Administrator's Blog

Da ich als zahlender STRATO-Kunde natürlich auch gern Zugriff auf die Nameserver-Einstellungen haben möchte, muss ich mich als Reseller dort anmelden. Das meint zumindest die FAQ und der Support. Nichts leichter als das, dachte ich mir. Also schnell ins Kundencenter und den Resellervertrag "bestellt". 2 Minuten später kam auch schon das PDF via Mail, welches man zurückfaxen soll. Prima, das geht ja schnell

Als ich allerdings auf der ersten Seite die Felder für Handelsregisternummer, Firmenname etc. sah, kamen mir Zweifel. Schließlich wollte ich mich doch als Privatperson anmelden, um die Nameserver-Einstellungen ändern zu können usw. Also schnell eine Mail mit der Frage ob man sich auch als Privatperson als Reseller anmelden kann an den TÜV-zertifizierten Support, dessen "aktueller Servicelevel 89% in 48 beträgt". Ja ne, is klar

Als ich nach 72 Stunden (afaik sind das mehr als 48, so dass ich wohl zu den 11% armen Schweinen gehöre *g*) noch keine Antwort bekam, startete ich die Anfrage erneut. E-Mail kostet ja nix ... Und siehe da, nach ca. 48 h (wobei ich nicht genau weiss, ob es vlt. doch 49h waren - aber ihr könnt mich gern zu den 89% mit reinnehmen @ STRATO-Supporter) kam die ernüchternde Antwort:

> Reseller können Sie bei uns nur mit Gewerbeschein werden.

Toll, sinnlos.

Witzigerweise kam heute früh die auch noch die Antwort meiner Anfrage vom 15.03.2006! Wenn ich nicht irre sind das auch mehr als 48h, aber lassen wir das Und drin stand:

> Auch Sie als Privatperson haben die Möglichkeit einen Resellervertrag mit uns abzuschliessen.

Juhu, toll!

Was auch immer nun davon stimmen mag, man weiss es nicht. Auf jeden Fall habe ich eben den Vertrag ausgefüllt zurückgefaxt und bin gespannt, was nun passiert. Aber der TÜV-zertifizierte Support wird schon wissen, was er wem schreibt. Nach so langer Bedenkzeit gehe ich zumindest davon aus ...

UPDATE
Der STRATO-Support hat offenbar auch Humor und treibt sich hier im Blog rum. Zumindest bezog sich eine Supportantwort eben auf einen Blogeintrag hier. Irgendwie witzig

Da ich trotz dem Einsatz unzähliger RBL's in Postfix noch immer recht viele Spams bekommen habe, entschied ich mich für den Einsatz von Spamassassin zum Content-Scanning und ClamAV als Virenscanner. Das Ganze ist dank amavisd-new auch recht schnell implementiert, so dass man nur minimale Anpassungen an der Config vornehmen muss. Das Unterprogramm "freshclam" von ClamAV sollte als Daemon laufen, um stets die aktuellen Virensignaturen aus dem Netz beziehen zu können, der ebenfalls auf eine Bayes-Engine setzt.

Mit den Default-Einstellungen ist die Erkennungsrate von Spamassassin schon durchaus beachtlich, externe Prüfdienste wie Razor, Pyzor oder DCC helfen helfen ebenfalls mit. Wenn dann mal einige hundert Spams bzw. Hams zusammengekommen sind, kann man den Scanner via "sa-learn" noch besser trainieren. Durch die Bayes-Engine sind die Erkennungsraten danach durchaus beachtenswert. Zumindest waren meine Erfahrungen diesbezüglich bei einem früheren Einsatz des "bogofilter" durchaus positiv.

Als einzigen Nachteil kann ich eigentlich nur die etwas höhere CPU-Last beim Scannen (das ließe sich aber wahrscheinlich mit dem Einsatz von Spamassassin bzw. ClamAV als Daemons noch optimieren) sowie die etwas umständliche Config von amavisd-new nennen. So habe ich es bisher noch nicht hinbekommen, dass amavis mir an jeden Mailheader einen sinnvollen X-Spam-Report anhängt, wo die einzelnen Scannings genau erläutert werden. Dennoch macht die Lösung einen sehr guten Eindruck und ist in kurzer Zeit aufgesetzt. Seit 2 Tagen hat sich damit zumindest mein Spamaufkommen deutlich reduziert. Dank "courier-maildrop" werden Mails mit "X-Spam-Status: Yes" im Header auch direkt in dem Spamordner der jeweiligen Maildir geleitet. So kann man tatsächlich einige Stunden im Mailprogramm verbringen, ohne irgendwas von Viagra etc. lesen zu müssen - sofern man nicht versehentlich auf den Spamordner klickt

Für die Interessierten habe ich das alles mal in eine kleine Howto gepackt. Man beachte auch mein tolles Reportingscript, welches dem User eine Zusammenfassung der gefundenen Spams sendet.

