Archive for Serveurs

High Sierra : comment s’y préparer en entreprise (et pas que)

High Sierra, alias macOS 10.13, approche à grands pas, et à ce titre, Apple a diffusé plusieurs articles techniques en amont, tous résumés dans cet article. Intéressons-nous y donc de plus près…

Abandon des certificats signés SHA-1 utilisés avec le protocole TLS.

Cela peut avoir un impact si vous utilisez d’anciens certificats sur d’anciennes versions de Mac OS X Server, par exemple. Notez cependant cette phrase pas anodine en italique dans le document :

Les certificats CA racine signés SHA-1, les certificats SHA-1 distribués par des entreprises et les certificats SHA-1 installés par les utilisateurs ne sont pas concernés par cette modification.

Cela n’est donc surtout vrai que si, par exemple, vous hébergez un site web sur un serveur, site protégé par TLS avec un certificat considéré désormais comme non fiable. Depuis macOS 10.12.4 et iOS 10, Safari affichait une alerte en cas de certificat non fiable, mais désormais, la connexion est carrément refusée. À vous de mettre à jour votre certificat sur votre site. Ça ne sera pas un mal dans tous les cas…

Et dans tous les cas, même pour vos certificats d’entreprise, ou autres, il vaut mieux basculer vers des certificats signés de façon plus sûre.

Les certificats utilisant des clés RSA d’une taille inférieure à 2048 bits à travers toutes les connexionsMacos aofs maj TLS ne seront plus considérées comme sûres.

Là encore, il s’agit d’une amélioration de la sécurité au vu des évolutions technologiques. Apple pousse la sécurité vers le haut, et préfère abandonner des technologies considérées comme obsolètes côté sécurité. Si vous êtes administrateur informatique, attention donc si vous utilisez par exemple des services comme des VPN utilisant des clés RSA un peu trop faibles.

Un exemple de clé RSA non valide sous macOS High Sierra (chiffrement 1024 bits).

TLS 1.2 par défaut pour les configuration EAP-TLS

Important surtout si vous utilisez une authentification de type entreprise exploitant le protocole EAP-TLS pour vos connexions Wi-Fi ou Ethernet. Vos points d’accès devront désormais utiliser TLS 1.2 et non plus 1.0. Dans le cas où vos points d’accès ne peuvent être mis à jour, vous devrez appliquer un profil de configuration sur vos Mac pour forcer l’utilisation de TLS 1.0.

APFS : tout ce qui va mettre le souk dans vos systèmes informatiques

J’ai déjà longuement abordé APFS, je ne reviendrai pas dessus, même si il va falloir éduquer quelque peu vos utilisateurs (« je comprends pas pourquoi désormais quand je duplique des fichiers de 10 Go, la copie se fait toute seule et la taille du disque ne bouge pas… »). Apple y a carrément dédié un article spécifique, pas encore disponible en VF (mais le lien que j’ai utilisé devrait pointer sur la VF dès qu’elle sera disponible).

Il va cependant falloir noter certains points TRÈS importants lors de la migration vers High Sierra.

  • High Sierra va automatiquement convertir tous vos disques de type flash (internes ?) vers APFS, et à priori, on ne peut pas l’éviter. Or, si vous avez des disques partagés via le protocole AFP, ceux-ci ne pourront plus être partagés en utilisant ce protocole (obsolète). Ça peut être gênant si vous avez des anciens clients sous Mac OS X, ou des logiciels qui supportent mal le SMB (<Tousse> Adobe CC <Tousse tousse>), dans ce cas vous ne pourrez plus vous connecter en forçant AFP plutôt que SMB.En clair, si vous avez des serveurs tournant sous des versions récentes de macOS, évitez le passage sous High Sierra si vous avez encore besoin du protocole AFP.
Macos aofs maj

Si vous voyez cette case sur un disque dur classique, vous ne la verrez pas lors de l’installation de la version finale de macOS High Sierra sur un disque flash.

  • Notez que le passage ne sera automatique que pour les disques intégralement Flash, donc pas de migration si vous utilisez un Fusion Drive ou un disque dur classique.
  • Si vous utilisez Time Machine via AFP, vous devrez basculer la connexion en SMB. Du coup, vos postes clients devront peut-être être reconfigurés pour être à nouveau sauvegardés via Time Machine.
  • Les versions de macOS antérieures à macOS 10.12.6 ne pourront pas lire ou écrire sur un disque APFS. Si vous devez assurer l’échange de fichiers avec des disques externes vers d’anciens systèmes, ne les convertissez pas vers APFS. Utilisez Mac OS Étendu pour l’échange vers des Mac, ou exFAT si vous devez également transférer des fichiers vers des PC (évitez FAT-32 (pas de gestion des gros fichiers) et NTFS (pas géré nativement par macOS en écriture)) (et oui je sais il y a trop de parenthèses dans cette phrase).
  • Boot Camp est supporté si vous mettez à jour votre Mac vers macOS Sierra, SAUF si le volume Boot Camp est d’une taille supérieure à 3 To ET réside sur un disque Fusion Drive. Que se passe-t-il si vous avez un volume Boot Camp de plus de 3 To sur un Fusion Drive ? Ben… on ne sait pas. Mystère total. Est-ce que le volume devient non bootable ? Est-ce qu’il faut recréer la partition Boot Camp intégralement ? Au cas où, vous pouvez quand même réduire le volume avec Camptune X (testé avec succès chez moi).
  • Dans tous les cas, Boot Camp ne gèrera pas APFS, en tout cas pour le moment. Cependant, la phrase d’Apple est ambiguë : Boot Camp doesn’t support Read/Write to APFS-formatted Mac volumes. Est-ce que ça veut dire que Boot Camp supportera au moins la lecture des volumes APFS ? SI vous avez la réponse à cette question, ça m’intéresse :)
  • Et évidemment, il faudra mettre à jour la totalité de vos utilitaires de gestion/réparation de disque avec des versions compatible APFS. Mais ça, vous vous en doutiez, n’est-ce pas.

