Categoryblackberry/onebridge

Sírok

Most kivételesen nagyon negatív leszek. Úgy értem, negatív negatív. Általában ugyanis pozitív negatív szoktam lenni: ha szidok is valamit, azt javító szándékkal teszem – hiszen alapvetően azért kedvelem azt az izét.

Blackberry. És Onebridge.

A projektünk az ügyfélnél szépen haladt, elérkeztünk odáig, hogy foglalkozzunk az Exchange szerverekhez kapcsolódó külső szerverekkel. Igen, a fenti szerverekről van szó.

Na most, én már akkor kis híján lepetéztem, amikor a múltkor kiderült, hogy – dacára mindenféle natolásnak – a BB szervert a belső IP címével regisztrálják be odakint. Azaz ha egyszer feltelepítetted, akkor azt már át nem rakod máshová. De ami most jött, az felért egy tökönrúgással.
Közölték, hogy a fenti két szerver közül egyik sem bírja lekezelni azt a roppant bonyolult szituációt, hogy egy Active Directory több tartományból áll. Négylábas megadás. Érted, Windows környezetbe tervezek egy alkalmazás szervert, de az sajnos nem tud lekezelni olyan szituációkat, melyeket az alatta lévő Windows egyébként messzemenően támogat. De továbbmegyek: mindkét alkalmazás olyan rendszerhez – Exchange – kötődik szorosan, mely deklaráltan címtár szintű… azaz tartományok feletti. Az Exchange mindig a teljes címtárban gondolkodik, nem érdekli, hogy ki melyik tartományban van.
És akkor közlik, hogy telepítsük újra a régi BB/OB szervereket, mert az új Exchange másik tartományba került. Agybaj.

Kezdtük egy Onebridge teszttel. Kijött a nagynagy internetszolgáltató szakembere, mi is delegáltunk egy helyi rendszergazdát. Belevágtak. Aztán délután 5-kor jött a levél: help.
Napközben annyi történt, hogy a szakértő hozott egy telepítési leírást, meg néhány OB knowledge base cikket, hogyan kell felkészíteni az Exchange-t az együttműködésre. Ezeken becsülettel végig is mentek, majd jött a kapcsolódás… meg az error. Kipróbáltak mindent, de nem lett jobb a helyzet.
Ekkor kapaszkodott bele a szakértő és az ügyfél delegált embere abba a kitételbe, hogy az OB KB a preparációknál megemlítette azt, miszerint győződjenek meg róla, hogy az Exchange szerveren nincs-e letiltva a MAPI. Tény, le lehet. De nem egyszerűen. Ha a telepítésnél nem figyelünk, ész nélküll nyomjuk az OK-t, akkor belefuthatunk ilyen szituációba. (Írtam is erről anno.) De ha rendesen telepítünk, akkor már nincs ilyen veszély. Igaz, le lehet tiltani utólag is registrybuherával… de azért csak emlékeznék rá.
Így ment is vissza a levél a fiúknak, hogy nem, nincs letiltva a MAPI. De ezt egyből láthatják is, hiszen tudnak kapcsolódni régebbi Outlookkal, ráadásul láthatják, van Public Folder is. Erre jött az a válasz, hogy ez nem bizonyíték, tekintve, hogy mindenki tudja, miszerint az MS más MAPI-t használ, mint amit a külső cégeknek biztosít.
Itt szökött fel plafonig a szemöldököm. Ekkor lett nyilvánvaló, hogy a nagynagy internetszolgáltató szakértőjének halvány fogalma sincs arról az architektúráról, amelynek egyébként a szakértője lenne. Addig ugyanis oké, hogy más mapixx.dll települ fel mondjuk az Outlookkal, mint amit a külső cégeknek ajánlanak… de ettől a MAPI, mint távoli eljáráshívásokon alapuló függvénygyüjtemény köteles ugyanolyannak lenni ugyanazon szerver esetében, hiszen a túloldalon a szerver csak az eljáráshívásokra reagál, nem kér előtte személyi igazolványt.
A helyi mérnökünk mindenesetre rámutatott, hogy először talán azzal a tömérdek MAPI errrorral kellene foglalkozni az OB szerveren, melyek az eventlogban vannak… és csak utána piszkálni az Exchange oldalt. Különösen, hogy amit a KB cikkük előírt, azt pontosan beállítottuk.
És most itt állunk. Szószerint is.

