#HCL #Verse で発生した障害について

In this issue, I report on the failure of HCL Verse that occurred at our company and its solution.

みなさま、こんにちは。
今回は弊社環境で発生したメール(Verse)の障害について、レポートさせて頂きたいと思います。

・・・写真がないので、Verseの概要貼っておきます(汗

---

まず発生した現象を説明致します。

①私自身のパソコン(MAC)で自宅からプラウザでVerseへの接続(最新のメール受信も)は問題なく行えています。
不必要なメールを削除したのですが、ゾンビのように復活してきます。
新規メールを作成しようとしても送信できなかったり、ファイル添付ができないといった挙動が発生しました。

②ユーザーからモバイルVerseからメール送信できなくなったとの報告が寄せられ始めました。

③会社ネットワーク内のパソコンから、ブラウザでVerseを開いてみたのですが、何の問題もなく利用可能でした。

---

上記のことから、外部からのアクセスルートに問題があるのではと推測し、調査を始めました。

ちなみに社外からのルートとしては、

nginxサーバー→Safelinxサーバー→Dominoサーバー

となっています。

---

状況をサポートへ問い合わせたところ、以下回答がございました。

●エラーログ

2023/07/13 06:13:38 iNotes XSS Security: Invalid Request, missing expected nonce value; with Referer: 'https://****/verse'. Request not processed, throwing exception.

●エラーの原因

この問題は、iNotesサーバーによって検証されNonce値の不一致で発生します。

Nonce チェックというセキュリティ機能がDomino 8.5.2リリースで追加されました。Nonceチェックの目的は、クロスサイトリクエストフォージェリ（CSRF）攻撃をブロックすることです。ユーザーが iNotesで POSTリクエスト（メールの送信、ドラフトの保存、 連絡先の作成、iNotes設定の保存など）を試みる際に、サーバーで生成された値(Nonce)でブラウザの値を検証します。Nonce値はShimmerS Cookieに保存されていますが、プロキシサーバー（IMCなど）を介してDominoを実行するときに競合を引き起こすことがあり、このメッセージが表示されます。

私の理解範囲を超える内容でしたが、プロキシサーバーをはさんでDominoを実行する際のCookieに問題がありそうです。

---

●解決策

サーバーのnotes.iniにふたつのパラメーターをセットすることで、この機能を無効にできるそうです。

→サーバーコンソールで以下コマンドを実行するように指示がありました。

Set config iNotes_WA_Security_NonceCheck=0 

Set config iNotes_WA_Security_RefererCheck=0

その後、HTTPタスクを再起動して完了です。

---

●結果

何事もなかったかのように利用できるよう、復旧致しました。

以上で障害そのものは解消したのですが、なぜ突然発生したのかは確認できていません。

先般、クラスターサーバーや、メールアーカイブ用のサーバーを追加したのですが、それが影響しているとも考えにくいのかなと感じています。

すこしモヤモヤした感じは残りますが、もし皆様でも同じような現象が生じた場合は、一度お試しください。
notes.iniに書き込んでいるだけですので、簡単に戻せますので!!

この度もHCL様サポートの皆様にはたいへんお世話になりました。
いつもありがとうございます!!

#HCLVerse 2.2 で、メール受信データベースが扱えるようになった!!

In this article, I would like to talk a little bit about the mail-in database, which is now supported in Verse 2.2.

みなさま、こんにちは。

夏休みも終わりました。コロナウィルス陽性者が低年齢化しているとの事で、学校が始まることでのさらなる蔓延が気になってしかたありません。
ほんとに、一日も早い日常を取り戻したいと感じる今日このごろです。

さて、先般リリースされました HCL Verse 2.2.0ですが、個人的に気になる機能として、「メール受信データベースの使用」が可能となったため、概要を紹介させて頂きます。

