Mac mini Server : le meilleur serveur ?

(Attention, billet un poil long)

Mini_serveurJe suis tombé comme bien d’autres ce soir sur cet article (dans l’ensemble très bon) sur MacGe à propos du Mac mini Server. Et comme j’ai eu quelques (bon, au moins un) commentaire me demandant mon avis sur cette bécane, je vais non seulement vous donner celui-ci, mais je vais en plus compléter (voire corriger) certains points de l’article susnommé. Car oui, je suis un éternel insatisfait et parfois un véritable enfileur de lépidoptères.

Oh, Mac mini Server, I’ve been waiting for you for so long !

Déjà, mon opinion : le Mac mini Server est exactement la machine que j’attendais d’Apple depuis trop longtemps. Il répond à tout ce qu’on attend d’un produit serveur pour le marché PME/PMI (le SMB – Small and Medium Business – comme on dit dans not’ jargon) :
– Un serveur à tarif accessible, moins de 1000€ TTC ;
– Un produit simple d’emploi, livré sans superflu ;
– Un produit fiable, et là, l’expérience autant que les retours de revendeurs montrent que le Mac mini est un produit dont la fiabilité est parmi les meilleures de tous les produits Apple ;
– Un Mac compact et silencieux, là où les Xserve sont très puissants, très gros et très bruyants ;
– Un serveur capable de gérer l’ensemble des tâches qui lui sont confiées avec un processeur qui tient la route ;
– Deux disques durs, idéal pour améliorer la disponibilité avec du RAID 1 ou les performances avec du RAID 0 (je reviens plus tard sur la sauvegarde) ;
– Pas de lecteur DVD, pas forcément utile sur ce type de configuration (en tout cas bien moins qu’un deuxième disque dur) ;
– Extensible : cinq ports USB 2 et un port FW 800 sont largement suffisants pour la plupart des besoins PME/PMI.

Et encore, j’oublie sûrement quelques-uns des attraits du nouveau Mac mini. Comme serveur de test, c’est une machine idéale, qui supportera même un peu de virtualisation light. Et c’est un serveur qu’on peut emporter partout avec soi ! Envie d’une solution de déploiement qui tient dans un sac à dos ? La voici !

Hello Mac mini, je te présente PME, ta nouvelle amie. Vous allez bien vous entendre tous les deux.

Revenons sur les besoins de l’entreprise. Pour beaucoup de structures, il n’y a pas besoin d’avoir un monstre de puissance comme serveur. J’ai des clients qui utilisent des Mac mini 24h/24 et 7j/7 comme serveurs de mail, de fichiers, de base de données et bien d’autres sans problème majeur. Certes, un argument revient souvent : « le disque dur du Mac mini en 2,5″ est pénalisant en termes de performances ». Pas entièrement faux, mais c’est surtout dû à la vitesse même de ces disques, pas au format (saviez-vous que HP et bien d’autres vendent des solutions de stockage basées sur des disques 2,5″ ?). Et dans bien des cas, les performances du disque seront largement suffisantes par rapport aux besoins : honnêtement, vous pensez que transférer un fichier Word de 100 Ko, ça va fondamentalement plus vite sur un disque 7200 tr/mn par rapport à un 5400 ?

Sur le sujet des performances, il faut bien voir que beaucoup d’entreprises ont des serveurs totalement surdimensionnés par rapport à leurs besoins. Toutes les entreprises n’ont pas un site web à 10000 hits/seconde, ne reçoivent pas 300 e-mails à la minute ou ont besoin de diffuser des vidéos en streaming. Parfois mes clients me demandent s’il ne faut pas changer le serveur car il n’est pas assez puissant, mais ouvrir Server Admin et regarder les courbes d’utilisation mémoire ou CPU confirme en un clin d’œil que la machine est très loin de souffrir.

Il faut voir que pour bien des serveurs, le simple service de partage de fichiers suffit à combler d’aise le client… Mais le package Mac OS X Server + Mac mini est complet, simple à mettre en œuvre, et propose des services qui font parfois bien plaisir : calendriers partagés, wikis, distribution de mises à jour, DHCP, FTP, ou encore VPN (miam) font partie de ces services qu’on peut facilement mettre en place aujourd’hui avec Mac OS X Server. Et le Mac mini, c’est le serveur qu’on pose dans un coin et qu’on peut oublier. Il tourne juste tout seul, sans poser de questions… N’oubliez juste pas de le mettre à jour !

