Mac OS X Server Serveradministration Für Version 10.5 Leopard

K Apple Inc. Apple, das Apple-Logo, AirPort, AppleTalk, Final Cut Pro, © 2007 Apple Inc. Alle Rechte vorbehalten. FireWire, iCal, iDVD, iMovie, iPhoto, iPod, iTunes, Mac, Macintosh, das Mac-Logo, Mac OS, PowerBook, Betriebsanleitungen, Handbücher und Software sind QuickTime und SuperDrive sind Marken der Apple Inc., urheberrechtlich geschützt. Das Kopieren, Vervielfälti- die in den USA und weiteren Ländern eingetragen sind. gen, Übersetzen oder Umsetzen in irgendein elektronisches Medium oder maschinell lesbare Form im Ganzen Finder, das FireWire-Logo und Safari sind Marken der oder in Teilen ohne vorherige schriftliche Genehmigung Apple Inc. von Apple ist nicht gestattet. AppleCare und Apple Store sind Dienstleistungsmarken Das Apple-Logo ist eine in den USA und weiteren Län- der Apple Inc., die in den USA und weiteren Ländern dern eingetragene Marke der Apple Inc. Die Verwen- eingetragen sind. .Mac ist eine Dienstleistungsmarke dung des über die Tastatur erzeugten Apple Logos für der Apple Inc. kommerzielle Zwecke ohne vorherige Genehmigung von Apple kann als Markenmissbrauch und unlauterer PowerPC ist eine Marke der International Business Wettbewerb gerichtlich verfolgt werden. Machines Corporation, die unter Lizenz verwendet wird.

Ansprüche gegenüber Apple Inc. in Anlehnung an die in Die Rechte an anderen in diesem Handbuch erwähnten diesem Handbuch beschriebenen Hard- oder Software- Marken- und Produktnamen liegen bei ihren Inhabern produkte richten sich ausschließlich nach den Bestim- und werden hiermit anerkannt. Die Nennung von Pro- mungen der Garantiekarte. Weitergehende Ansprüche dukten, die nicht von Apple sind, dient ausschließlich sind ausgeschlossen, insbesondere übernimmt Apple Informationszwecken und stellt keine Werbung dar. keine Gewähr für die Richtigkeit des Inhalts dieses Apple übernimmt keine Gewähr im Hinblick auf Leis- Handbuchs. tung oder Verwendbarkeit dieser Produkte.

Apple GmbH, Arnulfstraße 19, Das hier beschriebene Produkt verwendet eine spezielle D-80335 München, Telefon: 089/9 96 40-0 Technologie für den Copyright-Schutz, die durch Apple GesmbH, Landstrasser Hauptstraße 71/1. Stock, bestimmte US-amerikanische Patente und durch andere A-1030 Wien, Telefon: 01/71 18 20 Urheberrechte der Macrovision Corporation und ande- Apple Switzerland AG, Birgistrasse 4 a, rer Rechtsinhaber geschützt ist. Diese Technologie für CH-8304 Wallisellen, Telefon: 01/8 77 91 91 den Copyright-Schutz darf nur mit Genehmigung der Macrovision Corporation und ausschließlich für private Internet: www.apple.com und andere eingeschränkte Zwecke verwendet werden. www.apple.com/de Ausgenommen hiervon sind von der Macrovision www.apple.com/at Corporation ausdrücklich bezeichnete Fälle. Die www.apple.com/ch Rückentwicklung oder Disassemblierung des Codes ist untersagt.

Die Patentrechte der US-Patentnummern 4.631.603, 4.577.216, 4.819.098 und 4.907.093 werden in Lizenz und ausschließlich für eingeschränkte Ansichtszwecke verwendet.

D019-0932 / September 2007

1 Inhalt

Vorwort 11 Über dieses Handbuch 11 Neue Merkmale und Funktionen im Programm „Server-Admin“ 12 Überblick 12 Verwenden der Online-Hilfe 13 Dokumentation zu Mac OS X Server 15 Anzeigen der PDF-Handbücher 15 Drucken der PDF-Handbücher 16 Laden von Aktualisierungen für die Dokumentation 16 Weitere Informationsmöglichkeiten

Kapitel 1 17 Systemübersicht und unterstützte Standards 17 Systemvoraussetzungen zum Installieren von Mac OS X Server 18 Informationen zu Serverkonfigurationen 20 Verwendungsmöglichkeiten für erweiterte Konfigurationen 21 Erweiterungen von Mac OS X Server Leopard 22 Unterstützte Standards 24 UNIX-Grundlage von Mac OS X Server

Kapitel 2 25 Planung 26 Planung 26 Planung für die Aktualisierung oder Migration auf Mac OS X Server 10.5 27 Zusammenstellen eines Planungsteams 28 Identifizieren der zu konfigurierenden Server 28 Festlegen der Dienste für die einzelnen Server 30 Definieren einer Migrationsstrategie 30 Aktualisieren und Migrieren von einer älteren Version von Mac OS X Server 30 Migrieren von Windows NT 31 Definieren einer Integrationsstrategie 31 Definieren physischer Infrastrukturanforderungen 32 Definieren von Anforderungen an die Server-Konfigurationsinfrastruktur 33 Sicherstellen der Verfügbarkeit erforderlicher Serverhardware 33 Minimieren der Notwendigkeit für einen Standortwechsel von Servern nach der Konfiguration

34 Festlegen von Richtlinien für die Datensicherung und -wiederherstellung 35 Informationen zu Richtlinien für die Datensicherung und -wiederherstellung 36 Informationen zu verschiedenen Datensicherungstypen 37 Informationen zum Planen von Datensicherungen 38 Informationen zur Datenwiederherstellung 39 Weitere Überlegungen zu Richtlinien für die Datensicherung 40 Sicherungs- und Wiederherstellungsprogramme für die Befehlszeile

Kapitel 3 41 Verwaltungsprogramme 42 Programm „Server-Admin“ 42 Öffnen des Programms „Server-Admin“ 43 Oberfläche des Programms „Server-Admin“ 44 Anpassen der Umgebung des Programms „Server-Admin“ 45 Serverassistent 46 Arbeitsgruppenmanager 47 Oberfläche des Arbeitsgruppenmanagers 48 Anpassen der Umgebung des Arbeitsgruppenmanagers 48 Verzeichnis 49 Oberfläche des Programms „Verzeichnis“ 50 Verzeichnisdienste 51 Servermonitor 52 Verwaltung von System-Image-Dateien 53 Verwalten der Streaming-Übertragung von Medien 54 Befehlszeilenprogramme 54 Xgrid-Admin 55 Apple Remote Desktop

Kapitel 4 57 Sicherheit 57 Physische Sicherheit 58 Netzwerksicherheit 58 Firewalls und Paketfilter 59 Netzwerk-DMZ 59 VLANs 60 MAC-Filterung 60 Transportverschlüsselung 61 Payload-Verschlüsselung 61 Dateisicherheit 61 Berechtigungen für Dateien und Ordner 62 Dateiverschlüsselung 62 Sicheres Löschen 63 Identifizierung und Autorisierung 65 Gesamtauthentifizierung (Single Sign-On, SSO)

4 Inhalt

66 Zertifikate, SSL und die Infrastruktur des öffentlichen Schlüssels 66 Öffentliche und private Schlüssel 67 Zertifikate 68 Zertifizierungsinstanzen 68 Identitäten 68 Selbstsignierte Zertifikate 69 Der Zertifikatmanager im Programm „Server-Admin“ 70 Fertigstellen von Zertifikaten 70 Anfordern eines Zertifikats von einer Zertifizierungsinstanz 71 Erstellen eines selbstsigniertes Zertifikats 72 Erstellen einer Zertifizierungsinstanz 74 Verwenden einer Zertifizierungsinstanz zum Erstellen eines Zertifikats für Dritte 75 Importieren eines Zertifikats 76 Verwalten von Zertifikaten 76 Bearbeiten eines Zertifikats 76 Weitergeben eines öffentlichen Zertifizierungsinstanz-Zertifikats an Clients 77 Löschen eines Zertifikats 77 Erneuern eines abgelaufenen Zertifikats 78 Verwenden von Zertifikaten 78 SSH und SSH-Schlüssel 78 Schlüsselbasierte SSH-Anmeldung 79 Generieren eines Schlüsselpaars für SSH 81 Sicherheit auf Administratorebene 81 Festlegen von Zugriffsrechten auf Administratorebene 82 Sicherheit auf Dienstebene 82 Festlegen von Berechtigungen über eine Zugriffssteuerungsliste für Dienste 83 Bewährte Sicherheitsmaßnahmen 85 Kennwortrichtlinien 85 Erstellen komplexer Kennwörter

Kapitel 5 87 Installation und Implementierung 87 Installation – Überblick 89 Systemvoraussetzungen zum Installieren von Mac OS X Server 90 Hardwarespezifische Anweisungen zur Installation von Mac OS X Server 90 Erfassen der benötigten Informationen 90 Vorbereiten eines Administratorcomputers 91 Informationen zur Serverinstallations-DVD 91 Konfigurieren der Netzwerkdienste 91 Verbinden mit dem Verzeichnis während der Installation 92 Installieren der Serversoftware auf einem vernetzten Computer 92 Informationen zum Starten des Systems für die Installation 92 Vor dem Start

Inhalt 5

93 Ferner Zugriff auf die Installations-DVD 94 Starten von der Installations-DVD 95 Starten von einer alternativen Partition 99 Starten aus einer NetBoot-Umgebung 101 Vorbereiten von Volumes für die Installation von Mac OS X Server 110 Angeben von entfernten Servern beim Installieren von Mac OS X Server 111 Interaktives Installieren der Serversoftware 111 Lokales Installieren von Installations-DVD 113 Entferntes Installieren mit dem Serverassistenten 115 Entferntes Installieren mit VNC 115 Verwenden des Befehlszeilenprogramms „installer“ zum Installieren der Serversoftware 118 Installieren mehrerer Server 119 Aktualisieren eines Computers von Mac OS X auf Mac OS X Server 120 Sicherstellen, dass die Serversoftware auf dem neusten Stand ist

Kapitel 6 121 Server-Erstkonfiguration 121 Benötigte Informationen 122 Verschieben der Serverkonfiguration nach der Installation 122 Verbinden mit dem Netzwerk während der erstmaligen Serverkonfiguration 122 Konfigurieren von Servern mit mehreren Ethernetanschlüssen 123 Bei der Server-Erstkonfiguration festgelegte Einstellungen 124 Festlegen der Erstverwendung von Open Directory 125 Kein Ändern der Verzeichnisverwendung beim Aktualisieren 126 Konfigurieren eines eigenständigen Servers 126 Konfigurieren eines Servers für die Verbindung zu einem Verzeichnissystem 127 Verwenden der interaktiven Serverkonfiguration 128 Interaktives Konfigurieren eines lokalen Servers 129 Interaktives Konfigurieren eines Servers per Fernzugriff 131 Interaktives Konfigurieren mehrerer Server per Fernzugriff in einem Arbeitsgang 133 Verwenden der automatischen Serverkonfiguration 134 Erstellen und Sichern von Konfigurationsdaten 135 In einer Datei gesicherte Konfigurationsdaten 137 In einem Verzeichnis gesicherte Konfigurationsdaten 138 Anlegen von Sicherungskopien der gesicherten Konfigurationsdaten 139 Bereitstellen von Dateien mit Konfigurationsdateien für Server 141 Wie ein Server nach gesicherten Konfigurationsdaten sucht 142 Automatisches Konfigurieren von Servern mithilfe von Daten, die in einer Datei gesichert sind 145 Automatisches Konfigurieren von Servern mithilfe von Daten, die in einem Verzeichnis gesichert sind 149 Festlegen des Status von Konfigurationen 149 Verwenden des Fensters „Ziel“ für Informationen zum Konfigurationsstatus 149 Bearbeiten von Konfigurationsfehlern