PS:
Heute um 2 Uhr begann die Sommerzeit! Also mal ntpdate (sofern ntpd nicht rennt) laufen lassen oder das Datum von Hand stellen. Schade, dass meine Armbanduhr kein ntpdate implementiert hat ...

Da es bei Server4You derzeit vServer bzw. RootServer für lau völlig unverbindlich zum Test gibt - man muss nichtmal Bankverbindung oder so etwas angeben - habe ich mir das natürlich nicht entgehen lassen und einen vServer Medium einrichten lassen. Also Samstags den Server online bestellt, 3 Stunden später war er dann fertig eingerichtet.

Von Haus aus war SuSE 9.3 Pro installiert. Natürlich wurde testweise auch gleich mal Debian 3.1 drüberinstalliert, was komfortabel via Onlinemenü ging. Das anschließende testweise Re-Install von SuSE klappte allerdings nicht. Es passierte einfach nichts. Aber bei einem 3-Tage-Test war das auch relativ egal

Also mal ein wenig rumgetestet, wobei die Performance angenehm war. Als CPU wurden 2 Xeon's angezeigt, Kernel war "Linux 2.6.8-022stab068.1-enterprise i686". Offenbar kommt eine Virtualisierung zum Einsatz, die alle vServer als Kernelprozesse auf dem Host laufen lassen, was wohl die effektivste Variante darstellt und sehr viele vServer auf einem System zulässt. Aus Insiderkreisen war zu erfahren, dass auf einem Dual-Xeon mit 4 GByte RAM locker 200 und sogar noch deutlich mehr von solchen vServern laufen können - in dem Fall war von Virtuozzo die Rede, was wohl bei den meisten Hostern zum Einsatz kommt - es gibt aber auch einen OpenSource-Port, nämlich OpenVZ.

So sehen die Ergebnisse der MySQL-Benchmark ziemlich gut aus. Verglichen mit meinen kürzlich durchgeführten Tests auf 4 Serversystem sind die Ergebnisse im oberen Bereich anzusiedeln. Das liegt sicher daran, dass SCSI-Platten zum Einsatz kommen bzw. auf dem Server vielleicht schlicht noch nicht viel los war. Wie es in einem Langzeittest auf einem ausgelasteten Host ausschaut, kann man so natürlich nicht genau sagen.

Generell scheint die ganze vServer-Sache dennoch ganz gut und halbwegs performant zu sein. Kleine Projekte, die man bisher im Shared-Hosting ansiedelte, könnte man nun auf einem vServer laufen lassen, zumal man dort die Freiheit hat, das System so zu konfigurieren, wie man mag. Langzeiterfahrungen und generelle Eindrücke von anderen Usern sind natürlich sehr willkommen!

Endlich komme ich mal dazu, meine Erfahrungen über die diesjährige CEBIT zu schreiben. Am Dienstag war ich privat mit 2 Freunden dort, und schaute mir die ganze Sache mal an Freikarten hatte ich leider dieses Jahr keine, so habe ich vorher bei der IHK für 33 EUR das Stück die Karten immerhin 5 EUR günstiger bekommen als an der Tageskasse.

Nach einer entspannten Fahrt (TomTom 5 leitete uns wie (fast) immer perfekt zum Ziel) kamen wir am Messegelände an. Stau! Es hat knappe 30 Minuten gedauert, bis wir auf einen Parkplatz eingewiesen wurden. Aber immerhin standen Shuttles bereit, die uns zum weit entfernten Eingang brachten. Allerdings stand der Fahrer offenbar unter enormen Stress oder dem Einfluss von Alkohol bzw. Drogen, denn er fuhr wie auf der Flucht. Wir 3 und auch die anderen beiden Mitfahrer hatten kurzzeitig tatsächlich Angst um unser Leben. Völliger Irrsinn ... Aber ok, wir sind dann doch angekommen und waren auf jeden Fall alle richtig wach nach dieser Fahrt.

