist anders als bei Datenbanken geregelt (aber kann eingerichtet werden)
- Files nicht per Browser/Notes editierbar

Den FTP-Zugriff halte ich übrigens für eine saudumme Idee, mal so nebenbei. Wer weiß, was da noch alles über die Leitung wandert, vielleicht die Maildatenbank des Chefs? Die Server-ID? Könnte man ja vielleicht brauchen...

Carsten

Wenn du nicht schreibst was genau dein Problem ist kommen natürlich falsche Hinweise. In deinem ersten Post stand nur, du hast ein Problem damit. Aber nicht wie das Ergebnis deiner Meinung nach genau aussehen soll.

Jetzt hast du zwar schon etwas mehr geschrieben aber m.E. auch wieder etwas vergessen, nämlich wann jetzt genau bei dir die falsche Anzeige passiert.

Wenn ich eine Mail schreibe, egal wie die Hotspot-Anzeige eingestellt wurde, wird nie eine Adresse automatisch umgewandelt.

Erst wenn ich hinterher die Mail nochmal zum Anschauen öffne zeigt mir (je nach Einstellung) mein Client einen Link an der Stelle. Aber das ist ein reines Anzeigefeature des Clients, versendet hat er trotzdem Plain-Text.

Gleiches gilt übrigens auch für andere Mailprogramme, die gerne aus URL's einen Link generieren, obwohl da gar keiner ist.

Wenn bei dir ein mehrzeiliger Link aus deiner Signatur heraus angezeigt wird tippe ich eher darauf, dass mit der Signatur etwas nicht stimmt. Könnte es sich um eine eingebundene HTML-Signatur handeln oder ist die als reiner Plain-Text in den Vorgaben hinterlegt?

Hast du schon einmal probiert, die Signatur rauszulöschen und manuell einzutippen ob sich dann etwas ändert?

Hast du schonmal versucht, die Signatur aus den Vorgaben zu löschen und dort neu reinzuschreiben? Und das bitte nicht per Copy & Paste.

Carsten

Da es sich scheinbar um eine reine Web-Ansicht handelt noch eine Anmerkung:

Für den Browser kann man sowas sehr wohl machen, allerdings nicht mit einem @DbLookup in der Spalte.

Wenn die View eine reine HTML-View ist, dann kann man z.B. die IMG-Tags beliebig erzeugen und so auch aus anderen Views/Dokumenten zur Laufzeit im Browser noch Dinge nachladen lassen. Lediglich im Designer bzw. Notes-Client wirds reiner HTML-Quellcode bleiben.

Carsten

Ich hatte schon häufiger mit angeblichen "sich selbst vervielfältigenden" Mails zu tun. Ursache waren bisher:

- ein "spinnendes" Mailrelay (eher selten der Fall),

- mail.box als Replik im Cluster angelegt (auf die Idee muss man erstmal kommen),

- Verteiler-Gruppenname = Domänenname (ganz böse Geschichte),

- externe Mailadressen in der Form: meier, fritz <x@y.de>
(wem es nicht auffällt: es fehlen Anführungszeichen um den Namen, dadurch wird das zu 2 Adressen statt einer)

- dito nochmal, aber einer der Namen wieder mit dem einer Gruppe identisch

- dito nochmal, diesmal aber die Gruppe verschachtelt angelegt und in der zweiten Ebene eine der vorherigen nochmal eingetragen

Unter Strich tippe ich darauf, dass (mindestens) einer der Einträge Blödsinn ist. Einfach mal kontrollieren, wer zuletzt an der Gruppe dran war und was der genau geändert hat.

Carsten

taurec: Das ID-File ist nur zur Hälfte fertig (noch keine Zertifikate enthalten) - deswegen ja die Warnung mit dem Abbruch.

Ich kenne diesen Fehler eigentlich nur im Zusammenhang mit einem nicht aktivierten oder nicht freigeschalteten CA.

Mach doch bitte mal an der Konsole tell ca status und schaue nach, ob wirklich bei allen angezeigten Zertifizierern der Status auf Active: Yes steht.

Im Zweifelsfalle sollte immer helfen: CA beenden, neu starten und mit tell ca status kontrollieren.

Anschließend noch ein te adminp proc all sollte auch "Hänger" wieder beleben.

Carsten

Der Fehler liegt hier wohl in der Einladungsmaske.

Zumindest für die frühen 5er Versionen gibts dazu auch einen Eintrag in der Knowledgebase mit Workaround:

R5 Resource Reservation Database Does not Resolve Flat Names

Jetzt kannst du 3 Dinge tun:

1.) den Workaround benutzen

2.) auf die letzte 5er Version hochziehen und hoffen, dass der Fehler da weg ist

3.) eine vernünftige Version einsetzen (sprich: eine aktuelle)

Mit etwas Programmierkenntnis könnte man den Fehler sicher auch manuell in der Maske beheben, aber wenn ihr das selber könntet dann gäbe es das Posting hier nicht und jemanden beauftragen...naja, ich sags mal kurz: wozu Geld für eine Reparatur einer Uralt-Version rauswerfen.

Carsten

Ich vermute mal es handelt sich um 2 Funktionen: Scan-2-Mail und Mail-To-Fax.

Für das Zustellen der eingescannten Dokumente per Mail muß i.d.R. gar nichts getan werden, außer am Scanner die Netzwerk-Adresse des Mailservers anzugeben. Der Nutzer gibt beim Scannen dann lediglich seine eigene Mailadresse an.

Sofern der Domino SMTP aktiviert hat reicht das aus.