6 Inhalt 150 Reagieren auf Warnmeldungen bei der Konfiguration 150 Abrufen von Informationen zum Status der Aktualisierungsinstallation 150 Konfigurieren von Diensten 151 Hinzufügen von Diensten zur Serverliste 151 Konfigurieren von Open Directory 152 Konfigurieren der Benutzerverwaltung 152 Konfigurieren der Dateidienste 153 Konfigurieren des Druckdiensts 154 Konfigurieren des Webdiensts 155 Konfigurieren des Mail-Diensts 155 Konfigurieren der Netzwerkdienste 155 Konfigurieren der System-Image-Datei und der Dienste für die Softwareaktualisierung 156 Konfigurieren von Media-Streaming und Broadcasting 156 Konfigurieren des Diensts „Podcast-Produzent“ 156 Konfigurieren des WebObjects-Diensts 157 Konfigurieren des iChat-Diensts 157 Konfigurieren des iCal-Diensts

Kapitel 7 159 Verwaltung 160 Für die Verwaltung verwendete Ports 160 Standardmäßig geöffnete Ports 161 Für die Serververwaltung verwendbare Computer 161 Konfigurieren eines Administratorcomputers 162 Verwenden eines anderen Computers (kein Mac OS X) für die Verwaltung 162 Verwenden der Verwaltungsprogramme 163 Öffnen des Programms „Server-Admin“ 164 Hinzufügen und Entfernen von Servern im Programm „Server-Admin“ 165 Manuelles Gruppieren von Servern 166 Gruppieren von Servern mithilfe von intelligenten Gruppen 167 Arbeiten mit Einstellungen für einen bestimmten Server 169 Ändern der IP-Adresse eines Servers 170 Ändern des Hostnamens des Servers nach der Konfiguration 170 Ändern des Typs der Serverkonfiguration 171 Verwalten von Diensten 172 Hinzufügen und Entfernen von Diensten im Programm „Server-Admin“ 172 Importieren und Exportieren von Diensteinstellungen 173 Steuern des Zugriffs auf Dienste 174 Verwenden von SSL für die Fernverwaltung des Servers 175 Verwalten der Funktion „Sharing“ 175 Abgestufte Verwaltungsrechte 176 Definieren von Administratorrechten

Inhalt 7 177 Grundlagen zum Arbeitsgruppenmanager 178 Öffnen des Arbeitsgruppenmanagers 178 Verwalten von Accounts 179 Arbeiten mit Benutzern und Gruppen 180 Definieren verwalteter Einstellungen 182 Arbeiten mit Verzeichnisdaten 183 Anpassen der Umgebung des Arbeitsgruppenmanagers 183 Arbeiten mit Computern mit älteren Serverversionen von Servern mit Version 10.5 183 Konfigurationsassistenten für Dienste 184 Wichtige Konfigurations- und Datendateien 188 Verbessern der Dienstverfügbarkeit 188 Vermeiden von SPoFs 189 Verwenden von Xserve für eine hohe Verfügbarkeit 189 Verwenden einer Notfall-Stromversorgung 190 Konfigurieren Ihres Servers für einen automatischen Neustart 191 Einhalten der richtigen Betriebsbedingungen 191 Bereitstellen einer Open Directory-Replikation 192 Verbindungsbündelung (Verbindungsaggregation) 193 LCAP (Link Aggregation Control Protocol) 193 Beispiele für die Verbindungsbündelung 196 Konfigurieren der Verbindungsbündelung in Mac OS X Server 197 Überwachen des Status der Verbindungsbündelung 198 Lastenverteilung 199 Überblick über Daemons 199 Anzeigen ausgeführter Daemons 200 Daemon-Steuerung

Kapitel 8 201 Überwachen 201 Planen einer Überwachungsrichtlinie 202 Planen der Überwachungsreaktion 202 Widget „Serverstatus“ 203 Servermonitor 203 RAID-Admin 204 Konsole 204 Volume-Überwachungsprogramme 205 Netzwerküberwachungsprogramme 206 Benachrichtigung im Programm „Server-Admin“ 207 Überwachen der Serverstatus-Übersichten mit dem Programm „Server-Admin“ 209 SNMP (Simple Network Management Protocol) 209 Aktivieren der SNMP-Berichte 210 Konfigurieren von snmpd 212 Daemons für Benachrichtigungen und Ereignisüberwachung

8 Inhalt 213 Protokollierung 214 Syslog 215 Protokollierung der Fehlerbeseitigung in den Verzeichnisdiensten 215 Open Directory-Protokollierung 216 AFP-Protokollierung 216 Zusätzliche Überwachungshilfen

Kapitel 9 217 Beispielkonfiguration 217 Ein einzelner Mac OS X Server-Computer in einem Kleinunternehmen 218 Konfigurieren des Servers

Anhang 229 Mac OS X Server – Erweitertes Arbeitsblatt

Glossar 245

Index 265

Inhalt 9

Über dieses Handbuch Vorwort

Dieses Handbuch enthält Informationen für die Verwaltung von Mac OS X Leopard Server im erweiterten Konfigurations- modus. Sie finden hier Näheres zu Planung, Vorgehensweisen, Werkzeugen, Installation, Umsetzung und mehr mit dem Pro- gramm „Server-Admin“.

Das Dokument Serveradministration ist nicht das einzige Handbuch, das Sie zum Ver- walten eines Servers im erweiterten Modus benötigen, dennoch erhalten Sie einen ersten Überblick über die Planung, Installation und Wartung von Mac OS X Server mithilfe von Server-Admin.

Neue Merkmale und Funktionen im Programm „Server-Admin“ Das leistungsstarke und vielseitige Programm „Server-Admin“ für die Serververwaltung von Apple gehört zum Lieferumfang von Mac OS X Server 10.5 und bietet ein großes Funktionsspektrum. Server-Admin zeichnet sich durch eine optimiert Unterstützung für Standards und eine höhere Zuverlässigkeit aus. Außerdem bietet Server-Admin folgende weitere Verbesserungen: Â Überarbeitete und optimierte Oberfläche Â Verwaltung von Netzwerkvolumes (bisher Aufgabe des Arbeitsgruppenmanagers) Â Ereignisbenachrichtigung Â Abgestufte Verwaltung (verschiedenen Benutzern zugewiesene Verwaltungsrechte) Â Möglichkeit, Dienste wie erforderlich ein- und auszublenden Â Einfache und detaillierte Übersichten über den Serverstatus für einen oder mehrere Server Â Servergruppen Â Intelligente Servergruppen Â Einfache Sicherung und Wiederherstellung von Serverkonfiguriationen Â Einfache Sicherung und Wiederherstellung von Einstellungen im Programm „Server-Admin“

Überblick Dieses Handbuch umfasst die folgenden Kapitel: Â In Kapitel 1 „Systemübersicht und unterstützte Standards“ finden Sie einen Überblick über Mac OS X Server-Systeme und -Standards. Â Kapitel 2 „Planung“ enthält Informationen zur Planung der Verwendung von Mac OS X Server. Â In Kapitel 3 „Verwaltungsprogramme“ werden die Werkzeuge für die Verwaltung von Servern beschrieben. Â Kapitel 4 „Sicherheit“ enthält Hinweise zu Sicherheitsrichtlinien und den zugehörigen Vorgehensweisen. Â Kapitel 5 „Installation und Implementierung“ umfasst Installationsanweisungen zu Mac OS X Server. Â In Kapitel 6 „Server-Erstkonfiguration“ wird die Konfiguration Ihres Servers nach der Installation beschrieben. Â In Kapitel 7 „Verwaltung“ finden Sie Informationen zum Arbeiten mit Mac OS X Server und dessen Diensten. Â Kapitel 8 „Überwachen“ enthält Angaben zur Überwachung und Protokollierung von Mac OS X Server.

Hinweis: Da Apple regelmäßig neue Versionen und Aktualisierungen seiner Software veröffentlicht, unterscheiden sich die Abbildungen in diesem Handbuch ggf. von Ihrer Bildschirmanzeige.

Verwenden der Online-Hilfe Über den Help Viewer erhalten Sie direkt auf dem Bildschirm Anleitungen, die Sie bei der Verwaltung von Leopard Server unterstützen. Diese Hilfe können Sie auf dem Servercomputer oder auf einem Administratorcomputer anzeigen. (Ein Administrator- computer ist ein Mac OS X-Computer mit installierter Software für die Verwaltung von Leopard Server.)

Gehen Sie wie folgt vor, um bei einer erweiterten Konfiguration von Mac OS X Leopard Server die Online-Hilfe anzuzeigen: m Öffnen Sie das Programm „Server-Admin“ oder „Arbeitsgruppenmanager“ und führen Sie danach einen der folgenden Schritte aus: Â Suchen Sie über das Menü „Hilfe“ nach Informationen über die Aufgabe, die Sie durchführen wollen. Â Wählen Sie „Hilfe“ > „Server-Admin-Hilfe“ bzw. „Hilfe“ > „Arbeitsgruppenmanager- Hilfe“, um in der Hilfe zu blättern oder nach bestimmten Hilfethemen zu suchen.

12 Vorwort Über dieses Handbuch

Die Online-Hilfe enthält auch Anleitungen aus dem Handbuch Serveradministration und den ergänzenden Administrationshandbüchern, die im nachfolgenden Abschnitt „Dokumentation zu Mac OS X Server“ aufgeführt sind.

Gehen Sie wie folgt vor, um die neusten Hilfethemen für den Server anzuzeigen: m Vergewissern Sie sich, dass der Server- bzw. der Administratorcomputer mit dem Internet verbunden ist, solange Sie auf die Online-Hilfe zugreifen. Das Programm „Help Viewer“ lädt daraufhin automatisch die neusten Hilfethemen zum Server aus dem Internet und speichert sie im Cache. Wenn keine Verbindung mit dem Internet besteht, zeigt das Programm „Help Viewer“ die im Cache gespeicherten Hilfethemen an.

Dokumentation zu Mac OS X Server Im Handbuch Einführung wird das Installieren und Einrichten einer Standard- oder Arbeitsgruppenkonfiguration von Mac OS X Server beschrieben. Für erweiterte Kon- figurationen enthält das Handbuch Serveradministration Anleitungen für die vorbereitende Planung, die Installation, die Konfiguration und die generelle Serververwaltung. Eine Reihe ergänzender Handbücher beschäftigt sich mit Aspekten der Planung, Kon- figuration und Verwaltung bestimmter Dienste. Die PDF-Versionen aller Handbücher stehen auf der folgenden Website für Mac OS X Server zum Laden bereit:

www.apple.com/de/server/documentation

Handbuch Behandelte Themen Einführung und Arbeitsblatt für Installation von Mac OS X Server und erstmalige Konfiguration Installation & Konfiguration Command-Line Administration Installieren, Einrichten und Verwalten von Mac OS X Server mittels UNIX-Befehlszeilen und UNIX-Konfigurationsdateien Dateidienste – Administration Gemeinsame Nutzung von Serverlaufwerken (Volumes) und Serverordnern durch Clients auf Basis der Protokolle AFP, NFS, FTP und SMB iCal-Dienste – Administration Einrichten und Verwalten des Diensts „iCal“ für die gemeinsame Kalendernutzung iChat-Dienste – Administration Einrichten und Verwalten des Diensts „iChat“ für die Instant- Messaging-Kommunikation Mac OS X- Erhöhen der Sicherheit für Mac OS X-Computer (Clients) [beispiels- Sicherheitskonfiguration weise für Behörden und Unternehmenskunden] Mac OS X Server- Erhöhen der Sicherheit von Mac OS X Server und des Servercom- Sicherheitskonfiguration puters [beispielsweise für Behörden und Unternehmenskunden] Mail-Dienste – Administration Einrichten und Verwalten der Mail-Dienste „IMAP“, „POP“ und „SMTP“ auf dem Servercomputer

Vorwort Über dieses Handbuch 13

Handbuch Behandelte Themen Netzwerkdienste – Administration Einrichten, Konfigurieren und Verwalten der Dienste „DHCP“, „DNS“, „VPN“, „NTP“, „ IP-Firewall“, „NAT“ und „RADIUS“ auf dem Servercomputer Open Directory – Administration Einrichten und Verwalten der Verzeichnis- und Identifizierungs- dienste und Konfigurieren der Clients im Hinblick auf die Dienste eines Verzeichnisservers Podcast-Produzent – Einrichten und Verwalten des Diensts „Podcast-Produzent“ für die Administration Aufnahme, Verarbeitung und Verteilung von Podcasts Druckdienste – Administration Bereitstellen von Netzwerkdruckern und Verwalten der zuge- ordneten Wartelisten und Druckaufträge QuickTime Streaming und Erfassen und Codieren von QuickTime-Inhalten. Einrichten und Broadcasting – Administration Verwalten des Diensts „QuickTime Streaming“ für die Live- oder On-Demand-Bereitstellung von Streaming-Inhalten Serveradministration Erweiterte Aufgaben beim Installieren und Einrichten der Server- software und Verwalten von für mehrere Server oder den Server generell geltende Optionen System-Imaging- und Softwareak- Automatisiertes Verwalten des Betriebssystems und anderer von tualisierung – Administration Client-Computern genutzter Software mittels NetBoot, NetInstall und Softwareaktualisierung Aktualisieren und Migrieren Übernahme der Einstellungen für Daten und Dienste aus einer früheren Version von Mac OS X Server oder Windows NT Benutzerverwaltung Erstellen und Verwalten von Benutzer-Accounts, Gruppen und Computern. Konfigurieren verwalteter Einstellungen für Mac OS X- Clients Webtechnologie – Administration Einrichten und Verwalten von Webtechnologien (u. a. Web, Blog, Webmail, Wiki, MySQL, PHP, Ruby on Rails und WebDAV) Xgrid – Administration und Einrichten und Verwalten von Computer-Clustern aus Xserve- Hochleistungs-Computing Systemen und Macintosh-Computern Mac OS X Server – Glossar Informationen zu Fachbegriffen, die im Zusammenhang mit Ser- ver- und Massenspeicherprodukten häufig verwendet werden.