Du côté des services d’annuaires…

Pas grand chose à signaler de ce côté. Ah si, quand même un truc important :

  • Les postes sous High Sierra ne pourront plus être reliés à un annuaire Active Directory dont le niveau de fonctionnalités est inférieur à 2008. Exit Windows Server 2003. Mais de toute façon, en tant que bon sysadmin, ça fait longtemps que vous avez dégagé vos serveurs 2003, n’est-ce pas (enfin je l’espère pour vous).
  • Y’a un deuxième point à savoir, si vous faites partie des 2 administrateurs à encore utiliser NIS, vous ne pourrez pas intégrer vos postes High Sierra. Je sais, c’est un coup dur.

Extensions de kernel… UAKEL bordel ! 1

Du côté des extensions de noyau, ou kernel pour les intimes, il y a énormément de changements. Tout d’abord, rappelons ce qu’est une extension de noyau. Il s’agit d’un fichier doté d’une extension .kext qui ajoute des fonctionnalités au micro-noyau de macOS. La plupart du temps, les extensions de noyau sont plutôt des pilotes matériels, des protocoles réseau, des systèmes de fichiers… Dans l’absolu, Apple invite fortement les développeurs à se passer des extensions de noyau pour éviter qu’un crash d’une extension provoque la chute du système (et donc un reboot obligatoire). Et il est rare qu’un logiciel ait vraiment besoin de charger des extensions de noyau. Mais cela arrive !

Avant High Sierra, une application pouvait installer une extension de kernel et se lancer tranquillou billou, sans que l’utilisateur en soit averti. Mais désormais, le comportement de macOS va changer. Un nouveau mécanisme appelé User Approved Kernel Extension Loading (UAKEL, c’est moche) va désormais inviter l’utilisateur à valider les applications à utiliser une extension de noyau à se charger.

Alors, j’avoue que quelque part, ça me laisse perplexe. En effet, dans cela fait seize ans que macOS charge des extensions d’applications tierce sans qu’Apple s’en émeuve, et d’un coup, ça devient un méga-problème. C’est très bien qu’Apple veuille que les utilisateurs sachent que des trucs se passent sur leur Mac, mais d’un autre côté, ça implique que l’utilisateur comprenne ce qu’est une extension de noyau, et aille valider dans un dialogue s’il souhaite ou non utiliser une extension sans comprendre vraiment à quoi ça sert. Mouaaaaaaaaaais. D’autant plus que l’utilisateur n’aura pas besoin d’être administrateur pour activer l’extension. Ce qui, à mon goût, tue un peu l’intérêt du truc. Cela me fait furieusement penser au concept de l’UAC sous Windows… Erik Gomez a longuement écrit (en anglais) sur ce qu’il appelle Kextpocalypse. Heureusement, Apple a modifié le comportement de l’UAKEL pour rendre la gestion bien plus simple que prévue :

  • UAKEL ne s’activera que pour les nouvelles extensions installées après ou pendant l’installation de High Sierra. Si vous avez déjà des applications installées qui utilisaient des extensions, elles seront automatiquement validées. Ça devrait déjà éliminer un paquet de problèmes.
  • Si une extension remplace une extension déjà validée, elle ne demandera pas la validation.
  • Surtout, si vos Mac sont enrôlés dans une solution de gestion de mobilité (MDM), telle Jamf Pro, Jamf Now, Airwatch, Filewave, Profile Manager… UAKEL sera automatiquement désactivé. Plus de crainte de centaines d’appels affolés après une migration en masse vers High Sierra !
  • Par ailleurs, Apple précise que vous pourrez désactiver UAKEL à la main sur vos postes à l’aide de la commande spctl en démarrant sur la partition Recovery (processus lourd). Et réinitialiser la NVRAM réactivera automatiquement  l’UAKEL.

Mettre à jour vers macOS High Sierra… ou déployer une image de High Sierra ?

Depuis l’arrivée du programme DEP pour le déploiement des appareils, la question de déployer un système en s’appuyant sur une image-disque avec un outil comme Deploy Studio ou autre se pose de plus en plus. Dans le cas du passage à High Sierra, la question ne se pose même pas :

Vous DEVREZ déployer au moins une fois High Sierra via l’application de mise à jour.

L’explication est simple : lors du déploiement de High Sierra, une mise à jour de firmware sera également automatiquement installée par le logiciel d’installation de macOS, comme l’explique cet article. Impossible également de mettre à jour un système sur un disque externe ou sur un Mac en mode disque cible.

Apple a d’ailleurs ajouté de façon très claire et bien visible dans son article :

Apple doesn’t recommend or support monolithic system imaging when upgrading or updating macOS.

