Wachkoma

Veröffentlicht: Montag, 08.10.2012 in Kollegen

Gerade versuchte ich in unserem CRM-System ein neues Troubleticket zu der soeben vom Kunden eingegangenen Hilferuf-E-Mail anzulegen, als das System auf einmal die Meldung brachte, dass ich doch bitte erneut Benutzername und Passwort eingeben möge. Irritiert blickte ich zu meinem kleinen USB-Stick, ein sogenannter Security-Token, der eine Smartcard beherrbergte und mich automatisch an allen unseren internen Systemen anmeldete. Zwar besaß ich noch einen speziellen Admin-Benutzer für den Notfall, mit dem ich mich via Benutzername und Passwort anmelden konnte, aber mein Standardbenutzer besaß sowas gar nicht mehr. Alle Optionen hierzu waren deaktiviert.

Da das Authentifizierungssystem mein Hoheitsgebiet war, prüfte ich schnell die Logs, aber kam zum Schluss, dass alles ordnungsgemäß arbeitete und der Fehler wohl eindeutig am CRM-System liegen musste. Erleichtert atmete ich auf, sah ich doch an diesem absolut ruhigen Tag bereits massive Überstunden aufkommen, und ging ins Büro von Tobi.

Na Herr Eisen, mal wieder das CRM-System kaputtgebastelt?

Mein Gruß bescherte mir seitens des Gegrüßten einen Blick, als ob ein nacktes Eichhörnchen mit buschigem Schwanz vor ihm stünde. „Was bitte willst du von mir?“, fragte er zurück. Ich klärte ihn über mein Problem mit dem CRM-System auf und auch Tobi war betroffen, als er versuchte etwas im CRM-System zu tun. Keine 10 Sekunden später stand der erste Vertriebi im Türrahmen, der unisono von uns mit den Worten „Wir wissen Bescheid!“ abgefertigt wurde.

Eine kurze Untersuchung seitens meines Kollegen ergab, dass ein gerade eingespieltes Sicherheitsupdate für das Windows .NET-Framework wohl die Ursache für das Problem war.

Scheiße, das kann dauern. Am besten setze ich den Server komplett neu auf, der ist eh total zugemüllt durch die ganzen Upgrades der letzten Jahre. Verdammt, vor 22 Uhr komme ich heute hier nicht raus.

Stöhnend teilte er mir seine Erkenntnis mit. Ich versuchte einen mitleidigen Blick aufzusetzen, was mir wohl sehr gut gelang, und erwiderte:

Sehr doof das Ganze. Aber was will man machen? Naja, ich lass dich mal in Ruhe arbeiten und gebe den Kollegen Bescheid.

Tobi dankte mir, dass ich ihm die Nervensägen aus dem Vertrieb vom Hals halten würde, und fokussierte sich auf die vor ihm liegende Arbeit. Ich beschloss, dass ich die Gelegenheit beim Schopfe packen und nach meiner Informationsrunde durchs Haus ein paar Überstunden abfeiern würde, zumal es eh sehr ruhig gerade war und ich ohne CRM-System nicht wirklich arbeiten konnte.

Nachdem ich die Runde durchs Haus gedreht hatte und demonstrativ dem Häuptling einen schönen Feierabend gewünscht hatte, packte ich schnell meine Habseligkeiten und machte mich vom Acker. Da noch nichtmal die Mittagszeit angebrochen war, genoss ich es den Tag durch meine Lieblingslokalitäten in Maskenstadt zu ziehen und an meinem Bauch zu arbeiten. Als ich gegen 2 Uhr des nächsten Tages sturznüchtern heimkam und noch schnell die Firmenmails checkte, um eine Mail abzusetzen, dass ich etwas später ins Büro käme und man mir bitte zum Mittagessen die Nr. 17 in groß mit extra Käse mitbestellen möge, stellte ich fest, dass Tobi noch im Messenger angemeldet war.

Ein paar fast nicht ironisch gemeinte Worte des Mitleids bestätigten mir, dass er immer noch im Firmenwigwam saß und versuchte das neu aufgesetzte CRM-System zum Laufen zu bekommen. Ich wünschte ihm – diesmal völlig ohne Ironie – baldigen Erfolg und begab mich schnellstmöglich in Morpheus Arme.