14 Vorwort Über dieses Handbuch

Anzeigen der PDF-Handbücher Wenn Sie die PDF-Version eines der o. g. Dokumente auf Ihrem Monitor anzeigen, haben Sie folgende Möglichkeiten: Â Sie können die Lesezeichen einblenden, um den Aufbau und die Struktur des Doku- ments zu sehen. Durch Klicken auf ein Lesezeichen können Sie direkt zum entsprechenden Abschnitt oder Kapitel blättern. Â Sie können ein Wort oder eine Wortgruppe eingeben, um alle Textstellen mit diesem Wort bzw. dieser Wortgruppe anzuzeigen. Durch Klicken auf einen gefundenen Ein- trag können Sie direkt zu der jeweiligen Seite blättern. Â Sie können auf einen Querverweis klicken, um zu dem Abschnitt zu wechseln, auf den der Verweis Bezug nimmt. Sie können auf einen Weblink klicken, um die betreffende Website in Ihrem Browser zu öffnen.

Drucken der PDF-Handbücher Wenn Sie ein Handbuch drucken, können Sie mit den folgenden Maßnahmen den Papier- und Toner- bzw. Tintenverbrauch reduzieren: Â Verzichten Sie darauf, die Titelseite zu drucken, um Toner bzw. Tinte einzusparen. Â Aktivieren Sie im Dialogfenster „Drucken“ die Option für die Ausgabe in Graustufen oder in Schwarzweiß, um für die Ausgabe auf einem Farbdrucker nur schwarze(n) Tinte/Toner zu verwenden. Â Reduzieren Sie den Papierverbrauch, indem Sie auf jedem Blatt/Bogen mehrere Dokumentseiten drucken. Setzen Sie im Druckfenster die Größe auf 115 % (155 % für das Dokument Einführung). Wählen Sie dann „Layout“ aus dem Einblendmenü ohne Bezeichnung aus. Wählen Sie eine der nachfolgend angebotenen Einstellungen für die Option „Beidseitig“, wenn der Drucker die Duplexausgabe unterstützt. Andern- falls wählen Sie „2“ aus dem Einblendmenü „Seiten pro Blatt“ und optional „Haarlinie“ aus dem Menü „Rahmen“ aus. (Bei Verwendung von Mac OS X 10.4 oder neuer befindet sich die Einstellung „Größe“ im Dialogfenster „Papierformat“ und die Layoutein- stellungen im Druckfenster.)

Möglicherweise empfiehlt es sich, die gedruckten Seiten zu vergrößern, auch wenn Sie nicht doppelseitig drucken, da die Seitengröße von PDF-Dokumenten kleiner ist als die von standardmäßigem Druckerpapier. Ändern Sie im Druckfenster oder im Dialogfen- ster „Papierformat“ die Größe auf „115 %“ (155 % für das Dokument Einführung, das im CD-Format vorliegt).

Vorwort Über dieses Handbuch 15

Laden von Aktualisierungen für die Dokumentation Apple stellt in regelmäßigen Abständen überarbeitete Hilfethemen und Neuauflagen der Handbücher bereit. Dabei können neue Hilfethemen auch Aktualisierungen für die letzte Auflage eines Handbuchs enthalten. Â Vergewissern Sie sich, wenn Sie neue Online-Hilfethemen ansehen wollen, dass Ihr Server- oder Administratorcomputer mit dem Internet verbunden ist. Klicken Sie danach auf der Hauptseite der Online-Hilfe des verwendeten Programms auf „Aktuelle Hilfethemen“. Â Besuchen Sie die folgende, für die Dokumentation von Mac OS X Server einge- richtete Website, wenn Sie die neusten Auflagen der Handbücher im PDF-Format laden möchten: www.apple.com/de/server/documentation

Weitere Informationsmöglichkeiten Für weitere Informationen stehen Ihnen die folgenden Ressourcen zur Verfügung: Â „Bitte lesen“-Dokumente – Wichtige Aktualisierungen und spezielle Informationen. Suchen Sie nach diesen Dokumenten auf den Server-CDs/DVDs. Â Mac OS X Server-Website (www.apple.com/de/server/macosx) – Zugang zu umfassenden Produkt- und Technologieinformationen. Â Mac OS X Server-Support-Website (www.apple.com/de/support/macosxserver) – Zugriff auf Hunderte von Artikeln aus dem Apple Support-Bereich. Â Apple-Website mit Diskussionsforen (discussions.apple.com) – eine praktische Möglich- keit, Fragen, Kenntnisse und Ratschläge mit anderen Administratoren auszutauschen. Â Apple-Website mit Mailing-Listen (www.lists.apple.com) – abonnieren Sie Mailing- Listen, damit Sie mit anderen Administratoren via E-Mail kommunizieren können.

16 Vorwort Über dieses Handbuch 1 Systemübersicht und unterstützte Standards 1

Mac OS X Server bietet Ihnen alles, was Sie für die Bereitstel- lung von standardbasierten Arbeitsgruppen- und Internet- diensten benötigen. So erhalten Sie eine erstklassige UNIX- basierte Lösung, die einfach bereitgestellt und verwaltet werden kann.

In diesem Kapitel erhalten Sie Informationen, die Sie benötigen, um zu entscheiden, wo und wie Mac OS X Server bereitgestellt werden soll. Es enthält allgemeine Infor- mationen über die Konfigurationsoptionen, die verwendeten Standardprotokolle, die UNIX-root-Verzeichnisse sowie die Netzwerk- und Firewall-Konfigurationen, die für die Verwaltung von Mac OS X Server erforderlich sind.

Systemvoraussetzungen zum Installieren von Mac OS X Server Der Macintosh-Desktop-Computer oder Server, auf dem Sie Mac OS X Server Version 10.5 Leopard installieren, muss über folgende Komponenten verfügen: Â Intel-Prozessor oder PowerPC G5- bzw. G4-Prozessor (mit mindestens 867 MHz) Â Integrierte FireWire-Unterstützung Â Mindestens 1 Gigabyte (GB) Arbeitsspeicher (RAM) Â Mindestens 10 Gigabyte (GB) verfügbarer Festplattenspeicher Â Eine neue Seriennummer für Mac OS X Server 10.5 Die mit einer früheren Version von Mac OS X Server verwendete Seriennummer ermöglicht eine Registrierung von Version 10.5 nicht.

Ein integriertes DVD-Laufwerk ist praktisch, aber nicht erforderlich.

Die Verwendung von Monitor und Tastatur ist optional. Sie können die Server-Software durch Verwendung eines Administratorcomputers auf einem Computer ohne Monitor und Tastatur installieren. Weitere Informationen hierzu finden Sie im Abschnitt „Konfi- gurieren eines Administratorcomputers“ auf Seite 161.

Informationen zu Serverkonfigurationen Mac OS X Server kann mit drei verschiedenen Konfigurationen verwendet werden: Erweitert, Arbeitsgruppe und Standard. Server, die in der erweiterten Konfiguration verwendet werden, sind am flexibelsten und erfordern eine gewisse Erfahrung, was ihre Verwaltung anbelangt. Sie können für eine Vielzahl von Zwecken und Anforderungen angepasst werden.

Bei Verwendung einer erweiterten Konfiguration von Mac OS X Server kann der erfahrene Systemadministrator die Dienstkonfiguration vollständig steuern, um so einer breiten Palette von Unternehmensanforderungen gerecht zu werden. Nach der Erst- konfiguration mithilfe des Assistenten verwenden Sie leistungsstarke Verwaltungs- programme, wie „Server-Admin“ und den Arbeitsgruppenmanager, oder Befehlszeilen- programme, um die erweiterten Einstellungen für die Dienste zu konfigurieren, die der Server bereitstellen soll.

Die anderen beiden Konfigurationen umfassen Teilbereiche der Dienste und Leistungs- merkmale einer erweiterten Konfiguration. Für diese Konfigurationen wird das vereinfachte Verwaltungsprogramm „Servereinstellungen“ verwendet. Dieses ist auf spezielle Funktionen in einem Unternehmen ausgerichtet.

Die Arbeitsgruppenkonfiguration von Mac OS X Server wird für eine Arbeitsgruppe in einem Unternehmen eingesetzt, das bereits einen Verzeichnisserver nutzt. Dabei stellt die Arbeitsgruppenkonfiguration eine Verbindung zu einem vorhandenen Verzeichnis- server in Ihrem Unternehmen her und verwendet die Benutzer und Gruppen aus dem Verzeichnis des Unternehmens im Verzeichnis des Arbeitsgruppenservers.

Die Vorteile der Standardkonfiguration von Mac OS X Server sind die automatische Konfiguration und die vereinfachte Verwaltung eines unabhängigen Servers für ein kleines Unternehmen.

18 Kapitel 1 Systemübersicht und unterstützte Standards In der folgenden Tabelle werden die Funktionen und Leistungsmerkmale der einzelnen Konfigurationen aufgeführt.

Funktion Erweitert Arbeitsgruppe Standard Änderung von Dienst- Programm Servereinstellungen Servereinstellungen einstellungen mit... „Server-Admin“ Diensteinstellungen Nicht konfiguriert Voreingestellt auf Voreingestellt auf sind... einige gängige Stan- gängige Standard- dardeinstellungen einstellungen Benutzer und Gruppen Arbeitsgruppen- Servereinstellungen Servereinstellungen verwaltet mit... manager Benutzerdiensteinstel- Nein Ja Ja lungen automatisch bereitgestellt Verwendbar als eigen- Ja Nein Ja ständiger Server Verwendbar als Open Ja Nein Ja Directory-Master Verwendbar als Open Ja Ja Nein Directory-Replik Verwendbar als dedizier- Ja Nein Ja tes Netzwerk-Gateway Verwendbar als Active Ja Nein Nein Directory-Replik Überwachung und Die vom Systemadmi- Servereinstellungen Servereinstellungen Datensicherung mit... nistrator verwendeten Methode Abhängig von einer Nein Ja Nein bereits vorhandenen Dienstinfrastruktur Abhängig von einem Ja Ja Nein bereits vorhandenem gut ausgebildeten DNS-System

Weitere Informationen zu den Standard- und Arbeitsgruppenkonfigurationen und den dafür aktivierten Diensten finden Sie im Dokument Einführung.

Kapitel 1 Systemübersicht und unterstützte Standards 19

Verwendungsmöglichkeiten für erweiterte Konfigurationen In der folgenden Abbildung werden mehrere erweiterte Konfigurationen von Mac OS X Server dargestellt, die in einem großen Unternehmen verwendet werden.