まず新機能については、こちらをご覧ください。

Verse 2.2 の新着情報

まずアップグレードですが、以下手順を参考に実施しました。

HCL Verse 2.2 リリース情報

基本的には以前に2.1への更新記事を記載しましたが、ほぼ同様でしたが、アップグレードに関しての記述があり、以前より簡単に感じました。

Dominoの停止が必要でしたので、夜間に実施しましたが、準備できていれば5分ほどの停止で完了です。

---

さて具体的に気になる内容についてです。

●メール受信データベースをセットアップする

弊社では複数のメール受信データベースを運用しております。
例えば一般的なWebmasterや受注用のメールボックス、QAなど。

今回はWebmasterを利用できるようにしてみたいと思います。

メール受信データベースを開くには、Verseのこのボタンをクリックします。

ボタンの名前を知らなかったのですが、「代理パネル」と呼ぶようです。

こちらをクリックすると、「メールとカレンダーへのアクセス」が開きます。

私の場合、すでにカレンダーを閲覧していたユーザーがリストされていました。

この「ユーザーの検索」で対象のデータベースを検索します。
今回は[webmaster]で検索してみます。

このように対象のメール受信データベースが表示されました。
※このアドレスに直接メール送信いただいても、はじかれますので、悪しからず・・・。

こちらを選択すると、以下のようにリストに追加されました。

こちらを選択すると、以下のように新しいタブでWebmasterのメールボックスが開かれました。

あとは与えられた権限に従って、メールボックスを利用できます。

他にも新機能があり、アーカイブに関するものも気になっているのですが、現時点で検証できておりませんので、本日は以上とさせて頂きます。

#Verse 2.1.0更新

 This time, I applied HCL Verse 2.1.0, which was released the other day, to my company.

It seems that the photo settings that I was interested in started to work.

This could not be completed only by updating the conventional Verse.

みなさま、こんにちは。

さて今回は先日リリースされましたVerse2.1.0。
新機能等はHCL様サイトでご確認ください。

https://hcljapan.co.jp/software/blog/hcl-verse-2-1-0-new-feature-1

中でも以前から実現したかった写真表示が可能になったようですので、早速適用したいと思います。

そもそも従来はどうであったか。
Connectionsのプロフィールを参照するようになっていたそうです。

つまり、Verseに社員を入れるには、Connectionsサーバーを準備する必要があります。
Connectionsサーバーを利用するということは・・・Websphereが必要になってしまうんです・・・。

ということで弊社ではあきらめてたのですが、今回の改修!!

さて早速モジュールをダウンロードしました。
中身は以下の通りです。

いままでになかった[catalog12.ntf]が気になります。

早速readme.htmlからシステム要件を確認すると・・・

既にDomino12.0に対応済です(笑

続いて以下サイトを見ながら更新です。

https://help.hcltechsw.com/verse_onprem/2.1.0/admin/vop_configuring_server.html

が・・・・
記載されているファイル名が違う・・・

まあ、推測でわかりそうなので、そちらで進めます。

①Dominoサーバーを停止

②現在のVerseのjarファイルを削除
弊社環境では、
<Domino data directory>/domino/workspace/applications/eclipse/plugins

以下に存在していました。

③HCL_Verse.zipを展開してできた4つのjarファイルを②へコピーします。

④Dominoサーバーを起動

⑤iwaredir.ntfをDominoデータディレクトリにコピーし、iwaredir.nsfの設計を置換

早速Verse画面を開いてみると・・・

無事、2.1.0になってました。
毎回ながら簡単ですね。

気になる写真ですが、以下が2.0の画面

まずは自分の写真を・・・と見たのですが、変更できません。

その後、以下情報を頂きました。

サーバーのnotes.iniに以下2行追加する必要がある様です。

VOP_GK_FEATURE_230=1

VOP_PhotoServiceOptions=disableConnectionsPhotos=1

早速追加したところ・・・

無事、現れました!

中野アンバサダー、御代アンバサダー、情報有り難うございました!!

写真は画像ファイルとその場でのカメラ画像が使える様です。

設定したところ、無事表示することができました。

ちなみにこの写真がどこに保存されているのかを調べたところ、公開アドレス帳に添付されていました。

ただこの場所・・・編集可能な場所にはなっていませんでした。

さて、今回は一旦ここまでとさせて頂きます。

もう少し触ってみたいところもあるのですが、また別の機会に・・・

#Verse 2.0へアップグレードしました。

This time I have updated our server to Verse 2.0 and would like to report on it.

