Alle Beiträge von adlerweb

Wir sind der Ring. Aber ihr wohl nicht mehr… #wirsindderring

Eigentlich dürfte ich jetzt gar keinen Blogeintrag schreiben können, denn theoretisch säße ich so kurz vor Fronleichnam – wie jedes Jahr – in einem Zelt bei Rock am Ring. Eigentlich. Nach 10 Jahren ununterbrochenem Ringrocken setze ich dieses Jahr dann mal aus – es ist nicht mehr mein Ring.

Hier mal eine kurze Historie, wie ich den Ring erlebt habe und warum ich denke, dass die jetzige Veranstaltung nicht mehr “mein” Rock am Ring ist.

Los ging es für mich – wie gesagt – vor 10 Jahren. Nachdem in den Vorjahren immer wieder Termine dazwischen kamen schnappte ich mir kurzerhand einen Freund und fuhr los. Freitags natürlich, denn da gehen ja die Konzerte los. Großer Fehler. Wir landeten auf dem Krebsberg, einem recht weit abgelegenen Platz. Dort fanden sich vor Allem Familien und es ging eher ruhig zu. Nunja, ist halt lauferei, aber passt schon – und etwas Nachtruhe ist für den ersten Festivalbesuch ja auch nicht so schlecht. Da die Konzerte doch etwas härter waren ist etwas Ruhe nicht so unangebracht. Zu dieser Zeit gab es noch keine Wellenbrecherbereiche und so durfte auch ich mitbekommen was passiert, wenn alle nach Vorne wollen. Offenbar hatte man irgendwann willkürlich Zäune aufgestellt um zu verhindern, dass noch mehr Besucher nach vorne drängen. Ein und Auslass nur noch auf der rechten Seite – so hieß es. Wer Links stand hatte keine Chance durch zu kommen. Also zumindest bis Einige dann mal anfingen die nicht ganz so groß gewachsenen Besucher über die Zäune ins “Freie” zu bewegen. Unschöne Sache.

Im Nächsten Jahr war man dann schlauer. Auf beiden Seiten. Besagter Freund und ich waren früher da und durften uns über einen Platz auf B freuen. Das Jahr wurde dann besonders Spaßig, denn neben uns fand sich eine Truppe der Ringrocker. Diese “Fan-Vereinigung” organisiert nicht nur Partys auf Zeltplätzen, sondern auch gleich eine komplette Warm-up-Party. Entsprechend heiter ging es dann auch in diesem Jahr zu. Auch auf dem Gelände hat man dazugelernt, denn wenn ich mich richtig entsinne gab es in diesem Jahr erstmalig “Wellenbrecherbereiche”, sodass eine Überfüllung und fehlende Möglichkeiten den Bereich zu verlassen nicht mehr vorkommen sollte. Nicht ganz ohne Kinderkrankheiten, aber generell doch etwas, das ich eine gute Idee fand.

Ich meine in Jahr Drei war es, dass ich erstmalig auf A5 landete. War halt der erste Parkplatz aus meiner Richtung, der frei war. Diesmal mit mehreren aus meinem Freundeskreis, die sich angeschlossen hatten. Schon beim Aufbau machten wir Bekanntschaft mit einigen Nachbarn (ja, wenn man einen Hammer dabei hat ist man schnell beliebt…) und so bildete sich eine lustige Truppe, die sich wirklich als Querbeet bezeichnen durfte. Sowohl geografisch, denn man fand Alles – von Münsterländern bis zu Bayern, die RaR cooler fanden als RiP. Auch Gesellschaftlich war die Gruppe gemischt, denn auch hier war zwischen Geschäftsführer über Büromenschen hin zu Arbeitern vom Bau alles vertreten. Das Festival verging und in den nächsten Jahren fand sich ein Großteil der selben Truppe wieder auf A5 ein. Selbst Leute, die zwischenzeitlich eher auf Hotelzimmer und VIP-Eintritt setzten fanden sich am Ende doch die meiste Zeit bei unseren Zelten wieder. Ist halt mehr Party. Das Ganze wurde dann auch immer weiter ausgebaut. Meterlanges Gruppenzelt , Kühlschrank, Pizzaofen, Pool und eine passende Medienanlage für alles zwischen Musik und Mario-Kart. Ich bin da zwar eher der Selbstversorger, aber spätestens das Zelt ist bei Regen und Sturm halt praktisch, kann man weiterfeiern. Zeitweise waren mehr als 40 Leute in unserem “Camp”, organisierten Partys, Turniere und andere Events. Nicht verwunderlich, dass in einigen Jahren ein Teil der Leute das eigentliche Festivalgelände gar nicht betrat und stattdessen auf dem Campingplatz durchfeierte.

Die ersten Schatten müssten dann gegen 2014 aufgezogen sein – ich meine da gab es dann das erste mal Stress mit dem Veranstalter. “Mimimi keine großen Möbel”. Sie könnten ja liegen bleiben. Really? Ich weiß, dass auf RaR viel liegen bleibt und ja, das ist ein Problem. Aber gibt es hier keine andere Lösung? Soweit ich weiß wurde “Großkram” mit Foto, Name und Anschrift registriert und ein Pfand hinterlegt. Wenn sich ja jemand nicht abmeldet sollte das auffallen und ggf. die Reinigungskosten umgelegt werden können. Wir hatten mWn immer alles entweder mitgenommen oder bei den Müllsammelstellen abgegeben. Auch ich selbst musste dran glauben. Ich hatte seit Jahren eine kleine Elektronik dabei: Ein kleiner Bleiakku wurde Zuhause per Solar geladen und durfte beim Camping Licht, Handy & Co versorgen. Li-Ion war noch teuer. Der sollte nun verboten sein – er könnte ja auslaufen. Ein AGM-Akku. Ja sicher. Mir sind schon viele von denen “um die Ohren geflogen”, aber noch keiner dabei ausgelaufen.

