Tag Archive for Mac OS X Server

Comprendre et mettre en place Wide Area Bonjour

Yoann Gini a mis en ligne sur son blog quatre exceeeeeellents articles pour implémenter la technologie Wide Area Bonjour avec Mac OS X Server :

Wide Area Bonjour – Introduction et données statiques
Wide Area Bonjour – Une zone modifiable par tous
Wide Area Bonjour – Un peu plus loin dans l’enregistrement
Wide Area Bonjour – Authentification des clients par secret partagé

Et à quoi sert Wide Area Bonjour ? Principalement trois choses :
– Permettre de voir un périphérique sur le réseau dans une zone prédéfinie ;
– Rendre visible des services sur le réseau à l’aide du DNS, y compris à travers Internet ;
– Permettre à des périphériques du réseau d’ajouter leurs propres informations dans le service DNS Bonjour, fort utile là encore pour retrouver des périphériques à distance.

Une technologie magique, que Yoann a décortiqué avec talent, et vu le peu de docs, c’était pas gagné… Bravo à lui !

Supprimer les utilisateurs récalcitrants dans un maître Open Directory

Il arrive parfois que l’on n’arrive pas à supprimer certains comptes d’utilisateurs stockés dans un serveur maître OD. Une erreur est alors renvoyée :

Erreur de type eDSRecordNotFound (-14136) sur la ligne 1993 de /SourceCache/WorkgroupManager/WorkgroupManager-361.2.1/Plugins/UserAccounts/UserAdvancedPluginView.mm

J’ai rencontré ce problème plus d’une fois, et j’ai trouvé pour le moment deux solutions  :
– Basculer le mot de passe de type Open Directory vers un mot de passe chiffré, puis supprimer le compte ;
– Si cela ne suffit pas, une astuce donnée par Fabri dans un fil consacré à ce sujet sur le site de discussion d’Apple : à partir d’Admin Serveur, dans les préférences Open Directory, activez SSL, enregistrez puis désactivez immédiatement SSL et enregistrez à nouveau. Cela forcera l’ensemble des services liés à la partie LDAP du serveur à redémarrer. Vous devriez maintenant pouvoir supprimer les utilisateurs récalcitrants sans trop de difficulté.

Mac mini Server : le meilleur serveur ?

(Attention, billet un poil long)

Mini_serveurJe suis tombé comme bien d’autres ce soir sur cet article (dans l’ensemble très bon) sur MacGe à propos du Mac mini Server. Et comme j’ai eu quelques (bon, au moins un) commentaire me demandant mon avis sur cette bécane, je vais non seulement vous donner celui-ci, mais je vais en plus compléter (voire corriger) certains points de l’article susnommé. Car oui, je suis un éternel insatisfait et parfois un véritable enfileur de lépidoptères.

Oh, Mac mini Server, I’ve been waiting for you for so long !

Déjà, mon opinion : le Mac mini Server est exactement la machine que j’attendais d’Apple depuis trop longtemps. Il répond à tout ce qu’on attend d’un produit serveur pour le marché PME/PMI (le SMB – Small and Medium Business – comme on dit dans not’ jargon) :
– Un serveur à tarif accessible, moins de 1000€ TTC ;
– Un produit simple d’emploi, livré sans superflu ;
– Un produit fiable, et là, l’expérience autant que les retours de revendeurs montrent que le Mac mini est un produit dont la fiabilité est parmi les meilleures de tous les produits Apple ;
– Un Mac compact et silencieux, là où les Xserve sont très puissants, très gros et très bruyants ;
– Un serveur capable de gérer l’ensemble des tâches qui lui sont confiées avec un processeur qui tient la route ;
– Deux disques durs, idéal pour améliorer la disponibilité avec du RAID 1 ou les performances avec du RAID 0 (je reviens plus tard sur la sauvegarde) ;
– Pas de lecteur DVD, pas forcément utile sur ce type de configuration (en tout cas bien moins qu’un deuxième disque dur) ;
– Extensible : cinq ports USB 2 et un port FW 800 sont largement suffisants pour la plupart des besoins PME/PMI.

Et encore, j’oublie sûrement quelques-uns des attraits du nouveau Mac mini. Comme serveur de test, c’est une machine idéale, qui supportera même un peu de virtualisation light. Et c’est un serveur qu’on peut emporter partout avec soi ! Envie d’une solution de déploiement qui tient dans un sac à dos ? La voici !

Hello Mac mini, je te présente PME, ta nouvelle amie. Vous allez bien vous entendre tous les deux.