By the way, the purpose is to deploy applications with PWA!

みなさま、こんにちは。

本日は弊社オンプレVerse1.0を2.0にアップデートしましので、その内容について報告致します。

まずVerseの名称について、変更が加えられています。

従来はクラウドVerseとの区別のため、Verse on-Premisesと呼ばれていましたが、今回よりVerse2.0の名称に変更となったようです。

さてVerse2.0の機能については、HCL SOFTWARE (JAPAN) BLOGを読んで頂くとして、弊社がアップデートした目的は、

「ブラウザベースのスタンドアロンアプリ: Progressive Web Apps として Verse を実行できるようになりました。」

いわゆるPWAを試して見たかったのです。
あっ・・・興味半分なのがバレてしまいましたね。

でも今後のNomad Webなどを考慮すると、こちらは無視できない内容ですよね!

それでは手順についてです。

HCL Verse 2.0 リリース情報にリンクがありますが、

Verse: HCL Verse 2.0 の導入手順についてを読んでみます。

こちらは新規インストール向けの手順になり、アップデートで必要な部分はごくわずかでした。

ということで実際に必要な手順をご紹介します。

準備として、FlexnetからVerse2.0のモジュールをダウンロードして、Dominoサーバーに解凍します。
モジュールの中身は、以下4つです。

HCL_Verse.zip
iwaredir.ntf
NOTICES AND INFORMATION - HCL Verse 2.0.docx
readme.html

アップデートで必要なのは、[HCL_Verse.zip]の中身のみになります。

こちらを解凍すると[plugins]というフォルダが現れ、この中に以下4つのjarファイルが存在しています。

この4ファイルが準備できれば、作業開始です。

1. Dominoサーバーの停止
2. 旧jarファイルを念のため移動させておきます。
    jarファイルの場所は、以下いずれかになります(弊社は後者でした)。
   　<Domino program directory>/osgi/shared/eclipse/plugins
   　<Domino data directory>/domino/workspace/applications/eclipse/plugins
   このフォルダ内にVerse1.0というフォルダを作成し、対象ファイルを移動させます。
   対象ファイルは、先の手順書によると、「ワイルドカード構文 "*-1.0.*-0.0-*.jar", core-1.0.*.*.jar および servlet-1.0.*.*.jar を使用して、Verse 版の jar ファイルのみが削除されるようにします。」との事です。
3. 移動が完了すると、先に準備しました4つのjarファイルをこのpluginsフォルダにコピーします。
4. あとはDominoサーバー起動すれば完了です!!

むちゃくちゃ簡単ですね!

早速パソコンのブラウザからVerseにアクセスし、パージョンを確認します。

いいですねー。無事アップデートが完了しました。

ここまでは特になんてことないアップデートですが、さっそくPWAの効果を検証したいと思います。

PWAに関する記述は以下にありました。

How do I run Verse as a standalone app?

Chrome67からデスクトップPWAのサポートが強化されたそうですので、Chromeを使ってみていきたいと思います。

まずはChromeの設定変更が必要でした。

Chromeのアドレスバーに[chrome://flags]と入力してExperimentsを変更します。

上部の検索バーに【PWA】と入力すると、以下のような4つの項目が表示されますので、すべて「Enabled」にします。

右下の[Relaunch]をクリックして、Chromeを再起動します。

その状態でVerse2.0を開いてみます・・・うーん、変化なし?
よくわかりません。

そもそもPWA対応のサイトはどうなるのが正解なのだろうと探していると、ツイッターが対応しているとの事でした。

実際こちらを先の設定済Chromeで開くと、

このようにアドレスバーに⊕が表示され、インストールできそうです。

この事はWindowsに限らず、Macでも同様でした。

そこでとあるHCL社員の方へ問い合わせたところ、SSLの設定が完了していないのでは?との連絡!