C’est clair non ?
 
CEPENDANT.

Vous pourrez toujours faire une image d’un Mac après qu’il ait été migré en High Sierra une première fois, puis déployer l’image SI CES MACS ONT ÉTÉ DÉJÀ MIS À JOUR UNE PREMIÈRE FOIS VERS HIGH SIERRA.

En clair : si vous avez déjà mis une première fois vos Mac à jour vers High Sierra, rien ne devrait vous empêcher de déployer une image monolithique par la suite, une fois que le firmware a été déployé. Mais ça ne reste pas une solution que je recommande, pour plein de raisons qu’il serait trop long de lister ici.

Par contre, imaginons que vous commandiez un lot d’iMac ces jours-ci auprès d’Apple, et que ces iMac vous soient livrés avec macOS 10.12 Sierra. Là, vous vous dites, « les machines sont neuves, j’attends High Sierra et je les déploie avec un nouveau master tout beau tout propre vers High Sierra avant de les déployer, ni vu ni connu j’t’embrouille ». Ben là, c’est complètement non supporté et vous risquez de rencontrer des problèmes (kernel panics, chute de cheveux, nouvelle émission d’Hanouna, que sais-je). Donc, vous devrez passer par la case mise à jour de logiciels :

  • Par la partition Recovery avec Option + Commande + R (si vous utilisez Cmd + R, vous réinstalleriez la version de l’OS fournie avec votre Mac !) ;
  • En lançant l’installation de macOS depuis le Finder ;
  • Avec un disque d’installation  de macOS créé avec la commande createinstallmedia OU DiskMaker X (Et oui, cela signifie aussi que Diskmaker X sera sûrement d’actualité pour High Sierra ;-) ) ;
  • En créant une image d’installation avec l’utilitaire d’image-système et en la déployant avec la fonction Netinstall de macOS Server.

Le plus simple sera sûrement de déployer l’application High Sierra (à l’aide d’un logiciel d’installation customisé) en exploitant votre solution de déploiement habituelle, Jamf, Filewave, Munki, etc).

Conclusion

Ne migrez pas tout de suite vers High Sierra dès sa sortie. Si vous le pouvez, bloquez la mise à jour autant que possible, et attendez la version .2 ou .3 pour la déployer, comme d’habitude. N’oubliez pas que vous pouvez simplement désactiver le téléchargement des mises à jour en arrière-plan. Jamf Pro permet aussi de bloquer le lancement des applications

Et surtout, testez, testez et testez. La meilleure solution pour les déploiements de ce type consiste souvent à déterminer deux ou trois utilisateurs avancés/passionnés capables de vous faire des vrais retours d’expérience, capables d’assumer les conséquences d’une migration anticipée vers un nouvel OS, de vous indiquer clairement les soucis rencontrés.

N’hésitez pas à renvoyer à Apple vos rapports de bugs. Oui, ils sont bien lus et ils sont pris en compte, surtout si ils sont nombreux. Mais cela pourrait être l’objet d’un autre article.

Et dans tous les cas, enjoy macOS High Sierra !

  1. Je me rends compte que je n’ai jamais fait de vanne sur Kernel et Lion, alors que les Kernel de Lion, ça aurait pu faire un super gag gastronomique. C’est triste.

Mini-armoire informatique, made in IKEA

Je recherchais depuis quelques mois une solution pour mieux organiser mon bureau. Ma problématique : beaucoup de câbles, évidemment, un switch, une Time Capsule, un Mac mini de test, et pas mal d’écrans sur le bureau.

J’avais donc envie d’un petit meuble pour ranger tout ça, et j’ai finalement trouvé par hasard mon bonheur chez notre suédois préféré (ahem). Un petit caisson à tiroirs appelé LENNART1 et qui coûte en plus fois rien : 9,99€.

En quoi ce meuble est bien ? Déjà, il propose trois tiroirs mobiles, et avec un espacement suffisant entre les tiroirs pour laisser passer des fils devant et derrière. Ensuite, les tiroirs sont grillagés, il n’y a donc aucun problème de ventilation pour le Mac mini. Enfin, il est doté de deux roulettes pour faciliter son déplacement lors du débranchement/rebranchement de câbles. Et il se monte en 15 minutes, si on est pas trop mauvais avec un tournevis.

Le résultat, le voici :

J’ai donc du haut vers le bas :

– un Mac mini, relié en Ethernet ;

– Un AppleTV. Éteint. Depuis… longtemps, en fait.

– Un switch Netgear Gigabit et manageable, tant qu’à faire ;

– Et la Time Capsule, qui sauvegarde vaillamment toute la maison. Elle marche d’ailleurs plutôt bien, et est très silencieuse depuis que j’ai changé son disque dur.

Tout ce petit monde est bien caché sous mon bureau, et j’ai même un câble Ethernet déjà connecté au cas où j’ai besoin de connecter rapidement une bécane pour lui refaire une santé. Tout ça avec une occupation au sol minimale et pas de vibration particulière. Et quand y’a besoin d’accéder à l’arrière, ben… c’est sur roulette, quoi, et les tiroirs s’ouvrent facilement. Un investissement minime, et plein de place récupérée sur mon bureau, moi je dis formidable.