Auch Gelände wurde immer unschöner, vor Allem die Getränkemitnahme. Man durfte plötzlich nur noch einen Tetra-Pack mit 1l mitnehmen. Und das führte zu vielen tollen Diskussionen beim Einlass. Muss original verschlossen sein. OK. Und jetzt bitte Deckel öffnen. OK. Und jetzt bitte Deckel in den Müll. WTF? Begründung? Damit kann man ja Jemanden abwerfen. JA MIT DEM TETRAPACK VON >=1kg NICHT?! Und wo ist der Unterschied, ob ich Tetrapack oder PET-Flasche mit 1l gegen den Kopf bekomme? Kontrolle in allen Ehren, aber das hier klang doch eher nach reiner Schikane. Eine offener Tetrapack ist quasi unbrauchbar – er schwappt über, es können Dreck und Wespen rein. Toll. Entsprechend sah es dann auch vor den Bühnen aus – so viele durch dehydrierung kollabierte Besucher gab es IMO in den Vorjahren nicht. Ich bin schnell in den McGyver-Modus gewechselt und konnte aus diversen Utensilien mir kurz hinter dem Eingang einen ausreichend dichten Verschluss basteln und so zumindest etwas Flüssigkeit mitnehmen – passt. Zudem hat man an den Brechern meist das Glück, dass auch die Security – je nach Tagesform – schon mal etwas ihrer Verpflegung verschenkt oder in den späteren Jahren über Wasserschläuche die Behältnisse der Besucher auffüllt.

Um nochmal klar zu stellen: Hier geht es nicht darum, dass ich den Veranstaltern und Budenbesitzern ihren Umsatz nicht gönne, es ist nur praktisch nicht möglich. Selbst wer bereit ist die 5€ für ein kleines Wasser zu zahlen hat keine praktikable Möglichkeit dazu. Wer während den Konzerten zur Getränkebude wandert ist seinen Platz los – wer vorne stehen will muss also auch dort bleiben. Vorher etwas kaufen? Auch nicht drin: Es gibt nur Becher. Wie war das mit Überschwappen, Dreck und Wespen? Einzige Chance: In den Pausen laufen Verkäufer mit Faß durch die Reihen und bieten Getränke an. Die Auswahl? Bier. Nur Bier. Ich bin zwar kein Antialkoholiker, aber wenn ich den ganzen Tag vor der Bühne in heißer Sonne literweise Bier trinke dürfte ich von den Headlinern nicht mehr viel mitbekommen.

2015 dann Mendig. Glücksfall für mich, das ist selbst zu Fuß schnell zu erreichen. Auch auf dem Gelände wurden die Wege deutlich kürzer, so kann man dann auch mal zwischenzurch zwischen Zelt und Festivalgelände pendeln. Einen riesen Pluspunkt konnte man bei mir durch die Umgestaltung und Vergrößerung des Festival-Supermarktes erreichen. Gerade in Kombination mit den kurzen Wegen hieß das für mich, dass ich mit Rucksack, Zelt und zwei Tüten in der Hand alles notwenige in einem Weg zwischen Auto und Zeltplatz transportieren konnte. Den Rest besorgte ich mir dann vor Ort – zu normalen Ladenpreisen.

Camping und Organisation war jedoch eher eine Katastrophe. Durch die Einschränkung, dass es sich um ein Wasserschutzgebiet handelt, durften keine Aggregate mitgenommen werden. Stattdessen führte man das “Roch’n’Roll-Camping” ein: Gegen Aufpreis sollte man bessere Parkplätze sowie einen Campingplatz mit Stromanschluss erhalten. Sollte. Zum Einen gab es wohl massive Platzprobleme, da sich nun die kleinen und großen Gruppen nicht mehr mischten, sondern alle Großgruppen auf RnR drängten und so am Ende deutlich mehr Platz benötigten als wohl vom Durchschnitt ausgehend berechet wurde – toldyouso. Einige mussten daher wohl trotz passendem Ticket auf die allgemeinen Plätze ausweichen. Auch Strom war, wenn man denn Platz bekam, eher ein Witz: 10 Personen = 2kW. Keine Herde, keine Öfen, keine – wait what?! Ja: Keine Verstärker. Auch Fön oder Kaffeemaschienen sollten vermieden werden. Wer zuvor mit Aggregat und Drehstrom ausgestattet war fand das jetzt nicht so lustig. Vor Allem nicht als man erfahren musste, dass der Verteiler “leider schon voll” war. Pech gehabt: Gezahlt und trotzdem kein Stom, wenn die Nachbarn nichts von ihrer Ration abgeben wollen. Auch führte die Teilung dazu, dass die Gruppen zerbrachen. Wer Geld und viel Ausstattung hatte zog zum RnR, wer einfach nur das Festival genießen wollte eher zum allgemeinen Camping. Selbst das gegenseitige Besuchen war quasi unmöglich, da man ohne passendes Ticket-Addon nicht zum RnR und somit dem Gemeinschaftszelt durchgelassen wurde. Immerhin durfte man sich noch durch den Zaun unterhalten. Tolle Camping-Atmosphäre.