Nos, eddig ez akár egy szokásos köcsögjózsis történet is lehetne.

De amitől hirtelen ledobtam magamról minden toleranciát és billentyűzetet ragadtam, az egy KB cikk volt. Az egyik fázisban a szakértő megadta a hozzáférését az OB KB cikkekhez, hátha én, Exchange szemszögből kiszúrok valamit. Hát… kiszúrtam.
Mivel nem publikus anyag, így a lényegi részből nem idézek. Nagyjából arról van szó, hogyan is kell pontosan kipreparálni az Exchange szervert a korrekt kapcsolathoz. Egy csomó jogosultáságállításról van szó, mind felhasználói, mind szerveroldali konfigurációkról. A közös mindegyikben, hogy a címtárban állítgatod az értékeket: hol a domain névtérben, hol a configuration névtérben. Kizárólag csak ezeken a helyeken.
És akkor most követek el egy bűnös kiszivárogtatást. Akit esetleg komolyabban is érdekel, lementettem az írást, nálam meg lehet tekinteni. Szóval ez annak a bizonyos KB cikknek (#4267) az utolsó mondata:

It might be necessary to restart affected servers, such as Domain Controllers and Exchange Servers, in order the changes to take effect.

Megégetni az architektet. Megégetni. Most.

Gondolj, bele, egy ilyen alkalmazásnak adunk mindenféle erős jogot egy nagy ügyfél nagy Exchange rendszerében. Ráadásul mosolyogva kell.

Érik a fekete

Nem, nem cseresznye. Szeder. És nem be, hanem – ha rajtam állna -, akkor ki.

Már az ókori görögök is tudták, mi a jó nekik – még a legelvetemültebb kutatások során sem találtak a régészek semmi nyomot, hogy őseink használtak volna valaha is Blackberry mobil üzenettovábbító rendszert.

Az ügyfél nem volt ennyire elővigyázatos. Neki_ilyen_kellett. A magyarázat egyszerű: habár már telepítve van két darab Onebridge SyncServer (mindegyik organizációhoz egy-egy), de ezek csak PDÁ-val tudnak szinkronizálni. (Kutatásaim szerint valahogy össze lehet lőni Blackberry-vel is, de ebbe most ne menjünk bele.) És amikor a vezig Amerikában járt és az összes CEO előrántotta a kütyüjét, tízből kilenc Blackberry volt. Kinézték szegényt a PDÁ-jával.

Uccu, megvették az egészet tokkal-vonóval. Rám várt a nagy feladat, hogy beüzemeljem.
Az első olvasgatások után nem tűnt túl bonyolultnak. Volt telepítési kézikönyv is – mi más kellhet még? Idő, türelem… novemberben mindezek még megvoltak.