Bientôt dans cette rubrique : comment écrire le mot ORDINATEUR sur votre Mac avec des lettres argentées et l’installer sur une moquette taupe, sous la houlette de Valérie Damidot ! Yeah !

  1. ménager

The day the Xserve died

Ce vendredi, la nouvelle est tombée sur les téléscripteurs, non pas par un communiqué de presse, mais par une petite bande jaune en haut de la page des Xserve.

Apple a donc décidé d’arrêter le Xserve, son serveur 1U à destination des professionnels. Immédiatement, le web et Twitter se sont enflammés, étant donné l’aspect critique que Xserve avait dans certains cœurs de métier. Et on m’a du coup demandé mon avis, et ça tombe bien puisque j’avais l’intention de toute façon de le donner (d’autant plus que la veille, lors de la fermeture de l’Apple Store, j’avais évoqué l’arrivée d’un nouvel Xserve. Boule de Cristal #FAIL !).

Il faut dire que des Xserve, j’en ai installé, géré et dépanné quelques-uns, puisque c’est une des plate-formes proposées par Apple pour faire fonctionner Mac OS X Server. Le Xserve, si vous ne connaissiez pas, c’est le serveur rackable qui tient dans un 1U, ce qui permet d’en mettre beaucoup dans une seule armoire informatique. Sa taille, ainsi que le fait qu’une partie de ses composants sont redondants (comme l’alim) en ont fait une solution de choix pour de nombreux administrateurs informatiques. Alors, évidemment, l’annonce de son abandon apparaît comme une demi-surprise.

Comment ça, demi-surprise ?

L’annonce d’Apple ne pouvait en fait que surprendre ceux qui suivent l’actu serveur d’Apple de loin. Cela fait longtemps que le Xserve n’a pas été mis à jour, et ses mises à jour depuis le passage à Intel ont été plutôt modérées. De plus, une rumeur circulait depuis pas mal de temps selon quoi l’équipe du Xserve avait été démantelée. Il n’en faudrait pas plus pour penser que l’abandon du Xserve est la preuve qu’Apple se retire du marché de l’entreprise.

Sauf qu’en fait, la situation est un peu plus compliquée que ça.

« We are not an Enterprise company. » ©Steve Jobs

Tout d’abord, une petite vidéo qui circule depuis vendredi et qui expliquerait pourquoi Apple arrête le Xserve :

Donc, Apple serait une compagnie de périphériques mobiles, et Steve Jobs n’aime pas le marché des entreprises, ce qui ferait donc deux bonnes raisons pour arrêter le Xserve. Certes, mais à mon avis, il faut chercher une explication ailleurs :

Car le Mac mini Server semble bien être le succès que j’avais prédit il y a quelques mois de cela. La demande semble très forte, et parmi mes clients, nombreux sont ceux qui préfèrent le Mac mini Server au Xserve, souvent sur-dimensionné pour eux. Et il s’agit d’un ordinateur souvent très largement suffisant par rapport aux besoins des PME/PMI :tout le monde n’a pas besoin d’avoir un monstre de puissance faisant un boucan d’enfer dans son bureau.

Malheureusement, Apple pense que le Xserve marche sur les pieds du Mac Pro, puisque son principal argument pour l’abandon du Xserve est que le Mac pro peut parfaitement remplacer le Xserve, et propose même à ce titre une version serveur du Mac Pro. C’est malheureusement faux, puisqu’outre la place qu’ils occupent, les Mac Pro ne bénéficient pas de certains avantages d’un Xserve, comme la double alimentation redondante, le contrôle du serveur via IPMI, une consommation électrique réduite [1]. Le Mac Pro représente une solution qui pourrait satisfaire certains clients… Mais certainement pas tous, hélas. Et à ce titre, la documentation de migration proposée par Apple fait curieusement l’impasse sur certains de ces points.

XsanCar il existe de nombreux marchés qui ont besoin de serveurs 1U, pour des raisons pratiques et techniques. En particulier, on penser au marché de la vidéo où Apple fait la promotion depuis quelques années de ses solutions Final Cut Server et Xsan. Quand on pense que de nombreuses écoles ou universités se sont par exemple équipées de solutions à base de Podcast Producer, logiciel qui permet de créer des contenus et les mettre à disposition sur différents médias dont, entre autres, iTunes U, la décision d’Apple a de quoi laisser perplexe, et là, je pense qu’Apple va avoir beaucoup de mal à se justifier de cet abandon[2].

Mais plus encore que l’abandon du Xserve, il y a une autre question sous-jacente qui inquiète…

Du futur de Mac OS X Server

Le Xserve était équipé de Mac OS X Server, et comme mon estimable confrère Yoann Gini l’a expliqué, il était à ce titre le fer de lance de l’équipe de Mac OS X Server. Et du coup, la disparition du Xserve peut fortement faire douter du futur de Mac OS X Server.

Pourtant, là dessus, je suis plus optimiste que Yoann. Même si un petit message d’Eric Zelenka (responsable chez Apple des produit serveurs, entre autres) a ce sujet a disparu du forum d’Xsanity, le fait qu’Apple pousse Mac OS X Server sur le Mac mini Server semble indiquer que le système aura un futur, sinon à quoi bon continuer de vendre du Mac mini Server ? Ce n’est pas toute la gamme qui a été arrêtée vendredi, mais un modèle de la gamme serveur. Et comme l’a fait remarquer un membre du forum d’Xsanity, si Apple avait voulu tuer Mac OS X Server, elle l’aurait fait en même temps.