Ich will an diesem Wochenende loslassen und nicht alle paar Meter überlegen, wo meine individuell gekauften Zutrittsrechte enden. Ich will beim Ticketkauf in Vorfreude schwelgen. Wenn ich en Produkt mit 200 individuellen Möglichkeiten abwägen will, geht ich zu Subway.
(Mambo @ ringrocker.com)

Und dann war da ja auch noch das Gewitter. Also das Erste. Verzeichne ich mal unter “Shit happens”. Ist halt Open Air. Sowas gab es auch schon am Ring – man denke nur an den “Tornado” von 2010 & Co. Und auf anderen Festivals ist da schon schlimmeres passiert. Ich kam Dank Mülltüten und Panzerband trocken davon – und das obwohl das Zelt zu dem Zeitpunkt schon weit über 8 Jahre auf dem Buckel hatte und nicht grade pfleglich behandelt wurde. Trockengelegt, weiter gehts.

wir als gast haben unwetter, unwetter, sogar vorallem falschen terror so weggesteckt wie wir festivalsfreaks eben sind
(StonedHammer @ ringrocker.com)

2016. Jahr Zwei. Jetzt wird alles Besser, oder? Nein. Zu wenig Parkplätze, zu wenig Zeltplätze – selbst ich musst an Tag 0 noch vor der offiziellen Öffnung warten, dass eine Reservefläche verfügbar wird. Zuvor durften nur Leute mit Frühanreisetickets, welche es mit begrenztem Kontingent gab, drauf. Normalerweise wäre dies ein Grund dem Veranstalter gewaltig den Allerwertesten aufzureißen, aber an der Stelle musste ich Ihn doch verteidigen: In den Tagen zuvor hatten heftige Regenfälle die Region getroffen. Einige Orte standen unter Wasser, die Feuerwehren waren im Dauereinsatz. Auch das Flughafengelände – wie gesagt, ich komme aus der Ecke und kenne es daher recht gut – hatte schwer gelitten: Teile der Wiesen hatten sich in Schlamm verwandelt und waren unbenutzbar, asphaltierte Wege nebendran zum Teil unterspült oder gar eingebrochen und weggespült. Für diese Ausgangsumstände lief die Anreise doch überraschend professionell ab.

Aber auch das Jahr soll nicht ganz ohne Zwischenfälle verlaufen: Ich meine ich war grade auf dem Weg von Disturbed zur “Fressmeile” und traf ein paar Leute, die im selben Ort wohnten. Während ich mir das immer noch beste Festivalfutter (Hallo Handbrotzeit) schmecken ließ meinte einer dieser Mitortsbewohner: Oh, wird dunkel da. So, nun kennt man hier sein Wetter und kann sowas ungefär deuten. In diesem Fall hieß das für mich: Ich geh dann mal mir was Trockenes suchen. Zwar wäre Tenacious D und Volbeat sicher noch interessant gewesen, beide hatte ich aber schon öfter gesehen – nicht genug Motivation mich dafür in den Regen zu stellen, zumal das nach viel Regen aussah. Bis zum Zelt kam ich nicht mehr, da ging es schon richtig los. Glücklicherweise hatte ich auf Basis der Vorhersagen und Wetterwarnungen des DWD eine ordentliche Regenjacke dabei, für die ich morgens noch unverständnisvolle Kommentare erntete, und bleib daher soweit trocken. Obenrum. Unten war schnell “Land unter”. Zwar hat die asphaltierte Landebahn Abläufe, die waren aber offenbar durch dort hingestellten und nun aufgeweichten Papiermüll verstopft. Das Ergabnis war ein Wasserspiegel, der in so ziemlich jedes Schuhwerk lief. Great. Hinzu kamen ein paar Blitzeinschläge – Gewitter halt. Von mir aus sah das nach Gebäuden aus, aber wie sich später rausstellte gab es offensichtlich auch ein paar Äste, die sich Besucher als Wege suchten. Am Zelt angekommen für mich erst mal das übliche Spiel: Trockenlegen, Ravioli aufsetzen, in der Zwischenzeit das Wasserschaden-Handy vom Nachbarn reparieren – was man halt so tut.

Nächster Morgen. Sonne. Wäre da nicht der neu entstandene See nebenan, in dem vereinzelte Zelte schwammen, hätte man vom Unwetter nicht viel sehen können. Vom Zelt aus. Durchsagen und Twitter vermeldeten jedoch, dass es wohl doch etwas ungemütlicher aussah. Verletzte, Festival unterbrochen, man prüfe und werde Informieren wie es weiter geht. Vielen war das recht egal – durchnäßt traten großere Massen schon mal vorsorglich den Heimweg an. Ich packte erst mal Campingstuhl, Ravioli und ein Buch aus – nur die Harten kommen in den Garten. Und niemand versaut mir das Frühstück.