De la bonne utilisation du DNS

Maintenant, revenons sur l’article de MacGe, et en particulier sa deuxième partie. S’il précise à très juste titre que les services Open Directory et DNS sont fondamentaux au bon fonctionnement du serveur (je vous l’ai déjà expliqué ici et là dans une belle fiche pratique), il y a un point sur lequel je vais sensiblement différer : il s’agit du choix du nom de domaine du serveur, et là, attention, je vais causer technique (âmes sensibles s’abstenir).

Selon MacGe : « Nous entrerons, pour l’exemple, serveur.macgeneration.lan. Pourquoi « .lan » ? Pour être certain que la différence est bien visible, votre serveur DNS ne fonctionnera qu’en interne, c’est à dire sur le LAN (Local Area Network) de l’entreprise ou de la maison. Libre à vous d’utiliser l’extension que vous voulez, tant que la structure est bonne. Par exemple, serveur.steve.jobs pourrait tout à fait convenir aussi. »

Là, pas d’accord : il est préférable dès le départ de mettre un nom de domaine correspondant à un Top Level Domain (TLD), même si vous ne l’avez pas acheté. Non, en fait, achetez-le au préalable. Investissez dans un domaine réservé, par exemple en .org ou en .eu (environ 15€ TTC/an), et configurez votre serveur DNS interne avec ce nom . Pourquoi ? Imaginez la situation : vous utilisez votre ordinateur portable, vous êtes connecté à l’intérieur de votre réseau, et quand vous vous connectez à votre wiki, vous devez aller sur serveur.macgeneration.lan. OK. Maintenant, vous sortez de votre réseau, rentrez chez vous et tapez serveur.macgeneration.lan pour continuer à travailler sur votre zouli wiki.

Et là, c’est le drame (©M6) : impossible d’accéder à votre wiki. Et oui, les serveurs DNS externes pointent sur… rien. .lan, ça n’existe pour personne d’autre que les ordinateurs sur votre réseau interne. Dommage, non ?

Maintenant, imaginons que vous ayez commencé par .lan, puis vous souhaitez créer plusieurs sites web distincts par leur nom et accessibles de l’extérieur, par exemple un site public, un intranet, un extranet… Il faudrait alors idéalement acheter votre nom de domaine puis configurer à nouveau le serveur pour qu’il utilise le nouveau domaine… Malheureusement le changement de nom DNS doit être fait de façon correcte (en particulier en préparant le serveur avec la commande changeip), ce que personne ou presque ne fait.

Certes tout cela peut sembler trivial, ou très compliqué selon les points de vue, mais ce n’est pas à négliger : une très grosse partie des problèmes sur Mac OS X Server viennent d’un DNS mal configuré. Le choix du nom de domaine n’a donc rien de trivial.

Accès mobile : « I’m not your fracking VPN ! »

Concernant l’accès mobile, il ne s’agit pas vraiment d’un VPN SSL. En effet, selon les principes du VPN SSL, il faudrait au préalable s’authentifier sur une page web pour chiffrer tout le trafic vers le serveur interne. Ici, le but est plutôt de rediriger certains flux bien précis vers un serveur interne en utilisant le serveur d’accès mobile comme routeur pour certains services bien précis (iCal, Carnet d’adresses, mail et web). Et c’est indiqué page 183 de la doc des services réseau : il faut utiliser une configuration en split DNS pour que cela fonctionne. Encore une bonne raison de ne pas utiliser de domaine en .lan ;-) Enfin le service d’accès mobile nécessite effectivement un serveur qui effectuera le routage, et par conséquent un serveur différent de celui hébergeant tous les services. Le service d’accès mobile peut être plus avantageux que le VPN car il donne accès aux services essentiels du serveur interne de façon sécurisée, et transparente pour l’utilisateur, sans pour autant donner accès à tout le réseau.

Quand à dire que le protocole Bonjour ne peut pas passer à travers le VPN… ce n’est pas totalement vrai, puisqu’on peut aussi enregistrer des services Bonjour à travers le serveur DNS. Mais il est vrai que c’est quasiment un miracle quand on arrive à faire tomber cette fonction en marche… Enfin, il reste un point à ne pas négliger : qu’il s’agisse du VPN ou du service d’accès mobile, il faudra procéder à des redirections de ports dans les réglages du routeur, opération pas forcément anodine (ou plutôt, pas forcément évidente si on ne connaît pas les rouages de base d’un réseau TCP/IP).