Revenons sur les besoins de l’entreprise. Pour beaucoup de structures, il n’y a pas besoin d’avoir un monstre de puissance comme serveur. J’ai des clients qui utilisent des Mac mini 24h/24 et 7j/7 comme serveurs de mail, de fichiers, de base de données et bien d’autres sans problème majeur. Certes, un argument revient souvent : « le disque dur du Mac mini en 2,5″ est pénalisant en termes de performances ». Pas entièrement faux, mais c’est surtout dû à la vitesse même de ces disques, pas au format (saviez-vous que HP et bien d’autres vendent des solutions de stockage basées sur des disques 2,5″ ?). Et dans bien des cas, les performances du disque seront largement suffisantes par rapport aux besoins : honnêtement, vous pensez que transférer un fichier Word de 100 Ko, ça va fondamentalement plus vite sur un disque 7200 tr/mn par rapport à un 5400 ?

Sur le sujet des performances, il faut bien voir que beaucoup d’entreprises ont des serveurs totalement surdimensionnés par rapport à leurs besoins. Toutes les entreprises n’ont pas un site web à 10000 hits/seconde, ne reçoivent pas 300 e-mails à la minute ou ont besoin de diffuser des vidéos en streaming. Parfois mes clients me demandent s’il ne faut pas changer le serveur car il n’est pas assez puissant, mais ouvrir Server Admin et regarder les courbes d’utilisation mémoire ou CPU confirme en un clin d’œil que la machine est très loin de souffrir.

Il faut voir que pour bien des serveurs, le simple service de partage de fichiers suffit à combler d’aise le client… Mais le package Mac OS X Server + Mac mini est complet, simple à mettre en œuvre, et propose des services qui font parfois bien plaisir : calendriers partagés, wikis, distribution de mises à jour, DHCP, FTP, ou encore VPN (miam) font partie de ces services qu’on peut facilement mettre en place aujourd’hui avec Mac OS X Server. Et le Mac mini, c’est le serveur qu’on pose dans un coin et qu’on peut oublier. Il tourne juste tout seul, sans poser de questions… N’oubliez juste pas de le mettre à jour !

De la bonne utilisation du DNS

Maintenant, revenons sur l’article de MacGe, et en particulier sa deuxième partie. S’il précise à très juste titre que les services Open Directory et DNS sont fondamentaux au bon fonctionnement du serveur (je vous l’ai déjà expliqué ici et là dans une belle fiche pratique), il y a un point sur lequel je vais sensiblement différer : il s’agit du choix du nom de domaine du serveur, et là, attention, je vais causer technique (âmes sensibles s’abstenir).

Selon MacGe : « Nous entrerons, pour l’exemple, serveur.macgeneration.lan. Pourquoi « .lan » ? Pour être certain que la différence est bien visible, votre serveur DNS ne fonctionnera qu’en interne, c’est à dire sur le LAN (Local Area Network) de l’entreprise ou de la maison. Libre à vous d’utiliser l’extension que vous voulez, tant que la structure est bonne. Par exemple, serveur.steve.jobs pourrait tout à fait convenir aussi. »

Là, pas d’accord : il est préférable dès le départ de mettre un nom de domaine correspondant à un Top Level Domain (TLD), même si vous ne l’avez pas acheté. Non, en fait, achetez-le au préalable. Investissez dans un domaine réservé, par exemple en .org ou en .eu (environ 15€ TTC/an), et configurez votre serveur DNS interne avec ce nom . Pourquoi ? Imaginez la situation : vous utilisez votre ordinateur portable, vous êtes connecté à l’intérieur de votre réseau, et quand vous vous connectez à votre wiki, vous devez aller sur serveur.macgeneration.lan. OK. Maintenant, vous sortez de votre réseau, rentrez chez vous et tapez serveur.macgeneration.lan pour continuer à travailler sur votre zouli wiki.

Et là, c’est le drame (©M6) : impossible d’accéder à votre wiki. Et oui, les serveurs DNS externes pointent sur… rien. .lan, ça n’existe pour personne d’autre que les ordinateurs sur votre réseau interne. Dommage, non ?

Maintenant, imaginons que vous ayez commencé par .lan, puis vous souhaitez créer plusieurs sites web distincts par leur nom et accessibles de l’extérieur, par exemple un site public, un intranet, un extranet… Il faudrait alors idéalement acheter votre nom de domaine puis configurer à nouveau le serveur pour qu’il utilise le nouveau domaine… Malheureusement le changement de nom DNS doit être fait de façon correcte (en particulier en préparant le serveur avec la commande changeip), ce que personne ou presque ne fait.

