EMC Networker client hostname ändern – change hostname

Hat man einen Host mit installiertem EMC-Networker geklont, stimmt der Hostname nicht, der Dienst lässt sich nicht starten und die Maschine somit nicht sichern.

Dies ist einfach zu validieren mit:

root@host2:/nsr# nsradmin -d /nsr/res/nsrladb/
NetWorker administration program.
Use the „help“ command for help, „visual“ for full-screen mode.
nsradmin> p type:nsrla
administrator: root, „user=root,host=host1“;

Hier sieht man deutlich, dass wir zwar auf host2 sind, der Networker jedoch noch die Info hat, wir wären host1.

Einfach zurücksetzen lässt sich dies mit einem mv /nsr/res/nsrlabd /nsr/res/nsrlabd

und anschließendem Start des Dienstes. Dann wird die DB unter nsrlabd neu aufgebaut und der Hostname ist korrekt.h

Zabbix debugging like a pro

Increase debugging flags without restarting zabbix server with…:

zabbix_server -c /etc/zabbix/zabbix_server.conf -R log_level_increase=alerter

Revert changes with:

zabbix_server -c /etc/zabbix/zabbix_server.conf -R log_level_decrease=alerter

Zarafa Suche & Outlook Suche findet keine Einträge mehr

Heute hatte ein Kunde das Problem, dass weder in Outlook noch im Webaccess Einträge gefunden werden konnten. Die Einträge waren jedoch vorhanden.

Ein Blick in die Log-Datei /var/log/zarafa/search.log lieferte:

Mon Jun 15 15:18:38 2015: [0x7979f700] Unable to config system exporter: 8004010F
Mon Jun 15 15:18:38 2015: [0x7979f700] Change processing failed: 8004010F

Das heißt, dass der vorhandene Index ein Problem hat. Lösung ist, zarafa-search zu beenden die Dateien unter /var/lib/zarafa/index zu löschen (sicherheitshalber nur zu verschieben) und Dienst zarafa-search wieder zu starten.

Dies wird dann quittiert mit:

Mon Jun 15 15:18:46 2015: [0x7f799760] Stopping Zarafa search…
Mon Jun 15 15:19:26 2015: [0xdee8f760] Starting zarafa-search version 7,1,11,46050 (46050), pid 32041
Mon Jun 15 15:19:53 2015: [0xd6537700] Search thread started

Und schon liefert die Suche auch wieder sinnvolle Treffer.

Rechenzentren – VDI – FI-Schalter – Überwachung von Fehlerströmen

Für die Betreiber von Rechenzentren ist eine Sicherung des Personals gegen Kriechströme und Fehlerströme laut VDI Pflicht.

Hier gibt es zwei Ansätze. Ausstatten der Rechenzentren mit FI-Schutzschalter. Hier löst eine Sicherung aus und die Stromzufuhr ist unterbrochen. Dies möchte man eigentlich nicht, da ja durch eine Sicherung ein Großteil der IT-Landschaft stromlos ist und es somit zu Ausfällen kommt.

Der zweite Ansatz ist die konstante Überwachung der Fehlerströme. Hierzu gibt es z.B. von der Firma Bachmann aus Stuttgart Geräte die diesen Zweck erfüllen. Gekoppelt mit einem Monitoring-System kann vorbeugend bei Problemen alarmiert werden und der Betrieb ist nicht gefährdet.

Per SNMP weist sich das Gerät wie folgt aus:

.1.3.6.1.2.1.1.1.0 = STRING: Linux BLUENET2-3C001BDE 3.7.2-GHOST-Rev.: #1 Fri Apr 24 11:12:40 CEST 2015 armv5tejl

.1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.31770.2.1.3.3026

.1.3.6.1.2.1.1.3.0 = Timeticks: (137979875) 15 days, 23:16:38.75

.1.3.6.1.2.1.1.4.0 = STRING: www.bachmann.com

.1.3.6.1.2.1.1.5.0 = STRING: BLUENET2-3C001BDE

.1.3.6.1.2.1.1.6.0 = STRING: MUChmann Technology GmbH & Co. KG

.1.3.6.1.2.1.25.1.4.0 = STRING: „mem=128M console=ttyS0,115200 root=/dev/mtdblock6 rw rootfstype=ubifs ubi.mtd=6 root=ubi0:P5_P7

Die zwei wesentlichen Werte per SNMP sind hier versteckt (in Milli Ampere):

Fehlerstrom differential Current DC .1.3.6.1.4.1.31770.2.2.8.4.1.5.0.4.0.255.255.255.0.8

Fehlerstrom differential Current AC .1.3.6.1.4.1.31770.2.2.8.4.1.5.0.4.0.255.255.255.0.7

Danke Peter für die Infos!

Java Applikationen, Applets, Servlets Klarstellung

Für Java gibt es drei Arten von Anwendungen.

Applications (laufen auf Clientseite und benötigen das JRE auf Clientseite – ausgewachsene Java-Anwendungen wie z.B.
der HP OpenView Client.

Applets die in einem Container – in der Regel in einem Webbrowser ablaufen – auch hier ist das JRE nötig.

Servlets – Anwendungen die nicht mehr im Browser sondern im Kontext des Webservers laufen – als auf Serverseite.
Für Servlets benötigt man auf Clientseite keine JRE mehr.