Le DVD, c’est tellement XXè siècle

Concernant le point de l’installation, il est vrai qu’il faut normalement passer par l’outil d’installation de système à distance pour restaurer l’OS en cas de panne. Mais on peut aussi être prévoyant, et simplement réserver une partition de système d’un disque externe en y clonant le DVD d’installation. Avantage : on boote et on réinstalle le système bien plus vite… C’est la solution que j’utilise, et elle marche fichtrement bien. Sinon, on installe l’outil d’installation à distance sur un Mac ou PC du réseau, et zou !

En revanche, un point important signalé par MacGe à très, très juste titre : le RAID 1 (miroir) n’est pas une sauvegarde. C’est juste un système pour s’assurer que votre système continue de tourner en cas de perte d’un disque, mais il ne pourra jamais permettre de récupérer un fichier effacé par erreur ! Donc, sauvegardez vos données, quelque soit l’outil que vous utilisez.

Sorry, Mac mini, but your server is in another castle ! (1)

Pour conclure, je serai encore plus enthousiaste que MacGe sur le marché du Mac mini Server : c’est un produit archi-sexy, simple à administrer (j’ai scié récemment un consultant Linux en lui montrant comment on gère le serveur), silencieux, efficace et très certainement suffisant pour 90% des utilisateurs du marché PME/PMI. Et des échos que j’ai eus, les ventes seraient déjà à la hauteur des attentes sur cette machine.

Go, Mac mini, go get them !

(1) En fait le sous-titre compte pour du beurre, c’est juste que je voulais faire un clin d’œil à la sortie de New Super Mario Bros Wiiiiiiiiiiiiiiiiiiiiiiii.

24 commentaires sur “Mac mini Server : le meilleur serveur ?”

  1. bel article, ça me donnerait presque envie de retomber dans de l’admin système ;)

    effectivement, je n’avais pas réalisé a quel point ça pouvait être un produit attractif pour une PME

  2. Merci pour cet article (également à MacGé pour l’article d’origine). Ce Mac Mini est vraiment attirant :)

  3. mouais mouais mouais… si je comprends bien l’enthousiasme de tout plein de gens, en ce qui me concerne point de mac mini serveur. Il n’a même pas de second port ethernet.
    Alors je sais qu’à l’époque des box internet qui font routeur et tout et tout ce n’est plus vraiment bien vu de mettre un ordi en passerelle, mais nom de jobs, c’est quand même infiniment mieux !

  4. merci pour l’article c’est vrai que ca donne envie, par contre concernant le « manque » du 2eme port ethernet, je comprend pas bien je trouve ca choquant d’utiliser un serveur interne (LDAP + FICHIER + MAIL…) en frontal sur le net. pour rester dans la cible PME je vois plus un petit UTM.

  5. @Florent : non, je pense que mon paragraphe est assez complet ;-) Même si on est newbie, on n’est pas obligé de mal faire les choses au départ. Alors OK, l’achat du nom de domaine n’est pas indispensable, mais ça ne coûte pas grand chose par rapport au prix de la machine et c’est un bonus non négligeable pour se connecter à distance vers sa machine, ce que presque tous les clients veulent aujourd’hui (tu te souviens de l’IP de tous tes clients toi ? ;-) ).

    Et il y a quand même un souci avec le côté « un serveur pour tous » : Mac OS X Server est certes facile d’administration, mais demande quand même une culture réseau que peu de personnes ont. Du coup on se retrouve avec des configurations foireuses un peu tout le temps… à cause du DNS. Cependant le système utilisé par Mac OS X Server 10.6 est mieux foutu (il crée la zone tout seul et l’OD dans la foulée), même si ce n’est pas encore parfait (le nom de la zone est le nom de la machine, c’est laaaaaaaid).