Das Internet DCHP, DNS, RADIUS, VPN Open Directory-Master iCal, iChat und Mail Web mit Wiki und Blog QuickTime Streaming File-Sharing System-Imaging und Benutzerordner Softwareaktualisierung

AirPort Extreme Open Directory-Replik

Jeder Server ist so konfiguriert, dass er mehrere Dienste bereitstellt. So stellt z. B. ein Server iCal, iChat und den Mail-Dienst für das Unternehmen bereit. Ein anderer stellt QuickTime-Medien-Streaming und Podcast-Produzent bereit.

Um eine hohe Verfügbarkeit von Benutzerordnern und Netzwerkordnern zu gewährlei- sten, ist für einen Master-Dateiserver und einen Backup-Dateiserver IP-Failover konfiguriert, sodass beim Ausfall des Masters der Backup-Server einspringen kann. Die Master- und Backup-Dateiserver verwenden ein Xsan-SAN (Storage Area Network) für den Zugriff auf denselben RAID-Speicher, ohne diesen zu beschädigen.

Damit eine hohe Verfügbarkeit der Verzeichnisdiensten gewährleistet ist, bieten Open Directory-Repliken einen Verzeichnisdienst, wenn der Open Directory-Master in den Offline-Modus schaltet.

Die Open Directory-Domain verfügt über Benutzer-, Gruppen-, einzelne Computer- und Computergruppenkonten. So können Mac OS X-Benutzereinstellungen auf der Ebene von Gruppen und Computergruppen verwaltet werden.

Der Webdienst stellt für das Unternehmen eine Website im Internet. bereit Er stellt auch Wiki-Websites im Intranet für Gruppen im Unternehmen bereit.

20 Kapitel 1 Systemübersicht und unterstützte Standards Erweiterungen von Mac OS X Server Leopard Mac OS X Server bietet mehr als 250 neue Funktionen und ist damit die umfassendste Überarbeitung des Serverbetriebssystems seit der Einführung von Mac OS X Server. Im Folgenden werden einige Erweiterungen beschrieben: Â Xgrid 2-Dienst: Mit dem Dienst „Xgrid“ erzielen Sie das Leistungsniveau eines Supercomputers, indem Sie verschiedene Berechnungen auf Gruppen einzelner oder gemeinsam genutzter Mac OS X-Computer verteilen. Xgrid 2 unterstützt GridAnywhere. Damit kann Xgrid-fähige Software überall ausgeführt werden, selbst wenn Sie keinen Controller und keine Agenten konfiguriert haben. Außerdem bietet es Scoreboard für die Priorisierung der für die einzelnen Aufträge verwendeten Agenten. Der Cluster-Controller erlaubt einen zentralisierten Zugriff auf den verteilten Computing-Pool, der auch als „Computer-Cluster“ bezeichnet wird. Â Dateidienste: Zu den verbesserten Dateidiensten gehören höhere Leistung und Sicherheit für die einzelnen Netzwerkdateidienste (NFS, Network File Service), vor allem die erweiterte SMB-Unterstützung und sichere NFS-Dienste (Version 3) mithilfe der Kerberos-Identifizierung und AutoFS. Â iChat Server 2: iChat Server 2 kann seine Chat-Gruppen mit denen anderer XMPP- Messaging-Systeme (Extensible Messaging and Presence Protocol) wie Google Talk verbinden. Somit können die Mitglieder von iChat-Server mit den Mitgliedern verbundener Gruppen chatten. Â Mail-Dienst: Der Mail-Dienst bietet zusätzliche Unterstützung für das Mail-Speicher- Clustering, wenn es mit Xsan verwendet wird. Außerdem bietet er integrierte Regeln für Abwesenheit und eine höhere Leistung dank 64-Bit-Mail-Diensten mit SMTP, IMAP und POP. Â Open Directory 4: Diese neue Version von Open Directory umfasst neue LDAP- Proxyfunktionen, eine Domain-übergreifende Identifizierung, eine überlappende Replikation sowie Repliksätze. Â RADIUS-Identifizierung: RADIUS ermöglicht die Identifizierung für Clients, die über AirPort-Basisstationen eine Netzwerkverbindung herstellen. Â QuickTime Streaming Server 6: Der erweiterte QuickTime Streaming Server unter- stützt die 3GPP Release 6-Bitratenanpassung für ein nahtloses Streaming an mobile Telefone unabhängig von der Netzwerkauslastung. Er eignet sich für die Integration mit Open Directory auf Ihrem Server bei der Identifizierung der Bereitstellung von Inhalten und bietet eine höhere Leistung mit dem 64-Bit-Dienst. Â Webdienste: Webserveradministratoren steht jetzt Apache 2.2 (für Neuinstallatio- nen und Dienstaktualisierungen) oder 1.3 (für Server mit Systemaktualisierung) zur Verfügung. MySQL 5, PHP und Apache sind integriert. „Ruby on Rails“ mit Mongrel ist für eine einfachere Entwicklung von webbasierten Programmen enthalten.

Kapitel 1 Systemübersicht und unterstützte Standards 21

Unterstützte Standards Mac OS X Server bietet standardbasierte Arbeitsgruppen und Internetdienste. Anstatt proprietäre Servertechnologien zu entwickeln, hat Apple die besten Open Source-Projekte als Basis verwendet: Samba 3, OpenLDAP, Kerberos, Postfix, Apache, Jabber, SpamAssassin und mehr. Mac OS X Server integriert diese zuverlässigen Tech- nologien und erweitert sie mit einer einheitlichen, konsistenten Oberfläche für die Serververwaltung.

Da Mac OS X Server auf offenen Standards basiert, ist die Software mit vorhandenen Netzwerk- und Computerinfrastrukturen kompatibel. Mac OS X Server verwendet native Protokolle, um Verzeichnisdienste, File- und Printer-Sharing sowie einen sicheren Netz- werkzugriff auf Mac-, Windows- und Linux-Clients zu bieten. Eine standardbasierte Archi- tektur für Verzeichnisdienste bietet eine zentrale Verwaltung der Netzwerkressourcen mithilfe beliebiger LDAP-Server, zu denen auch proprietäre Server, wie Microsoft Active Directory, gehören. Die UNIX-basierte Open Source-Grundlage macht das Portieren und Bereitstellen bereits vorhandener Softwarelösungen für Mac OS X Server einfach.

Im Folgenden werden einige der standardbasierten Technologien beschrieben, auf denen Mac OS X Server basiert: Â Kerberos: In Mac OS X Server ist eine Identifizierungsinstanz integriert, die auf der Kerberos-Technologie von MIT (RFC 1964) basiert. Sie bietet den Benutzern SSO- Zugriff (Single Sign-On, Gesamtauthentifizierung) auf sichere Netzwerkressourcen. Mithilfe der sicheren Kerberos-Identifizierung maximiert SSO (Single Sign-On) die Sicherheit von Netzwerkressourcen und ermöglicht den Benutzern gleichzeitig den einfacheren Zugriff auf eine breite Palette von Kerberos-fähigen Netzwerkdiensten. Im Falle von Diensten, die Kerberos noch nicht unterstützen, handelt der integrierte SASL-Dienst das sicherste Identifizierungsprotokoll aus. Â OpenLDAP: Mac OS X Server bietet einen zuverlässigen LDAP-Verzeichnisserver sowie einen sicheren Kerberos-Kennwortserver, um für Mac-, Windows- und Linux- Clients Verzeichnis- und Identifizierungsdienste bereitzustellen. Apple hat den Open Directory-Server in OpenLDAP integriert, den am häufigsten eingesetzten Open Source-LDAP-Server, damit Verzeichnisdienste sowohl für reine Mac- als auch für gemischte Plattformumgebungen bereitgestellt werden können. LDAP bietet eine gemeinsame Sprache für den Verzeichniszugriff, sodass die Administratoren Informa- tionen aus verschiedenen Plattformen konsolidieren und Benennungskonventionen (Namespace) für alle Netzwerkressourcen definieren können. Das heißt für alle Mac-, Windows- und Linux-Systeme im Netzwerk steht ein gemeinsames Verzeichnis zur Verfügung.

22 Kapitel 1 Systemübersicht und unterstützte Standards Â RADIUS: RADIUS (Remote Authentication Dial-In User Service) ist ein Protokoll für die Identifizierung, Autorisierung und Accounting-Funktion, das vom 802.1x-Sicher- heitsstandard zum Steuern des Netzwerkzugriffs durch Clients in mobilen oder standortgebundenen Konfigurationen verwendet wird. Mac OS X Server verwendet RADIUS für die Integration mit AirPort-Basisstationen, die als zentrale MAC-Adress- filterdatenbank dienen. Durch die Konfiguration von RADIUS und Open Directory können Sie steuern, wer auf Ihr drahtloses Netzwerk Zugriff hat. Mac OS X Server verwendet das FreeRADIUS-Serverprojekt. FreeRADIUS unterstützt die Anforderungen eines RADIUS-Servers, der mit Unterstützung von LDAP, MySQL, PostgreSQL, Oracle-Datenbanken, EAP, EAP-MD5, EAP-SIM, EAP-TLS, EAP-TTLS, EAP- PEAP und Cisco LEAP-Untertypen geliefert wird. Mac OS X Server unterstützt das Proxying, mit Failover und Lastverteilung. Â Mail-Dienst: Mac OS X Server verwendet zuverlässige Open Source-Technologien, um umfassende, einfach zu verwendende Mail-Serverlösungen bereitzustellen. Volle Unterstützung von Internetmailprotokollen, wie Internet Message Access Protocol (IMAP), Post Office Protocol (POP) und Simple Mail Transfer Protocol (SMTP) gewähr- leisten die Kompatibilität mit standardbasierten Mail-Clients auf Mac-, Windows- und Linux-Systemen. Â Webtechnologien: Die Mac OS X Server-Webtechnologien basieren auf dem Open Source-Apache-Webserver, dem am häufigsten verwendeten HTTP-Server im Internet. Aufgrund der für Mac OS X Server optimierten Leistung bietet Apache ein schnelles und zuverlässiges Webhosting sowie eine erweiterbare Architektur für die Bereitstel- lung von dynamischen Inhalten und hoch entwickelten Webdiensten. Da der Web- dienst von Mac OS X Server auf Apache basiert, können Sie mithilfe von Plug-In- Modulen erweiterte Funktionen hinzufügen. Mac OS X Server bietet alle Funktionen, mit denen professionelle Webmaster anspruchsvolle Webdienste bereitstellen können: integrierte Tools für teamorien- tiertes Publishing, Inline-Scripting, Apache-Module, benutzerdefinierte CGIs und JavaServer Pages sowie Java Servlets. Datenbankgesteuerte Websites können mit der mitgelieferten MySQL-Datenbank verbunden werden. Die ODBC- und JDBC- Konnektivität mit anderen Datenbanklösungen wird ebenfalls unterstützt. Der Webdienst unterstützt zudem die Web-basierte DAV-Funktionalität (Distributed Authoring and Versioning), auch bezeichnet als WebDAV. Â Dateidienste: Sie können Mac OS X Server-Dateidienste konfigurieren, damit die Clients Zugriff auf gemeinsam genutzte Dateien, Programme und andere Ressour- cen in einem Netzwerk haben. Mac OS X Server unterstützt die wichtigsten Dienst- protokolle, um maximale Kompatibilität zu erreichen, u. a.: Â AFP (Apple Filing Protocol), um Ressourcen mit Clients gemeinsam zu nutzen, die Macintosh-Computer verwenden. Â SMB (Server Message Block), Protokoll für die gemeinsame Nutzung von Ressourcen mit Clients, die Windows-Computer verwenden. Dieses Protokoll wird vom Samba Open Source-Projekt bereitgestellt.

