HP P4000 stolpert über Umlaute in Volume Beschreibung

Ein Freitextfeld zur „Beschreibung“ eines Volumes. Welche Relevanz kann das für den Betrieb, die Arbeit mit dem Storage Cluster insgesamt haben? Wie ein Kollege sowie der HP Support gemeinsam feststellen mussten, eine deutlich größere als man vermuten sollte:

Volume X hat eine Beschreibung, die einen Umlaut enthält. Volume Y soll auf einem Server neu verbunden werden (DSM deinstalliert, Sessions müssen neu hergestellt werden). Die Sessions verschwinden aber einfach nicht. Beim manuellen Session Reset über die CLI bekommt man eine Fehlermeldung, die irgendwas zum Thema Encoding und UTF-8 moniert. Ohne den Umlaut in der Beschreibung des Volumes, das überhaupt nichts mit diesem Vorgang zu tun hat (auch nicht mit dem Server verbunden ist), klappt es dann.

Stick to English. Oder programmiert eure Software so, dass sie vollständige Plausibilitätsprüfungen durchführt.

Linux Kernel 3.0 am Horizont – Xen Dom0 ready!

Ich hätte nicht gedacht, dass ich mal auf eine Oracle Seite verlinken würde, aber nun tue ich es: Wim Coekaerts hat eine schöne Zusammenfassung der Geschichte geschrieben, wie die Unterstützung für die verschiedenen Teile zum Betrieb als DomU und nun auch Dom0 in den Linux Kernel gewandert ist. Seit kurzem ist nun tatsächlich ALLES im Mainline Kernel Tree enthalten – und dieser Kernel Tree wurde soeben von Linus Torvalds als Version 3.0-rc1 im GIT eingestellt:

I decided to just bite the bullet, and call the next version 3.0. It will get released close enough to the 20-year mark, which is excuse enough for me, although honestly, the real reason is just that I can no longer comfortably count as high as 40.

Nach 2.6.39 kommt also 3.0 – das nächste Release des Linux Kernels beginnt eine neue Ära der Versionsnummerierung, und der wesentliche Grund dafür ist, dass es an der Zeit ist. Es gibt keine massiven, weltbewegenden, die Community umstürzenden Neuerungen oder Änderungen – nur eben die Versionsnummer, ansonsten könnte es auch einfach 2.6.40 sein.

Die Tatsache mit der vollständigen Xen-Unterstützung allerdings führt zu großer Freude bei denen, die auf diesen Hypervisor als Basis ihrer Virtualisierungslösungen setzen, allen voran also Citrix und Oracle. Denn für die wird es in Zukunft viel einfacher, ihre Produkte zu supporten und zügig zu entwickeln, ohne dabei ständig Kernel-Patches und Portierungen von Neuerungen pflegen zu müssen. Red Hat schwenkte ja vor einiger Zeit von Xen auf KVM als Hypervisor, weil der einfach nativ im Linux Kernel beheimatet ist und entwickelt wird – hier wird also endlich nachgezogen. Das etwa im August erwartete Release von XenServer 6.0 (Project Boston, derzeit Beta) wird aber sicher noch keinen Kernel 3.0 enthalten – aber mal sehen, wie lange das auf sich warten lässt.

Infos und Torvalds Post auf der Linux Kernel Mailinglist siehe http://www.phoronix.com/scan.php?page=news_item&px=OTUwMg.

Netscaler 9.3 – Stichworte

Das neue Release ist seit ein paar Wochen draußen – nicht nur deshalb bleibt kaum Zeit für Beiträge hier. 😉

Was gibt es Neues? Revolutionäres?

Stichwort Database Load Balancing – ehrlich gesagt nur für wenige Situationen interessant, bisher, weil vor allem auch nur für MySQL (und „umgehend“ auch für MSSQL) verfügbar. Die Sache an sich ist aber schon einzigartig: quasi Content Switching mit (T)SQL Intelligenz und all den schönen Möglichkeiten des Netscalers, was die Einflussnahme auf die Kommunikation angeht.

Stichwort TCP Rewriting – jedweder Schweinkram, den man sich vorstellen kann, nur ein paar Kommandos (oder Klicks) entfernt. Was wir für HTTP Kommunikation kennen und lieben gelernt haben (Sie haben die Macht!), jetzt auf TCP-Ebene. Aber Vorsicht…

Stichwort AppFlow – Sammeln und Weitergeben von Traffic-Daten an Kollektoren wie Solarwinds. Je Virtual Server, je Applikation aktivierbar.