De même, le fait qu’Apple n’ait pas présenté les fonctions de Mac OS X Server dans sa présentation de Lion n’est pas une preuve de l’inexistence de Mac OS X Server. J’ai considéré cette présentation comme un « teaser », pas comme un « trailer » de toutes les fonctions du futur Mac OS X, dont beaucoup de choses restent à montrer.

Par ailleurs, il y a une autre piste qu’Apple pourrait explorer, et cela a d’ailleurs déjà été fait : la virtualisation. Là, Apple pourrait avoir une carte à jouer, puisque Parallels et VMWare proposent des solutions pour virtualiser Mac OS X Server (avec un net avantage pour Parallels, qui dispose de pas une mais deux versions de son logiciel Parallels Server).  Pourquoi ne pas imaginer qu’Apple propose Mac OS X Server en virtualisation, par exemple sur des serveurs HP certifiés ? Complètement idiot ? Mais pourquoi pas ? Après tout, il y a bien eu des iPod HP ! Bon OK, ça n’a pas donné grand chose, mais cela pourrait être une piste : après tout, le Xserve n’avait rien de très différent au niveau matériel d’un serveur prévu pour faire tourner Windows Server 2008. Et il suffirait essentiellement qu’Apple libère un peu plus sa licence d’exploitation de Mac OS X Server pour ne pas la restreindre uniquement aux Mac pour se lancer sur ce créneau [3]. Mais dans ce cas, il serait dommage qu’Apple n’évoque pas dès aujourd’hui cette piste…

Ce qui nous emmène directement au dernier point.

L’échec de la communication vers l’entreprise

Apple ne sait pas bien communiquer avec le monde de l’Entreprise avec un grand E. Là où les entreprises souhaiteraient de la transparence et des roadmaps [4], Apple garde toujours son éternel couplet : « Nous ne communiquons pas sur les produits à venir ». Le risque est grand que l’abandon du Xserve soit une vraie douche froide pour l’entreprise et ralentisse l’intégration du Mac sur ces marchés. Malheureusement, dans un monde où iOS est désormais responsable de la majorité des bénéfices d’Apple, il n’est pas évident que cette dernière ait envie de faire des efforts particuliers à ce niveau, et c’est vraiment dommage.

La route du futur

Que conclure de cet abandon ? Difficile à dire, mais comme d’habitude, je dirais de ne pas trop s’exciter trop vite. Certes, il y a des zones d’ombres désagréables, mais avant d’aller hurler l’abandon de Mac OS X Server, j’inviterai chacun qui doit gérer ce système d’attendre le 31 janvier, au cas où Apple changerait certains de ses plans (par exemple avec la virtualisation). Ensuite, attendons les annonces officielles concernant Mac OS X Server 10.7. D’ici l’été prochain, nous aurons une vision un peu plus claire du futur qu’Apple prévoit pour sa plate-forme serveur, et nous pourrons décider s’il est alors temps ou non de changer de plate-forme (voire de métier).

Dans tous les cas, le Xserve aura été une belle aventure pour Apple. Espérons donc que la situation rebondisse d’ici quelques mois.

PS : à titre personnel, l’abandon du Xserve m’impacte peu, car je vends très peu de matériel, et ma clientèle reste orientée PME/PMI avec un net attrait pour le Mac mini Server. Mais si vous êtes administrateur dans un environnement majoritairement équipé en Xserve : courage, je suis avec vous !

  1. Même si la consommation du Xserve restait supérieure à celle de la plupart des serveurs du marché…
  2. Si elle estime d’ailleurs le besoin de se justifier, mais j’ai comme un doute, là.
  3. Voire que Larry Ellison et Steve discutent un peu pour proposer des solutions à base de serveur Sun Oracle, comme évoqué sur Xsanity…
  4. Encore que les roadmaps ne font jamais figure de vérité absolue, cf Windows depuis 1995… Mais elles ont le mérite de rassurer les DSI et les directeurs financiers.

TechnoIT fait le point sur Apple en entreprise

J’ai été invité il y a quelques jours par Lionel du blog TechnoIT à participer à une de ses émissions diffusée en balladodiffusion©™® [1]. Et imaginez-vous qu’à peine enregistrée hier soir, l’émission est déjà en ligne ! Un grand merci à Lionel donc pour ce débat de haute volée sur l’implication d’Apple en entreprise. Vous verrez qu’on y parle vraiment de tout : de Mac, de Mac OS X Server, d’iPad, d’iPhone, de déploiement, d’intégration… L’émission s’écoute donc sur le blog de TechnoIT, et vous pouvez vous abonner directement à son podcast ici ! Et vous pouvez suivre TechnoIT sur Twitter.

  1. Je sais, c’est ridicule.

Tour de France Mac OS X Server : c’est parti ! (MàJ)

Hop, c’est bientôt l’été, et on va faire chauffer les processeurs des serveurs. Si vous avez envie d’en savoir plus sur Mac OS X Server, je présenterai les solutions autour de Mac OS X Server et du Mac mini serveur durant les prochaines semaines, dans le cadre des séminaires Apple pour l’entreprise. Au programme, tout ce que vous voulez savoir sur Snow Leopard Server et le Mac mini Serveur, un produit dont j’ai déjà dit tout le bien que je pensais ici.

