Zum Inhalt springen
Startseite » Domino 12.0.1: Server-ID-Schutz – ein selten besprochenes Feature

Domino 12.0.1: Server-ID-Schutz – ein selten besprochenes Feature

Über ein neues Feature von Domino 12.0.1, den sogenannte Server-ID-Schutz (Server ID Protection) wird kaum berichtet. Dabei handelt es sich um die Fähigkeit, Server-ID-Dateien mit einem Windows-Sicherheitsmechanismus zu verschlüsseln. Dieses Feature ist vor allem dann interessant, wenn der Windows-Server, auf dem Domino läuft, gleichzeitig als Dateiserver fungiert, und die Gefahr droht, dass ein nicht autorisierter Benutzer die Server-ID wegkopiert, um damit etwa einen Server aufzusetzen. Mit aktiviertem Server-ID-Schutz wird das verhindert, weil die ID-Datei dann verschlüsselt ist.

Beim Server-ID-Schutz wird dasselbe Verfahren angewendet, wie bei der Gemeinsamen Notes-Anmeldung (Notes Shared Login, kurz NSL) für Benutzer-ID-Dateien: Anstelle eines Kennworts wird ein Geheimtext verwendet, der mithilfe des Microsoft Data Protection-API (kurz DSAPI, seit Windows 2000 in allen Windows-Versionen enthalten) mit den Anmeldedaten des aktuellen Windows-Anwenders verschlüsselt und lokal auf dem Windows-Server gespeichert wird. War eine Server-ID-Datei zuvor durch ein Kennwort geschützt, wird dieses bei der Aktivierung von NSL gelöscht.

Der Server-ID-Schutz kann sowohl auf Domino-Servern eingerichtet werden, die als Dienst als auch als Anwendung laufen. Ich empfehle Ihnen, Domino unbedingt als Dienst zu starten, weil dann das zugrundeliegende Benutzerkonto (per Vorgabe ein lokales Systemkonto) zum Verschlüsseln der ID-Datei herangezogen wird. Starten Sie Domino hingegen als Anwendung (also die Datei nserver.exe) wird der gerade angemeldete Benutzer zum Verschlüsseln verwendet – was später zu Problemen führen kann, wenn sich ein anderer Benutzer anmeldet.

Eine via NSL verschlüsselt Server-ID kann über den Befehl certmgmt als unverschlüsselte Kopie exportiert werden. Bei Diensten funktioniert dies jedoch nur, wenn sie in einem Benutzerkontext laufen.

Den Server-ID-Schutz aktivieren

Um den Server-ID-Schutz zu aktivieren, gehen Sie wie folgt vor:

  1. Erstellen Sie – falls das noch nicht geschehen ist – eine Sicherungskopie der Server-ID-Datei.
  2. Öffnen Sie das Konfigurationsdokument des gewünschten Servers im Domino-Verzeichnis und navigieren Sie zum Register Sicherheit.
  3. Wählen Sie im Feld Server-ID-Schutz die Option »Anmeldeinformationen auf Betriebssystemebene verwenden«, wird die Server-ID-Datei mit den Windows-Anmeldeinformationen des gerade angemeldeten Benutzers verschlüsselt.
    Wählen Sie im Feld Server-ID-Schutz hingegen die Option »Anmeldeinformationen des lokalen Computers verwenden«, wird die Server-ID-Datei mit den Windows-Anmeldeinformationen aller Benutzer, die sich am Windows-Server anmelden dürfen, verschlüsselt.
  4. Speichern und schließen Sie das Konfigurationsdokument.
  5. Starten Sie den Server neu oder warten Sie, bis Sie auf der Serverkonsole den folgenden Hinweis sehen:
    Server ID protection: Enabled
    Ist das deutsche Sprachpaket installiert, sehen Sie stattdessen:
    Server-ID-Schutz: Aktiviert

Den Server-ID-Schutz deaktivieren

Um den Server-ID-Schutz zu deaktivieren, wählen Sie im Konfigurationsdokument, Register Sicherheit im Feld Server-ID-Schutz die Option »Deaktiviert« und starten Sie den Server neu. Dieser sollte bereits beim Herunterfahren die Meldung anzeigen:

Server ID protection: Disabled.

Sie müssen den Server-ID-Schutz auch aufheben, wenn Sie zur Verschlüsselung ein anderes Benutzerkonto verwenden wollen. Erst wenn der Server-ID-Schutz deaktiviert und die ID-Datei somit wieder unverschlüsselt ist, kann sie mit den neuen Windows-Anmeldeinformationen erneut verschlüsselt werden.

Exportieren einer unverschlüsselten Server-ID

Eine mit NSL verschlüsselte Server-ID funktioniert nur auf dem Computer, auf dem die Funktion aktiviert wurde. Sie können über den Befehl certmgmt jedoch eine unverschlüsselte Kopie der ID-Datei erstellen, um diese auf einem anderen Computer zu verwenden. Diese Kopie muss zunächst durch ein Kennwort geschützt werden, welches Sie später im Domino-Administrator, Register Konfiguration über den Befehl Werkzeuge > Zertifizierung > ID-Eigenschaften löschen können.

Sie können die Server-ID jedoch nicht exportieren, wenn der Domino-Server als Dienst mit einem lokalen Systemkonto ausgeführt wird. Lokale Systemkonten haben keine Kennwörter, die für dieses Verfahren erforderlich sind. Der Export funktioniert nur, wenn der Domino-Serverdienst ein Benutzerkonto mit Kennwort verwendet, z.B.:

Um eine unverschlüsselte Kopie der Server-ID zu exportieren, führen Sie folgenden Befehl aus:

certmgmt export id <Exportpfad> <ID-Kennwort> <Windows-Benutzerkennwort>

z.B.: certmgmt export id c:\temp\server-bak.id passw0rd1 passw0rd2

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.