Kategorie: Lust und Frust

Ich hätte dies früher ankündigen sollen. Da wir gerade unsere Software-Repositories im openSUSE Buildservice vollständig neu organisieren ist es derzeit (29.3.2015 und in den nächsten Tagen) nicht möglich einen invis-Server 10.0 ActiveDirectory zu installieren. Auch der invis-Server 9.2 Classic wird in Kürze davon betroffen sein.

Ich hoffe, alles so schnell es geht über die Bühne zu bekommen, damit wieder getestet werden kann. Leider scheint es seit ein paar Stunden auch Probleme mit dem Buildservice selbst, bzw. dessen Webfrontend zu geben. Das verzögert meine Arbeit natürlich zusätzlich.

Die angestrebten Umstrukturierungen wirken sich auch auf den zukünftigen Ablauf der Installation aus. Ich werde die sich ergebenden Änderungen aber schnellstmöglich im invis-Wiki dokumentieren.

Ich bitte um ein bisschen Geduld.

Stefan

Das war’s mal wieder. Die Chemnitzer Catering Tage sind um. Schade. Wie immer ein großes Lob an die Orga. Das euch Helfer gefehlt haben ist zwar wirklich schade, aber es ist nicht sonderlich aufgefallen. Gut gemacht! Den ganzen Beitrag lesen…

In Sachen Besucherzahlen war die diesjährige “OpenRheinRuhr” sicherlich nicht die beste Veranstaltung seit Ihrem Startschuss 2009. Woran das lag, darüber möchte ich hier nicht spekulieren. Spaß gemacht hat es allerdings wie immer, natürlich inklusive “Whisky Field Tasting” am Social Event. Für diesen muss auf jeden Fall ein Lob ausgesprochen werden. Der originelle, allerdings auch viel kritisierte “Pizza Proxy”, wurde zu Gunsten einer Grill-Aktion, die allen Unken-Rufen zum Trotz hervorragend funktioniert hat, aufgegeben. Alles in allem ist klar, wir kommen auch im nächsten Jahr. Den ganzen Beitrag lesen…

16.September 2014

Shit happens

Einen etwas in die Jahre gekommenen invis-Server auf aktuellen Stand zu bringen ist eigentlich kein Hexenwerk.

Im Idealfall sichern Sie das “/etc” Verzeichnis, sämtliche Datenbanken und machen einen Snapshot des LDAP-Verzeichnisses. Ist der Server auf einem Software-RAID 1 aufgesetzt trennt man den Verbund auf und legt eine der beiden Festplatten erst mal auf die Seite.

Die verbleibende Festplatte ist mit den Smartmontools auf ihren Gesundheitszustand zu testen. Ist alles OK kann die Neuinstallation einer aktuellen openSUSE beginnen. Dabei wird die bestehende Partitionierung beibehalten und die Logical-Volumes “srv” und “home” ohne Formatierung aus der vorherigen Installation übernommen. Den ganzen Beitrag lesen…

Ein Tag mit Vodafone. Beginnen wir mit besagtem Begleitschreiben:

Sehr geehrte Damen und Herren,

der Umzug findet trotz unterschiedlicher Adressen innerhalb eines Gebäudekomplexes statt. Sowohl die alten, als auch die neuen Räumlichkeiten werden am gleichen Hauptanschluss der Deutschen Telekom betrieben. Vom Hauptanschluss sind bereits Kabel in die neuen Räume verlegt. Es wird vor Ort lediglich ein Techniker der Telekom benötigt, der den Hauptanschlusskasten öffnet, die alten Leitungen ab- und die neuen Leitungen anklemmt. Eine Umschaltung in der Vermittlungsstelle ist nicht notwendig.

Wir bitten dringend um eine vorherige Terminabsprache mit unserem IT-Techniker Herrn Stefan Schäfer (0175/1xxxxxx).Den ganzen Beitrag lesen…

Nach etwa 50 Commits in unser Github-Repository und nur geringfügig weniger Builds im openSUSE Buildservice, haben wir den Grundstein für einen Active Directory basierten invis-Server gelegt.