Der Wecker riss mich viel zu früh aus meinem verdienten Schlaf, so dass ich kurz nach 11 schlaftrunken ins Bad torkelte. Eine belebende Dusche später, war ich wieder in voller Gefechtsbereitschaft und begab mich umgehend in die Firma, um ja nicht das Mittagessen zu verpassen. Nachdem ich meinen Plunder in meinem Büro verstaut hatte, statte ich dem Nachtschichtler einen Besuch ab. Sowohl der Geruch als auch die tellerminengroßen Augenringe offenbarten mir, dass er seit ich ihn gestern verlassen hatte, hier an dem Problem arbeitete. Völlig selbstlos fragte ich ihn:

Guten Morgen, schlecht geschlafen? Sag mal, hast du mir mein Mittag mitbestellt?

Ein kraftloses Nicken bejahte meine Frage und ehe er mir sein Leid klagen konnte, war ich schon auf halber Strecke zu Sabine Feger, um zu tun, was ich so mit der Guten zu tun gedachte.

Als pünktlich um 12 unser Stammpizzabote die Eingangshalle betrat, pilgerten wir alle geschlossen in die Küche, um uns für unser weiteres Tagewerk zu stärken. Ich platzierte mich so, dass Sabine zu meiner Rechten saß und wir uns gut beim Essen unterhalten könnten. Doch Tobi machte es sich direkt links von mir bequem und suchte meinen fachlichen Rat, so dass mein Plan von ihm durchkreuzt wurde. Enttäuscht sah ich Sabine an, die nur mit der Schulter zuckte; also widmete ich meine Aufmerksamkeit meinem Kollegen. Dieser biss gerade kraftlos in das Stück Pizza, das er in der Hand hielt, was mich veranlasste ihn zu fragen:

Du Ärmster, soll ich dich füttern?

Nachdem sich das Gelächter der anderen Kollegen und die giftigen Blicke des Verunglimpften gelegt hatten, schilderte mir dieser sein Problem, an dem er seit 3 Uhr nachts saß. Zwar lief das System wunderbar und er konnte mit einem lokalen Client auch problemlos arbeiten, aber alle anderen Clients bekamen keine Verbindung, obwohl er sie problemlos vom CRM-Server aus per Ping-Befehl erreichen konnte. Hätte ich nicht gerade an meiner Pizza gemümmelt, so hätte mein Grinsen die Ohren verschluckt.

Und du hast nicht mal von einem der Clients aus versucht den Server zu pingen?

Nö, wieso sollte ich?

Weil dir dann was aufgefallen wäre? Du hast doch auch Windows neu installiert?

Ja, habe ich. Und was wäre mir aufgefallen?

Dass du das System nicht erreichen kannst, weil die Windows-Hostfirewall aktiv ist und dank unserer Default-Policy erstmal nur ausgehende, aber keinerlei eingehende Verbindungen erlaubt.

Tobi schaute mich an wie eine Kuh wenn’s blitzt und man sah den Groschen förmlich pfennigweise fallen. Auch fiel – oder besser rutschte – das Stück Pizza in seiner Hand; zum Glück jedoch sauber auf die darunterstehende Pappschachtel. Dann sprang er auf, rannte mit einer Geschwindigkeit, die ich ihm in diesem desolaten Zustand nicht mehr zugetraut hätte, in sein Büro und ließ keine 30 Sekunden später einen lauten Schrei durch die ganze Firma ertönen, so dass der gerade in der Küche eingetroffene Häuptling mich fragend aus der Wäsche anblickte. Ich antwortete nur grinsend:

Nix, nix. Da ist nur einer aus dem Wachkoma aufgewacht.

Kommentare
  1. breakpoint sagt:

    Dein armer Kollege!
    Wenn man bis spät in die Nacht arbeiten muss, kann man schon mal die Firewall vergessen. Aber du warst mal wieder der Retter in der Not.

    Unter XP war es ja noch einfach, per Registryeintrag eine Exception in der Firewall anzulegen. Unter 7 ist das deutlich aufwändiger.

