Lösung: Error while connecting to search on file://var/run/zarafa-search

Wirft zarafa-search folgenden Fehler Error while connecting to search on file://var/run/zarafa-search

ist vermutlich der Index korrupt. Dies führt auch dazu, dass der Dienst zarafa-search keinen Socket (var/run/zarafa-search) anlegt.

Lösung ist, Dienst anhalten, alle Dateien unter /var/lib/zarafa/search oder /index löschen und Dienst zu starten.

Dann wird der Index neu aufgebaut – dauert je nach Postfachgröße auch gerne mal eine Stunde oder länger.

Dies kann beobachtet werden in der zarafa/search.log-Datei ala:

“2015-07-22 09:34:04,669 – index0 – DEBUG – store FDA1CF584F05483C829B9D6401AE2191, folder 38: new/updated document with sourcekey 1157DDFC6D6F4C3FA155E698C5CE8FE27D0000000000, docid 76″

HP Network Node Manager 10 – Übersicht 2015

Der HP Network Node Manager (Komponente von HP OpenView) ist für Windows und Linux verfügbar. Aktuelle Version ist 10.x.
Derzeit ist offiziell nur Windows Server 2008 64bit unterstützt. Unter Linux lediglich RHEL/CENTOS und Suse.

Die Software selbst ist in JAVA geschrieben. Das Installationspaket hat ~ 800MB und liefert einen JBOSS Server mit.
Ebenso einen postgres SQL-Server oder alternativ eine Anbindung an eine Oracle-DB.

Die grundsätzliche Installation lief wie folgt ab:

Installation CentOS 6.6 (HP empfiehlt 6.4 oder neuer)
FW deaktiviert
Nötige Libs nachinstallieren sowie sysctl-Anpassungen und limits laut supportmatrix_en.html
X nachinstallieren – yum groupinstall “X Window System” “Desktop” “Desktop Platform”
SELinux disablen
telinit 5
Installations-CD von HP mounten nach /mnt
/mnt/setup.sh

QuickStart Page am Ende aufrufen – Benutzer system

Achtung: Auf Grund eines Bugs lässt sich zwar laut HP die Software auch ohne X installieren – in unserem Test bricht die Installation jedoch ab, da am Ende Java X erfordert um weitere Dialoge einzublenden.

Siehe: http://h30499.www3.hp.com/t5/Network-Management-OpenView-NNM/NNMi-10-installation-issues-returned-a-non-zero-error-code/td-p/6766228

Einige unschöne Nachteile sind die Notwendigkeit von Java und – für manche Graphen – Flash.

elasticsearch – Wissenswertes aus der Praxis

Elastic-Search bietet verschiedene Plugins zur Administration.

http://IP:9200/_plugin/head/

Etwas schöner und übersichtlicher ist das Kopf-Plugin:

http://IP:9200/_plugin/kopf/

Hier ist klar zu erkennen, welche Shards (Datenbankbereiche) auf welchen Knoten verteilt sind.

NODE1 [0] [1] [2] [3] [4] [5] [6] [7] [8]
NODE2 [0] [1] [2] [3] [4] [5] [6] [7] [8]

Je nach Grauton sieht man auch, wo welcher Shard als primary läuft. Also wo geschrieben wird.

Danke Axel und Peter für die Infos!

Zabbix debugging like a pro

Increase debugging flags without restarting zabbix server with…:

zabbix_server -c /etc/zabbix/zabbix_server.conf -R log_level_increase=alerter

Revert changes with:

zabbix_server -c /etc/zabbix/zabbix_server.conf -R log_level_decrease=alerter

Zarafa Suche & Outlook Suche findet keine Einträge mehr

Heute hatte ein Kunde das Problem, dass weder in Outlook noch im Webaccess Einträge gefunden werden konnten. Die Einträge waren jedoch vorhanden.

Ein Blick in die Log-Datei /var/log/zarafa/search.log lieferte:

Mon Jun 15 15:18:38 2015: [0x7979f700] Unable to config system exporter: 8004010F
Mon Jun 15 15:18:38 2015: [0x7979f700] Change processing failed: 8004010F

Das heißt, dass der vorhandene Index ein Problem hat. Lösung ist, zarafa-search zu beenden die Dateien unter /var/lib/zarafa/index zu löschen (sicherheitshalber nur zu verschieben) und Dienst zarafa-search wieder zu starten.

Dies wird dann quittiert mit:

Mon Jun 15 15:18:46 2015: [0x7f799760] Stopping Zarafa search…
Mon Jun 15 15:19:26 2015: [0xdee8f760] Starting zarafa-search version 7,1,11,46050 (46050), pid 32041
Mon Jun 15 15:19:53 2015: [0xd6537700] Search thread started

Und schon liefert die Suche auch wieder sinnvolle Treffer.

Rechenzentren – VDI – FI-Schalter – Überwachung von Fehlerströmen

Für die Betreiber von Rechenzentren ist eine Sicherung des Personals gegen Kriechströme und Fehlerströme laut VDI Pflicht.

Hier gibt es zwei Ansätze. Ausstatten der Rechenzentren mit FI-Schutzschalter. Hier löst eine Sicherung aus und die Stromzufuhr ist unterbrochen. Dies möchte man eigentlich nicht, da ja durch eine Sicherung ein Großteil der IT-Landschaft stromlos ist und es somit zu Ausfällen kommt.

Der zweite Ansatz ist die konstante Überwachung der Fehlerströme. Hierzu gibt es z.B. von der Firma Bachmann aus Stuttgart Geräte die diesen Zweck erfüllen. Gekoppelt mit einem Monitoring-System kann vorbeugend bei Problemen alarmiert werden und der Betrieb ist nicht gefährdet.