Auf der Messe selbst das übliche Bild, zehntausende Leute und massig Stände, mehr oder weniger interessant. HDTV beherrschte wohl als das Thema die CEBIT in diesem Jahr - mich kann das allerdings kaum vor dem Ofen hervorlocken. Ich investiere zumindest jetzt noch nicht in teure Hardware, um dann bei 95% der Sendungen und DVD's trotzdem kein wirklich tolles Bild zu haben. Da kann ich auch locker noch 2 Jahre drauf warten. Interessant war auch, dass viele Leute mit ihren Digicams vor den riesigen HDTV-Kisten standen und davon Fotos machten. Es erschloss sich mir nicht wirklich, aber schien denen Spaß zu machen.

Die obligatorischen Beutelratten (hier: Leute, die in riesen T-Com, AMD oder wasweissichwas für Beuteln dutzende an Prospekten schleppen) konnte man auch wieder beobachten, wenn es auch nachgelassen hat. Das liegt aber wohl auch daran, dass die Stände nicht mehr so massig mit Geschenken um sich werfen wie noch vor ein paar Jahren. Ich hab keinen einzigen Prospekt mitgenommen, da ich diese ganzen Infos bequem und gezielt via Internet abrufen kann, wenn es mich interessiert

Interessant waren für mich eher die Servergeschichten, wenn gleich ich dort auch nicht wirklich neue Sachen gesehen habe. Beim Heise-Stand haben wir noch einem recht interessanten Vortrag zum Thema "Open Source im Unternehmen" beigewohnt, was eine willkommene Abwechslung war. Außerdem konnte man dort endlich einmal bequem sitzen.

Auf dem Riesenstand der T-Com habe ich das Qtek 9100 in der Hand gehalten, besser bekannt als T-Mobile Vario, O2 XDA Mini S oder Vodafone VPA compact II. Das Gerät hatte es mir echt angetan, schließlich müsste man dann nur dieses mitnehmen und nicht, wie jetzt, immer Handy und PDA. Also habe ich mich mal eingehender informiert und werde das Teil wohl am 27. März bestellen, denn dann steht für mich bei Vodafone sowieso eine Vertragsverlängerung an. Einziges Manko ist wohl der lahme Prozessor (ein TI mit 195 MHz). Allerdings gibts dafür auch schon ein Übertaktungstool. Ich werde dem Gerät auf jeden Fall eine Chance geben, notfalls gibts ja noch eBay

Ansonsten war die CEBIT wie sonst auch immer, jede Menge Technik und jede Menge Leute. Man sieht sich also nächstes Jahr ....

Da hat man nun schon im Server den "3ware 9550SX SATA II RAID Controller" im Einsatz, der laut Website vom Hersteller "200% faster than the industry-leading 3ware 9500S controller" ist (er ist in der Tat sehr schnell, das muss ich anerkennen), so richtig zufrieden ist man trotzdem nicht. Denn der 3Ware-Managemant-Daemon läuft nicht unter Debian. Toll, sind doch alle von mir betreuten Maschinen mit Sarge installiert.

Also habe ich kurzerhand ein Supportticket auf 3ware.com eröffnet. Ich schilderte, dass der Daemon beim Start auf der Shell mit der Meldung (0x0C:0x0003): Failed to create SSL context stirbt. Daraufhin meinte der Supportmensch, ich solle doch https im Browser vor die URL setzen? Wie bitte, was? Welcher Browser? Ich rede von der Shell, Bash, Konsole!!!! Also ihm das sachlich nochmals mitgeteilt. Einen Tag später das erneute Reply mit dem total hilfreichen Hinweis, ich solle im Browser mal die IP statt den Hostnamen eingeben. Total super, aber rede immernoch vom Start des Daemons auf der verdammten Shell. Also nochmal, in etwas wütendem Ton, den Sachverhalt geschildert. Knapp zwei Tage später kam dann eine Entschuldigung und der knappe Hinweis, dass Sarge derzeit nicht von dem Tool unterstützt werde. Das war mir aber inzwischen auch schon irgendwie aufgefallen Im nächsten Release des 3dm2 soll es dann aber eine Debian unterstützung geben. Ich bin gespannt.

Wenigstens funktioniert die CLI auf Shell, so dass ich ab und an manuell schauen kann, ob alles OK ist. Allerdings merke ich da trotzdem ohne zu schauen nicht, ob eine Platte ausgestiegen ist. Da ist die Variante mit der eMail und dem Webinterface beim 3dm2 schon besser, aber was solls.

Und das bei einem Controller für um die 500 EUR ...