Kapitel 1 Systemübersicht und unterstützte Standards 23

Â NFS (Network File System) für die gemeinsame Nutzung von Dateien und Ordnern mit UNIX-Clients. Â FTP (File Transfer Protocol) für die gemeinsame Nutzung von Dateien mit allen, die FTP-Client-Software verwenden. Â IPv6: IPv6 ist die Abkürzung für „Internet Protocol Version 6 (RFC 2460)“. IPv6 ist das Internetprotokoll der nächsten Generation, durch das das aktuelle Internetprotokoll, IP Version 4 (IPv4 oder einfach nur IP), ersetzt werden soll. IPv6 verbessert die Umlei- tung und die automatische Netzwerkkonfiguration. Es erhöht die Anzahl der Netz- werkadressen auf über 3 x 1038. So wird kein NAT benötigt. IPv6 soll IPv4 im Laufe mehrerer Jahre ersetzen. In der Übergangszeit werden beide Protokolle nebeneinander verwendet. Die Netzwerkdienste von Mac OS X Server sind voll IPv6-fähig und für den Übergang zur Adressierung der nächsten Generation bereit. Außerdem können sie vollständig mit IPv4 eingesetzt werden. Â SNMP: Simple Network Management Protocol (SNMP) wird für die Überwachung des Betriebsstatus von Geräten verwendet, die an das Netzwerk angeschlossen sind. Dabei handelt es sich um einen Satz von IETF-fähigen Standards (Internet Enginee- ring Task Force) für die Netzwerkverwaltung, einschließlich einem Protokoll auf Anwendungsebene, einem Datenbankschema und einem Satz von Datenobjekten. Mac OS X Server verwendet die Open Source-Gruppe net-snmp, um den SNMPv3- Dienst (d. h. RFCs 3411-3418) bereitzustellen.

UNIX-Grundlage von Mac OS X Server Mac OS X Server bietet eine UNIX-basierte Grundlage um den Mach-Mikrokernel herum sowie die aktuellsten Entwicklungen der Berkeley Software Distribution (BSD)-Open Source-Community. Diese Grundlage bietet Mac OS X Server eine stabile, leistungsstarke 64-Bit-Computerplattform für die Bereitstellung von serverbasierten Programmen und Diensten.

Mac OS X Server basiert auf einem Open Source-Betriebssystem namens Darwin, das Bestandteil der BSD-Familie von UNIX-ähnlichen Systemen ist. BSD stellt eine Familie von UNIX-Varianten dar, die von der Berkeley-Version von UNIX abgeleitet ist. Außer- dem umfasst Mac OS X Server mehr als 100 Open Source-Projekte und zusätzlich eigene Erweiterungen und erweiterte Funktionen, die von Apple entwickelt wurden.

Der BSD-Teil des Mac OS X-Kernels ist hauptsächlich von FreeBSD abgeleitet, einer Ver- sion von 4.4BSD, die erweiterte Netzwerk-, Leistungs-, Sicherheits- und Kompatibilitäts- funktionen bietet. Im Allgemeinen werden die BSD-Varianten (manchmal indirekt) von 4.4BSD-Lite Release 2 der Computer Systems Research Group (CSRG) der University of California in Berkeley abgeleitet. Obwohl der BSD-Teil von Mac OS X hauptsächlich von FreeBSD abgeleitet ist, wurden einige Änderungen vorgenommen. Weitere Informatio- nen über die Low-level-Änderungen finden Sie in der Developer-Dokumentation für Darwin von Apple.

24 Kapitel 1 Systemübersicht und unterstützte Standards 2 Planung 2

Nehmen Sie sich vor der Installation und Konfiguration von Mac OS X Server Zeit, ein wenig zu planen und sich mit den Optionen vertraut zu machen, die Ihnen zur Verfügung stehen.

Die Hauptziele der Planungsphase bestehen darin, Folgendes sicherzustellen: Â Die Anforderungen der Benutzer und Administratoren werden von den von Ihnen bereitgestellten Servern erfüllt. Â Voraussetzungen für Server und Dienste, die Auswirkungen auf die Installation und anfängliche Konfiguration haben, wurden ermittelt.

Die Installationsplanung ist besonders wichtig, wenn Sie Mac OS X Server in ein vorhandenes Netzwerk integrieren, von früheren Versionen von Mac OS X Server umstellen oder vorhaben, mehrere Server einzurichten. Aber auch Umgebungen mit nur einem Server können von einer kurzen Bestandsaufnahme der Anforderungen profitieren, die ein Server erfüllen soll.

Verwenden Sie dieses Kapitel, um sich Anregungen zu holen. Das Kapitel enthält weder genaue Planungsanweisungen noch die Details, die Sie benötigen, um zu entscheiden, ob ein bestimmter Dienst implementiert werden soll und um dessen Ressourcenan- forderungen einzuschätzen. Betrachten Sie dieses Kapitel stattdessen als Gelegenheit, darüber nachzudenken, wie Sie die Vorteile von Mac OS X Server in Ihrer Umgebung optimal umsetzen können.

Die Planung ist wie der Entwurf nicht unbedingt ein linearer Prozess. Die Abschnitte in diesem Kapitel setzen nicht voraus, dass Sie eine bestimmte Planungsreihenfolge einhalten. Verschiedene Abschnitte in diesem Kapitel enthalten Vorschläge, die gleichzeitig oder schrittweise nacheinander implementiert werden können.

25 Planung Legen Sie in der Planungsphase fest, wie Sie Mac OS X Server verwenden möchten, und ermitteln Sie die Schritte, die Sie ggf. vor der Konfiguration ausführen müssen.

Möglicherweise möchten Sie zum Beispiel einen vorhandenen Server auf Version 10.5 konvertieren und auf diesem Server weiterhin Verzeichnis-, Datei- und Mail-Dienste für Clients in Ihrem Netzwerk bereitstellen.

Bevor Sie Serversoftware installieren, müssen Sie ggf. Daten vorbereiten, die Sie auf Ihren neuen Server migrieren wollen, und vielleicht abwägen, ob jetzt ein guter Zeit- punkt ist, eine andere Lösung für Verzeichnisdienste zu implementieren.

In der Planungsphase entscheiden Sie auch, welche Optionen der Installation und Serverkonfiguration Ihren Anforderungen am besten entsprechen. Das Dokument Einführung umfasst unter anderem ein Beispiel für die Serverinstallation und Erstkon- figuration in einem Kleinunternehmen bei Verwendung des standardmäßigen Kon- figurationsmodus des Servers.

Planung für die Aktualisierung oder Migration auf Mac OS X Server 10.5 Wenn Sie derzeit eine ältere Mac OS X Server-Version verwenden und bestimmte Daten und Einstellungen weiterhin verwenden möchten, können Sie auf Version 10.5 aktualisieren oder migrieren (umstellen).

Sie können auf Leopard Server aktualisieren, wenn Sie Mac OS X Server 10.4 Tiger oder 10.3 Panther verwenden und keine Serverhardware ersetzen müssen. Das Aktualisieren ist einfach, weil dabei Ihre bestehenden Einstellungen und Daten erhalten bleiben. Die Aktualisierung kann mit einer beliebigen der in diesem Kapitel beschriebenen Instal- lationsmethoden durchgeführt werden. Alternativ können Sie auch eine der Methoden für die erweiterte Konfiguration verwenden, die im vorliegenden Handbuch genannt werden.

Wenn Sie keine Aktualisierung durchführen können, z. B. weil Sie das Startvolume neu formatieren oder Ihre Serverhardware ersetzen müssen, können Sie Daten und Einstel- lungen auf einen Computer migrieren, auf dem Sie Leopard Server installiert haben.

Die Migration wird für die neuste Version von Mac OS X Server 10.4 Tiger, Mac OS X Server 10.3.9 Panther, Mac OS X Server 10.2.8 Jaguar und Windows NT 4 (oder neuer) unterstützt. Umfassende Informationen zum Migrieren von Daten und Einstellungen auf einen anderen Mac- oder Xserve-Computer finden Sie im Dokument Aktualisieren und Migrieren. Das Handbuch zum Aktualisieren und Migrieren von Serverdaten enthält vollständige Anweisungen zur Wiederverwendung von Daten und Einstellungen in beiden genannten Szenarien.

26 Kapitel 2 Planung Zusammenstellen eines Planungsteams Beziehen Sie Personen in den Planungsprozess der Installation mit ein, die verschiedene Standpunkte vertreten und ggf. folgende Fragen beantworten können: Â Welche täglichen Benutzeranforderungen müssen von einem Server erfüllt werden? Bei welchen Aktivitäten sind Serverbenutzer und Arbeitsgruppen auf den Server angewiesen? Wenn der Server in einem Unterrichtsraum verwendet wird, vergewissern Sie sich, dass die Lehrkraft, die seine Dienste verwaltet und für die tägliche Serververwaltung zuständig ist, Rückmeldung liefert. Â Welche Anforderungen an die Benutzerverwaltung müssen erfüllt werden? Sind die Benutzercomputer nicht mit Festplatten ausgestattet und müssen daher mit NetBoot gestartet werden? Sind Macintosh-Client-Verwaltung und Benutzerordner im Netz- werk erforderlich? Personen mit Erfahrungen auf dem Gebiet der Serververwaltung sollten mit Serverbe- nutzern arbeiten, die ggf. wenig oder kein technisches Hintergrundwissen besitzen, damit diese erkennen, inwiefern sie von bestimmten Diensten profitieren können. Â Welche vorhandenen, nicht von Apple stammenden Dienste, wie beispielsweise Active Directory, müssen in den Server integriert werden? Wenn Sie die Absicht hatten, einen Windows NT-Computer zu ersetzen, sollten Sie zu diesem Zweck Mac OS X Server mit seiner weit reichenden, integrierten Unter- stützung für Windows-Clients in Erwägung ziehen. Vergewissern Sie sich, dass sich Administratoren, die mit diesen anderen Systemen vertraut sind, am Planungspro- zess beteiligen. Â Welches sind die Merkmale des Netzwerks, in dem der Server installiert wird? Müssen Sie Netzteile, Switches oder andere Netzwerkkomponenten aktualisieren? Ist es an der Zeit, die Räumlichkeiten zu renovieren oder zu optimieren, in denen Ihre Server untergebracht sind? Eine Person mit System- und Netzwerkkenntnissen kann bei der Klärung dieser Details helfen und das Dokument Mac OS X Server – Erweitertes Arbeitsblatt im Anhang ausfüllen.

Kapitel 2 Planung 27 Identifizieren der zu konfigurierenden Server Führen Sie eine Server-Bestandsaufnahme durch: Â Wie viele Server haben Sie? Â Wie werden sie verwendet? Â Wie können Sie die Verwendung der Server optimieren, die Sie behalten wollen? Â Müssen vorhandene Server außer Betrieb genommen werden? Welche Server kann Mac OS X Server ersetzen? Â Mit welchen nicht von Apple stammenden Servern muss Mac OS X Server integriert werden? Warum? Â Müssen Mac OS X Server-Computer auf Version 10.5 aktualisiert werden? Â Wie viele neue Mac OS X Server-Computer müssen Sie konfigurieren?

Festlegen der Dienste für die einzelnen Server Geben Sie an, welche Dienste Sie auf jedem Mac OS X Server-Computer und auf jedem nicht von Apple stammenden Server ausführen wollen.

Für das Verteilen von Diensten auf Servern benötigen Sie sowohl Kenntnisse über Benutzer-Accounts als auch über Dienste. Hier finden Sie einige Beispiele dafür, wie sich Dienstoptionen und Hardware- und Softwareanforderungen darauf auswirken kön- nen, wie Sie einzelne Server einrichten: Â Implementierungen der Verzeichnisdienste können von der Nutzung von Verzeichnis- sen und der Kerberos-Identifikationsüberprüfung, die von nicht-Apple-Servern bereitgestellt werden, bis zur Einrichtung von Open Directory-Verzeichnissen auf weltweit platzierten Servern reichen. Die Verzeichnisdienste erfordern eine wohldurchdachte Analyse und Planung. Das Handbuch Open Directory – Administration enthält Infor- mationen zu den Optionen und Möglichkeiten. Â Benutzerordner für Netzwerkbenutzer können auf einem Server konsolidiert oder auf verschiedene Server verteilt werden. Sie können Benutzerordner zwar bewegen, müssen dabei jedoch ggf. eine große Zahl von Datensätzen für Benutzer und Netz- werkvolumes ändern. Arbeiten Sie daher eine auf einen längeren Zeitraum ausge- legte Strategie aus. Informationen zu Benutzerordnern finden Sie im Handbuch Benutzerverwaltung. Â Manche Dienste bieten Möglichkeiten, zu steuern, wie viel Festplattenspeicherplatz von einzelnen Benutzern verwendet werden darf. Zum Beispiel können Sie Kontin- gente für Benutzerordner und für E-Mails festlegen. Überlegen Sie, ob die Zuteilung von Kontingenten eine Möglichkeit darstellt, die Festplattennutzung auf einem Server zu optimieren, auf dem Benutzerordner und E-Mail-Datenbanken gespeichert sind. Im Handbuch Benutzerverwaltung wird die Zuteilung von Kontingenten für Benutzerord- ner und E-Mails beschrieben und das Handbuch Mail-Dienste – Administration enthält Informationen zum Zuteilen von Kontingenten für E-Mail-Accounts.