    @Patpro : perso, mettre le serveur en passerelle, bof pour moi. Ça complique pas mal les choses quand même…

  6. « Malheureusement le changement de nom DNS doit être fait de façon correcte (en particulier en préparant le serveur avec la commande changeip), ce que personne ou presque ne fait. »

    Il est en fait bien dommage que changeip ne se fasse pas depuis l’administration serveur, je suis sûr que « tout le monde ou presque » le ferait…

  7. @Fabrice Girardot : Je suis bien d’accord, et il paraît même que changer l’IP du serveur dans les prefs système lance la commande changeip depuis la 10.5, mais je ne l’ai jamais vu fonctionner :-(

  8. Je trouve que le couple SL Client / SL Server pourrait mieux gérer les comptes utilisateurs, en permettant notamment une synchro de davantage de données. Certes, maintenant nous avons une synchro (enfin, via un serveur, mais ça revient un peu au même pour l’utilisateur) pour les mails (depuis toujours), des calendriers et des notes (10.5, il me semble), des carnets d’adresses (10.6).

    Mais ils pourraient ajouter d’autres services offerts par MobileMe, comme la synchro des règles Mail, des signets Safari (voire, on peut toujours rêver, synchro des bases iLife/iWork avec un affichage web, même si c’est moins pro), un système de synchro de dossier distant…

    J’hésite à me prendre une licence 10.6 Server pour chez moi, je vais peut-être attendre 10.7 server pour voir ce qu’il offre à ce niveau.

    Et je ne parle pas des manques de l’iPhone au niveau synchro OTA :(

    Bref, un MobileMe à installer chez soi, permettant un meilleur débit et autant de place que l’on veut !

  9. Je ne comprends pas bien la problématique du DNS.

    Si je pars du principe qu’une TPE utilise le Mac Mini Server sur son LAN comme serveur de fichiers + Open Directory pour la 15aine d’employés qui existe.
    Cette même TPE a acheté un nom de domaine il y a 5 ans chez OVH (pour ne citer qu’eux) afin d’héberger un site web chez ce même fournisseur de services.
    Le serveur DNS pour mapetiteentreprise.fr sera donc un serveur OVH.

    Si je suis les conseils du billets, pour la même zone (mapetiteentreprise.fr) le Mac Mini Server fait office de DNS sur le LAN et il aura comme nom: serveur.mapetiteentreprise.fr pour 192.168.0.1 par exemple. Pourtant sur le DNS OVH, serveur.mapetiteentreprise.fr ne peut pas pointer vers 192.168.0.1 comme IP@.

    Comment les 2 serveurs (OVH + celui du LAN) peuvent cohabiter ?

  10. @titom

    la zone interne sur le serveur donnera des IP privé, tandis que le dns public OVH dans ton exemple donnera l’IP public.
    sans avoir d’échange de zone entre les deux bien sur.

    un utilisateur en interne aura comme reponse serveur.mapetiteentreprise.fr A 192.168.0.1
    tandis que chez lui il aura serveur.mapetiteentreprise.fr A w.x.y.z

    Sys-

  11. @titom & @Sys-

    Mais carrément :
    Quand on a bien compris le principe des DNS, il n’est aucunement indispensable que son LAN comporte un DNS avec un TLD reconnu.
    Le cas que nous explique Guillaume dans son article convient si l’on veut que son serveur DNS du LAN soit aussi celui auquel on accède via le WAN.
    Sauf qu’en fait se pose un problème, l’adressage IP du LAN est de type privé (RFC1918), en gros des plages d’adresses IP que l’on ne doit pas retrouver sur le WAN (la toile internet).
    Donc pour que ça marche efficacement, il faudrait que mon LAN est un adressage IP public, WOW dangereux et couteux ça !! Parce que quand je serai au fin fond de je ne sais quel bled et que mon serveur DNS me dit que mon serveur de mail est accessible à l’adresse 172.26.132.10 et ben je serais bien emmerdé (cette adresse n’existe pas sur internet)!
    Donc là ça voudrait dire VPN et tout ce qui va avec, et donc un autre niveau…
    Enfin bon comme le dit Sys-, y’à des boites (très très beaucoup) qui fournisse des services d’hébergement DNS associés au nom de domaine qu’on aurait acheté chez eux.
    Quand mon laptop est dans le LAN il utilise mon DNS avec la configuration adéquate que je lui aurais faites, et que je suis sur le WAN j’utilise le DNS de mon fournisseur de nom de domaine, et lui aussi aura sa configuration adéquate qui sera différente de celle du LAN pour la correspondance nom DNS et adresse IP.
    Il ne reste plus qu’à faire du routage comme le ferait n’importe quelle personne qui fait du peer to peer.

