Vor über einem Monat berichtete Heise über eine große Patch-Orgie Ciscos. Weil das recht wichtig war, ist also auch auf den Systemen, die ich unter meinen Fittichen habe, dieses IOS aufgespielt worden. Danach begann eine mehrstündige Fehlersuche. Wir nutzen die VPN-Funktionalität mit LDAP-Authentifizierung. Und bei einigen accounts ging das nicht mehr — aber eben nur bei einigen.
Heraus kam, das der Authentifizierungsvorgang abbrach, als unser OpenLDAP den Datensatz an den Client, hier also an den Cisco VPN-Concentrator, zurück lieferte. Und zwar genau dann, wenn in diesem people-Datensatz ein Attribut, zum Beispiel jpegPhoto, mehrere KiloByte groß war …. und ist, denn Cisco hat es noch nicht geschafft, diesen vermutlichen BufferOverflow zu beseitigen.
Workarround: Attribute im LDAP nicht größer als 8kB, dann klappt’s auch mit dem Cisco-VPN. Aber traurig ist das schon. Es lief jahrelang reibungslos, und dann baut man so einen dummen Fehler in’s IOS. Ob man damit Systeme zum Absturz bringen kann, habe ich nicht getestet — ich will nur, dass sie funktionieren ;) Notfalls auch mit Workarround.

**************** Advertisement *****************
Secure Hosting from the Linux Experts

Rackspace specialises in Linux Hosting. Rackspace is Red Hat’s first Premier Hosting Partner in Europe and has more certified Red Hat engineers than any other commercial organisation in the world. Red Hat themselves host with Rackspace!

Rackspace guarantees 100% network uptime and 1 hour hardware fix, with Award winning customer service, Fanatical Support available 24/7/365.
*************************************************

Ich will ja nicht nörgeln, aber:

vor einiger Zeit haben wir uns – gerade aufgrund der Reputation – vertriebstechnisch mal bei Rackspace Inc. gemeldet, nett wie Amerikaner so sind ;) wurde die Anfrage an co.uk weitergeleitet und dann war erst mal Schweigen in der Inbox.

Nach Nachfrage und Betteln kam dann doch ein Angebot, was unsere Angaben zur benötigten Performance weitestgehend ignorierte, ein 2-Server-Setup (mit ziemlich hohen Kosten) vorschlug – wir hatten damals bereits schon mehr Server, als Rackspace für unsere neue Umgebung vorsah – Skalierbarkeit war in diesem Setup unmöglich, und unseren damaligen Traffic von den MByte/s in MBit/s degradierte. Wir haben dann doch einen deutschen Provider genommen — als Entschuldigung zu dem Glanzstück wurde seitens Inc. angemerkt, dass sich die europäische Tochter gerade in einer Umstrukturierung befände.

Das Ergebnis war mal wieder ein nicht erfolgreicher Arbeitsaufwand mit dem Gedanken: Wollen die nicht oder können die nicht.

Halbersfalle^[TM] noch das wichtige Zitat aus den guten alten Newsgroup-Zeiten:

Date: 09 Jul 2002 20:10:58 +0200
> > Was nur leider bei Redhat nach hinten losgeht,
> Du tust ja fast so, als gäbe es etwas, das bei Redhat
> nicht nach hinten losgeht!?
.forward ?

Österreich und verschlafen, puhh, das war gestern. Heutzutage gibt’s Warnmeldungen, wenn ein dortiger Mailserver die Mail 30 Minuten lang nicht weiterleiten konnte — 30 Minuten! – nicht Stunden oder Tage. Willkommen beim Echtzeitmedium SMTP.

From: Mail Delivery System
Subject: Warning: message 1K96LZ-00034Z-As delayed 30 minutes

Ob ich mal dem Postmaster eine Mails schreiben sollte, dass er die Mail mit der MessageID … doch bitte bevorzugt behandeln soll, weil sie ganz eilig ist ? ,,,,,

Wenn man mal gerade gute Platten zur Hand hat — OK, ich gebe zu es sind hier sich 15000 mal um sich selbst drehende SAS im Raid1, schafft MySQL sogar schreibend eine fünstellige Anzahl von Queries je Sekunde abzuarbeiten. Das ist kein Messfehler – der Wert ist über mehrere Mess-Minuten verifiziert. Hat mich selbst überrascht – sehr schön. Und das alles mit gar nicht mal so teurer Hardware. Ziemlich von der Stange mit 2 4-Core-Xeons, etwas mehr RAM und eben schnellen Platten an einem Standard-Raid.

Und zu toppen ist das auch noch – mit 27000 INSERTs pro Sekunde.

From: MAILER-DAEMON@ (Mail Delivery System)
Subject: Rueckgabe nicht zustellbarer Nachricht an Absender

Dies ist eine automatisch generierte Nachricht des Postfix E-Mail-Dienstes. Dieser Dienst wird auf dem Server ….. betrieben und teilt Ihnen folgendes mit:

Ihre Nachricht konnte an einen oder mehrere Empfaenger nicht zugestellt werden. Ein Problem-Bericht, sowie Ihre uspruengliche Nachricht wurden an das Ende dieser Nachricht angehaengt.

Fuer weitere Hilfe kontaktieren Sie bitte den fuer Sie zustaendigen
<postmaster>.

Lieber Postmeister,
Du hast mir versehentlich eine widerrechtlich erstellte Kopie meiner Nachricht zurückgesandt und nicht das Original. Bitte übersende mir doch auch das Original. Leider kann ich Dich nicht unter <postmaster> erreichen, ich hoffe, Du liest zufällig meinen Blog.

Vielen Dank und viele Grüße aus Leipzig
Hagen

Auf anraten des Heise-Newstickers – und da irgend ein Idiot solche SQL-Injections auch noch ausnutzt (mein spreadtchibo Artikel wurde mit Spam-Links ‚defaced‘) habe ich einen etwas größeren Versionssprung meinem guten alten WordPress angetan, nun muss ich nur noch meine Hacks wiederherstellen ;)
Die DB-Schema-Änderungen scheinen wirklich vollautomatisch vollständig durchgelaufen. Mal sehen, was für Disfunktionalitäten in den nächsten Tagen zu betrachten sind.

Im April endete endlich mein Leasingvertrag für’s Auto – dass, welches in den letzten Monaten manchmal wochenlang unbenutzt am Straßenrand stand, weil man in Leipzig einfach sehr selten ein Auto braucht. Erst recht kein SUV. Ja damals, in Bollersdorf, da war es sehr praktisch, etwas mehr Bodenfreiheit zu haben. Aber selbst in Südost-Bayern war es schon overdressed. Prinzipiell ist das hohe Sitzen ja sehr angenehm, aber die Kurvenlage leidet d’runter. War halt kein BMW X5. Für meine Umzüge war es echt genial, mal ’nen großen Hänger hintendran und mit zwei, drei Touren war alles transportiert. Mehr als 120 sollte man sowieso nicht auf der Autobahn fahren, wenn man dieses Gefährt mit unter 10 Litern Super bewegen wollte – bei Vollgas waren’s gute 15 l/100km – alle 400 Kilometer volltanken.

die ganze Wahrheit »

Nix schlimmes passiert, bei der IMHO ersten richtig großen Kampagne Spreadshirts. Millionen von Tchibo-Kunden wurden auf unsere zwei, drei, viertel Server losgelassen, kamen auch fleißig – und alle lieben Server haben schön serviert. Wow, Tchibo-Kunden sind liebe Kunden, die verursachen wesentlich weniger Last als der durschnittliche Spreadshirt-Kunde. Mal sehen, ob die Serviceabteilung das auch bestätigt ;)