Marquez donc dans votre calepin, tout ça va se passer :

– Chez DXM Brest, le 8 juin à 10h et 14h ;
– Chez DWM Rennes, le 9 juin à 10h et 14h ;
– Chez DXM Nantes, le 11 juin à 10h et 14h ;
Attention, inscription obligatoire par ici !

Je serai également :
– Chez O2i Paris, le 17 juin, à 10h et 14h (lien d’inscription disponible sous peu) ;
– Au Salon des Entrepreneurs de Lyon Rhône-Alpes, toute la journée, les 23 et 24 juin, sur le stand Apple Premium Reseller ;
– Chez iCLG Paris, le29 juin (lien d’inscription bientôt disponible).

Il y aura également (mais là ce sera sans moi) 2 présentations chez O2i Lille le 22 juin (9h et 14h) et O2i Dunkerque le 23 juin (10h et 14h).

Et on m’informe aussi qu’il y aura aussi deux dates en Alsace : le 17 juin à Mulhouse et le 24 juin à Strasbourg avec Bemac.

Et pis si tout va bien, le 1er juillet à Amiens chez iSmith, et le 30/06 à Rennes chez Symbiose.

Et on ajoute :
– Le 18 juin chez iConcept à Anglet ;
– le 23 juin chez Argos à Tours ;
– Le 29 juin à Marseille chez iCLG Pro ;
– Et le 1er juillet à Montpellier chez iTribu .

Venez nombreux ! Et si vous avez envie de vous faire dédicacer votre exemplaire de Snow Leopard Efficace ou Leopard Efficace, n’hésitez pas à venir avec :-)

MàJ : je n’ai peut-être pas été assez clair: pour le moment, les dates affichées sont celles que je CONNAIS. Dès que je connais les dates pour d’autres villes, je vous les transmets. Donc ne vous offusquez pas si votre graaaaaaaaande ville n’est pas référencée : c’est pas parce qu’on ne vous aime pas, juste que je ne connais pas la date ! Voili Voilou :-)

Gete.Net is back !

Comme vous avez pu peut-être le constater, ce blog était inaccessible depuis jeudi matin. Il s’avère que le Xserve G5 qui hébergeait jusqu’ici l’intégralité de Gete.Net (mail, web et bien d’autres services) est tombé en panne (probablement d’alimentation). N’ayant pas pu récupérer le serveur avant samedi soir, et ne disposant pas d’une sauvegarde très fraiche des données (c’est *MAL*, mais comme le dit si justement le proverbe, cordonniers mal chaussés etc).

Après quelques heures d’angoisse, j’ai pu rapatrier la plupart des services chez 1and1, et je pense qu’ils vont y rester encore quelques temps, car je ne suis pas sûr d’avoir envie de refaire partir le Xserve dans une baie : l’expérience de la co-lo était très intéressante, mais le Xserve était probablement surdimensionné pour mes finalement assez faibles besoins et payer une nouvelle alim’ de G5 ne m’enchante pas plus que ça. J’hésite donc encore un peu…

Dans tous les cas, ça fait plaisir de vous revoir :-)

Supprimer les utilisateurs récalcitrants dans un maître Open Directory

Il arrive parfois que l’on n’arrive pas à supprimer certains comptes d’utilisateurs stockés dans un serveur maître OD. Une erreur est alors renvoyée :

Erreur de type eDSRecordNotFound (-14136) sur la ligne 1993 de /SourceCache/WorkgroupManager/WorkgroupManager-361.2.1/Plugins/UserAccounts/UserAdvancedPluginView.mm

J’ai rencontré ce problème plus d’une fois, et j’ai trouvé pour le moment deux solutions  :
– Basculer le mot de passe de type Open Directory vers un mot de passe chiffré, puis supprimer le compte ;
– Si cela ne suffit pas, une astuce donnée par Fabri dans un fil consacré à ce sujet sur le site de discussion d’Apple : à partir d’Admin Serveur, dans les préférences Open Directory, activez SSL, enregistrez puis désactivez immédiatement SSL et enregistrez à nouveau. Cela forcera l’ensemble des services liés à la partie LDAP du serveur à redémarrer. Vous devriez maintenant pouvoir supprimer les utilisateurs récalcitrants sans trop de difficulté.

Mac mini Server : le meilleur serveur ?

(Attention, billet un poil long)

Mini_serveurJe suis tombé comme bien d’autres ce soir sur cet article (dans l’ensemble très bon) sur MacGe à propos du Mac mini Server. Et comme j’ai eu quelques (bon, au moins un) commentaire me demandant mon avis sur cette bécane, je vais non seulement vous donner celui-ci, mais je vais en plus compléter (voire corriger) certains points de l’article susnommé. Car oui, je suis un éternel insatisfait et parfois un véritable enfileur de lépidoptères.

Oh, Mac mini Server, I’ve been waiting for you for so long !