です(汗

SSLが設定されていないと、PWAの恩恵が受けられないことが判明しました。

まあ、このご時世当たり前といえば当たり前ですね。

ということで、今回は一旦これにて完了です。

残念ながらPWAには対応できませんでしたが、その他Verse2.0の機能は適用されておりますので、決して無駄な作業ではありませんでした。

本番環境を稼働しているサーバーですので、しっかり準備してからSSL化を行いたいと思います。

また機会あれば、このあたりも報告できれば・・・。

#iPhone 機種変更に伴う #Verse アプリについて

I will report the Verse app settings that were required when changing the iPhone model.

みなさま、こんにちは。
なかなか出口の見えないコロナ関連ですが、いよいよ本日、大阪研究会を開催致します。

今回は例に漏れず、初の試みとして現地開催に加え、WEB配信を予定しています。
できればWEB参加頂いた皆様とも多少会話を交えつつ、大阪研の雰囲気を思い出すような会にできればと考えております。


さて今回の内容ですが、3月に

#Verse オンプレミスの設定

について記載しましたが、この度弊社内にてiPhoneの機種変更があり、少しだけ戸惑うような内容がありましたので、対処法含め報告させて頂きます。

iPhoneの機種変更時のデータ移行については、いくつかの手順があります。
本来でしたらそのそれぞれについて、手順を書くべきかとは思いますが、時間の都合により弊社で実施した1手順(クイックスタート)についてのみとさせて頂きますことをご了承ください。

クイックスタートとは、Apple様サイトにもございますが、iOS11以降を搭載した機種同士でデータを受け渡しする機能になります。

最近ではデータ容量も増えてきており、iCloudの無料枠経由では容量オーバーする例も出てきました。
iTunes経由でもいいのですが、全社員が簡単に移行を実施する手段として弊社ではクイックスタートを利用することとしました。

まず大きな点として、クイックスタートを利用した場合、プロファイルが移行されないことが判明しました。

ということは・・・
Verseのみならず、Travelerも再設定が必要になるということです。

Travelerについては、サーバーのURLをQR化して配布し、各自再インストールすることで解決です。
こちらは全員が経験のある作業でしたので、問題ありませんでした。

同じようにVerseも・・・
ということで、証明書ファイルを自身にメールし、Traveler経由でiPhoneにダウンロードしてインストール。
今回は「証明書信頼設定」ははじめから[ON]になっていました。

これで繋がるだろうとVerseアプリを起動・・・
無事、自分のアカウントでアプリが開きました。

メールボックスを同期させたところ・・・
受信ボックスの上部にくるくるとインジケーターが回るのですが、更新されない・・・。

ということで、HCL様サポートへ・・・
ほぼ即答で一旦アプリの再インストールをとの事でした。

確かにiOSの再インストールとVerseのログインだけですから、手間はかかりませんね。

ただアプリそのものの再インストールでなく、一旦ログアウトできないか?
と考え、探したところ、すぐに見つかりました。

アプリ左上の歯車マークから

メールアドレスをタップすると・・・

Verseデータの削除が見つかりました。

せっかくなので、こちらを実行して、アプリを再起動し、ログインしますと・・・。

無事サーバーへの接続が完了しました。
もちろん同期もOKです。

あとは同期設定をカスタマイズして、元通りになりました。

まあ、当たり前といえば当たり前ですね。

以上、たいした内容ではありませんが、経験談として報告させて頂きます。

#Verse オンプレミスの設定

Now that we have migrated to Domino V11, we have begun using Verse on-premises.
The procedure for the certificate was a little complicated, so I will write it as a memorandum.