  2. @breakpoint

    Ja, kann passieren. Wobei ich ehrlich gesagt schon mit gerechnet hätte, dass er das von selbst irgendwann morgens um 5 oder 6 Uhr entdeckt hätte.

    Was die Registry angeht, sowas macht man ganz elegant per GPO. Manuell wird in der Registry nur ausnahmsweise gefummelt. Für was hat man denn ein schönes AD?

  3. breakpoint sagt:

    @Maskierter

    Manuell in der Registry rumfummeln habe ich in diesem Fall auch gar nicht gemeint.
    Du siehst das halt eher aus der Sysadmin Warte. Da sind Gruppenrichtlinien sicherlich das Mittel der Wahl.
    Aus der Perspektive der Anwendungsentwicklung dagegen macht man das elegant über den Installer (oder weniger elegant über ein Setup).

  4. Sheepy sagt:

    Haha, sehr genial :D Aber irgendwie kenne ich es die ganze nacht durchzuackern und an so ner kleinigkeit zu scheitern.

    Dein kollege hätte glaube lieber um 3 uhr schlafen gehn sollen und morgens um 10 ausgeschlafen das problem sofort erkenne :D

  5. Nobelix sagt:

    So viel zum Thema „Wald vor läuter Bäumen nicht sehen“. Manchmal ist das Problem viel einfacher, als es scheint…wie mir scheint ;-)
    Das ist nicht nur bei Computer so, manchmal wundert man sich, warum ein bestimmtes Bauteil keinen Strom hat und reißt die Steuerung erst einmal auseinander…nur um nach 2 Stunden zu merken, dass eine kleine Sicherung durch ist :-)

  6. Leser sagt:

    Die Hauptsache ist doch, dass Tobi Eisen die Bestellung für das Mittagessen korrekt abgegeben hat; stell dir nur vor, er hätte statt der Nr. 17 (Koberind) die Nr. 71 (Tofu) geordert. :-)

  7. @breakpoint

    Der Installer, der in meinen Firewallregeln rumfummelt, bekommt eins auf die 12. ;)

    @Sheepy

    Ja, das trauen sich nicht viele, dann einfach mal einen klaren Kopf zu bekommen. Ich habe für solche Fälle ungelogen eine dicke Isomatte, Schlafsack und ein Kissen in der Firma deponiert.

    @Nobelix

    Oft sind es eben die kleinen Freuden, die das Leben so interessant machen.

    @Leser

    So kann der Selbsterhaltungstrieb von niemanden, der mich kennt, versagen. Außerdem ging die Mail an mehrere Kollegen, die sicher alle Tobis Machenschaften auf der Liste kontrolliert haben, was meine Person betrifft. Die hängen alle an ihrem Leben.

  8. Engywuck sagt:

    und wieder mal bewahrheitet sich, dass man leichter irgendwann ins Bett geht, wenn was absolut nicht will. Nach zwei, drei Stündchen Schlaf findet man auf einmal Lösungen zu den Problemen (auch und gerade denen, die nur schlaftrunken wie solche aussehen). Vor allem sollte man das tun, bevor man entnervt alles neu formatiert (so wie ich neulich beinahe die kompletten Virtualisierungsserver… ;-))

    Zum Thema Firewalls: bei anständig programmierten Programmen (und entsprechenden Einstellungen) meldet sich Win7 doch selber und fragt, ob man das künftig weiter zulassen will. gut, sah das Lizenzserverchen der CAD-Software neulich anders, aber des öfteren klappt das doch, oder?

