DAOS_NLO_ENCRYPTION_METHOD – Legacy-Verschlüsselung für DAOS-NLOs erzwingen

Steckbrief

Parameter	`DAOS_NLO_ENCRYPTION_METHOD`
Komponente	Domino Server (DAOS-Subsystem)
Verfügbar seit	Domino 12.0
Werte	`0` = Legacy ("Domino classic")-Verschlüsselung erzwingen, nicht gesetzt = Default ab Domino 12 (AES-128, optional AES-256 oder Shared Key)
GUI-Entsprechung	keine — nur `notes.ini` (Server-Doc-Feld "DAOS object encryption" steuert die Strategie ergänzend)

Beschreibung

DAOS lagert Anhänge / Notes Large Objects als .nlo-Dateien außerhalb der NSF aus. Diese NLOs werden standardmäßig verschlüsselt (siehe DAOS_ENCRYPT_NLO). Was sich mit Domino 12 geändert hat: Ab Version 12 verwendet DAOS standardmäßig AES-128 (optional AES-256, optional einen Shared Key aus dem Credential Store für Cluster-übergreifende Entschlüsselung). Vor 11.0.1 kannte DAOS nur die klassische Domino-Verschlüsselung mit der Server-ID.

Das Problem beim Mischbetrieb / Rollback: Eine NLO, die von einem Domino-12-Server in AES-128 geschrieben wird, kann von einem Pre-11.0.1-Server nicht entschlüsselt werden. Das verhindert ein sauberes Rollback nach einem Upgrade.

Die Lösung: Wer beim Upgrade auf Domino 12 die Möglichkeit eines Rollbacks auf Pre-11.0.1 erhalten will, setzt vor dem Upgrade in der notes.ini:


DAOS_NLO_ENCRYPTION_METHOD=0

Das zwingt Domino 12 (und neuer), für DAOS-NLOs weiterhin die alte ("Domino classic")-Verschlüsselung zu verwenden, wenn das Server-Doc-Feld DAOS object encryption = Private to this server gesetzt ist. Ohne diesen Parameter würde Domino 12 stattdessen automatisch auf AES-128 umstellen.

Beispiel-Konfiguration

Vor dem Upgrade auf Domino 12 (Rollback-Plan offenhalten):


DAOS_NLO_ENCRYPTION_METHOD=0

Nach erfolgreichem Upgrade und Verzicht auf Rollback (auf moderne Verschlüsselung umstellen): den Parameter wieder entfernen oder auskommentieren und ggf. mit daosencmgr convert die bestehenden NLOs auf das gewünschte Verfahren umschlüsseln.

Hinweise & Stolperfallen

Vor dem Upgrade setzen: Wer den Parameter erst nach dem Upgrade nachzieht, hat unter Umständen bereits AES-128-NLOs auf der Platte. Diese müssen via daosencmgr convert zurückkonvertiert werden, sonst bleiben sie für Pre-11.0.1-Server unlesbar.

Server-Doc-Feld beachten: Der Parameter wirkt im Zusammenspiel mit dem Server-Dokument-Feld DAOS object encryption. Steht dort Private to this server, schaltet DAOS_NLO_ENCRYPTION_METHOD=0 die DAOS-encryption-strength explizit auf Domino classic. Bei Shared key greift das Setting nicht — dort gilt der Shared-Key-Algorithmus.

Tooling: load daosencmgr list zeigt die aktuell verwendeten Verschlüsselungs-Algorithmen für alle NLOs auf dem Server. load daosencmgr convert (ab 12.0.2) konvertiert Bestands-NLOs auf das eingestellte Verfahren.

Server-Neustart erforderlich zum Aktivieren des Parameters.

Verwandte Parameter: DAOS_ENCRYPT_NLO (Master-Schalter NLO-Verschlüsselung an/aus), DAOS_RESYNC_VALIDATE_NLO_FILES (Validierung bei Resync).

Compliance-Hinweis: Wer ohne Rollback-Pflicht arbeitet, sollte den Parameter nicht setzen — moderne AES-128/AES-256-Verschlüsselung ist dem klassischen Verfahren in jeder Hinsicht überlegen.

Quellen

HCL Domino 12.0.2 Administrator Documentation — Improved DAOS object encryption

HCL Domino 14.0 Administrator Documentation — Making DAOS object encryption keys consistent

HCL Domino 9.0.1 Administrator Documentation — Encrypting consolidated attachments