みなさま、こんにちは。

コロナウィルス・・・なかなか勢いが収まりませんね(泣
はやく終息宣言が出され、研究会などで皆様とお会いできる日が待ち遠しい限りです。

さて先日よりDomino V11が稼働し、ID Vault も全員が適用されたことから、モバイルアプリの運用を開始致しました。

弊社では配布端末はすべてiOSになります。
今回はVerse のオンプレミスサーバーへの接続手順を中心に、Nomadについては一点だけ気づいたことを報告致します。

まずは弊社のサーバー側の情報です。

社内DominoサーバーにVerseオンプレミスを導入してあります。
またDMZにTravelerサーバーを配置、いずれもV11にマイグレーション済となります。
こちらの作業については、ベンダー様にて対応頂いたため、省かせて頂きます。

ということで、早速VerseアプリからTravelerサーバーを指定してセットアップを試みたのですが、証明書エラーが表示されてしまいました(すいません、画像取り忘れ・・・)
Travelerについてはマイグレーション時に、端末のプロファイルの入れ替えを実施済になりますので、接続できると考えていたのですが、思わぬ落とし穴でした。

そこでTravelerサーバーの証明書をTraveler経由で自分のデバイスにメール送信して、デバイスに保存します。

メールで届いた添付ファイルをタップして、iPhoneにインストールをタップします。

以下のように「ダウロードされました」と表示されます。

　

続いてiPhoneの
[設定]-[一般]-[プロファイルとデバイス]を開き、ダウンロード済みプロファイルに存在していることを確認し、こちらをタップします。

続いて、インストールをタップします。
この時点では署名者は未検証になっています。

確認画面が表示されますので、もう一度インストールをタップします。

以下のように、署名者が検証済みになりますので、完了をタップします。

これだけではダメで、引き続き証明書を信頼する設定が必要です。
[設定]-[一般]-[証明書信頼設定]を開き、証明書信頼設定をタップします。

先ほどインストールした証明書をONに変更します。

警告画面が表示されますので、続けるをタップします。

以上で証明書の準備は完了です。

ようやくVerseアプリの登場です。
まだありますね・・・IBM Connections Cloud・・・
もちろん会社のサーバーをタップします。

ユーザー名、パスワード、接続先サーバーの設定を入力し、ログインをタップします。

以上でアプリが開きます。

余談ですが、最初のデバイス選択の画面でApple Watchが表示されましたが、こちらには証明書をインストールせずに利用できています。
おそらくペアリングされた本体側の認証が効いているのではと思います。

手順だけ書くとこうなのですが、ひとつ気になる点にお気づきでしょうか。
DominoサーバーにVerseはインストールされていますが、クライアントはTravelerサーバーを経由してアプリを接続しています。
つまり・・・
あきらめていたVerseアプリからのPUSH通知が有効になるのです。

このPUSH通知については、Verseの導入を行うかどうかで悩むキーポイントでした。
社内への接続方法の変更すら考えたのですが、結果的には何もせずにその恩恵を受けることができました!!

Verseについては以上です。
続いてNomadですが、こちらはNotesクライアントの設定とほぼ同じですので、手順は省きますが、一点気になったことがありました。

社内向けの手順書を作成しながら設定しておりましたので、随時画面ショットを取りながら作業をしていました。
ところがパスワード入力画面のひとつ手前を撮り忘れたため、パスワード入力をキャンセルしたのです。
すると・・・
ID Vaultを介してログインするつもりが、IDの選択画面が表示されてしまいました。
結局アプリを再インストールすることで、ID Vaultを介してログインすることはできましたが、このようなこともあるよ程度で報告致します。

参考までにNomadの設定画面ショット一覧を以下に貼っておきます。

みんなだいすき!? Apple Watch

みなさま、こんにちは！！
いよいよ今年もあと僅か。仕事でも自宅でも、少しずつ片付けなければと思いながら、何もできずに・・・やはり切羽詰らないとやらないですね。
今週末はテクてく Lotus 技術者夜会があり、大阪でもPVが開催されるのですが。
ちょうど会社の全社忘年会と重なっており、恐らくリモートも難しい状況です。
Notes/Domino Jamも動きが始まるようですので、期待大です。
ぜひ皆様もJamへ登録・参加しましょう！！

さて今回は現在私が使用しておりますAppleWatchについて、Notes/Dominoやその他アプリについて、ご案内させて頂きます。

まずは弊社導入の経緯ですが、さまざまなシステム監視を実施しておりますが、導入後3年を経過し、少しこれらの頻度が増えてきました。
例えばサーバー障害であったり、ストレージの電源障害など、かなり緊急を要するものから、UPSからの発報など、多岐にわたります。