Certes tout cela peut sembler trivial, ou très compliqué selon les points de vue, mais ce n’est pas à négliger : une très grosse partie des problèmes sur Mac OS X Server viennent d’un DNS mal configuré. Le choix du nom de domaine n’a donc rien de trivial.

Accès mobile : « I’m not your fracking VPN ! »

Concernant l’accès mobile, il ne s’agit pas vraiment d’un VPN SSL. En effet, selon les principes du VPN SSL, il faudrait au préalable s’authentifier sur une page web pour chiffrer tout le trafic vers le serveur interne. Ici, le but est plutôt de rediriger certains flux bien précis vers un serveur interne en utilisant le serveur d’accès mobile comme routeur pour certains services bien précis (iCal, Carnet d’adresses, mail et web). Et c’est indiqué page 183 de la doc des services réseau : il faut utiliser une configuration en split DNS pour que cela fonctionne. Encore une bonne raison de ne pas utiliser de domaine en .lan ;-) Enfin le service d’accès mobile nécessite effectivement un serveur qui effectuera le routage, et par conséquent un serveur différent de celui hébergeant tous les services. Le service d’accès mobile peut être plus avantageux que le VPN car il donne accès aux services essentiels du serveur interne de façon sécurisée, et transparente pour l’utilisateur, sans pour autant donner accès à tout le réseau.

Quand à dire que le protocole Bonjour ne peut pas passer à travers le VPN… ce n’est pas totalement vrai, puisqu’on peut aussi enregistrer des services Bonjour à travers le serveur DNS. Mais il est vrai que c’est quasiment un miracle quand on arrive à faire tomber cette fonction en marche… Enfin, il reste un point à ne pas négliger : qu’il s’agisse du VPN ou du service d’accès mobile, il faudra procéder à des redirections de ports dans les réglages du routeur, opération pas forcément anodine (ou plutôt, pas forcément évidente si on ne connaît pas les rouages de base d’un réseau TCP/IP).

Le DVD, c’est tellement XXè siècle

Concernant le point de l’installation, il est vrai qu’il faut normalement passer par l’outil d’installation de système à distance pour restaurer l’OS en cas de panne. Mais on peut aussi être prévoyant, et simplement réserver une partition de système d’un disque externe en y clonant le DVD d’installation. Avantage : on boote et on réinstalle le système bien plus vite… C’est la solution que j’utilise, et elle marche fichtrement bien. Sinon, on installe l’outil d’installation à distance sur un Mac ou PC du réseau, et zou !

En revanche, un point important signalé par MacGe à très, très juste titre : le RAID 1 (miroir) n’est pas une sauvegarde. C’est juste un système pour s’assurer que votre système continue de tourner en cas de perte d’un disque, mais il ne pourra jamais permettre de récupérer un fichier effacé par erreur ! Donc, sauvegardez vos données, quelque soit l’outil que vous utilisez.

Sorry, Mac mini, but your server is in another castle ! (1)

Pour conclure, je serai encore plus enthousiaste que MacGe sur le marché du Mac mini Server : c’est un produit archi-sexy, simple à administrer (j’ai scié récemment un consultant Linux en lui montrant comment on gère le serveur), silencieux, efficace et très certainement suffisant pour 90% des utilisateurs du marché PME/PMI. Et des échos que j’ai eus, les ventes seraient déjà à la hauteur des attentes sur cette machine.

Go, Mac mini, go get them !

(1) En fait le sous-titre compte pour du beurre, c’est juste que je voulais faire un clin d’œil à la sortie de New Super Mario Bros Wiiiiiiiiiiiiiiiiiiiiiiii.

Mac OS X Server 10.5 : refus des connexions FTP

J’ai rencontré un bug bizarre ces jours-ci : un utilisateur n’arrive plus à se connecter sur le service FTP de Mac OS X Server, d’un coup, sans aucune raison. Les logs renvoient une erreur comme celle-ci :
ftpd[95816]: ACCESS DENIED (not in any class)

Solution :

      Stoppez le service FTP ;

          Ouvrez le dossier /Bibliothèque/FTPServer/Configuration ;
          Remplacez le fichier ftpaccess par une copie propre du même fichier, en provenance d’un serveur clean (vous pouvez aussi tenter de le remplacer par le fichier ftpaccess.default mais ça n’a pas marché pour moi) ;
          Relancez le service.

Si tout va bien, la connexion se fait à nouveau.

Time Machine Erreur 11 : et pourquoi pas les ACL ?