Als dann das Festival fortgesetzt wurde war wohl jedem schnell klar, warum die Unterbrechung nötig war. Das eigentliche Festivalgelände hatte ziemlich gelitten. Ich kann da nur allen Technikern und Helfern meinen Respekt ausdrücken, die aus diesem Chaos wieder ein halbwegs brauchbares Gelände zauberten. Während vor den Bühnen Fans auf Plastikböden den Klängen der funktionierenden Technik lauschten war weiter hinten ein Sumpf entstanden. Selbst ich mit meinen überdurchschnittlichen Füßen versank erst mal gute 5cm im Morast. Und es war ein fieser, dünnflüssiger, welcher beim Versuch den Fuß wieder hoch zu bekommen ein Vakuum zog. Entsprechend viel Kraft war nötig um vorwärts zu kommen. Jedes krabbelnde Kleinkind wäre schneller gewesen.

Der nächste Morgen oder Nacht dann mit der “bösen” Nachricht: Abbruch. OK, nicht verwunderlich. Was folgte ist aber noch immer etwas, dass ich nicht wirklich gutheißen kann. Mit nur wenig Vorlaufzeit wurden die Besucher aufgefordert das Gelände bis Mittag zu räumen. Anweisung des RP-Innenministers. Ich bin sicher kein Experte, aber das klingt doch eher nach dem Versuch sich politisch zu profilieren als nach einem sinnvollen Sicherheitskonzept. Alle Letzteren die ich kenne haben da eine klare Linie: So lange wie möglich den Betrieb aufrecht halten, sodass man die Besucher nach und nach ohne Gefahr und Panik evakuieren kann. Dass so ein Konzept funktioniert konnte man auch schön letzte Woche beim Brand im Europapark zu sehen. Stattdessen wurde man quasi aus den Zelten geworfen, wurde ohne Möglichkeit sein Hab und Gut mitzunehmen zum Parkplatz getrieben. Grade wer nicht, wie ich, die Absage schon in der Nacht mitbekommen hatte und alles mit einem Gang zum Auto bekommt dürfte hier etwas blöd aus der Wäsche geguckt haben. Die Wege sahen entsprechend aus – statt wie üblich verteilt drängten alle gleichzeitig heraus. Stürze, Verletzungen und Co inklusive – der “Schotter des Todes” war noch nicht überall verschwunden. Und für was? Dass nun ein Haufen teils stark alkoholisierter Besucher ohne Verpflegung auf einem verschlammten Parkplatz stand, aus dem keine Abfahrt möglich war. Sehr sicher. Großartige Leistung.

2017. Auf nach Mendig. Oder auch nicht, denn kurzfristig ging es dann doch wieder zum Ring. Leider mit allen Einschränkungen. Wärend die Verbote in Mendig durch das Schutzgebiet ja Sinn machten klingt es am Nürburgring doch eher nach Geldmache. Keine Aggregate wegen Umweltschutz? Als ob das das größte Problem wäre – vor Allem da direkt neben den Zelten die Großaggregate der WCs, Verkaufsstände und Beleuchtung wie eh und je brummten. Und nur Tage vorher die der Besucher des 24h-Rennens. Auch Anlagenverbot, Besuchsverbot und der Einlasswahnsinn zogen mit. Nun aber ohne die Vorteile, welche sich in Mendig ergaben. Entsprechend hielt sich meine Laune in Grenzen, aber hey, Rammstein. Oder auch nicht. Terroralarm. Weil ein Name falsch aufgeschrieben wurde. Welp – wird sich schon wer was bei gedacht haben wieder einmal Zehntausende von einem Gelände zu werfen. Immerhin schienen die Besucher hier etwas ruhiger, sodass zumindest ich weniger Verletzte sehen konnte. Also außer jenen, die durch das fehlende Wasser zusammenklappten. Festival gelaufen. Etwas bitteren Nachgeschmack gab es für mich dann noch, als Veranstalter MLK der Kragen platzte und er in einer Pressekonferenz gegen alles und jeden Wetterte. Ja, man kann bei so einer Aktion sauer sein. Ja, man kann dann wütend werden. Aber nein, man sollte deswegen keine unüberlegten Anschuldigungen gegen ganze Gruppen raushauen, dass hier absichtlich Besucher gefährdet würden. Vor Allem nicht, wenn man selbst nicht ganz frei von diesem Vorwurf ist, denn die Ursache für das ganze Problem muss sich MLK wohl selbst auf die Kappe schreiben. Ich komme aus RP, muss ich mich jetzt auch bei jeder Vorstellung aktiv von den Entscheidungen einiger Politiker distanzieren?

MLK kommt mir – auch bedingt durch die schlimmen Aussagen vom letzten Jahr – nur noch vor, wie ein verbitterter alter Mann, der sieht wie sein Projekt stirbt aber nicht versteht, dass man sich viele Probleme selbst erschaffen hat.
(Mehlsack)