Es war an der Zeit, einige private Webprojekte umzustellen etc, so dass ich mich wieder einmal für die Anmietung eines Rootservers entschied. Nach Preis/Leistungsvergleich zwischen den "großen Hostern" fiel die Wahl diesmal auf Strato. So habe ich kurzerhand den HighEnd-Server MR2 mit Opteron 146, 2x 160 GByte SATA-HDD, 1024 MByte RAM und "Traffic Flatrate" bestellt. Offenbar will Strato damit den Anschein erwecken, ich könne unendlich viel Traffic verbrauchen. Dennoch mutmaße ich natürlich, dass ich bei > 5 TByte im Monat dauerhaft Probleme bekommen würde - aber das habe ich ja gar nicht vor

Also Montag morgen online bestellt, brav die telefonisch mitgeteilte PIN ins Webinterface eingetragen, und gewartet. Schon am Nachmittag teilte man mir via Mail mit, mein Server sei bereit. Wirklich schnell, das macht einen guten Eindruck (ja, ich weiss, dass man Images i.d.R. sehr schnell aufspielen kann, freue mich aber trotzdem darüber *g*).

Das vorinstallierte SuSE 9.3. mit Plesk und anderen (für mich) sinnlosen Tools musste natürlich weichen. Auf diesem Server sollte natürlich wie immer Debian laufen. Strato bewirbt den MR2 zwar mit RAID1, meint damit aber, dass sich 2 identische Platten (SATAII, Hitachi) im Server befinden. Mit dem via Configmenü unter "Neuinstallation" gewählten Debian erwartete mich also ein sauber installiertes Debian Sarge auf /dev/sda! Toll, aber was war nun mit RAID bzw. was sollte ich mit der 160 GByte großen (leeren) /dev/sdb machen?

Nach kurzer Google-Recherche fand ich eine hervorragend geschriebene Anleitung dazu von Andre Hotzler, der bereits vor der selben Aufgabenstellung stand - vielen Dank an dieser Stelle! Also das Rescuesystem hochgefahren und die beschriebenen Schritte ausgeführt. Es lief alles wunderbar und ich bin bisher sehr zufrieden. Als Kernel habe ich allerdings entgegen der Anleitung die Variante "2.6.8-11-amd64-k8" gewählt. Die Platten laufen nun als Software-RAID1 (/dev/mdX) und angenehm performant. Der Opteron scheint deutlich schneller zu sein (wer hätte das gedacht ) als der im alten Server werkelnde AthlonXP bei gleicher Taktgeschwindigkeit. Das merkt man u.a. bei Rechenintensiven Sachen wie Logfileanalyse durch Webalizer usw. Auch PHP ist angenehm schnell, zumal ich natürlich wieder auf eAccelerator (v0.9.5 beta1) setze.

Das Configmenü von Strato macht ebenfalls einen sehr guten Eindruck. Zusammen mit dem 160 GByte großen FTP-Space, 6 Domains, der seriellen Konsole und der Hard-Reset-Möglichkeit des Servers finde ich 69 EUR im Monat durchaus fair dafür. Wie der Support ist, werde ich sehen, wenn die Kiste mal nicht mehr erreichbar ist. Aber dann bekomme ich ja eine SMS vom Monitoring-Server, da die Überwachung eines Dienstes (bei mir: PING) gratis dabei ist ...

Ich will ja hier keine Schimpfwörter verwenden, aber diese Norton-Sachen sind doch wirklich irgendwie der letzte Schrott, oder? Das fängt damit an, dass z.B. "Internet Security" default den Referer im Browser deaktiviert, so dass viele User Probleme bei der Benutzung diverser Websites haben, die dies abfragen. Dass Norton Antivirus der langsamste Scanner weit und breit ist, tut da noch nicht einmal etwas zur Sache

Witzigerweise ist man nun mit Norton Internet Security nicht einmal mehr im IRC "sicher". Es gibt nämlich einen tollen Filter dort, der sofort die Verbindung zum Server trennt, sobald jemand in einem Channel "startkeylogger" oder "stopkeylogger" eingibt. Ist das nicht supernett von Norton? Schließlich könnte ja jemand einen Keylogger mit diesem Kommando starten, mh? Man kann sich sicher vorstellen, dass davon diverse User betroffen sind und nicht einmal wissen, was da los ist. Für die Wissenden ist das natürlich ein Riesenspaß, vor allem in größeren Channels. Das Blogentry des Entdeckers findet ihr hier! Auch Heise berichtete.