Darüber hinaus weiter verbessertes onboard Reporting und Monitoring (hübscher, direkter) und einige tiefgründige Verbesserungen im Bereich Networking/Routing, die neue aberwitzige Konstellationen ermöglichen, die umliegenden Endpunkte an der Nase herum zu führen.

Und natürlich die neuen Open Cloud Komponenten OCB und OCA (Bridge und Access) – die Bridge ist ein L2-VPN, für dessen transparente Funktion neue Features Einzug gehalten haben, hinter Open Cloud Access steckt die Idee, für SaaS Anwendungen einen transparenten Single Sign On mit einmaliger Benutzerverwaltung im eigenen Directory zu realisieren. Da SaaS wie Salesforce & Co. hierzulande wenig Relevanz hat, eher ein USA-lastiges Thema bisher, außerdem extra zu lizensieren.

Weiteres bei Zeiten an dieser Stelle.

XenServer Datenbank offline analysieren

Der Citrix Support hat ein Tool veröffentlicht, um die XAPI Datenbank offline zu parsen, damit Kunden und Partner eine Pool-Konfiguration selbständig genauer analysieren können. Im Wesentlichen besteht das Tool aus einem XML Stylesheet, das auf die Datenbank angewendet wird, um sie „human readable“ zu machen.

Dieses xapi-db-stylesheet wird zusammen mit der Datenbank (auf jedem XenServer zu finden als /var/xapi/state.db) in einem Verzeichnis abgelegt, die state.db in irgendwas.xml umbenannt und an den Anfang dieser Datei der Verweis auf das Stylesheet eingefügt:

<?xml-stylesheet type=“text/xsl“ href=“xenserver.xsl“?>

Dann kann die Datenbank im Browser geöffnet werden und zeigt die Poolkonfiguration menschenlesbar an.

Übrigens kann die state.db auch direkt mit dem XenCenter geöffnet werden; einfach den vollständigen Pfad zur Datei als „Server“ im XenCenter hinzufügen, schon bekommt man den Pool in dem Zustand angezeigt, wie er war, als die state.db wegkopiert wurde. Es sind natürlich keine Aktionen möglich, aber so können Zustand und Konfiguration ebenfalls vollständig offline (!) in Augenschein genommen werden.

iOS „Bewegungsprofile“

Nachdem das Thema gestern Abend sogar in der Tagesschau umfangreich behandelt wurde, sei der eine oder andere wichtiger Hinweis gestattet:

  • Es existiert keinerlei Beweis oder auch nur Indiz, dass Apple diese Daten sammelt – lediglich das einzelne Gerät erfasst und speichert sie. Zahlreiche Kommunikationsanalysen konnten keinen Transfer dieser Daten in Richtung Apple belegen oder Anhaltspunkte dafür liefern.
  • Die Erkenntnis, dass Geo-Location-Daten erfasst werden, ist nicht neu.
  • Die Erkenntnis, dass die Geo-Location-Daten auch gespeichert werden, ist ebenfalls nicht neu. Es existieren ebenfalls Werkzeuge (Software) und sogar ein Buch, die ein gutes halbes Jahr und mehr alt sind, die sich mit diesen Daten beschäftigen. Die beiden Kollegen von O’Reilly hätten diese Tatsachen zumindest erwähnen müssen, statt das alles jetzt als revolutionäre Entdeckung darzustellen.

Eine deutsche Adaption des oben referenzierten Artikels von Alex Levinson gibt es übrigens auch seit ein paar Minuten bei FAZ.net.

De-Mail: Risiken und Chancen

Noch immer muss man die Einführung von „De-Mail“ als schwebendes Verfahren bezeichnen. Zwar ist etwa der Wettbewerb mit der „E-Post“ schon am Markt, doch traut sich noch kaum jemand ernsthaft an das Thema heran. Wir gehören auch eher zu den Zweiflern, schließlich bestehen Risiken und es findet auch eine gewisse Augenwischerei zum Thema Sicherheit bzw. Vertraulichkeit statt, die so nicht hinzunehmen ist.