28 Kapitel 2 Planung Â Die Dateitypen, die auf einem Server gespeichert werden sollen, beeinflussen die Überlegungen zu Festplattenkapazitäten. Kreativumgebungen erfordern Massen- speicher mit hohen Kapazitäten, um große Mediendateien zu speichern, während Unterrichtsräume in Grundschulen einen geringeren Speicherbedarf haben. Das Handbuch Dateidienste – Administration enthält Anweisungen zum File-Sharing. Â Wenn Sie einen Server für Streaming-Medien einrichten, sehen Sie genug Speicher- platz auf der Festplatte vor, um eine bestimmte Anzahl Stunden von Video- oder Audio-Streams unterzubringen. Im Handbuch QuickTime Streaming und Broadcasting – Administration finden Sie Angaben zu den Hardware- und Softwareanforderungen sowie ein Konfigurationsbeispiel. Â Die Anzahl der NetBoot-Client-Computer, die Sie mit einem Server verbinden kön- nen, hängt von den Ethernetverbindungen des Servers, der Anzahl der Benutzer, der Größe des verfügbaren Arbeitsspeichers und Festplattenspeichers und anderen Fak- toren ab. Außerdem müssen DHCP-Server verfügbar sein. Auch der DHCP-Dienst muss verfügbar sein. Richtlinien zur Planung der NetBoot-Kapazität entnehmen Sie bitte dem Handbuch System-Imaging und Softwareaktualisierung – Administration. Â Mac OS X Server bietet weit reichende Unterstützung für Windows-Benutzer. Sie kön- nen die Windows-Benutzerunterstützung auf Servern konsolidieren, die PDC-Dienste bereitstellen, oder Sie können Dienste für Windows-Benutzer auf verschiedene Ser- ver verteilen. In den Handbüchern Open Directory – Administration und Dateidienste – Administration werden die verfügbaren Optionen beschrieben. Â Wenn Sie ein Software-RAID verwenden wollen, um einheitenübergreifende Volumes zu verwenden oder Volumes zu spiegeln, benötigen Sie zwei oder mehr Laufwerke (keine FireWire-Laufwerke) auf einem Server. Weitere Informationen finden Sie in der Online-Hilfe zum Festplatten-Dienstprogramm.

Bevor Sie endgültig entscheiden, welche Server bestimmte Dienste bereitstellen sollen, machen Sie sich mit den Informationen in den Administratorhandbüchern der Dienste vertraut, die Sie einsetzen wollen.

Kapitel 2 Planung 29 Definieren einer Migrationsstrategie Wenn Sie Mac OS X Server Version 10.2 bis 10.4 oder einen Windows NT-Server verwenden, prüfen Sie die Möglichkeiten einer Verlagerung von Daten und Einstellungen auf Mac OS X Server Version 10.5.

Aktualisieren und Migrieren von einer älteren Version von Mac OS X Server Wenn Sie Computer mit Mac OS X Server Version 10.2, 10.3 oder 10.4 verwenden, ziehen Sie eine Aktualisierung oder Migration auf eine erweiterte Konfiguration von Mac OS X Server 10.5 Leopard in Betracht.

Möchten Sie die Mac OS X Server Version 10.4 oder 10.3 verwenden und ist eine Verlagerung auf andere Computerhardware nicht notwendig, können Sie auch eine Aktualisierungsinstallation durchführen. Das Aktualisieren ist einfach, weil dabei Ihre bestehenden Einstellungen und Daten erhalten bleiben.

Wenn Sie den Aktualisierungsansatz nicht verwenden können, können Sie Daten und Einstellungen migrieren. Sie müssen in folgenden Fällen eine Migration statt einer Aktualisierung vornehmen: Â Die Festplatte eines Servers mit Version 10.3 oder 10.4 muss neu formatiert werden, da der Server ansonsten die minimalen Systemanforderungen von Leopard Server nicht erfüllt. Weitere Informationen finden Sie im Abschnitt „Systemvoraussetzungen zum Installieren von Mac OS X Server“ auf Seite 17. Â Sie wollen Daten und Einstellungen, die Sie auf einem Server mit Version 10.3 oder 10.4 verwendet haben, auf andere Serverhardware verlagern. Â Sie möchten Daten und Einstellungen verlagern, die Sie auf einem Server mit Version 10.2 verwendet haben.

Die Migration wird von den aktuellsten Versionen von Mac OS X Server 10.4, 10.3 und 10.2 unterstützt. Bei der Migration installieren und konfigurieren Sie eine erweiterte Konfiguration von Leopard Server, stellen Dateien von Ihrem alten Server wieder her und nehmen bei Bedarf manuelle Anpassungen vor.

Umfassende Informationen finden Sie im Dokument Aktualisieren und Migrieren.

Migrieren von Windows NT Eine erweiterte Konfiguration von Leopard Server kann Benutzern von Computern mit Microsoft Windows 95, 98, ME, XP, NT 4 und 2000 eine Vielzahl unterschiedlicher Dien- ste bereitstellen. Durch die Bereitstellung dieser Dienste ist Leopard Server auch in der Lage, Windows NT-Server in Umgebungen mit kleineren Arbeitsgruppen zu ersetzen.

Informationen zum Migrieren von Benutzern, Gruppen, Dateien und mehr von einem Windows NT-Server auf Mac OS X Server finden Sie im Dokument Aktualisieren und Migrieren.

30 Kapitel 2 Planung Definieren einer Integrationsstrategie Bei der Integration von Mac OS X Server in eine heterogene Umgebung sind zwei Aspekte zu berücksichtigen: Â Das Konfigurieren von Mac OS X Server zur Nutzung vorhandener Dienste Â Das Konfigurieren von nicht von Apple stammenden Computern zur Nutzung von Mac OS X Server

Beim ersten Aspekt geht es vor allem um die Integration der Verzeichnisdienste. Geben Sie an, welche Mac OS X Server-Computer vorhandene Verzeichnisse (wie beispielsweise Active Directory-, LDAPv3- und NIS-Verzeichnisse) und bestehende Konfigurationen zur Identifikationsüberprüfung (wie beispielsweise Kerberos) verwenden. Optionen und Anweisungen finden Sie im Handbuch Open Directory – Administration. Für die Integra- tion ist es möglicherweise nur erforderlich, eine Option im Programm „Verzeichnisdien- ste“ zu aktivieren. Unter Umständen müssen Sie aber auch vorhandene Dienste und Mac OS X Server-Einstellungen anpassen.

Beim zweiten Aspekt geht es im Wesentlichen darum zu ermitteln, welche Unterstüt- zung Mac OS X Server für Windows-Benutzer bieten soll. In den Handbüchern Datei- dienste – Administration und Open Directory – Administration werden die verfügbaren Optionen beschrieben.

Definieren physischer Infrastrukturanforderungen Ermitteln Sie, ob Sie vor der Installation und Konfiguration von Servern Anpassungen am Standort oder an der Netzwerktopologie vornehmen müssen. Â Wer verwaltet den Server und welche Art von Serverzugriff benötigen Administratoren? Server in Unterrichtsräumen müssen u. U. für Lehrkräfte gut zugänglich sein, wäh- rend Server, die netzwerkweite Verzeichnisinformationen bereitstellen, durch Zugangsbeschränkungen in einem Verwaltungsgebäude oder einem zentralen Rechenzentrum gesichert werden sollten. Weil die Verwaltungswerkzeuge von Mac OS X Server die entfernte Serververwaltung uneingeschränkt unterstützen, benötigt ein Serveradministrator nur selten physischen Zugang zu einem Server. Â Bestehen Anforderungen an die Klimatisierung oder Stromversorgung, die erfüllt werden müssen? Diese Art von Informationen finden Sie in der Dokumentation, die zum Lieferumfang der Serverhardware gehört. Â Ziehen Sie die Aktualisierung von Komponenten wie Kabeln, Switches und Netzteilen in Betracht? Jetzt kann dafür ein guter Zeitpunkt sein. Â Sind Ihr TCP/IP-Netzwerk und Ihre TCP/IP-Teilnetzwerke dafür konfiguriert, die Dienste und Server zu unterstützen, die Sie einsetzen wollen?

Kapitel 2 Planung 31 Definieren von Anforderungen an die Server- Konfigurationsinfrastruktur Die Server-Konfigurationsinfrastruktur besteht aus den Diensten und Servern, die früh- zeitig eingerichtet werden müssen, weil andere Dienste oder Server von ihnen abhän- gig sind.

Wenn Sie zum Beispiel Mac OS X Server dazu verwenden, anderen Servern DHCP-, Netzwerkzeit- oder BootP-Dienste zur Verfügung zu stellen, sollten der oder die Server, die diese Dienste zur Verfügung stellen, zuerst eingerichtet werden. Außerdem müssen die betreffende Dienste aktiviert sein. Erst dann sollten die Server eingerichtet werden, die von diesen Diensten abhängig sind. Wenn Sie die Serverkonfiguration automatisieren wollen, indem Sie in einem Verzeichnis gespeicherte Konfigurationsdaten verwenden, müssen sowohl DHCP- als auch Verzeichnisserver eingerichtet werden.

Der Umfang der benötigten Konfigurationsinfrastruktur hängt von der Komplexität Ihres Standorts und Ihren Zielsetzungen ab. Im Allgemeinen sind DHCP, DNS und Ver- zeichnisdienste für mittelgroße und größere Servernetzwerke wünschenswert oder erforderlich: Â Die elementarste Infrastrukturebene umfasst Netzwerkdienste wie DHCP und DNS. Alle Dienste funktionieren besser, wenn DNS im Netzwerk verfügbar ist. Viele Dien- ste setzen sogar DNS für eine einwandfreie Funktion voraus. Wenn Sie keinen DNS- Server bereitstellen, arbeiten Sie mit dem Administrator des DNS-Servers zusammen, den Sie verwenden werden, wenn Sie Ihre eigenen Server einrichten. Die DNS-Erfor- dernisse für einzelne Dienste sind jeweils in den dienstspezifischen Administrations- handbüchern beschrieben. Die Konfiguration von DHCP orientiert sich an der Netzwerktopologie, die Sie verwenden werden. Â Eine weitere wichtige Infrastrukturkomponente sind die Verzeichnisdienste, die dafür benötigt werden, Daten mit Diensten, Servern und Benutzercomputern gemeinsam zu benutzen. Die gängigsten Daten, die Sie gemeinsam benutzen müssen, sind die Daten für Benutzer und Gruppen. Aber auch Konfigurationsdaten wie Aktivierungs- datensätze und weitere Verzeichnisdaten werden gemeinsam genutzt. Eine Verzeichnisdienste-Infrastruktur ist notwendig, wenn Sie eine plattformüber- greifende Identifikationsüberprüfung einrichten wollen und verschiedene Dienste dieselben Namen und Kennwörter gemeinsam benutzen sollen.

Nachfolgend finden Sie ein Beispiel für die Reihenfolge der Schritte zur Konfiguration einer Serverinfrastruktur, die DNS-, DHCP- und Verzeichnisdienste umfasst. Die Dienste können auf demselben Server oder auf verschiedenen Servern eingerichtet werden: 1 Richten Sie den DNS-Server ein. 2 Richten Sie DHCP ein.