Feltelepítettem a Windows2003 szervert, összeszedtem minden szükséges komponenst. Rengeteg volt, nem véletlenül kézikönyv formában adták mellé a telepítési leírást. De végül tényleg összejött minden.
Aztán a sokadik oldalon azt mondta, hogy telepítsük fel rá az Exchange System Managert. Csakhogy a becélzott organizáció még 5.5-ös. Az Exchange Admin meg nem ment föl Windows2003 szerverre, de nem ám.
Újabb kör a Dataplexbe, Windows2000 szerver felugrott – persze ehhez teljesen más garnitúra lószart kellett leszedni. (IE6, CDO patch, ADODB, stb…) De minden munka elfogy egyszer (vagy nem?) és eljutottam odáig, hogy aktiváljuk a kézi egységet. Vállalati aktiválás elindul, aztán vár. Vártam vele én is. Azóta is ott várnánk együtt, ha a qrtafarkú malac ki nem túrt volna.
Jöhetett a szokásos vajákolás. Logok nézegetése, önmarcangolás (biztos, hogy mindent jól telepítettem?); ilyen kísérlet, olyan kísérlet. Ügyfél kapcsolattartója megpróbálta a lehetetlent: támogatásért folyamodott a T-online-hoz, aki spec. a rendszer eladója volt. Jöttek is az ötletek: ne a wireless aktiválással sportoljunk, hanem a drótossal. Dugjuk fel a kütyüt egy PC-re és indítsuk el úgy a folyamatot. Ehhez lazán bele kellett durrantani a tűzfalba egy páncélököllel, de nem probléma. És már a tűzfalas emberünk is felgyógyult.Viszont az aktivizálás így sem ment. Jött a következő zseniális ötlet: dugjuk fel a kézi egységet közvetlenül a szerver USB portjára. Mert egy szervernek ilyesmi csak úgy van. A vicces az, hogy ez spec desktop gép volt, tehát véletlenül pont volt neki USB ivarszerve. Ekkor egy kicsit rettegtem, hogy ez a módszer _nehogy_ működjön: ebben az esetben ugyanis minden készülék aktiválásakor villamosozhattam volna a Dataplexbe. De a modern technikában lehet bízni: ha eddig sehogy sem működött az aktiválás, akkor ezzel a módszerrel sem produkált meglepetést.
Közben az ügyfél átrágta magát a T-online védelmi vonalain (CRM, te drága) és eljutott egy szakemberig. Az első kérdés az volt, eltávolítottam-e az Outlook-ot. Nem is volt rajta. És az Outlook Express-t? Izé… nem. Hol is van ez leírva? Sehol. De tapasztalat, hogy nem lehet fent.
Jó, szedjük le. Bár az emlékeimben úgy rémlett, hogy ez össze van nőve az Internet Explorer-rel és annyira masszív részei az operációs rendszernek, hogy csak ördögűzéssel távolíthatók el. Naív módon először a Microsoftnál néztem szét.
Most mondja azt valaki, hogy a fiúknak nincs humorérzékük. A következő KB cikken órákig röhögtem.

Cím:
Nem tudjuk leszedni az Outlook Expresst Windows2000 alatt.
Jelenség:
A Windows2000 helpjében leírt módon nem tudjuk eltávolítani az Outlook Expresst.
Ok:
A help fájl hazudós.
Megoldás:
Nem tudod eltávolítani az Outlook Expresst a Control Panel Add/Remove Programs segítségével.

Gyönyörű…
Aztán persze megtaláltam az igazi KB cikket is, illetve ennek különböző, kevésbé aggódós változatait. Mindenesetre elég durva munkának igérkezett, egy csomó könyvtárat, registry kulcsot és rendszerfájlt kellett kigyilkolni, megküzdve közben az állásait elkeseredetten védő Windows File Protection szolgáltatással.
Illetve első körben nem tudtam megküzdeni vele, ugyanis nem dobta fel a megjósolt ‘Uramatyám, mit csinálsz’ ablakot. Ehelyett gondolkodás nélkül visszarakta a dll-eket, még akkor is, amikor a dllcache-ben töröltem és a telepítőkészlet a fasorban sem volt. Nem részletezem, mennyit őszültem közben, a megoldás végül az lett, hogy oda kellett menni fizikailag a szerverhez, barackot nyomni a buksijára és konzolról törölni a rendszerfájlokat. Ekkor már feldobálta a WFP a fehér zászlókat én pedig könyörtelenül legéppisztolyoztam a követeket.
Jöhetett az újabb aktiválási kísérlet. Nem koronázta siker.
Ezután lépésről lépésre végigmentünk a folyamaton és kiugrott, hogy bizony az Exchange organizáció nem érhető el az internet felől. Bizony-bizony, ez egy ilyen organizáció: az ügyfél, aki egy nagy multi hazai leánya, ezen keresztül tartja a kapcsolatot Anyucival. Ja, sóhajtott fel a support legény, akkor ez nem is fog menni. A központi Blackberry server e-mailben küldi el a tanúsítványt a szinkronizálandó postafiókba. Biztos? Igen. Le is írnád? Persze.
Ez után a levél után az ügyfélnél egyes emberek napokig csak egy irányba tudtak menni. A vezig ugyan egy nagyon kedves ember, de ha nem kapja meg a játékát, roppant kedvesen tudja ki is rúgni az embert. (Olyan átmenet Mr Gatto és Mr Teufel között.)
Persze jött a felelős keresése. Én széttártam a kezem: a dokumentációban erről a kitételről egy szó sincs, nekem meg eszembe sem jutott, tekintve, hogy a konkurrens Onebridge simán veszi ezt az akadályt. A T-online meg elfelejtett szólni erről az apróságról; hja, mindenre ők sem gondolhatnak.
Az ügyfél roppant szerencséjére éppen folyik egy másik projekt is. Az anyacég átrendezi sorait és az egész 5.5 organizációt átmigrálja egy E2k3 környezetbe. Ergo nekünk is meg kell lépnünk egy hasonló migrációt, velük egyeztetve. Történetesen az ügyfélnek már van egy E2k3 organizációja, tehát mindösszesen annyi a dolgom, hogy az 5.5 organizációt be kell migrálni az E2k3-ba, azt pedig konnektorokon, DNS-en és MIIS-en keresztül összekötni Anyucival. Bagatell.
De ha ez lemegy, akkor lesz egy olyan organizáció, amelyikben landolnak az anyacég levelei és amelynek lesz Internet kijárata -> ergo bele lehet kötni a Blackberry-t -> ergo Mr Vezig legközelebb nagy arccal elő tudja majd rántani a handheldet az USÁ-ban. (Bár, ahogy most mennek a dolgok, lehet, hogy addigra már pont a többieknek lesz PDÁ-ja.)