  9. @Engywuck

    Das CRM ist auf einem Windows Server installiert und da würde ich im Quadrat springen und die Programmierer des Herstellers Teeren und Federn, wenn irgendwas automatisch Firewallregeln anlegt. Hätte der Kollege übrigens den Server in die korrekte OU verschoben, nachdem er ihn im AD hinzugefügt hat, hätte er von alleine die richtigen Firewallregeln bekommen. Aber wer nicht hören will…

  10. breakpoint sagt:

    @Maskierter

    Bei mir geht’s nicht um CRM, sondern um spezielle branchen-spezifische Software.
    Die Software wird nur auf einzelnen Rechnern installiert und da sind die Anwender meistens überfordert (bzw. ihnen fehlen schlicht die Rechte) die Firewall auf ihrem lokalen Rechner freizuschalten.
    Bestimmte Ports müssen aber offen sein, sonst funktioniert nichts und dann ist das Geschrei groß.
    Zusätzliche Firewalls, etwa auch bei Routern, lassen sich ohnehin nicht über den Installer beeinflussen. Da muss dann schon der Systemadministrator ran, und bis dann endlich alles läuft wie es soll, … :(, davon könnte ich auch einige Liedchen singen.

  11. @breakpoint

    Bei Branchensoftware rollen sich mir immer noch die Fußnägel hoch. Was ich da zu Zeiten, als ich beim Kunden vor Ort versucht habe Sicherheitskonzepte zu erarbeiten, gesehen habe, würde mich heute noch das Haupthaar kosten, so ich denn welches hätte.

  12. breakpoint sagt:

    @Maskierter

    Ein gesunder Pragmatismus ist schon angebracht.

    In dieser speziellen (eher minder computer-affinen) Branche wollen die Kunden möglichst wenig selbst konfigurieren und einstellen müssen.
    Und wenn sich ein Admin quer stellt, kriegt der halt eins auf den Deckel.

    Meinen Haaren hat’s bisher noch nicht geschadet. :D

  13. Engywuck sagt:

    ich werd ja dauernd blöd angeglotzt, wenn ich drauf bestehe, dass *wenigstens* bei neu aufgesetzten Rechnern die Firewall drinbleibt. „Aber wir ham doch ein Firmennetz und da Richtung Internet steht ne Firewall und wir machen doch auch immer die Updates [haha!], da kann nix passieren“ oder „also ohne Firewall geht doch alles, dann lass die doch einfach draussen“ (gerne kombiniert mit Teil 1) sind wohl die häufigsten Aussagen, die man zu hören bekommt.

    Dass die wenigsten Hersteller hinschreiben, welche Ports aufzumachen sind (bzw. wenigstens für welche Programme) ist dann das nächste Problem. Bestes Beispiel war neulich das oben genannte Lizenzprogramm: als Dienst wird Programm A gestartet, das dann auch den (dokumentierten!) Port 28000 aufmacht. Im Hintergrund startet es aber noch Programm B, das auf einem Port im Dynamic Range lauscht und den zweiten Teil der Lizenzprüfung abwickelt. Doku dazu? Wozu denn…. WinXP SP2 mit standardmäßig aktivierter Firewall ist ja auch erst acht Jahre her, so schnell ändern wir da nix… Und wenn der Admin anruft und „dezent“ nachfragt (oder direkt beim Techniker vor Ort) heissts „wir unterstützen keine Firewall, schalten Sie die halt ab“ (mir bei nem anderen Programm passiert).

    Da sind Programme, die bei der Installation nachfragen und *dann* die Firewall aufbohren doch noch etwas lieber. So langsam hasse ich das Wireshark-installieren ;-)

  14. @breakpoint

    Die Kundenstruktur unterscheidet sich bei uns, schon klar.

    @Engywuck

    Wie gesagt, bei mir ist sowas über GPOs geregelt, da brauchen die Leute nichtmal doof schauen, es passiert automatisch. Aber schlechte Doku ist echt ein Ärgernis und Dynamic Portranges gehören auf den Scheiterhaufen!

  15. Boxx sagt:

    @engywuck: Fals es um das Lizenzprogramm von dem Hersteller mit F (ehemals M) geht: Das Problem ist lösbar. Einfach mal in die Lizenz schauen, die Zeile mit VENDOR suchen, und hinter der Angabe des Vendors die Zeichenfolge port= gefolgt vom gewünschten Port einfügen. Fortan ist der nicht mehr dynamisch, sondern hält sich an die Vorgaben. Weiteres dazu und noch einige andere nette Optionen stehen in dem License Administrator Guide, der leider etwas schwer zu finden ist. Warum man den so verstecken muss ist mir auch nicht ganz klar.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s