Für die Gegenrichtung wäre die Frage, wie der Scanner die zu faxenden Dateien erwartet. Die meisten Scanner stellen dafür ein Verzeichnis (auf einer beliebigen Maschine) bereit, das sie überwachen. Dort müssen die Aufträge abgelegt werden. Dazu wird dann sicher ein Job (Script o.ä.) benötigt. Das sollte aber in der Scanner-Doku stehen.

Alternativ können einige Scanner auch direkt per SMTP die Faxe entgegennehmen, hier werden die Infos entweder in der Empfänger-Adresse oder im Betreff mitgegeben.

Was jetzt genau den RICOH-Scanner betrifft, das sollte doch wohl in der Doku stehen, oder sollen wir für dich die Doku ergooglen, sie für dich lesen und dir anschließend eine Zusammenfassung erstellen?

Ich würde eher vorschlage, du machst das mal und stellst anschließend ggf. die passenden Fragen statt vorher

Carsten

Also in einem Punkt möchte ich widersprechen (falls mich mein Kopf um die Zeit nicht komplett im Stich läßt).

Aufblähen tut ein UPDALL -R eine Datenbank nicht, da nur bereits aktive Indizies komplett gelöscht und neu aufgebaut werden.

Inaktive Indizies werden mit -C aufgebaut.

Nach dem Rebuild sind die Indizies halt optimiert, weil frisch erzeugt und sollten daher sogar etwas weniger Platz in der DB einnehmen.

Dagegen spricht eigentlich nur der unheimliche Ressourcenbedarf (CPU + Disk-I/O) während der Prozeß läuft. Insofern sollte man das eher aufs Wochenende legen, je nach Menge der Daten die da rumliegt.

Das dürfte auch erklären, warum es deaktiviert wurde - es hat den Server vermutlich simpel etwas mehr belastet als gut war.

Fürs Backup ist das aber in der Tat irrelevant, da die Indizies lediglich beim Vollbackup mit gesichert werden. Ausnahme: der Programmierer hat den Index mit ins Translog aufgenommen, was aber die wenigsten Programmierer überhaupt wissen, wie das geht. Und noch weniger wissen, wann das Sinn macht

Beim incrementellen Backup mit TDP (bzw. generell via Backup API + Backup-Agent auch anderer Backup-Software) werden ansonsten nur Dokumentänderungen gesichert.

Carsten

An irgendeinem Punkt hat der Nutzer beim ersten Mal Mist gebaut. Da man beim Ablehen z.B. auch bestimmt, ob man (bei der gleichen Besprechung) zukünftig involviert sein möchte ist das jetzt im Nachhinein und auf die Entfernung für mich nicht ersichtlich, was der Nutzer da wann wo angeklickt hat.

Abhilfe für diesen Fall:

a) der Nutzer trägt sich halt die fehlenden Einträge manuell in den Kalender

oder

b) die gesamte Einladung wird an alle Teilnehmer abgesagt und komplett neu erstellt (und zwar NICHT über neu planen sondern als NEUES Meeting).

Beim nächsten Mal lesen die Leute dann genauer, was sie anklicken.

Carsten

Zitat

Eigentlich müsste die Adresse der Ressource dann "Beamer klein/Düsseldorf@domäne" heissen. Richtig?

Richtig.

Zitat

Sowohl der Domänenname, als auch der Name des Notes Servers ist im Standortdokument aber vermerkt.
Wenn ich eine Mail an "Besprechungsraum/Düsseldorf@domäne" schicke, erhalte ich auch keine Fehlermeldung. Also scheinen die ja wohl zustellbar zu sein. Wo steckt dann da der Fehler?

In dem Fall vermutlich in der Kalendermaske selber.

Zur Kontrolle:

Einfach mal den Router kurz anhalten (te router quit) und eine Einladung erzeugen. Diese aus der mail.box des Servers fischen und irgendwo zur Analyse aufheben (oder zumindest mittels Rechtsklick kontrollieren, was z.B. im Feld SendTo steht).

Steht dort nicht der vollständige Name sondern nur der CN des Raumes wird die Einladung bereits falsch erzeugt.

Carsten

PS: Router wieder starten nicht vergessen ^^: lo router

Das Anpassen der Meldungen ist nicht vorgesehen.

Die restlichen Textinhalte werden aus den Profilen geholt, wie bisher vom Agenten auch.

Carsten

Vermutlich ist hier irgendwann Schrott bei einer Rezertifizierung der betreffenden Nutzer passiert oder jemand hat die ID's ausgetauscht.

Bei den betroffenen Nutzern sich den öffentlichen Schlüssel aus der ID holen, mit der die Nutzer gerade arbeiten und diesen ins Personendokument übernehmen.

Ansonsten gibts spätestens bei der nächsten Umbenennung/Verlängerung eh Ärger, wenn die Schlüssel nicht zueinander passen.

Sowas passiert z.B. gern, wenn Nutzern (z.B. bei vergessenen Passwörtern) eine ältere ID hingesetzt wird.

Carsten

Die Mail-In-Einträge in allen (!) Adreßbüchern zeigen wohin?

Carsten

Versuche mal bei den betroffenen Clients folgenden Parameter in der notes.ini zu setzen und (nach einem Neustart) prüfen, ob das Problem noch besteht (wirkt nicht bei schon gesperrten Dokumenten, diese müssen vor einem Test natürlich manuell entsperrt werden):

Edit_No_Soft_Locks=1

Carsten

Ich würde IMAP statt POP empfehlen, nicht daß die Mail-DB versehentlich hinterher leer ist

Abgesehen davon bleiben bei IMAP ggf. sogar die Ordnerstrukturen erhalten.

Wenn der andere Mailclient IMAP-fähig ist dann kann man die Mails auf diese Art per Drag & Drop zwischen den beiden Mailaccounts schieben, kopieren usw.

Carsten