Je viens de tomber sur un cas étrange : un serveur qui refuse de sauvegarder correctement avec Time Machine, en déclenchant des erreurs de ce type à tort-la-rigaud tire larigot :

41) SrcErr:NO Copying /Groups/xxxxxx/blahblah/pouet/DossierTruc to /Volumes/Copies de sauvegarde Time machine/Backups.backupdb/Monserveur/2009-11-13-005451.inProgress/ED94403D-4B1F-42A1-9DCF-7A36836BABA2/Groups/xxxxxx/blahblah/pouet/DossierTruc
Nov 13 01:20:33 serveur com.apple.backupd[57561]: Copied 526 files (292.7 MB) from volume Serveur.
Nov 13 01:20:33 serveur com.apple.backupd[57561]: Copy stage failed with error:11
Nov 13 01:20:39 serveur com.apple.backupd[57561]: Backup failed with error: 11

Cas intéressant : ce plantage surgit toujours au même endroit, et si on exclut le dossier coupable des sauvegardes, le bug se répète quelques minutes plus tard au même endroit. Pourtant les fichiers incriminés semblaient en bon état… Et le scénario se répète sur deux serveurs de sauvegarde différents… Hmmmmm.

Après pas mal de recherches, il semble que le bug soit lié à un nombre d’ACL trop important sur les dossiers ou fichiers incriminés. En supprimant les entrées surnuméraires de la liste des autorisations (avec Server admin par exemple) et en particulier des ACL, il semble que Time Machine n’échoue plus sur la sauvegarde.

Pensez-y donc : si votre sauvegarde avec Time Machine vous semble chancelante, pensez à vérifier les ACL de vos dossiers et réduisez-les au maximum.

Mac OS X Server le livre… ou pas ?

Depuis la sortie de Leopard Efficace, la question à laquelle j’ai le plus souvent eu à repondre est : « à quand un livre sur Mac OS X Server ? » Et je suis en intense réflexion sur la possibilité de rédiger un ouvrage sur ce sujet.

Mais la réponse est moins évidente que je le pensais il y a encore quelques semaines.

La première difficulté pour rédiger ce livre concerne la durée de rédaction : sachant qu’il m’a fallu presque 6 mois pour rédiger Snow Leopard Efficace, il est évident qu’un ouvrage beaucoup plus technique et complexe demandera au moins autant de temps. Et quand j’attaquerai le livre, vous attendrez au moins ce délai pour lire l’ensemble des chapitres. Pas forcément intéressant quand on sait qu’une nouvelle version de mosxs sort tous les 24 mois environ…

Deuxième point : convaincre mon éditeur de l’intérêt de la chose. Les ventes de Leopard Efficace ont été en dessous de nos attentes, et Mac OS X Server a un public plus restreint que la version client. Donc moins de ventes possibles pour beaucoup plus de travail.

Parlons aussi du tarif. Un livre de 500 pages coûte cher et le bénéfice pour l’auteur est limité. Certes la pub autour du livre et son côté carte de visite sont interessants. Mais j’aimerais être un peu plus sûr que le jeu en vaut la chandelle.

Par ailleurs mon lectorat attendra un livre technique et exhaustif. Or il n’est pas sur que certains chapitres d’un livre sur Mac OS X Server seraient indispensables au point de retarder la sortie de ce livre. En clair : je risque de perdre du temps sur des sujets finalement éloignés des attentes de mon public.

Enfin, un phénomène intéressant s’est produit avec Leopard Efficace : j’ai eu beaucoup de demandes de lecteurs qui auraient voulu télécharger le livre après l’avoir acheté. Or c’est impossible, et le tarif des livres étant très réglementé il est aussi impossible pour Eyrolles et les autres de proposer un bundle livre papier + version électronique.

Les faits étant exposés, venons aux conclusions.

Je ne ferai pas de livre complet sur Mac OS X Server. Je ne dis pas « jamais », mais pas pour Snow Leopard en tout cas.

Ce que je vais plutôt vous proposer est un ensemble de livres électroniques à télécharger sur Mac OS X Server. Ce seront des documents PDF, non protègés numériquement. J’insiste sur ce point : les fichiers ne contiendront aucun DRM. Vous pourrez les imprimer si vous le souhaitez, mais je mettrai probablement des conditions sur certaines utilisations (par exemple pour l’utilisation comme support de cours).

Je rédigerai ces chapitres et les rendrai accessibles l’un après l’autre, au fur et à mesure de leur complétion. Ainsi vous n’aurez pas à attendre un an pour avoir tous les chapitres : les plus intéressants seront mis à disposition rapidement, ceux qui demandent plus de réflexion mettront peut-être plus de temps, etc. Dans tous les cas, la rédaction ne commencera pas avant novembre, car j’ai un gros déménagement entre temps et beaucoup (trop) de travail en ce moment !