Nu ist also 2018 und die Anreise läuft grade. Eine Karte habe ich nicht. Die Anzahl der für mich interessanten Bands ist von “wie soll ich mich teilen” auf “eine Hand reicht zum Zählen” gesunken. Hinzu kommt die Preispolitik: Statt wie bisher jährlich die Preise anzuheben hat man sie nun gesenkt! Also mit Stern. Man muss nun für 50€ das Camping und Parken extra kaufen. (Ja, ich kenne den Hintergrund. Parken/Campen wird durch einen anderen Veranstalter durchgeführt) Auf das gibt es dann auch keinen Frühbucherrabatt mehr. Am Ende also doch ein Plus, was als “wir werden günstiger” verkauft werden soll. Die Einlasskontrollen wurden auch nochmal verschärft: Auf dem Festivalgelände darf man nun gar kein Wasser mehr mitholen – man kann sich ja Einwegplastikbecher mit Leitungswasser füllen. Muss dieser Umeltschutz sein. Einziger Vorteil: Es stehen keine Wahlen an, vielleich hält sich ja die Politik dann dieses Jahr mal raus. Auf auf den Zeltplätzen passt der Daumen jedoch nur noch mit gutem Willen in die Schraube: Große Zelte sind verboten, selbst mein “3-Personen-Zelt” wäre für mich nicht zugelassen. Dass diese Personenangaben üblicherweise ohne Gepäck angegeben werden haben die Verantwortlichen wohl übersehen. Gruppen- oder Gemeinschaftszelte sind ebenfalls verboten. Pavillons um sich draußen vor der Sonne zu schützen? Ein Kleiner wenn die Gruppe mindestens 10 Personen hat. Grillen? Einweggrills wenn der Veranstalter sagt, dass das Wetter gut genug ist. Natürlich gilt weiterhin Aggregat- und Besuchsverbot. Sorry, aber warum sollte ich hinfahren? Das lässt kein Festivalfeeling aufkommen sondern erinnert mehr an Kindergarten. Ähnliches war auch in meinem Bekanntenkreis zu hören – ich bin mir nicht sicher, ob von den zeitweise mehr als 40 Personen überhaupt noch was übrig ist. Danach zu Urteilen, dass erstmals seit Langem das Festival nicht vorab ausverkauft ist haben sich das wohl auch einige Andere gedacht. Auch die Ringrocker, ich hatte sie ja schon erwähnt, haben einen offenen Brief geschrieben und fragen, ob wir noch der Ring sind. Ich denke: Nicht mehr so wirklich. Mal schauen, ob wir es wieder werden.

Video: Karnevalsumzug Saffig 2018

Wie auch die letzten Jahre war ich mit meiner Kamera beim Karnevalsumzug in Saffig unterwegs. Wie üblich gibt es die Aufzeichnung drüben auf YouTube

http://www.youtube.com/watch?v=s0fqmJum5Jk

VMWare vCenter Server Appliance mit Proxy aktualisieren

Die Aktualisierung einer VCSA ist eigentlich ja recht einfach: Man geht über den Port 5480 auf das Appliance-Management (aka MUI, VAMI), klickt auf Update und das drunterliegende Linux wird samt aller Programme auf den aktuellen Release aktualisiert. Die Programme kommen dabei direkt von den Updateservern – zumindest wenn man eine direkte Internetverbindung hat. Steht das System in einem Netz, welches keinen direkten Zugang bietet und nicht über einen transparenten Proxy verfügt, lässt die UI die nötige Konfiguration einfach erscheinen: Unter Netzwerk -> Verwalten findet sich ein Menüpunkt “Proxy-Einstellungen”, welcher die direkte Eingabe ermöglicht. Theoretisch.

Bild: https://www.adlerweb.info/blog/wp-content/uploads/2018/01/vcsa.png

Die Praxis sieht leider anders aus: Dieses GUI-Element setzt lediglich die Umgebungsvariable http_proxy, welche ausschließlich für unverschlüsselte Verbindungen gültig ist. Da der Update-Download inzwischen per HTTPS läuft wird der Proxy praktisch ignoriert und der Download-Versuch läuft ins Leere. Dieses Problem tritt mindestens zwischen der Version 6.0 und der aktuellen 6.5U1 auf.

Zur Abhilfe muss man selbst Hand anlegen: In der Datei /etc/sysconfig/proxy findet sich neben der, von der GUI bereits gesetzten, Variable HTTP_PROXY auch ein passendes HTTPS_PROXY. Füllt man dies manuell aus ist der Update-Download fehlerfrei möglich. Wer vSAN einsetzt, sollte hier auch gleich noch die lokalen Server als Ausnahme definieren um den VMWare-Bug #2150523 zu umgehen.

Es zeigt sich wie so oft: Der Texteditor ist mächter als die Maus.

Danke an Andrew Richardson/VirtualSlices für das Aufklären des ursprünglichen Fehlers.

Feinstaubmessung an Neujahr

In der letzten Live-Sendung hatte ich für den Jahreswechsel einen Feinstaubsensor reaktiviert. Die Ergebnisse fallen recht dünn aus: Nicht nur, dass in meiner Nähe ohnehin eher wenig los ist, andauernder Nieselregen hat dieses mal wohl viele Feiernde in die Wohnungen getrieben und die Hinterlassenschaften schnell wieder zu Boden gebracht. Dies würde sich jedenfalls mit meinen Beobachtungen decken: Während man die letzten Jahre nach dem Feuerwerk teils stark eingeschränkte Sicht hatte war dieses mal keine nennenswerte Beeinträchtigung zu sehen.
Bild: https://www.adlerweb.info/blog/wp-content/uploads/2018/01/feinstaub17-300×120.png
Zu übersehen ist der Jahreswechsel trotzdem nicht: Wenige Minuten nach Mitternacht verdreifachten sich die Werte für PM2.5 und PM10. Dies stieg weiter an bis gegen 00:35 ein Spitzenwert von 39.5µg/m³ (PM10) bzw. 21.5µg/m³ (PM2.5) zu messen war – das 15-20-fache des Ausgangswertes. Nachdem sich die Lage beruhigte sanken die Werte schnell wieder, blieben jedoch im Schnitt doppelt so hoch wie vor dem Jahreswechsel. Alles Dank des schnellen Abnehmens deutlich unter den relevanten Grenzwerten.
Insgesamt sind die Werte für die Messstelle überschaubar – an trockenen Wintertagen werden durch alte Heizanlagen deutlich höhere Werte erreicht. Schauen wir dann nächstes Jahr nochmal, eventuell ist es dann ja trockener.