Noch haben wir zwar keine Hand an die entsprechenden Anpassungen des invis-Portals gelegt, es steht jetzt allerdings ein invis-Server Setup-RPM zur Verfügung, mit dem bereits ein Samba4 basiertes Active Directory realisiert werden kann,  inklusive einiger Schema-Erweiterungen im Active Directory. Diese werden es ermöglichen das AD-Verzeichnis beinahe auf die gleiche Weise zu nutzen, wie zuvor OpenLDAP.

Besonders stolz sind wir darauf, dass es uns gelungen ist den ISC-DHCP-Server so zu patchen, dass auch er seine Informationen aus dem AD beziehen kann.

Noch ist es ein langer Weg, bis ein AD-basierter invis-Server auf dem Stand der klassischen Installation ist, wir sind jedoch guter Dinge auch die noch anstehenden Probleme zu lösen. Hilfe ist dabei jedoch jederzeit willkommen. Der aktuelle Stand der Dinge kan im invis Wiki nachgelesen werden.

Stefan

Vor kurzem habe ich hier im invis-Blog einen Artikel zum Thema “Wie viele CPU-Kerne spende ich einer virtuellen Maschine?” veröffentlicht.

In der ersten Veröffentlichung wurde lediglich mit einem System auf Basis einer (wenn auch kleinen) Intel Hyperthreading CPU getestet. Inzwischen hatte ich die Zeit die gleichen Benchmarks mit einem Sytem durchzuführen, welches über 8 physische CPU-Kerne verfügt.

Das daraus resultierende, gänzlich andere Verhalten, möchte ich natürlich niemandem vorenthalten. Hier die Auswertung als PDF-Datei.

Ich hoffe es ist nützlich.

Stefan

Wir haben das Wiki zum invis-Server um die Rubrik “invis-Server Client Integration” erweitert. Darin werden unterschiedliche Wege der Client-Anbindung an einen invis-Server beschrieben. Neben einer Anleitung für einen Windows 7 Domänenbeitritt, die sich schon seit einer ganze Weile im Wiki befindet, haben wir aus aktuellem Anlass die Anbindung von Ubuntu Clients beschrieben.

Ausganspunkt war eine reale Umgebung in der ein invis-Server in eine reine Ubuntu-Umgebung integriert wurde. Dabei ging es nicht nur um lokale Clients, sondern auch um eine möglichst nahtlose Integration von Clients via OpenVPN. Nebenbei haben sich daraus einige Verbesserungen und Erweiterungen am invis-Setup ergeben, die bereits in unser RPM-Paket eingeflossen sind.

Die Integration von openSUSE-Clients verläuft sicherlich etwas glatter, es hat sich in der Praxis jedoch gezeigt, dass ein invis-Server auch abseits von openSUSE oder Windows, eine gut funktionierende Ergänzug einer IT-Landschaft ist.

Aus der “Zielgruppe für die Zielgruppe” ist ein Motto des invis-Server Projektes, welches hier sehr schön umgesetzt werden konnte. Die Situation beim Anwender erforderte einige Erweiterungen und Anpassungen, diese wurden unmittelbar ins Setup-Paket integriert und im Wiki dokumentiert.

Stefan

Ich durfte gerade feststellen, dass es pro IP Adresse lediglich möglich ist 3 Microsoft Konten pro Tag einzurichten. Muss man für einen Kunden 27 mal Microsoft Office 2013 (keine Volumen Lizenz und jeder ein eigenes MS Konto) installieren, bedeutet das, dass sich die Installation auf 9 Tage verteilt.

So lange wie das pro Installation dauert, sind drei Installationen pro Tag eine durchaus realistische Schätzung….

Wer Sarkasmus findet, darf ihn behalten. ;-)

Stefan

Vor wenigen Tagen flatterten uns, an drei unserer Kunden (Kunden meiner Firma FSP Computer & Netzwerke) gerichtete, Abuse Schreiben der Deutschen Telekom ins Haus. Alle Schreiben waren, sieht man von leicht differierenden Zeitangaben ab, absolut identisch.

Mit deutlichen Worten wird dort die mißbräuchliche Nutzung eines DSL-Anschlusses durch Spamversand angemahnt. Hier ein Auszug:

“Von Ihrem Zugang wurde seit dem 24.03.2014, 5:xy Uhr mehrfach eine missbräuchliche Nutzung durch Spamversand festgestellt und gemeldet. Falls Sie sich nicht erklären können, wie es zum Versand dieser E-Mails gekommen ist, nehmen sie unser Schreiben bitte zum Anlass Ihr Computersystem unverzüglich zu prüfen….”