Per SNMP weist sich das Gerät wie folgt aus:

.1.3.6.1.2.1.1.1.0 = STRING: Linux BLUENET2-3C001BDE 3.7.2-GHOST-Rev.: #1 Fri Apr 24 11:12:40 CEST 2015 armv5tejl

.1.3.6.1.2.1.1.2.0 = OID: .1.3.6.1.4.1.31770.2.1.3.3026

.1.3.6.1.2.1.1.3.0 = Timeticks: (137979875) 15 days, 23:16:38.75

.1.3.6.1.2.1.1.4.0 = STRING: www.bachmann.com

.1.3.6.1.2.1.1.5.0 = STRING: BLUENET2-3C001BDE

.1.3.6.1.2.1.1.6.0 = STRING: MUChmann Technology GmbH & Co. KG

.1.3.6.1.2.1.25.1.4.0 = STRING: “mem=128M console=ttyS0,115200 root=/dev/mtdblock6 rw rootfstype=ubifs ubi.mtd=6 root=ubi0:P5_P7

Die zwei wesentlichen Werte per SNMP sind hier versteckt (in Milli Ampere):

Fehlerstrom differential Current DC .1.3.6.1.4.1.31770.2.2.8.4.1.5.0.4.0.255.255.255.0.8

Fehlerstrom differential Current AC .1.3.6.1.4.1.31770.2.2.8.4.1.5.0.4.0.255.255.255.0.7

Danke Peter für die Infos!

Java Applikationen, Applets, Servlets Klarstellung

Für Java gibt es drei Arten von Anwendungen.

Applications (laufen auf Clientseite und benötigen das JRE auf Clientseite – ausgewachsene Java-Anwendungen wie z.B.
der HP OpenView Client.

Applets die in einem Container – in der Regel in einem Webbrowser ablaufen – auch hier ist das JRE nötig.

Servlets – Anwendungen die nicht mehr im Browser sondern im Kontext des Webservers laufen – als auf Serverseite.
Für Servlets benötigt man auf Clientseite keine JRE mehr.

Um Servlets auf Serverseite auszuführen ist ein Web container nötig. Hierfür gibt es viele kommerzielle und freie Lösungen. Einige Bekannte sind Apache Tomcat, JBoss, Oracle WebLogic oder IBM WebSphere.

Danke Adrian für die Infos.

SIP / Voip Debugging – notwendige Firewall Anpassungen SIP/2.0 404 Not Found

Wir haben uns bei unserem SIP-Provider registriert und können ausgehende Gespräche führen. Eingehende Gespräche werden jedoch an der FW geblockt:

Die Log-Datei zeigt folgendes:

IN=wan OUT= MAC= SRC=212.227.67.131 DST=ext-IP LEN=1313 TOS=0x00 PREC=0x00 TTL=57 ID=63290 PROTO=UDP SPT=5060 DPT=5060 LEN=1293

Normaler SIP-Verbindungsaufbau (INVITE) über Default-Port 5060 UDP.

Man könnte jetzt einfach den Port 5060 von aussen freigeben, damit erlaubt man jedoch den Angreifern div. Unsinn.
Wir schränken somit den Zugriff auf eine IP-Range des SIP-Providers ein.

Laut Ripe gehört das komplette /16-Netz zu 1und1/Schlund:

https://apps.db.ripe.net/search/query.html?searchtext=212.227.67.131

Nach der Port-Freischaltung durch die FW kommen zwar eingehende Anrufe an, die TK-Anlage meldet jedoch Empfänger/Durchwahl unbekannt:

Anfrage:

14:10:23.465406 IP 212.227.18.135.5060 > TK-Anlage.5060: SIP, length: 1283
E…….8..6…….e……_3INVITE sip:rufnummer@ext-IP:5060 SIP/2.0

Antwort:

14:10:23.469888 IP TK-Anlage.5060 > 212.227.18.135.5060: SIP, length: 888
E…….@……e……….C

Nach einem kurzen Blick in unsere TK-Anlage stellten wir fest, dass die Anlage nicht von jeder IP-Adresse Anrufe annimmt.
Die genaue Meldung war:

Unknown provider (public-direct-dial)
externe-Nummer (From IP: 212.227.18.205:5060, User: )
externe-Nummer (From IP: 212.227.18.137:5060, User: )
externe-Nummer (From IP: 212.227.67.136:5060, User: )
externe-Nummer (From IP: 212.227.18.135:5060, User: )
externe-Nummer (From IP: 212.227.18.202:5060, User: )
externe-Nummer (From IP: 212.227.67.197:5060, User: )
externe-Nummer (From IP: 212.227.67.206:5060, User: )

Sind diese IPs hinterlegt in der Anlage sieht der Verbindungsversucht anders aus:

...@......e..........h Via: SIP/2.0/UDP TK-Anlage:5060;branch=z9hG4bK4507410f;rport

15:04:16.465575 IP SIP-Telefon.5060 > TK-Anlage.5060: SIP, length: 358
Eh..r.@.@.C……..e…..n..SIP/2.0 100 Trying

15:04:16.527746 IP SIP-Telefon.5060 > TK-Anlage.5060: SIP, length: 413
Eh..r.@.@.C……..e……..SIP/2.0 180 Ringing

Und der Rufaufbau ist abgeschlossen.

Firewalltechnisch keine weiteren Einstellung mehr nötig als wie oben erwähnt. Es gibt eine Default-FW-Regel, die ausgehenden Verkehr erlaubt.

Bandbreitenverbrauch ist 20KB/s für das bestehende Gespräch.