Ehhez viszont nyilván újra kell telepíteni a Blackberry szervert, immáron Windows 2003 szerverrel.
A két projektet simán lehet vinni egymás mellett is, így egyszerre telepítettem a két kulcsszervert. (Lásd itt.) Érdekes nap volt.
Most arra számítasz, hogy egy ilyen bonyolult folyamatban milyen összetett szívásokról fogok írni. Nos, nem. A következő szívás nagyon egyszerű, de annál hatásosabb volt. Dönci – a korábban már emlegetett páncélszekrény – azóta őrzi a lábnyomaimat. Meg a harapásmintámat.
Újratelepítés. Eljutottam odáig, hogy partícionálás. Ugye addig volt egy C: – system és boot partíció egyben; emellett egy D:, melyen közel 2 GB, nehezen összevadászott telepítőanyag figyelt. Én csak a C: partíciót terveztem újrahúzni. Igenám, de a telepítésnél feljövő menüben fel volt cserélve a két partíció betűjele! Ha meg akartam őrizni a telepítőkészletet, akkor csak a másik partícióra tudtam telepíteni, ekkor viszont az eredeti D: – amelyik most át lett nevezve C:-nek – lett a boot partíció (amelyiken a system van); míg az eredeti C: – amelyik most át lett nevezve D:-nek, lett a system partíció (amelyikről bootol a rendszer.)
Tudtok követni? Mert most kezdődik igazán a keverés.
Hogy véletlenül se tudjak hibázni, mindkét partícióra felmásoltam a telepítőkészletet. Új telepítés, a partíciók megadásakor letöröltem a D-t, a C-re tettem a windowst. Ekkor egy partíciót kaptam a telepítés után – csakhogy ez volt a nagy és a másik, a D: lett a kicsi. Nekem viszont pont fordítva kellett. Semmi gond, létrehoztam egy kis partíciót, átneveztem X-re, átmásoltam rá is a telepítőkészletet és újratelepítettem a windowst. A partíciók megadásakor a régi C-t (amelyik most egyszerre volt boot és system is) letöröltem és meglepetten konstatáltam, hogy az általam X-nek nevezett partíciót E-re nevezte át. A telepítés lefutott, lett rendesen C: partícióm, egy nagy büdös partícionálatlan rész és valahol a diszk végén egy E: partíció. Amelyikre ez a szerencsétlen nyáladzó elmebeteg rátette a system partíciót.
Aki esetleg elvesztette a fonalat, most jön a visszacsatlakozási pont.
Ennek a büdöslábú operációs rendszernek nem lehet megmondani, hogy telepitéskor ne bántson egy már meglévő partíciót. Ha már van egy partíció és létrehozok egy másikat, hogy arra települjon, akkor automatikusan mindkettore telepíti az operációs rendszer egy részét (system/boot partíciók). És nyilván ezeket a partíciókat utána már nem lehet bántani.
Két választási lehetőségem volt:
– valami unattend szkriptes matyival megmondom neki, ki legyen a system és boot partíció,
– vagy a 2GB adatot hálózaton keresztül átnyomom egy másik gépre, majd mindkét partíciót törlöm. Telepítéskor pedig csak egy partíciót adok meg, így nem tud a nyomorult variálni.
Ez volt a gyorsabb, ezt választottam. Szerencsére nem jött reklamáció szolgáltatás lassulásról.
De akárhogy is nézem, megint ugyanaz a történet: egy MS termék megint azt hisz magáról, hogy ő a kurva okos és nem, az istennek sem engedi, hogy valami kósza admin belepofázzon. Ha két partíció van telepítéskor, akkor külön lesz a system és a boot. Ha úgy gondolja jónak, akkor a partíciókat is átnevezgeti. Mindenkinek pofabe.
Amikor először futottam bele ebbe, akkor azt hittem, biztosan én voltam figyelmetlen.
De nem.
Szégyen.