    Se dire qu’il doit y avoir un seul et unique serveur DNS et qu’il doit être sur le LAN, c’est se restreindre sur beaucoup des possibilités qu’offre le protocole DNS.

    P.-S. Il est très rare que les sociétés ouvrent l’accès à leur DNS depuis le WAN, elle préfère laisser les prestataires spécialistes gérer ce service.

    1. @BigCow : non, justement, d’où la notion de Split DNS : en interne, ton nom de domaine est géré par ton serveur et répond sur ta plage privée avec une résolution privée, et en externe, le serveur DNS de ton prestataire DNS répond sur les noms de domaine que tu as choisies en redirigeant les requêtes vers ton adresse IP publique. C’est une notion qui est mise en avant justement dans le cadre de Mobile Access (lire la doc d’Apple à ce sujet) et qui marche fichtrement bien.

  12. Judas alias BigCow (plus possible de poster avec BigCow)

    @Guillaume Gete
    Ben oui, mais alors en quoi ça dérange un domaine privé avec un TLD .lan?
    On est bien d’accord sur le LAN notre DNS, sur le WAN celui du prestataire?

    Je réagis par rapport à cette remarque :
    « Pourquoi? Imaginez la situation : vous utilisez votre ordinateur portable, vous êtes connecté à l’intérieur de votre réseau, et quand vous vous connectez à votre wiki, vous devez aller sur serveur.macgeneration.lan. OK. Maintenant, vous sortez de votre réseau, rentrez chez vous et tapez serveur.macgeneration.lan pour continuer à travailler sur votre zouli wiki. »

    Sur les configurations que je mets en place (essentiellement basé sur Debian ou Microsoft), je suis sur mon LAN je vais taper serveur.macgeneration.com (ou .lan si ça me fait plaisir, je fait mes correspondances comme bon me semble dans ma(mes) zone(s) DNS), sur le WAN je tape aussi serveur.macgeneration.com.
    Les configurations des 2 DNS (correspondances FQDN & IP) sont différentes et ça ne pose aucun problème vu qu’il n’y a pas de synchronisation entre les DNS du prestataire et le nôtre.
    C’est une erreur de dire l’inverse (que ça pose un problème), c’est des choses que l’on voit régulièrement dans le monde professionnel et ce n’est pas du bidouillage. C’est justement tout l’intérêt d’avoir un DNS privée (avec un TLD personnalisé ou non) : on configure/personnalise la(les) zone(s) DNS comme on le souhaite (surtout comme nécessaire en fait ^^)!

    Après, je ne connais pas Mobile Access, j’irai voir dès que j’ai un peu de temps.

  13. Il suffit pour ça d’utiliser le système de vue de BIND ? Et donc se limiter à la vue interne pour forcer l’usage du DNS externe à l’extérieur ?

  14. Merci pour l’article. Je savais que ça allait intéresser plein de monde. ;-)

    En tout cas j’ai appris plein de choses (et pas tout compris les commentaires sur DNS… mais je vais y arriver ;-) )

    Encore merci !

  15. Pas trop d’accord avec le principe de cet article qui laisse penser qu’avec 1000€ on est équipé pour avoir un serveur professionnel.
    C’est sans compter avec des éléments supplémentaires et indispensables qui peuvent alourdir très rapidement la facture. Sans vouloir rentrer des les détails, vous voyez tout à fait de quoi il s’agit.
    Du coup, lorsque je vois le premier prix du Xserve par rapport au Mac Mini, dans le cadre d’une entreprise, je pencherai pour le premier qui est d’un tout autre calibre.
    Pour un serveur perso, aucun besoin de OS X Server.
    Du coup, ce Mac Mini Serveur est bâtard, sans réelle cible viable et identifiée.

    1. @LaurentB J’aimerais surtout savoir de quels détails tu parles qui feraient vraiment la différence… et tout dépend comme d’habitude des besoins du client. Je ne vais certes pas recommander un Mac mini à une boite qui traiterait uniquement des fichiers de 100 Go l’unité, mais dans bien d’autres cas, y’a pas besoin de plus ! Et pour le prix d’un Xserve tu te payes trois Mac mini Server, ahem.