Im weiteren Verlauf des Textes wird darauf hingewiesen, dass damit gegen die Allgemeinen Geschäftsbedingungen der Telekom verstoßen wird. Es wird selbstverständlich mit der Sperrung des Anschlusses gedroht.

Auch wenn die Kunden in völlig unterschiedlichen Regionen der Republick angesiedelt sind, ist Ihnen eines gemein: Sie verwenden einen invis-Server. Grund genug mir einen gewissen Schrecken einzujagen.

Eine direkte Rückfrage zu den Schreiben bei der Telekom erwies sich an diesem Tag aufgrund einer Betriebsversammlung als unmöglich und die Warteschlangenmusik hält einen auch nicht mit Freuden in der Leitung.

Also direkt zur Fehlersuche. Ich habe alle drei Server auf Hinweise zum vermeintlichen Spamversand untersucht und nichts gefunden. Dass PCs der Kunden durch Schädlingsbefall zu Spamschleudern mutierten, ist schon allein aufgrund der genannten Uhrzeiten nicht möglich, sämtliche PCs waren schlicht aus.

Am darauf folgenden Tag hatte ich mehr Glück bei der technischen Hotline. Eine durchaus freundliche und hilfsbereite Dame hat sich die Vorfälle angeschaut und geriet beim Vorlesen des Wortes “Amplifier” hörbar ins Stocken. Ich half Ihr bei der Aussprache und musste Ihr daraufhin noch erklären was eine NTP-Amplifier Attacke ist und dass das definitiv NICHTS mit Email oder gar Spamversand zu tun hat.

Meine Frage, warum in den Schreiben nicht der tatsächliche Grund für die Abuse-Meldung genannt wird, beantwortete Sie mir mit “Standardschreiben”.

Der Fehler war schnell behoben. Auf invis-Servern läuft ein NTP-Dienst und leider ist Port 123/UTP auch in Richtung Internet offen. Peinlicherweise schleppen wir diesen Faux Pas schon eine Weile mit und das ist inzwischen leider gefährlich. (Wird aber unverzüglich behoben!)

Nicht so schnell konnte ich meinen Frust bezüglich der wirklich dämlichen Schreiben beseitigen. Jemanden bei der Telekom darauf ansprechen, nahezu unmöglich. Twittern, einfach!

Mein erster Tweet:

“Liebe #Telekom wenn sie #Abuse-Meldungen bez. Spam verschicken obwohl es sich um #ntp-Amplifier Att. handelt sind Sie Teil der DDOS Attacke.”

Die Überraschung war nicht schlecht als ich von “Telekom_hilft” eine direkte Antwort bekam:

Verstehe ich richtig, dass Sie ein Anschreiben von unserer Abuse-Abteilung erhalten haben? ^is”

Eine Reaktion macht Hoffnung, also Dialog aufnehmen:

@Telekom_hilft Drei unserer Kunden. Es wurde Spamversand angemahnt Ursache war aber eine NTP-Amplifier Attacke. Völlig Fehlerhafte Meldung”

@Telekom_hilft Sie können gerne direkt mit uns kommunizieren: http://bit.ly/1eeaX5Y

… und tatsächlich, eine weitere Reaktion:

Okay, wir unterscheiden das nicht so. Daher können wir uns nur für die Unannehmlichkeiten entschuldigen. ^ke”

Ein “wir unterscheiden das nicht so” kann man nicht unbeantwortet lassen:

Dürftige Haltung. Wenn Sie auf Ihren Schreiben einfach die Original Meldung weitergeben würden, wäre alles kein Problem.”

Bisher keine weitere Reaktion. Es bleibt festzustellen, dass die Telekom in “Social Media Marketing” investiert, vermutlich etwas mehr als in die fachliche Ausbildung der Hotline Mitarbeiter oder die Entwicklung sachlich korrekter Schreiben.

Sollte die Geschichte weiter gehen, werde ich hier die Fortsetzung liefern.

Stefan