Keepass: Crash durch kaputte Mountpoints

Keepass ist ein quelloffener Passwortmanager, welcher Zugangsdaten verschlüsselt in einer Datei sammelt. Heute musste ich auf einem Gerät feststellen, dass sich die Software nicht mehr starten ließ: Der Passwortdialog erschien kurz, dann verschwand das ganze Programm vom Desktop. Über die Konsole ist ein absturz mit folgendem Trace zu erkennen:

Die Ursache ist etwas schwer zu finden, da nicht direkt ersichtlich: Netzwerkstörungen und Dateisysteme. Keepass durchsucht offenbar beim Start alle eingehangenen Partitionen, tritt hierbei ein Fehler auf kommt es zum Absturz. Dies betrifft nicht nur jene Speicherorte, auf denen Datenbank und ggf. Keyfile hinterlegt sind. In meinem Fall war durch einen Server-Neustart ein NFS-Mount abhanden gekommen (stale file handle), ähnliches war jedoch auch mit sshfs & co zu sehen. Eine Liste der aktuell genutzten Partitionen findet sich unter /etc/mtab, kaputte Dateisysteme lassen sich auch ohne Verbindung mit “umount -l” oder “fusermount -u” aushängen, hierbei kann jedoch möglicherweise Datenverlust entstehen, wenn noch Dinge im Schreibcache liegen. Nach Beseitigung des Fehlers lässt sich Keepass wieder regulär starten.

Postfix: Alle ausgenenden Mails mit einer Absenderadresse

Standardmäßig versendet Postfix die Mails wie sie ankommen, also z.B. mit dem jeweiligen Nutzernamen als Absendeadresse. Nutzt man jedoch einen Smarthost, lässt ausgehende Mails also z.B. über den Server des Providers abwickeln, ist dies häufig nicht erlaubt, einzig die eigene E-Mail wird akzeptiert.

Mit diesen Schritten kann man Postfix anweisen alle ausgehenden Mails so umzuschreiben, dass die vorgegebene E-Mail-Adresse als Absender genutzt wird. Da so auch nicht mehr auf den ersten Blick ersichtlich ist wer die Mail versendet hat, eignen sich diese Schritte nur für Systeme, auf denen ausschließlich vertrauenswürdige Personen Zugang gewährt wurde. Weiterhin gehe ich davon aus, dass Postfix bereits funktionsfähig konfiguriert wurde und für den Versand per Smarthost eine Authentifizierung notwendig ist.

Fangen wir damit an das Passwort zu hinterlegen. Hierzu legen wir eine neue Datei /etc/postfix/relay_password an und tragen Benutzername und Passwort ein.

Ggf. sollte die Datei über entsprechende Dateirechte vor neugierigen Blicken geschützt werden. Da Postfix üblicherweise aus geschwindigkeitsgründen Datenbankdateien nutzt müssen wir unsere Textdatei noch entsprechend umwandeln:

Nun bereiten wir noch eine Absenderersetzung vor. Die Datei sender_canonical biegt mWn den internen Absender um, welcher z.B. im Envelope verwendet wird, header_check kümmert sich um das FROM:-Feld. Je nach Provider kann es ausreichend sein nur eine der Varianten zu verwenden, beachtet jedoch, dass solche Mails gerne von SPAM-Filtern aussortiert werden.

Hier sind die Dateien als regexp deklariert und können ohne Mapping genutzt werden.

Zuletzt machen wir diese Dateien noch in der Postfix-Konfiguration bekannt:

In der ersten Zeile wird der eigentliche Server des Providers als ausgehender Server definiert – mit dieser Einstellung wird Postfix nicht mehr selbst versuchen Mails zuzustellen sondern alles an diesen weiterleiten. Im nächsten Block wird angegeben, dass für den ausgehenden Server eine Authentifizierung notwendig ist und wo die Passwörter zu finden sind. In den letzten Zeilen definieren wir unsere Filter, welche die Ersetzung vornehmen.

Nach dem nächsten Reload des MTA sollten nun alle E-Mails mit der gesetzten Absenderadresse über den angegebenen Smarthost versendet werden.

Firefox statt IE im Unternehmen – Deployment, Konfiguration und Co

In vielen Firmen gilt noch immer Microsoft Edge bzw. der Internet Explorer als Standardbrowser für Inter- und Intranet. Einer der wichtigsten Gründe ist die Verwaltbarkeit: Updates werden über die Systemfunktionen automatisch installiert, Eintellungen lassen sich komfortabel über Gruppenrichtlinien zuweisen. Was viele IT-Abteilungen nicht auf dem Schirm haben ist, dass es auch mit alternativen Browsern nicht vollkommen unmöglich ist eine solch zentrale Konfiguration einzurichten. Hier möchte ich ein paar Kniffe für den Einsatz von Firefox in größeren Installationen geben.