  16. Hello, j’avais envisagé l’achat d’un NAS pour l’archivage des données venant de carte P2. Je pense du coup prendre un mini, partage en NFS, je rajoute un volume promise et hop me voilà avec un NAS bien plus intéressant. C’est de l’archivage pas de transfert de données sur le réseau avec les stations juste de l’archivage

  17. @LaurentB : non ce n’est pas un produit batard. Un Xserve est bien trop dimensionné pour une PME de moins de 10-15 salariés, quand à la conso, le bruit, et l’onduleur et le rack 19″ avec la profondeur nécessaires pour l’herberger, c’est de ce point de vue là que le mini est vraiment très intéressant, il s’installe dans un placard, et qui plus est GG a raison de dire que c’est archi fiable, on a jamais vu un ordi aussi increvable, avec aussi peu de retour SAV (à part peut-être les G4 AGP et encore…).

    Combien de PME sont prête à mettre 1000 euros + install pour avoir un vrai serveur de sauvegarde time machine (voir les boitiers ext. en raid5), un serveur mail avec comptes imap illimités (qu’est-ce que c’est pratique !) et fetchmail, et surtout un serveur de calendrier partagés et de carnet adresses compatibles iphone (et pas hebergé chez .mac ou gmail) ?
    je connais pas une pme sérieuse qui n’aura pas son calendrier partagé et tous les iphone ou blackberry des commerciaux branchés dessus dans 5 ans.

    bref on a l’équivalent d’un serveur exchange avec 10 CAL pour moins du tiers du prix, et une administration, comment dire, beaucoup, beaucoup plus simple.

    à voir, perso j’ai déjà vendu bcp de mac mini avec OSX serveur, et cette machine est diablement intéressante, je crois pas être complètement à côté de la plaque en pensant qu’il s’en vendra facilement 5 fois plus que des Xserve…

  18. @gilles
    Pareil je suis convaincu de l’utilité de cette boiboite.

    Personnellement, je pensais l’utiliser de cette manière:
    – Raid 1 (donc 500G dispo)
    – serveur open directory
    – serveur de fichier (AFP et SMB)
    – serveur DNS interne
    – serveur DHCP
    – serveur d’impression (à voir car aujourd’hui le printer/copier/fax est autonome et ca marche très bien donc …)
    – brancher un Drobo en FW (4 disques de 250G) pour la sauvegarde TM
    – rsync over SSH pour l’externalisation des datas sur un serveur distant a 30EUR/mois (en cas de cambriolage, incendie, degat des eaux, météorite, attaque de martiens, …)
    – un onduleur pour protéger électriquement le tout

    Par contre pour les mails je ne suis pas convaincu. Aujourd’hui on utilise Google dans sa version gratuite pour héberger nos emails.
    C’est bien car quelque soit l’endroit on a de bonne perf et on n’est pas limité par l’upload ridicule de notre connexion web (je pense aux pièces jointes de plusieurs Mega).
    Je trouve 2 avantages à Google pour la gestion de mails de notre domaine:
    1. perfs égales quelque soit la localisation géographique
    2. aucune administration (en cas de pb technique, etc)

    Par contre c’est vrai que dans sa version gratuite, on est limité à un quota assez faible.
    Et également j’ai du mal à conceptualiser la disponibilité/synchronisation des contacts et du calendar entre:
    – iPhone
    – gmail
    – en local sur ordi

    Avoir les mails en interne, ca implique également 2 choses:
    – s’assurer d’avoir une IP fixe (pas certains que ce soit le cas … a checker donc)
    – modifier les enregistrements MX sur le DNS public

    Qu’en pensez-vous ?
    Serveur mail/contact/calendar chez Google ou en interne sur MMS (Mac Mini Server) ?
    L’objectif étant d’avoir tout de dispo tout le temps et sur n’importe quel équipement connecté.

    Pour moi c’est LA question pour adapter notre business aux technos du moment. Car en plus c’est LE point critique (avec le serveur de fichiers).

  19. Ping : MacKid » Blog Archive » Mac Mini Serveur, déballage…

  20. Ping : Serial Serveur » Blog Archive » Tour de France Mac OS X Server : c’est parti !

  21. Ping : Serial Serveur » Blog Archive » The day the Xserve died

Les commentaires sont fermés.