Dr. Burkhard Wiegel, Geschäftsführer und technischer Leiter eines Berliner Herstellers von Produkten für die zentrale E-Mail-Verschlüsselung und -Signatur, bewertet das Potential von De-Mail wie folgt:

Mit De-Mail wird der rechtsverbindliche E-Mail-Austausch einfach möglich. Auch für unsere Kunden ergeben sich interessante Optionen, bisher papiergebundene Geschäftsprozesse effizient über De-Mail elektronisch abzuwickeln. Hinsichtlich ‚Sicherheit‘ ist der proklamierte Zugewinn allerdings trügerisch, da De-Mails bei den Providern im Klartext durchreisen. Wer echte Vertraulichkeit benötigt, kommt daher an einer professionellen Verschlüsselungslösung wie unserem Z1 Gateway mit S/MIME und OpenPGP sowie Passwort-basierenden Mechanismen wie PDFContainer und WebSafe nicht vorbei.

Weiterhin besteht das Risiko von Patentverletzungsklagen von Seiten des US-Unternehmens RPost, das ein europaweit gültiges Software-Patent auf elektronische Einschreiben besitzt. Eine entsprechende Klage wurde bereits gegen das Schweizer De-Mail-Pendant „Incamail“ eingereicht.

Es fehlen aus unserer Sicht triftige Gründe für Unternehmen, sich aktuell näher mit De-Mail zu befassen, solange diese offenen Fragen und Risiken nicht zufriedenstellend und glaubwürdig geklärt sind.

HP DataProtector 6.2 ante portas

In der nächsten Woche soll es voraussichtlich soweit sein: HP DataProtector 6.2 wird veröffentlicht.

Das neue Release bringt Features, die für die aktuelle Version 6.11 entweder gar nicht oder nur mit Patches und Klimmzügen realisierbar sind. Immerhin existieren schon seit einigen Monaten Patches, die die Verwendung der neuen vStorage API von vSphere ermöglichen; damit verbessern sich nicht nur die Sicherungsmöglichkeiten von VMware Infrastrukturen noch weiter, sondern es wird auch kostengünstiger. Seit letztem Sommer werden keine Online Lizenzen mehr für den VCB Proxy (jetzt: „Backup Server“) und den vSphere Center Server benötigt, sondern nur noch eine je ESX(i) Host.

In 6.2 integriert und supported ist dann auch das Disaster Recovery von Systemen mit Windows Server 2008 R2 mittels EADR (Enhanced Automated Disaster Recovery) und das ganze sogar auch auf abweichender Hardware. Eine Beschreibung der Technik und des Vorgehens sowie eine Skript-unterstützte Lösung für das Disaster Recovery eines Cell Managers selbst (unter 2008 R2) hat Daniel Braun in seinem DataProtector Blog veröffentlich.

Citrix Netscaler VPX Express mit 5MBit/s

Die kostenlose VPX Express Edition des Citrix Netscalers ist jetzt nicht mehr auf 1MBit/s limitiert, sondern bietet den kompletten Funktionsumfang der Standard Edition – also auch den Betrieb im HA-Cluster – mit einer Durchsatzbegrenzung auf 5MBit/s. Für viele kleine Installationen im Perimeter (z.B. als Access Gateway und für das sichere Bereitstellen von externem Zugriff auf diverse Web Applikationen wie OWA und SharePoint) kann das schon ausreichend sein.

Weiterhin gibt es eine neue VPX Developer Edition für alle Kunden, die bezahlte VPX oder MPX Lizenzen besitzen. Die Developer Edition ist gedacht für Test- und Entwicklungsumgebungen und bietet den vollen Funktionsumfang der Platinum Edition (inklusive Web Application Firewall!) mit einem Durchsatzlimit von allerdings wieder 1MBit/s.

Quelle: Citrix Community Blogs

Citrix Receiver über Access Gateway Enterprise

Um über einen Access Gateway Enterprise (CAGEE) Virtual Server sowohl den Zugriff per Browser und Access Gateway Plug-In (Netzwerktunnel) als auch per Citrix Receiver vom iPhone, iPad, Android, Blackberry und so weiter zu ermöglichen, sind zwei Tricks nötig. Grund dafür ist, dass der Receiver die Anmeldedaten bei Verwendung von One Time Passwords (OTP) in der umgekehrten Reihenfolge sendet wie die Web-Schnittstelle: User, OTP, Password statt User, Password, OTP.