Deployment und Updates

Fangen wir kurz mit Deployment und Updates an: In vielen Firmen laufen Updates des IE über WSUS. Dieser ermöglicht es Aktualisierungen erst in einem Laborumfeld auf unerwünschte Nebenwirkungen zu testen und im Anschluss an die Clients zu verteilen. Prinzipitell gut, jedoch ist WSUS hauptsächlich für Microsoft-Produkte ausgelegt, wird vom Hersteller etwas stiefmütterlich behandelt und ist – zumindest nach meiner Erfahrung – nur mäßig zuverlässig. Nicht zuletzt weil nahezu kein Unternehmen ohne Drittanbietersoftware auskommt, wird in vielen Firmen ein weiteres Deployment-System wie z.B. SCCM oder das kostenfreie OPSI zum Einsatz. Über diese kann man auch Firefox recht schnell ausrollen. Hierzu benötigt man statt dem kleinen Stub-Installer, welcher für Windows üblicherweise ausgeliefert wird, den Offline-Installer, welcher z.B. auf der Sprachübersicht zu finden ist. Wer neue Funktionen gegen seltenere Wartung tauschen möchte kann alternativ auf den Extended Service Release” (ESR) zurückgreifen. Hierbei handelt es sich um eine spezielle Version von Firefox, welche über einen längeren Zeitraum mit Sicherheitsaktualisierungen versorgt wird. Im Gegensatz zur Desktop-Version werden bei diesen Updates – soweit mögich – keine Funktionen verändert. Der Befehl für eine Silent-Installation lautet

Achtung: Beim Download haben 32- und 64-Bit-Varianten aktuell, trotz unterschiedlichem Inhalt, den selben Dateinamen. Über den selben Weg kann man neuere Versionen zur Aktualisierung installieren. Möchte man die Software später wieder löschen findet sich im Installationsverzeichnis eine passende Datei

Konfiguration

Bleibt die Konfiguration. Hier lässt sich ein Überbleibsel aus der Netscape-Zeit nutzen, welche die Ausführung von Scripten beim Start des Browsers erlaubt. Im ersten Schitt legt man eine neue Datei im Ordner “%PROGRAMFILES%\Mozilla Firefox\defaults\pref\” an. Der Name kann frei gewählt werden, jedoch erfolgt die Ausführung alphabetisch. Als inoffizielle Konvention hat sich “autoconfig.js” durchgesetzt. Erste Falle: Die erste Zeile. Diese wird automatisch übersprungen, dort hinterlegte Befehle also ignoriert. Als Workarround sollte man in dieser folglich besser einen Kommentar unterbringen. Zweite Falle: Zwar können in dieser Datei bereits Konfigurationen gesetzt werden, jedoch wird sie während des Browserstarts zu einem Zeitpunkt geladen, an dem noch nicht alle Subsysteme verfügbar sind. Um dies zu umgehen wird stattdessen ein Verweis auf eine weitere Konfiguration hinterlegt, welche am Ende des Starts geladen wird. In diesem Beispiel nenne ich diese “mycompany.js“. Standardmäßig sind diese nachgeladenen Dateien mir ROT13 (sic!) codiert um neugierige Blicke und Änderungen von Nutzerseite zu erschweren. Da Ersteres ohnehin auch über die Browserfunktionen möglich ist und sich Schreibzugriffe über die Berechtigungen des Dateisystems effektiver verhindern lassen, schalte ich diese Funktion aus, so sind Änderungen einfacher.

Nun geht es daran die eigentliche Konfiguration zu erstellen. Die zuvor referenzierte “mycompany.js” wird im Programmverzeichnis, also “%PROGRAMFILES%\Mozilla Firefox\“, erwartet. Für das Setzen von Konfigurationen stehen uns verschiedene Befehle zur Verfügung – hier die wichtigsten:

Befehle

pref()

So gesetzte Einstellungen sind identisch zu jenen, die der Nutzer in der GUI oder about:config vornimmt. Die Änderungen werden als “vom Benutzer eingestellt” angezeigt. Benutzer können diese weiterhin ändern, da das Konfigurationsscript jedoch bei jedem Browserstart läuft werden die Änderungen nach dem Neustart des Browsers wider auf den vorgegebenen Wert zurückgesetzt.

defaultPref()

Hiermit wird die Standardeinstellung geändert. Der Nutzer hat auch hier die Möglichkeit diese selbstständig zu ändern, jedoch sind Benutzeranpassungen bei dieser Variante persistent und werden bei einem Neustart nicht automatisch zurückgesetzt.

lockPref()

Hiermit wird eine Einstellung gesetzt und gleichzeitig gesperrt. Sie kann im Anschluss nicht mehr vom Nutzer geändert werden, entsprechende Konfigurationsfelder werden ausgegraut.

unlockPref()

Hebt die Sperre wieder auf. Interessant wenn man z.B. mit einer globalen Konfiguration arbeitet, bestimmten Benutzergruppen jedoch Funktionen über eine weitere Konfigurationsdatei wieder freigeben möchte.

getPref()

Liest die Konfiguration – z.B. um ein “identisch zu X” umzusetzen.

clearPref()

Löscht die Konfiguration

getenv()

Liest eine Umgebungsvariable

Wie am Namen zu erkennen handelt es sich um Javascript, man kann also auch eigene Logik einbringen. Auch hier nutze ich die erste Zeile zur Sicherheit als Kommentar. Die Bezeichnungen der Konfigurationsfelder kann man im Browser zu großen Teilen in about:config finden.