Bei dieser Gelegenheit möchte ich es nicht auslassen, noch einmal auf die weitgehende Sinnlosigkeit von Personal Firewalls unter Windows hinzuweisen. Mehr Infos zur Windows-Sicherheit findet ihr hier! Dort steht auch, warum Personal Firewalls meist sinnfrei sind. Aber das sagt natürlich meist nie einer den Norton-Usern ...

Da ich hier verschiedenste Hardware habe und mich generell sehr für Statistiken interessiere, habe ich heute 4 Testläuft auf verschiedenen Systemen mit "sql-bench", der mitgelieferten Benchmark-Suite von Mysql, gemacht. Mit ging es vor allem darum, die Vorteile eines RAID5 bei SELECT's nachzuweisen, was mir auch gelungen ist. Leider konnte ich nicht mit einheitlichen MySql-Versionen testen, weshalb 4.0.24 aus Debian-Paketen, 4.1.10 aus RPM und die 5.0.16 (ebenfalls RPM) zum Einsatz kamen. An der MyISAM-Engine hat sich aber wohl nicht gravierend etwas in den letzten Versionen geändert, was die Performance von SELECT, UPDATE oder INSERT großartig beeinflusst (oder?). Falls doch, müsste man das natürlich in die Betrachtungen mit einfließen lassen. Das Filesystem war jeweils ext3 mit defaults, die Kernelversionen könnt ihr den ausführlichen Ergebnissen unten entnehmen.

Zum Test waren folgende Serversysteme zum Einsatz, es liefen ansonsten keine relevanten Anwendungen (jeweils verlinkt zu den ausführlichen Ergebnissen):

• DualCore Opteron 270 SATAII RAID5, 2GB RAM
  
• Dual Xeon 2,8 GHz, SATA RAID1, 2GB RAM
  
• Pentium 4 HT 3 GHz, SATA RAID1, 1GB RAM
  
• AthlonXP 2400+, IDE 80 GB HDD, 512 MB RAM
  

Das IDE-System war natürlich in allen Plattenrelevanten Operationen mit Abstand am langsamstem, wer hätte das gedacht Bei den SELECT's war das RAID5 am schnellsten, was ich ebenfalls erwartet hatte. In der Gesamtzeit ist das Dual-Xeon-System der Sieger, gefolgt vom Opteron-System. Hier hätte ich eher das RAID5-System mit dem Opteron vorn gesehen, aber man lernt ja nie aus. Anschließend das P4-System und abgeschlagen danach das AthlonXP-System mit der IDE-Platte. In der Leseperformance ist das RAID5 deutlich das schnellste System, bei Schreiboperationen machen sich dann wieder die Nachteile bemerkbar. Hier schneiden die beiden RAID1-Systeme besser ab.

Die beiden Dualsysteme kann man wohl bedenkenlos als reine DB-Server im Produktivumgebungen einsetzen (da sind sie ja hier auch bereits im Einsatz), wobei RAID5 oder noch bessere Varianten auf jeden Fall lesend einen deutlichen Performancezuwachs bringen. RAID1 ist schreibend messbar schneller, in der Praxis ist die Masse aber i.d.R. SELECT. Der P4 ist eher als Webserver geeignet und das Athlon-System mit IDE-Platten als Spielwiese oder kleine Websites etc.!

Ich hoffe, das hilft vielleicht jemandem bei der Hardwarewahl, Anregungen und Erfahrungsaustausch sind natürlich jederzeit wie immer willkommen!

Wenn man auf der Shell statt vim file ein spontanes rm file eingibt, hat man schlechte Karten. So ging es mir eben. Da hatte ich eine schöne PHP-Klasse zur Erzeugung von RSS-Feed geschrieben, und weg ist sie wieder
Ich hoffe, mein Backup zu Hause ist nicht zu alt. Auf dem Server hatte ich leider vergessen, den entsprechenden Ordner in mein REOback aufzunehmen. Selber schuld, trotzdem sehr nervig.

Unter ext3 scheint man auch keine Chancen zu haben, das File wiederzubeschaffen. Meine angestrengten Versuche bei ausgehangenem Filesystem mit:

grep --binary-files=text -50 "<\?php" /dev/hda6 > recovery

brachten zwar jede Menge Zeugs zum Vorschein, mein Script war aber nicht dabei. Zumindest konnte ich mit strings nichts aus dem Binaryfile entlocken ...

Naja, daraus kann man nur lernen. Oder so