Déjà, mon opinion : le Mac mini Server est exactement la machine que j’attendais d’Apple depuis trop longtemps. Il répond à tout ce qu’on attend d’un produit serveur pour le marché PME/PMI (le SMB – Small and Medium Business – comme on dit dans not’ jargon) :
– Un serveur à tarif accessible, moins de 1000€ TTC ;
– Un produit simple d’emploi, livré sans superflu ;
– Un produit fiable, et là, l’expérience autant que les retours de revendeurs montrent que le Mac mini est un produit dont la fiabilité est parmi les meilleures de tous les produits Apple ;
– Un Mac compact et silencieux, là où les Xserve sont très puissants, très gros et très bruyants ;
– Un serveur capable de gérer l’ensemble des tâches qui lui sont confiées avec un processeur qui tient la route ;
– Deux disques durs, idéal pour améliorer la disponibilité avec du RAID 1 ou les performances avec du RAID 0 (je reviens plus tard sur la sauvegarde) ;
– Pas de lecteur DVD, pas forcément utile sur ce type de configuration (en tout cas bien moins qu’un deuxième disque dur) ;
– Extensible : cinq ports USB 2 et un port FW 800 sont largement suffisants pour la plupart des besoins PME/PMI.

Et encore, j’oublie sûrement quelques-uns des attraits du nouveau Mac mini. Comme serveur de test, c’est une machine idéale, qui supportera même un peu de virtualisation light. Et c’est un serveur qu’on peut emporter partout avec soi ! Envie d’une solution de déploiement qui tient dans un sac à dos ? La voici !

Hello Mac mini, je te présente PME, ta nouvelle amie. Vous allez bien vous entendre tous les deux.

Revenons sur les besoins de l’entreprise. Pour beaucoup de structures, il n’y a pas besoin d’avoir un monstre de puissance comme serveur. J’ai des clients qui utilisent des Mac mini 24h/24 et 7j/7 comme serveurs de mail, de fichiers, de base de données et bien d’autres sans problème majeur. Certes, un argument revient souvent : « le disque dur du Mac mini en 2,5″ est pénalisant en termes de performances ». Pas entièrement faux, mais c’est surtout dû à la vitesse même de ces disques, pas au format (saviez-vous que HP et bien d’autres vendent des solutions de stockage basées sur des disques 2,5″ ?). Et dans bien des cas, les performances du disque seront largement suffisantes par rapport aux besoins : honnêtement, vous pensez que transférer un fichier Word de 100 Ko, ça va fondamentalement plus vite sur un disque 7200 tr/mn par rapport à un 5400 ?

Sur le sujet des performances, il faut bien voir que beaucoup d’entreprises ont des serveurs totalement surdimensionnés par rapport à leurs besoins. Toutes les entreprises n’ont pas un site web à 10000 hits/seconde, ne reçoivent pas 300 e-mails à la minute ou ont besoin de diffuser des vidéos en streaming. Parfois mes clients me demandent s’il ne faut pas changer le serveur car il n’est pas assez puissant, mais ouvrir Server Admin et regarder les courbes d’utilisation mémoire ou CPU confirme en un clin d’œil que la machine est très loin de souffrir.

Il faut voir que pour bien des serveurs, le simple service de partage de fichiers suffit à combler d’aise le client… Mais le package Mac OS X Server + Mac mini est complet, simple à mettre en œuvre, et propose des services qui font parfois bien plaisir : calendriers partagés, wikis, distribution de mises à jour, DHCP, FTP, ou encore VPN (miam) font partie de ces services qu’on peut facilement mettre en place aujourd’hui avec Mac OS X Server. Et le Mac mini, c’est le serveur qu’on pose dans un coin et qu’on peut oublier. Il tourne juste tout seul, sans poser de questions… N’oubliez juste pas de le mettre à jour !

De la bonne utilisation du DNS

Maintenant, revenons sur l’article de MacGe, et en particulier sa deuxième partie. S’il précise à très juste titre que les services Open Directory et DNS sont fondamentaux au bon fonctionnement du serveur (je vous l’ai déjà expliqué ici et là dans une belle fiche pratique), il y a un point sur lequel je vais sensiblement différer : il s’agit du choix du nom de domaine du serveur, et là, attention, je vais causer technique (âmes sensibles s’abstenir).

Selon MacGe : « Nous entrerons, pour l’exemple, serveur.macgeneration.lan. Pourquoi « .lan » ? Pour être certain que la différence est bien visible, votre serveur DNS ne fonctionnera qu’en interne, c’est à dire sur le LAN (Local Area Network) de l’entreprise ou de la maison. Libre à vous d’utiliser l’extension que vous voulez, tant que la structure est bonne. Par exemple, serveur.steve.jobs pourrait tout à fait convenir aussi. »

Là, pas d’accord : il est préférable dès le départ de mettre un nom de domaine correspondant à un Top Level Domain (TLD), même si vous ne l’avez pas acheté. Non, en fait, achetez-le au préalable. Investissez dans un domaine réservé, par exemple en .org ou en .eu (environ 15€ TTC/an), et configurez votre serveur DNS interne avec ce nom . Pourquoi ? Imaginez la situation : vous utilisez votre ordinateur portable, vous êtes connecté à l’intérieur de votre réseau, et quand vous vous connectez à votre wiki, vous devez aller sur serveur.macgeneration.lan. OK. Maintenant, vous sortez de votre réseau, rentrez chez vous et tapez serveur.macgeneration.lan pour continuer à travailler sur votre zouli wiki.

Et là, c’est le drame (©M6) : impossible d’accéder à votre wiki. Et oui, les serveurs DNS externes pointent sur… rien. .lan, ça n’existe pour personne d’autre que les ordinateurs sur votre réseau interne. Dommage, non ?