Par ailleurs, cette documentation essaiera de pallier ce qui me semble être la principale faiblesse de la documentation d’Apple : cette dernière n’est pas procédurale dans le sens où la partie réglage du poste client n’est jamais abordée de façon très concrète. Je tenterai donc de proposer les solutions aux problèmes rencontrés sur le terrain y compris cote clien.

C’est super tour ça… mais combien ça va couter ?

Comme je lai déjà dit, tout ceci va prendre du temps que je vais monnayer. Deux possibilités :
– je mets en place un système d’abonnement avec un coût minimum. Dans ce cas vous achetez un nombre défini de chapitres, disons 6 chapitres par an et pour un coup de xx euros, xx étant une somme à définir au préalable, évidemment ;

– Vous faites un paiement à l’acte. Dans ce cas vous pourrez acheter chaque chapitre pour un coût minimal défini par mes soins.

Dans les deux cas je me reserve le droit de mettre à disposition certains chapitres gratuitement, ne serait-ce que pour faire un peu de pub. Mais dans ce cas ces chapitres seront gratuits pour tous, abo ou pas. Il sera cependant probable que les chapitres les plus long seront payants et les plus courts gratuits.

Certains penseront qu’il vaudrait mieux mettre tout gratuit et proposer de faire un don. Je ne le ferai pas : le modèle du don est non rémunérateur car le public ne paye que très peu par don les contenus sur le net (j’en ai eu confirmation plus d’une fois). Ce n’est pas une question de malhonnêteté, c’est juste que… l’on n’y pense pas. Si je remplace un livre physique par un livre dématérialisé, il faut quand même que je m’assure que l’investissement en vaut la chandelle… En revanche, le modèle de l’App Store a prouvé que le micro-paiement pouvait être une solution, à condition d’être simple d’emploi.

Et maintenant, chers lecteurs de tous bords, à vous de jouer, de me donner vos opinions diverses et variées sur ce projet, de m’indiquer ce que vous aimeriez voir dans ce livre virtuel, ce qui vous inciterait à payer ou serait rédhibitoire, les conditions d’utilisation que vous aimeriez, etc. Je lirai tout attentivement, et j’en tirerai peut-être encore d’autres conclusions. En clair : lâchez vos com’s !

Des didacticiels IT pour Mac OS X Server

Apple diffuse sur son site Education (curieux choix) des didacticiels en vidéo pour appréhender certaines fonctions avancées de Mac OS X Server, comme les comptes externes, la connexion à de multiples annuaires… En anglais, mais fort sympathique, car ce sont des sujets rarement traités de façon « accessible ».

Mac OS X Server 10.5.7 : attention !

Il y a pas mal de remontées de problèmes assez importants sur Mac OS X Server 10.5.7. En particulier, il semble que les postes PowerPC en 10.5.7 client n’arrivent plus à s’authentifier sur un serveur maître Open Directory lui aussi en 10.5.7 là où les Mac Intel ne posent pas de souci. De même, j’ai lu sur les listes d’Apple US que certains étaient confrontés à des problèmes avec le SNMP ou avec Contrôle du serveur.

Dans tous les cas, si vous décidez de faire la mise à jour, pensez à bien sauvegarder au préalable.

Server Admin Tools 10.5.6 v1.1 dispo

Une nouvelle version 10.5.6 v1.1 (rien que ça) des outils d’administration de Mac OS X Server est disponible ici. Les nouveautés ne sont pas très nombreuses (elles sont décrites dans cet article), mais certaines modifications sont assez importantes pour vous inciter à les télécharger, en particulier si vous venez de vous procurer un nouveau XServe.

Xserve à jour !

Les Xserve bénéficient à leur tour des nouveaux processeurs Nehalem, en configuration quad et octo-cœurs. Jusqu’à 12 Go de RAM (3 Go en standard), un disque de 160 Go en standard et une subtilité : on peut désormais utiliser un disque SSD de 128 Go en disque de boot, sans que celui-ci prenne de la place dans une baie, ce qui permet de bénéficier de plus de stockage et plus de rapidité. La carte graphique passe au NVIDIA GeForce GT 120 doté de 256 Mo de RAM et est équipée d’un port Mini Displayport (pensez à commander l’adaptateur avec, si vous n’aimez pas les installations à distance…). Tout ça à partir de 2899€, Mac OS X Server version illimitée toujours inclus.