Um Servlets auf Serverseite auszuführen ist ein Web container nötig. Hierfür gibt es viele kommerzielle und freie Lösungen. Einige Bekannte sind Apache Tomcat, JBoss, Oracle WebLogic oder IBM WebSphere.

Danke Adrian für die Infos.

SIP / Voip Debugging – notwendige Firewall Anpassungen SIP/2.0 404 Not Found

Wir haben uns bei unserem SIP-Provider registriert und können ausgehende Gespräche führen. Eingehende Gespräche werden jedoch an der FW geblockt:

Die Log-Datei zeigt folgendes:

IN=wan OUT= MAC= SRC=212.227.67.131 DST=ext-IP LEN=1313 TOS=0x00 PREC=0x00 TTL=57 ID=63290 PROTO=UDP SPT=5060 DPT=5060 LEN=1293

Normaler SIP-Verbindungsaufbau (INVITE) über Default-Port 5060 UDP.

Man könnte jetzt einfach den Port 5060 von aussen freigeben, damit erlaubt man jedoch den Angreifern div. Unsinn.
Wir schränken somit den Zugriff auf eine IP-Range des SIP-Providers ein.

Laut Ripe gehört das komplette /16-Netz zu 1und1/Schlund:

https://apps.db.ripe.net/search/query.html?searchtext=212.227.67.131

Nach der Port-Freischaltung durch die FW kommen zwar eingehende Anrufe an, die TK-Anlage meldet jedoch Empfänger/Durchwahl unbekannt:

Anfrage:

14:10:23.465406 IP 212.227.18.135.5060 > TK-Anlage.5060: SIP, length: 1283
E…….8..6…….e……_3INVITE sip:rufnummer@ext-IP:5060 SIP/2.0

Antwort:

14:10:23.469888 IP TK-Anlage.5060 > 212.227.18.135.5060: SIP, length: 888
E…….@……e……….C TK-Anlage.5060: SIP, length: 358
Eh..r.@.@.C……..e…..n..SIP/2.0 100 Trying

15:04:16.527746 IP SIP-Telefon.5060 > TK-Anlage.5060: SIP, length: 413
Eh..r.@.@.C……..e……..SIP/2.0 180 Ringing

Und der Rufaufbau ist abgeschlossen.

Firewalltechnisch keine weiteren Einstellung mehr nötig als wie oben erwähnt. Es gibt eine Default-FW-Regel, die ausgehenden Verkehr erlaubt.

Bandbreitenverbrauch ist 20KB/s für das bestehende Gespräch.

1und1 ADSL ipv6 Status + Einrichtung – Workshop

Wir verwendeten bis dato einen SIXXS ipv6 Tunnel-Broker zur Nutzung von ipv6. 1und1 stellt jedoch ebenso für alle VDSL-Anschlüsse ipv6 per dual-Stack zur Verfügung.
Für ADSL-Anschlüsse muss dies über das 1und1 Kundenforum einmalig durch eine private Nachricht an die Moderatoren freigeschaltet werden.

Nach der Freischaltung und der korrekten Konfiguration des Routers steht ein /64-Prefix zur Verfügung.

Zwischen Provider und Router existiert lediglich eine Link-Lokal Verbindung. Hierüber kündigt der Provider ein /64-Netz an. Dies kann an die Clients im LAN verteilt werden.

Wir planen in den nächsten Wochen einen ipv6-Workshop. Bei Interesse eine kurze E-Mail an uns über http://www.cubewerk.de/kontakt.html

Askozia PBX – 1und1 SIP Konten

Benutzername: 0049862112345 (eigene int. Nummer ohne + und doppelte Null)
Kennwort: Das in der 1und1 Oberfläche hinterlegte für die Rufnummer
Host sip.1und1.de

Der Sip Proxy von 1und1 ist sehr gesprächig – man kann also sehr sinnvoll mögliche Fehler ableiten.
Hier einige Auszüge:

SIP/2.0 407 Proxy Authentication Required

Kennwort falsch – oder die Rufnummer ist „abgelaufen“. Wir hatten den Fall, dass zwar in dern 1und1-Oberfläche eine Rufnummer mit neu hinterlegtem Kennwort verfügbar war, jedoch das Kennwort ständig bemängelt wurde. Rufnummer gelöscht und neue hinterlegt und die Meldung blieb aus.

SIP/2.0 403 Keine RFC1918-IPs erlaubt oder SIP/2.0 403 Private IP im Contact-Header

Bei einem SIP-Verbindungsaufbau benötigt die Gegenstelle eine gültige Zuordnung zum Anrufer. Dies ist nicht mit privaten IP-Adressen möglich, da diese nicht geroutet werden. Entweder man konfiguriert die Askozia PBX-Anlage mit einer statischen und öffentlichen IP-Adresse oder hinterlegt die eigene dynamische und öffentliche IP-Adresse unter Konnektivität / Netzwerk.

Näheres Infos hierzu findet man unter folgender URL:

http://www.askozia.com/handbook/index.php?title=Connectivity

Hat man dies hinterlegt, ist 1und1 kooperativer und baut in folgenden Schritten den Anruf auf:

SIP/2.0 200 OK
SIP/2.0 100 trying — your call is important to us
SIP/2.0 183 Session Progress
SIP/2.0 180 Ringing
SIP/2.0 200 OK