Na, mindegy, az operációs rendszer felment. Egymás után négyszer is. Visszakerült a jó öreg Windows 2003 szerver.
És ennek már volt egy hatalmas előnye. Amikor másnap eszembe jutott, hogy nem gyaktam ki az Outlook Expresst, akkor már nem kellett kimennem ismét a Dataplexbe, tekintve, hogy ennek már van mstsc /console üzemmódja. Kis lépés az emberiségnek, nagy lépés egy aggresszív klímától torokgyíkban szenvedő adminnak.
Mondjuk a biztonság kedvéért rákerestem, nem változott-e valami a gyilkolászással kapcsolatban. És igen, változott. Azt írták – már fogalmam sincs, hol -, hogy a Windows 2003 alól sehogyan sem lehet eltávolítani az OE-t. Depressziós lesz, kardjába dől, zsúfolt buszon felrobbantja magát.
Ugyan. Mivel más választásom nem volt – a T-online veszettül ragaszkodott hozzá, hogy ez a remek, XXI. századbeli program nem képes együttműködni egy évek óta masszív Windows rendszerkomponenssel – szóval kénytelen voltam kipusztítani a dll-eket. Bár a WFP bedobott még egy apró trükköt – W2k3-nál a Search már nem keres a dllcache könyvtárban -, de terminátorként megkerestem a menekülő fájlokat és nem volt kegyelem.
Nyilván újraindítottam műtét után távolról a gépet – és nem állt fel.
Hmm. Lehet, hogy a Microsoftnak tényleg igaza volt és tényleg ennyire kritikus komponens az Outlook Express?
Mese nincs, duzzogva bár, de ki kellett mennem megint a Dataplexbe. Az Árpád-hídnál lévő rétesárusnak jól ment ebben az időben, mindig bedobtam nála egy mákosat.
Amikor beléptem a szobába, kellett egy kis idő, míg levegőhöz jutottam. Az történt, hogy egy kolléga bekötött egy tesztgépet és mivel nem talált hozzá szabad konzolt, lehúzta a Blackberry szerverét. Az a süket BIOS meg várta, hogy valaki majd megnyomja az F1-et a hiányzó billentyűzettel.
Alapvetően tiszta szerencse, hogy ilyenkor én már hangolódok a szeretet ünnepére.