これらの一部は休日であろうが、夜間であろうが、リアルタイムで処理する必要があるものもあります。
弊社ではTravelerサーバーを構築しておりますので、もちろんプッシュにてNotesに届いたメールはリアルタイムにiPhoneにも同期されますが、24-365でiPhoneを持ち歩くことはできません。(水泳時や、ちょっとした運動時など)

また外部セミナー時など、iPhoneを使わずとも届いたメールの要件が確認できるため、すぐに対応すべきものかの判断材料としては十分な機能になります。

ということで会社に申請し、承認が得られたというものです。
ちなみにLTEが欲しかったのですが、弊社が契約しているキャリアでは、法人レンタル契約のiPhoneにはつけることができないということで、回線なしのモデルになります。


前置きが長くなりましたが、まずはメールです。
先にも記載しましたが、Traveler経由でiPhoneにメールが届くと同時にAppleWatchにも通知が行われます。
まずは受信した画面です。

メール本文は小さいながらも十分読み取ることができます。

続いて添付ファイルの状態です。

このように表示されますが、このPDFをタップしても開くことはできません。
もしかしたらビューワーをインストールすると見ることができるのかもしれませんが、現時点では確認できておりません。
ちなみにバイト数の記載がありますが、実際にAppleWatchにはダウンロードされていないのではないかと推測されます。

続いてNotesならではの文書リンクです。

リンクアイコンは表示が消えてしまっているようです。
URLも表示するよう設定しておりますので、「Link」の文字列は確認できますが、こちらも開くことはできません。
先と同様、ブラウザをインストールすれば開くことができるのかもしれませんが、こちらについてはセキュリティの関係がどう影響するのか検証は必要と思われます。

それでは届いたメールにAppleWatchで返信しようとした場合の画面もご覧ください。
数画面にわたりますので、上から順番に貼り付けておきます。

まず先頭に[Siri]のコマンドボタンとスタンプボタンがあります。
スタンプだけや、Siriを使用した音声入力で返答が可能になります。
またそれ以下には使われるであろう文言が、タップ操作のみで返信できるように列記されております。

結構使えるのではないかと感じております。

なお私は社内フローの承認等を含め、毎日200本～300本程度のメールが届きます。
そのメールすべてが転送されますとさすがに処理しきれませんし、誤って見逃してしまう原因にもなります。
それを防ぐため、メールルールをかなり細かく設定し、自動でフォルダ振り分けを行っております。
Travelerの通知は「受信ボックス」に届いたもののみが届きますので、急ぎのものとその他メールのみが通知対象になるようにチューニングしております。
もろちん受信ボックス以外も、Travelerは手動で同期してくれますので、必要な際に必要なメールは閲覧可能です。

以上、メールについて記載しましたが、実際に使用しているとWatchアプリはないものの、通知が届くものはいくつかあります。

私が使用している業務アプリでは、IBM Verse、Watson Workspaceは非常に便利でした。

まずはVerseでメールを受信した通知です。

さすがにTravelerはiPhoneのネイティブメーラーに届いているため、本文まで読むことができたのですが、Verseはこのように通知のみになります。
もちろん返信や転送はできません。

ちなみに以下は、たまたま記事を書いている最中に、他の方にフォローされた際の通知になります。

次にWatsonWorkspaceです。
ちょうどメール通知と重なってしまったので、合わせて参考になさってください。
短い文面ですと、すべて表示してくれそうです。

さて今回は私の職務に関わるAppleWatchの紹介をさせて頂きましたが、正直なところまだまだかなという感じは否めません。

例えばVerseアプリが対応し、タスクやカレンダーなどと連携してくれると結構な効果は現れるような気がします。
(スケジュールに合わせて「ブルッ」と通知してくれたり・・・)

特に無償ブラウザがないという点が個人的には足かせになっているようにも感じます。
Chromeなどが対応してくれれば、XPagesで作ったサイトの表示や、さらなる利用方法なども検討できればと考えております。


以上、さいごまでありがとうございました。