32 Kapitel 2 Planung 3 Konfigurieren Sie DHCP dafür, die DNS-Serveradresse anzugeben, sodass sie DHCP- Clients übermittelt werden kann. 4 Richten Sie einen Verzeichnisserver ein, einschließlich eines Windows-PDC-Diensts, wenn nötig. 5 Füllen Sie das Verzeichnis mit Daten wie Benutzern, Gruppen und Benutzerordnern. Dieser Prozess kann zum Beispiel das Importieren von Benutzern und Gruppen, das Konfigurieren von Netzwerkvolumes und verwalteten Einstellungen und Ähnliches umfassen. 6 Konfigurieren Sie DHCP dafür, die Adresse des Verzeichnisservers anzugeben, sodass sie DHCP-Clients übermittelt werden kann.

Ihre speziellen Anforderungen können Änderungen dieser Reihenfolge bedingen. Wenn Sie zum Beispiel VPN-, NAT- oder IP-Firewall-Dienste verwenden wollen, würden Sie ihre Konfiguration im Rahmen der DNS- und DHCP-Konfiguration vornehmen.

Sicherstellen der Verfügbarkeit erforderlicher Serverhardware Möglicherweise ist es angebracht, die Konfiguration eines Servers zurückzustellen, bis die gesamte Hardware installiert ist.

Zum Beispiel empfiehlt es sich, einen Server, dessen Daten Sie spiegeln wollen, erst dann einzurichten, wenn alle Festplattenlaufwerke, die Sie für das Spiegeln von Volumes konfigurieren möchten, verfügbar sind. Sie sollten auch warten, bis ein RAID-Subsystem eingerichtet ist, bevor Sie einen Server für Benutzerordner oder einen anderen, auf diesen Server angewiesenen Server einrichten.

Minimieren der Notwendigkeit für einen Standortwechsel von Servern nach der Konfiguration Versuchen Sie, einen Server an seiner endgültigen Position im Netzwerk (IP-Teilnetz- werk) zu platzieren, bevor Sie ihn zum ersten Mal konfigurieren. Wenn Sie Sorgen wegen eines möglichen unberechtigten oder vorzeitigen Zugriffs während der Konfi- guration haben, können Sie eine Firewall konfigurieren, um den Server während der Fertigstellung seiner Konfiguration zu schützen.

Wenn der Standortwechsel eines Servers nach der Erstkonfiguration nicht zu vermeiden ist, müssen Sie Einstellungen ändern, für die der Standort im Netzwerk bekannt sein muss, bevor der Server verwendet werden kann. Die IP-Adresse und der Hostname des Servers, die beide in Verzeichnissen und Konfigurationsdateien auf dem Server gespeichert sind, müssen z. B. aktualisiert werden.

Kapitel 2 Planung 33 Befolgen Sie beim Standortwechsel eines Servers die folgenden Richtlinien: Â Sorgen Sie dafür, dass der Server nur möglichst kurze Zeit an seinem vorübergehen- den Standort bleibt, um den Umfang der zu ändernden Informationen zu begrenzen. Â Stellen Sie das Konfigurieren von Diensten, die von Netzwerkeinstellungen abhängig sind, so lange zurück, bis der Server seinen endgültigen Standort eingenommen hat. Zu diesen Diensten gehört die Open Directory-Replikation, Apache-Einstellungen (z. B. virtuelle Domains), DHCP und andere Einstellungen der Netzwerkinfrastruktur, von denen andere Computer abhängig sind. Â Warten Sie, bis Sie endgültige Benutzer-Accounts importieren können. Begrenzen Sie die Benutzer-Accounts auf die Nutzung als Test-Accounts, sodass möglichst wenig benutzerspezifische Netzwerkinformationen (z. B. der Speicherort für Benutzerord- ner) nach dem Standortwechsel geändert werden müssen. Â Nach dem Standortwechsel des Servers können Sie dessen IP-Adresse in der System- einstellung „Netzwerk“ ändern (oder das Befehlszeilenprogramm networksetup verwenden). Mac OS X Server verwendet innerhalb weniger Minuten nach der Änderung der IP-Adresse oder des Namens des Servers automatisch das Befehlszeilenprogramm changeip, um Name, Adresse und andere Daten zu aktualisieren, die in der Open Directory-Domain, der lokalen Verzeichnis-Domain und in Konfigurationsdateien zu Diensten auf dem Server gespeichert sind. Möglicherweise müssen Sie Netzwerkkonfigurationen wie die DNS-Einträge des Servers oder die statische DHCP-Zuordnung manuell anpassen. Informationen zum Befehlszeilenprogramm changeip finden Sie auf der zugehörigen man-Seite und im Handbuch Command-Line Administration. Â Konfigurieren Sie die Suchrichtlinien von Computern (z. B. Benutzercomputer und DHCP-Server) neu, die für die Nutzung des Servers an seinem ursprünglichen Stand- ort konfiguriert wurden.

Festlegen von Richtlinien für die Datensicherung und -wiederherstellung Irgendwann kommt es bei allen Speichersystemen zu einem Ausfall. Ihre Daten und Konfigurationseinstellungen können durch Verschleißerscheinungen der Geräte, Unfälle oder Unglücke verloren gehen. Bevor Sie ein Datensystem installieren, sollten Sie einen Plan ausarbeiten, wie der Datenverlust verhindert oder begrenzt werden kann.

34 Kapitel 2 Planung Informationen zu Richtlinien für die Datensicherung und -wiederherstellung Zahlreiche Gründe sprechen dafür, eine Richtlinie für die Datensicherung und -wiederherstellung auszuarbeiten. Ihre Daten können durch Materialverschleiß, Naturkatastro- phen oder menschliches Versagen oder einfach durch Beschädigung verloren gehen. Bestimmte Arten von Datenverlust können nicht verhindert werden, doch mithilfe eines Plans für die Datensicherung und -wiederherstellung können Sie Ihre Daten wieder verfügbar machen.

Diese Richtlinien für die Datensicherung und -wiederherstellung müssen an Ihre Situa- tion, Anforderungen und eigene Einschätzung dazu angepasst werden, welche Daten wie oft gesichert werden sollen und wie viel Zeit und Mühe in die Wiederherstellung investiert werden soll.

Datensicherungen bedeuten eine zeitliche und finanzielle Investition und erfordern Verwaltungsaufwand und meist auch Rechenleistung. Im Gegenzug profitieren Sie von klaren Vorteilen in Bezug auf die Datenintegrität. Sie können bedeutende finanzielle, rechtliche und unternehmerische Nachteile vermeiden, indem Sie eine gut durchdachte Richtlinie für die Datensicherung und -wiederherstellung umsetzen. In diesen Richtlinien werden die Verfahren und Vorgehensweisen genannt, mit denen sich Ihre Anforderungen an die Datenwiederherstellung erfüllen lassen.

Es gibt drei Hauptgründe für eine Datenwiederherstellung: Â Wiederherstellung einer gelöschten oder beschädigten Datei Â Wiederherstellung bei Festplattenausfall (oder wenn Dateien durch ein Unglück gelöscht wurden) Â Archivierung von Daten für bestimmte Anforderungen des Unternehmens (finanziell, rechtlich etc.)

Jeder Grund für eine Datenwiederherstellung bedingt eine bestimmte Art, Häufigkeit und Methode für die Sicherung Ihrer Daten.

Möglicherweise empfiehlt es sich für Sie, jeden Tag eine Datensicherung aller Dateien zu erstellen. Dadurch lassen sich einzelne überschriebene oder gelöschte Dateien rasch wiederherstellen. In einem solchen Fall ist eine tägliche Granularität auf Dateiebene gegeben: Jede einzelne Datei kann am folgenden Tag wiederhergestellt werden.

Kapitel 2 Planung 35 Auch andere Granularitätsebenen sind möglich. Beispielsweise kann es erforderlich sein, die Daten eines gesamten Tags in einem Schritt wiederherzustellen. Hierbei handelt es sich um eine tägliche Granularität auf Schnappschussebene: Sie können die gesamten Daten Ihres Unternehmens mit dem Status eines bestimmten Tages wiederherstellen. Es ist u. U. nicht zweckmäßig, diese täglichen Schnappschüsse während der gesamten Existenzdauer des Unternehmens aufzubewahren. Ziehen Sie daher in Betracht, eine Reihe von sich aktualisierenden Schnappschüssen anzulegen, die jeweils für den vorangegangenen Monat eine Granularität auf Schnappschussebene bereitstellen. Als Wiederherstellungszeitraum kann auch ein Vierteljahr, halbes Jahr, Jahr usw. gewählt werden.

Möglicherweise benötigen Sie außerdem eine Archivspeicherung, bei der Daten gespeichert und beim Eintreten ungewöhnlicher Umstände abgerufen werden kön- nen. Die Archivspeicherung kann permanent erfolgen, d. h., die Daten werden für die absehbare Zukunft gespeichert.

Ihr Unternehmen muss Folgendes festlegen: Â Welche Daten müssen gesichert werden? Â Welche Granularität ist für die Wiederherstellung erforderlich? Â Wie oft wird die Datensicherung ausgeführt? Â Wie ist die Verfügbarkeit der Daten (wie viel Zeit wird für die Wiederherstellung benötigt?) Â Welche Prozesse sind vorhanden, um im Falle eines Unglücks während einer Datensi- cherung oder Wiederherstellung einen Datenverlust zu vermeiden?

Die Antworten auf diese Fragen sind bei der Ausarbeitung Ihrer Richtlinie für die Datensicherung und Wiederherstellung äußerst wichtig.

Informationen zu verschiedenen Datensicherungstypen Es gibt zahlreiche verschiedene Typen von Datensicherungsdateien (nachfolgend er- klärt), die sich jeweils in verschiedene Formate und Methoden unterteilen lassen. Jeder Datensicherungstyp dient einem anderen Zweck und erfüllt andere Anforderungen. Â Vollständige Image-Dateien: Bei vollständigen Image-Dateien handelt es sich um Datenkopien auf Byte-Ebene. Sie erfassen den gesamten Status der Festplatte bis hin zur grundlegendsten Speichereinheit. Bei dieser Datensicherung werden auch Kopien des Dateisystems auf der Festplatte und des nicht genutzten oder gelösch- ten Teils der jeweiligen Festplatte erstellt. Sie können für eine genaue Untersuchung des Quellenvolumes verwendet werden. Durch diese Genauigkeit wird die Wieder- herstellung einzelner Dateien häufig etwas mühsamer. Die Sicherungskopien werden meist komprimiert und nur zur Wiederherstellung der gesamten Dateigruppe dekomprimiert.

36 Kapitel 2 Planung Â Vollständige Kopien auf Dateiebene: Bei vollständigen Kopien auf Dateiebene handelt es sich um Sicherungskopien, die als Duplikate aufbewahrt werden. Die genauen Details nicht genutzter Teile des Quellenvolumes werden hierbei nicht erfasst, doch es wird eine umfassende Kopie der Dateien zum Zeitpunkt der Datensicherung erstellt. Ändert sich eine einzelne Datei, wird bei der nächsten vollständigen Daten- sicherung auf Dateiebene neben der geänderten Datei auch die gesamte Daten- gruppe kopiert. Â Inkrementelle Datensicherung: Bei einer inkrementellen Datensicherung werden Kopien auf Dateiebene erstellt, jedoch nur die Dateien kopiert, die sich seit der letzten Datensicherung geändert haben. Der Vorteil hierbei ist ein geringerer Speicher- bedarf und die zeitnahe Sicherung aller Änderungen. Â Schnappschüsse: Schnappschüsse stellen eine Kopie von Daten zu einem früheren Zeitpunkt dar. Schnappschüsse werden von Dateinsammlungen oder häufiger von Links zu anderen Dateien innerhalb einer gesicherten Dateigruppe erstellt. Sie eignen sich zum Anlegen von Sicherungskopien von Daten, die sich schnell und häufig ändern, etwa aktive Datenbanken oder Mail-Server, die E-Mails senden und empfangen.

Diese Datensicherungstypen schließen sich nicht gegenseitig aus. Sie zeigen lediglich verschieden Ansätze auf, wie Daten zu Sicherungszwecken kopiert werden können. Time Machine von Mac OS X verwendet beispielsweise eine vollständige Kopie auf Datei- ebene für die grundlegende Datensicherung und erstellt mithilfe der inkrementellen Datensicherung Schnappschüsse der Daten des Computers an einem bestimmten Tag.