Beispiele

Automatische Updates ausschalten

Da Updates, wie oben erwähnt, über das zentrale Deployment laufen sollen, wird der Auto-Updater des Browsers ausgeschaltet. So wird der Nutzer nicht mit entsprechenden Aufforderungen konfrontiert und Änderungen können vor einem breiten Rollout in einer überwachten Umgebung auf Kompatibilität mit den Unternehmensanforderungen geprüft werden. Achtung: Einige der Updater-Einstellungen lassen sich nur mit lockPref() setzen.

Branding und Telemetrie

Je nach Firmen-Policy kann ein Branding oder der Upload von Telemetrieinformationen an Mozilla unerwünscht sein.

Startseite

Wenn ein Intranet-Portal o.Ä. automatisch geladen werden soll kann dies als Startseite hinterlegt werden

Zertifikate

SSL-Zertifikate sind bei Drittbrowsern immer eine Qual. Statt den Systemzertifikatspeicher zu verwenden bringen die meisten Browser einen eigenen Zertifikatspeicher mit. Firmen, welche interne CAs verwenden müssen hier eine separate Konfiguration erzeugen und können sich nicht auf die Verteilung per GPO o.Ä. verlassen. Bei Firefox gibt es hier die Möglichkeit über certutil Zertifikate per Script zu importieren.
Bei neueren Installationen kann man Firefox jedoch instruieren auch Zertifikate zu akzeptieren, welche im Windows-Zertifikatspeicher hinterlegt sind.

Proxy-Server

Verwendet die Firma einen Proxyserver, welcher nicht über den Router als “transparenter Proxy” betrieben wird, kann dieser ebenfalls hier hinterlegt werden.

Lesezeichen

Das Erstellen von Lesezeichen ist etwas komplizierter, da man hier mit Datenbank und GUI interagieren muss, welche erst am Ende des Browserstarts zur Verfügung stehen. Um sicherzugehen, dass hier alle Module verfügbar sind, wird das Erstellen in eine eigene Funktion ausgelagert und mit einem Hook des Browsers verknüpft. Das Erstellen erfolgt über den nsINavBookmarksService. Dieser ermöglicht auch das Verwalten von Ordnern oder das Löschen von Elementen.

Alternativen

Wer weniger administriert und lieber herumklickt eine GUI der Textkonfiguration vorzieht kann einen Blick auf CCK2 werfen, welches die Konfiguration grafisch aufbereitet.

VMWare RDM: ESXi-Boot wird minutenlang verzögert

Schlecht. Ein ESXi-Host sollte zwecks Update “mal schnell” neu gestartet werden, doch nun sind mehr als 30 Minuten vergangen und es gibt noch immer kein Lebenszeichen. Selbst für Server etwas ungewöhnlich und lange genug um den VMWare-Updater in einen Timeout laufen zu lassen. Nach einiger Zeit war das System zwar wieder korrekt gebootet und zeigte keine weiteren Auffälligkeiten, eine solche Wartezeit wäre bei Störungen jedoch sehr hinderlich, also gehen wir mal auf Quellensuche.

Im Log finden sich mehrere Einträge, welche durch die Zeitstempel massive Wartezeiten erkennen lassen:

Das Ganze wiederholt sich dann mehrfach. Also ein SCSI-Timeout? Der Host ist per FibreChannel an diverse Storage-Systeme angebunden, sollte jedoch auch nur die für ihn relevanten LUNs sehen. Zumal nach dem langem boot auch alle Datastores verfügbar und VMs ohne Fehler online waren.

Nach einigem Suchen dann die Erkenntnis: Die angekreideten LUNs gehören zu einem Windows-Cluster und sind als RDM vorgesehen. ESXi versucht nun beim Booten diese LUNs zu scannen, was jedoch nicht gelingt da der Cluster auf einem anderen Host aktiv und die Partition somit dauerhaft gesperrt ist. Zur Abhilfe muss man diesen Scan beim Boot explizit für die betroffenen LUNs auf jedem Host deaktivieren:

https://kb.vmware.com/kb/1016106

VMWare vSphere-Client per SSH-Tunnel

Bild: https://www.adlerweb.info/blog/wp-content/uploads/2016/07/vmlist-300×205.pngUgh – eine VM hängt und ich habe kein VPN ins zugehörige Netz. Aber jetzt extra hinfahren? Auch unschön. Glücklicherweise gibt es noch einen SSH-Zugang, den ich hier nutzen kann. Also schnell Tunneln – doch welche Ports? Nunja, nehmen wir für den “alten” vSphere-Client folgende:

  • 443
  • 992
  • 993

Wer jedoch versucht mit 127.0.0.1 oder localhost zu verbinden wird auf Probleme stoßen – bei mir lief der Client auf diesen IPs keinen Connect zu. Ein kurzer Griff in die IPv6-Kiste mit dem guten, alten [::1] half und ließ die Verbindung zu.