Voraussetzung: Zwei Web Interface Sites sind konfiguriert, eine für Access Gateway Zugriff (Authentifizierungspunkt: Access Gateway, Zugriffsmethode: Gateway direkt, auf dem/den WI-Servern wird FQDN des CAGEE auf interne/erreichbare VIP aufgelöst, STAs und Auth-Service URL sind konfiguriert) und eine Service Site (PNAgent).

Weiterhin gehe ich davon aus, dass die Anmeldung an Windows und interne Websites nur mit Benutzername + Passwort durchgeführt wird (für Single Sign On).

Dann sieht die Konfiguration des CAGEE VServers auf dem Netscaler aus wie folgt:

  • Zwei Authentication Server anlegen, LDAP (Active Directory) und Radius (Vasco, RSA oder andere OTP-Produkte)
  • Vier Athentication Policies anlegen, jeweils zwei für LDAP und Radius, die sich durch die Expression unterscheiden, anhand derer sie zur Anwendung kommen. Je eine Policy, die zu LDAP und Radius führt, verwendet als Expression „REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver“, das andere Pärchen „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“. (durch die spätere Priorisierung könnte man bei einem Pärchen die Expression auch weglassen, aber so ist es doppelt sicher)
  • Zwei Session Profiles anlegen. Eines für den normalen Web-Zugriff so konfigurieren, wie man das Verhalten im Browser haben möchte (mit/ohne Clientless Access, mit/ohne Client Choices usw., Single Sign On Credential Index „Primary“) und mit der CAG Site als „Web Interface Address“ – das ist das Browser-Profile. Das Receiver Profile bekommt folgende Einstellungen: Split Tunnel „On“, Clientless Access „Off“, Web Interface Address = URL der PNAgent Service Site.
  • Zwei Session Policies anlegen. Eine wiederum mit der Expression „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“, um entsprechend das Receiver-Profile auszuwählen, die andere die Negation.
  • CAGEE VServer anlegen, SSL Zertifikat binden.
  • Authentication Policies binden: Unter Primary wird mit niedrigerem Wert für die Priority die Policy gebunden, die den Receiver positiv bestimmt und die Radius-Authentifizierung erfordert, mit höherem Wert die den Receiver negativ (NOTCONTAINS) und dafür die LDAP-Authentifizierung bestimmt. Unter Secondary umgekehrt, d.h. oberste Prio ist Receiver auf LDAP und darunter NICHT Receiver auf Radius.
  • Session Policies binden: Oberste Priorität bekommt die Receiver-Policy, darunter die Browser-Policy.
  • STAs hinzufügen.

Das sollte es gewesen sein. Im Receiver auf Smartphone oder Tablet den Store konfigurieren zur Anmeldung an Access Gateway Enterprise und die entsprechenden Anmeldedaten eingeben (Speichern geht nicht, ist ja ein OTP beteiligt). Den Receiver für Windows besser mittels Merchandising Server parametrisieren und bereitstellen, dann lässt sich auch die Feldbeschriftung schöner setzen.

HP P4000 zulässige Zeichen im Passwort mit v9.0 geändert

Die Centralized Management Console (CMC) für HPs P4000 Storage Systeme kontrolliert bei der Passwortver- und -eingabe auf zulässige Zeichen. In Version 8.5 war zum Beispiel der Slash („/“) nicht zulässig. In Version 9.0 ist nun auf einmal auch der Punkt („.“) nicht mehr zulässig. War er vorher aber.

Doch, wirklich.

Und was ist nun, wenn ich ein Passwort mit einem Punkt gesetzt habe? Ich kann mich an die entsprechende Management Group nicht mehr anmelden. Also deinstalliere ich die CMC in Version 9 wieder, installiere wieder Version 8.5, ändere das Passwort und installiere wieder 9.0 (inkl. Deinstallation 8.5)? Besser: ich nutze das lokale Menü auf einem der Knoten und ändere das Passwort dort.

Oder ich weiß das vorher und spare mir die Fragezeichen. Da es nicht in den Papieren von HP steht, weiß ich es entweder nach dem ersten Mal oder nach dem Lesen dieses Artikels. 😉