Maintenant, imaginons que vous ayez commencé par .lan, puis vous souhaitez créer plusieurs sites web distincts par leur nom et accessibles de l’extérieur, par exemple un site public, un intranet, un extranet… Il faudrait alors idéalement acheter votre nom de domaine puis configurer à nouveau le serveur pour qu’il utilise le nouveau domaine… Malheureusement le changement de nom DNS doit être fait de façon correcte (en particulier en préparant le serveur avec la commande changeip), ce que personne ou presque ne fait.

Certes tout cela peut sembler trivial, ou très compliqué selon les points de vue, mais ce n’est pas à négliger : une très grosse partie des problèmes sur Mac OS X Server viennent d’un DNS mal configuré. Le choix du nom de domaine n’a donc rien de trivial.

Accès mobile : « I’m not your fracking VPN ! »

Concernant l’accès mobile, il ne s’agit pas vraiment d’un VPN SSL. En effet, selon les principes du VPN SSL, il faudrait au préalable s’authentifier sur une page web pour chiffrer tout le trafic vers le serveur interne. Ici, le but est plutôt de rediriger certains flux bien précis vers un serveur interne en utilisant le serveur d’accès mobile comme routeur pour certains services bien précis (iCal, Carnet d’adresses, mail et web). Et c’est indiqué page 183 de la doc des services réseau : il faut utiliser une configuration en split DNS pour que cela fonctionne. Encore une bonne raison de ne pas utiliser de domaine en .lan ;-) Enfin le service d’accès mobile nécessite effectivement un serveur qui effectuera le routage, et par conséquent un serveur différent de celui hébergeant tous les services. Le service d’accès mobile peut être plus avantageux que le VPN car il donne accès aux services essentiels du serveur interne de façon sécurisée, et transparente pour l’utilisateur, sans pour autant donner accès à tout le réseau.

Quand à dire que le protocole Bonjour ne peut pas passer à travers le VPN… ce n’est pas totalement vrai, puisqu’on peut aussi enregistrer des services Bonjour à travers le serveur DNS. Mais il est vrai que c’est quasiment un miracle quand on arrive à faire tomber cette fonction en marche… Enfin, il reste un point à ne pas négliger : qu’il s’agisse du VPN ou du service d’accès mobile, il faudra procéder à des redirections de ports dans les réglages du routeur, opération pas forcément anodine (ou plutôt, pas forcément évidente si on ne connaît pas les rouages de base d’un réseau TCP/IP).

Le DVD, c’est tellement XXè siècle

Concernant le point de l’installation, il est vrai qu’il faut normalement passer par l’outil d’installation de système à distance pour restaurer l’OS en cas de panne. Mais on peut aussi être prévoyant, et simplement réserver une partition de système d’un disque externe en y clonant le DVD d’installation. Avantage : on boote et on réinstalle le système bien plus vite… C’est la solution que j’utilise, et elle marche fichtrement bien. Sinon, on installe l’outil d’installation à distance sur un Mac ou PC du réseau, et zou !

En revanche, un point important signalé par MacGe à très, très juste titre : le RAID 1 (miroir) n’est pas une sauvegarde. C’est juste un système pour s’assurer que votre système continue de tourner en cas de perte d’un disque, mais il ne pourra jamais permettre de récupérer un fichier effacé par erreur ! Donc, sauvegardez vos données, quelque soit l’outil que vous utilisez.

Sorry, Mac mini, but your server is in another castle ! (1)

Pour conclure, je serai encore plus enthousiaste que MacGe sur le marché du Mac mini Server : c’est un produit archi-sexy, simple à administrer (j’ai scié récemment un consultant Linux en lui montrant comment on gère le serveur), silencieux, efficace et très certainement suffisant pour 90% des utilisateurs du marché PME/PMI. Et des échos que j’ai eus, les ventes seraient déjà à la hauteur des attentes sur cette machine.

Go, Mac mini, go get them !

(1) En fait le sous-titre compte pour du beurre, c’est juste que je voulais faire un clin d’œil à la sortie de New Super Mario Bros Wiiiiiiiiiiiiiiiiiiiiiiii.

Server Admin Tools 10.5.6 v1.1 dispo

Une nouvelle version 10.5.6 v1.1 (rien que ça) des outils d’administration de Mac OS X Server est disponible ici. Les nouveautés ne sont pas très nombreuses (elles sont décrites dans cet article), mais certaines modifications sont assez importantes pour vous inciter à les télécharger, en particulier si vous venez de vous procurer un nouveau XServe.

Xserve à jour !

Les Xserve bénéficient à leur tour des nouveaux processeurs Nehalem, en configuration quad et octo-cœurs. Jusqu’à 12 Go de RAM (3 Go en standard), un disque de 160 Go en standard et une subtilité : on peut désormais utiliser un disque SSD de 128 Go en disque de boot, sans que celui-ci prenne de la place dans une baie, ce qui permet de bénéficier de plus de stockage et plus de rapidité. La carte graphique passe au NVIDIA GeForce GT 120 doté de 256 Mo de RAM et est équipée d’un port Mini Displayport (pensez à commander l’adaptateur avec, si vous n’aimez pas les installations à distance…). Tout ça à partir de 2899€, Mac OS X Server version illimitée toujours inclus.