A sok kanyar után megint összejött egy tesztelhető állapotú konfiguráció. Vállalati aktiválás – és igen, megérkezett a teszt postafiókba a vezérlő levél. Aztán ennyiben is maradtak. A Blackberry központ negyedóránként elküldte a levelet, a handheld meg cseszett aktiválni. Vagy a jó ég tudja, melyik komponens.
Újabb levél a support hapinak. Két napig semmi. Ekkor felhívtam a srácot, olvasta-e. Még nem. Be van havazva. Oké. Levél az ügyfélnek, így állunk. Vezig hogy érzi magát?
Huh. Újabb kapkodás. Ingerült levélváltások. Hogy milyen support is ez? A T-online büszkén válaszol, hogy semmilyen. Ugyanis ehhez a cucchoz nem is adnak el supportot, mert hivatalosan nincs is olyan termékük, hogy támogatás. De ha ennyire bénák vagyunk, akkor kijönnek és jó pénzért feltelepítik ők.
Szóval ment az agyalás. Én közben – sokadszor – átolvastam a telepítési útmutatót. És basszus, megakadt a szemem egy megjegyzésen: ne telepítsük a Blackberry szervert dmz-be. Lehet, hogy az a baj, hogy túl okosnak képzeltem magam. Azt gondoltam, hogy legfeljebb majd megnézzük jól, mit akar ez kommunikálni, aztán azokat jól átengedjük. Aztán lehet, hogy ez meg egy olyan termék, amelyik csak akkor működik, ha egy LAN-on van az Exchange szerverrel. Mittudomén, lehet, hogy azt se tudja, mi az a default gateway. (Tudom, nem az a szint… de ha az ember el van kettyenve, akkor szinte mindegy mit, csak csinálni akar valamit.)
Kimentem megint a Dataplexbe és átkábeleztem a belső LAN-ra. NIC, routing tábla, minden rendben, a gép működött, távolról is. Akkor újabb kísérlet, és újabb döbbenet: a Blackberry Manager azt mutatta, hogy a szerver nem működik.
Vazze, ez a szerencsétlen nem bírta elviselni, hogy megváltozott az IP címe. Nyess. Blackberry szerver le, aztán fel. És már csodálatosan működött is. Jöhetett a teszt, levél megérkezett és a negyedórás próbálkozások is.
Közben jött e-mail a supporttól – gondolom ráléptek a figura farkára jól; pedig ő tehetett a legkevésbé a helyzetről. Azt mondta, akkor szokott ilyen történni, ha nem jól távolítják el az Outlook Expresst. Ekkor sikítoztam egy kicsit. Ugyan már, mi a megfelelő eltávolítása egy eltávolíthatatlan programnak?
Nem sokkal később jött egy másik levél is, benne egy csomó tippel. Köztük azzal, hogy ugye, a service account user nevében léptem be és csináltam a telepítést. Nem. Már miért tettem volna? Általában domain adminnal telepítek, ha kell service account user, akkor legfeljebb átírom a service adatlapját. No, mindegy, egy próbát megér.
És igen. Ez hozta a megoldást. Bármennyire is hihetetlen, a service account user valami démoni lény és csak ő tudja azt a titkot, amitől életre lehelődik a Blackberry szerver. És hol van ez leírva? – kezdtem dühöngeni. Újból elővettem a rongyos telepítési leírást… és megtaláltam. Egyszer leírták nagy vonalakban a folyamatot, egyszer pedig szájbarágósan. És az utóbbi változatnál volt ott, elég apró betűkkel.
Legközelebb annyira betű szerint fogok telepíteni, amennyire csak lehet.
Bár ismerve a rajtam ülő átkot, akkor meg biztosan egy sajtóhibába fogok belebukni.

Szóval öröm, petárdák, hejehuja, pezsgőbontás. Most már van egy Blackberry kütyüm is. Illetve eddig is volt, csak nem működött.
Még annyi lett volna hátra, hogy visszaköltöztetjük a cuccot a dmz-be, de a support gyorsan szertefoszlatta az elképzeléseimet: felhívta a figyelmemet, hogy az első aktivizálás után már ne változtassuk meg a szerver IP címét, az ugyanis be lett regisztrálva a Blackberry központban, a licenszkulccsal együtt. A belső IP? – hűledeztem. Ja – jött a válasz.

Én általában vonzódom a bizarr dolgokhoz, de ez már meghaladta az én tűrőképességeimet is. Sóhajtottam egy nagyot, megírtam az üzemeltetési dokumentációt és lerúgtam magamról az egész bagázst.
Nem is akarom látni többet.

Aha

A Blackberry szerver telepítő kézikönyvéből való a részlet:
1. On the installation CD open the …. file.
2. In the config section add the folloving lines:


3. Save and close the file.

Aha. Akárhogy is néztem a csomagot, vésőt nem adtak mellé.