Informationen zum Planen von Datensicherungen Für die Datensicherung sind Zeit und Ressourcen erforderlich. Bevor Sie sich für einen Datensicherungsplan entscheiden, bedenken Sie die folgenden Punkte: Â Wie viele Daten sollen gesichert werden? Â Wie viel Zeit wird die Datensicherung in Anspruch nehmen? Â Wann soll die Datensicherung ausgeführt werden? Â Welche weiteren Aufgaben soll der Computer währenddessen ausführen? Â Welche Art der Ressourcen-Zuweisung wird erforderlich sein? Wie viel Netzwerkbandbreite ist z. B. für die Verarbeitung erforderlich? Wie viel Spei- cherplatz auf Sicherungsvolumes oder wie viele Sicherungsbänder werden benötigt? Wie stark werden die Systemressourcen durch die Datensicherung ausgelastet? Welche Mitarbeiter müssen dafür eingesetzt werden?

Sie werden feststellen, dass die Antworten auf diese Fragen je nach Datensicherungs- typ anders ausfallen. Für eine inkrementelle Datensicherung wird beispielsweise weniger Zeit benötigt und es werden weniger Daten kopiert als bei einer vollständigen Dateikopie (da sich seit der letzten Datensicherung jeweils nur ein Bruchteil einer Datengruppe geändert haben wird).

Kapitel 2 Planung 37 Aus diesem Grund kann eine inkrementelle Datensicherung u. U. während der normalen Nutzungszeit stattfinden, da die Auswirkungen auf Benutzer und Systeme ggf. sehr gering sind. Eine Datensicherung mit einer vollständigen Image-Datei kann dagegen für Benutzer und Systeme sehr starke Auswirkungen haben, wenn sie während der normalen Nutzungszeit ausgeführt wird.

Auswählen eines Rotationsschemas für die Sicherung Ein Rotationsschema für die Sicherung bestimmt die effizienteste Möglichkeit zum Sichern von Daten über einen bestimmten Zeitraum hinweg. Ein Beispiel eines Rota- tionsschemas ist das Schema „Großvater-Vater-Sohn“. Bei diesem Schema führen Sie inkrementelle tägliche Datensicherungen (Sohn) aus sowie vollständige wöchentliche (Vater) und monatliche Sicherungen (Großvater).

Beim Rotationsschema „Großvater-Vater-Sohn“ bestimmt die Anzahl der Speicherme- dien (Systeme), die Sie für die Sicherung verwenden, wie lang der Sicherungszyklus ist. Beispiel: Wenn Sie acht Sicherungsysteme für tägliche Sicherungen verwenden, verfü- gen Sie über einen Sicherungszyklus von acht Tagen, da der Rotationszyklus nach acht Tagen von neuem beginnt und das älteste Speichermedium überschrieben wird.

Informationen zur Datenwiederherstellung Keine Richtlinie oder Lösung für die Datensicherung ist vollständig ohne begleitende Pläne für die Datenwiederherstellung. Je nachdem, was wiederhergestellt wird, verwenden Sie verschiedene Vorgehensweisen und Verfahren. Möglicherweise gelten in Ihrem Unternehmen z. B. bestimmte Toleranzwerte dafür, wie lange wichtige Systeme nicht zur Verfügung stehen können, während Daten wiederhergestellt werden.

Machen Sie sich zu den folgenden Punkten Gedanken: Â Wie lange dauert es, um auf jeder Granularitätsebene Daten wiederherzustellen? Wie lange dauert z. B. die Wiederherstellung einer gelöschten Datei oder E-Mail? Wie viel Zeit nimmt die Wiederherstellung einer vollständigen Image-Datei der Festplatte in Anspruch? Wie lange würde es dauern, um das gesamte Netzwerk in dem Status von vor drei Tagen wiederherzustellen? Â Welcher Prozess ist für die einzelnen Wiederherstellungstypen jeweils am effektivsten? Warum sollte z. B. für nur eine verlorene Datei der gesamte Server zurückgesetzt werden? Â Wie groß ist der Aufwand seitens des Administrators für jeden Wiederherstellungs- typ? Wie viele Automatisierungen müssen ausgearbeitet werden, um den Zeitauf- wand für den Administrator zu verkürzen? Â Unter welchen Umständen werden die Wiederherstellungen gestartet? Wer und was kann eine Wiederherstellung aus welchen Gründen starten?

38 Kapitel 2 Planung Die Vorgehensweisen und Verfahren der Wiederherstellung müssen regelmäßig über- prüft werden. Eine Sicherungskopie einer Datengruppe, deren korrekte Wiederher- stellung nicht überprüft wurde, kann nicht als zuverlässige Datensicherung gelten. Die Integrität von Datensicherungen wird im Bezug auf die Zuverlässigkeit der Wiederherstellung angegeben.

Definieren eines Mechanismus zur Überprüfung der Sicherung Eine Sicherung bringt keinen Nutzen, wenn Sie damit keine verloren gegangenen Daten wiederherstellen können. Sie sollten die regelmäßige Ausführung von Testwie- derherstellungen in Ihre Strategie aufnehmen. Einige Drittanbieter von Software unter- stützen diese Funktionalität. Wenn Sie jedoch eigene Sicherungslösungen verwenden, müssen Sie die erforderlichen Testverfahren selbst entwickeln.

Weitere Überlegungen zu Richtlinien für die Datensicherung Bedenken Sie bei der Auswahl Ihrer Richtlinie für die Datensicherung die folgenden weiteren Punkte: Â Soll eine Dateikomprimierung verwendet werden? Wenn ja, welche? Â Werden Datensicherungen und Archive am Unternehmensstandort und an einem anderen Standort aufbewahrt? Â Sind hinsichtlich der Art der gespeicherten Daten bestimmte Überlegungen notwendig? Kann das Sicherungsprogramm z. B. bei Mac OS X-Dateien Metadaten, Resource- Forks und Berechtigungen für Zugriffssteuerungslisten sichern?

Auswählen des Medientyps für die Datensicherung Mithilfe der folgenden Faktoren können Sie ermitteln, welchen Medientyp Sie verwenden sollten: Â Kosten. Sie können den Medientyp anhand der Kosten pro GB auswählen. Sind Ihre Speicheranforderungen beschränkt, können Sie höhere Kosten pro GB rechtfertigen. Benötigen Sie dagegen viel Speicherplatz, werden Kosten bei Ihrer Entscheidung zu einem wichtigen Faktor. Eine der kosteneffizientesten Speicherlösungen ist ein Festplatten-RAID-System. Es bietet nicht nur geringe Kosten pro GB, sondern erfordert auch keine speziellen Schritte wie andere kosteneffiziente Speichertypen (z. B. Bandlaufwerke). Â Kapazität. Wenn Sie nur kleine Datenmengen sichern, sind Speichermedien mit einer geringen Speicherkapazität ausreichend. Wenn Sie jedoch große Datenmen- gen sichern müssen, sollten Sie Geräte mit einer hohen Kapazität verwenden, wie z. B. ein RAID-System. Â Geschwindigkeit. Wenn Ihr Server die meiste Zeit verfügbar sein soll, ist die Geschwindigkeit bei der Wiederherstellung ein wichtiger Faktor für die Entschei- dung für den gewünschten Medientyp. Bandsicherungssysteme können zwar sehr kosteneffizient sein, sie sind aber wesentlich langsamer als ein RAID-System.

Kapitel 2 Planung 39 Â Zuverlässigkeit. Zu einer guten Sicherungsstrategie gehört eine erfolgreiche Wie- derherstellung. Wenn Sie nicht in der Lage sind, verloren gegangene Daten wiederherzustellen, ist der Aufwand für die Sicherung von Daten zwecklos. Außerdem wird die Verfügbarkeit Ihres Servers beeinträchtigt. Deshalb ist es wichtig, dass Sie äußerst zuverlässige Medien verwenden, um Daten- verluste zu verhindern. Bänder sind z. B. zuverlässiger als Festplatten, da sie keine beweglichen Teile enthalten. Â Archivierungszeitraum. Sie wissen nie, wann Sie die gesicherten Daten benötigen. Wählen Sie deshalb Medien mit hoher Lebensdauer. Staub, Feuchtigkeit und andere Faktoren können Speichermedien beschädigen, was zu Datenverlusten führen kann.

Sicherungs- und Wiederherstellungsprogramme für die Befehlszeile Mac OS X Server bietet mehrere Programme für die Sicherung und Wiederherstellung von Daten, die über die Befehlszeile ausgeführt werden können: Â rsync. Verwenden Sie diesen Befehl, um eine Sicherungskopie Ihrer Daten mit dem Original synchron zu halten. Der Befehl rsync kopiert nur die jeweils geänderten Dateien. Â ditto. Mit diesem Befehl können Sie vollständige Sicherungen ausführen. Â asr. Mit diesem Befehl können Sie ein vollständiges Volume sichern und wiederherstellen.

Weitere Informationen zu diesen Befehlen finden Sie im Handbuch Command-Line Administration.

Die Funktion „Time Machine“ von Leopard wird für die Datei- und Systemsicherung von Servern mit erweiterten Konfigurationen nicht empfohlen.

Hinweis: Mit dem Befehl launchdctl können Sie die Datensicherung unter Verwen- dung der zuvor genannten Befehle automatisieren. Weitere Informationen zur Verwen- dung des Befehls launchd finden Sie im Handbuch Command-Line Administration.

40 Kapitel 2 Planung 3 Verwaltungsprogramme 3

Sie verwalten Mac OS X Server mit Programmen, die mithilfe der grafischen Oberfläche oder per Befehlszeile gesteuert werden.

Die Programme von Mac OS X Server bieten verschiedene Ansätze für die Serververwaltung: Â Sie können Server lokal (d. h. unmittelbar am Server, mit dem Sie arbeiten) oder per Fernzugriff verwalten, also an einem anderen Server, einem Mac OS X-Computer oder einer UNIX Workstation. Â Programme mit grafischer Benutzeroberfläche wie das Programm „Server-Admin“ und der Arbeitsgruppenmanager bieten eine besonders benutzerfreundliche Ver- waltungsfunktionalität und sichere Kommunikation bei der Serververwaltung per Fernzugriff. Sie können diese Programme auf einem Mac OS X Server (sie befinden sich im Ordner „/Programme/Server“) oder einem Mac OS X-Computer verwenden, auf dem Sie sie gemäß der Beschreibung im Abschnitt „Konfigurieren eines Administrator- computers“ auf Seite 161 installiert haben. Â Für Administratoren, die eine befehlszeilengesteuerte Serververwaltung anderen Arbeitsweisen vorziehen, sind Befehlszeilenprogramme verfügbar. Für die ferne Serververwaltung können Sie Befehle in einer SSH-Sitzung (Secure Shell) übermitteln. Sie können Befehle an Mac OS X Server-Computern und Mac OS X-Com- putern über das Programm „Terminal“ eingeben. Dieses befindet sich im Ordner „/Programme/Dienstprogramme“. Sie können Befehle auch von einem anderen Com- puter (d. h. keinem Macintosh-Computer) übermitteln, sofern dieser entsprechend der Beschreibung in „Verwenden eines anderen Computers (kein Mac OS X) für die Ver- waltung“ auf Seite 162 konfiguriert ist.

41 Programm „Server-Admin“ Mit dem Programm „Server-Admin“ verwalten Sie die Server auf einem oder mehreren Mac OS X Server-Computern. Im Programm „Server-Admin“ können Sie Einstellungen angeben, die mehrere Dienste unterstützen, z. B. Erstellen und Verwalten von SSL-Zerti- fikaten, Verwalten von File-Sharing-Diensten und die Angabe, welche Benutzer und Gruppen auf bestimmte Dienste Zugriff erhalten sollen.

Informationen zur Verwendung des Programms „Server-Admin“ zum Verwalten von Diensten finden Sie in den jeweiligen Administrationshandbüchern sowie in den Online-Informationen, die Sie über das Menü „Hilfe“ im Programm „Server-Admin“ öffnen können.

Informationen zur Verwendung des Programms „Server-Admin“ für die Verwaltung von Diensten finden Sie in den einzelnen Administrationshandbüchern und in folgenden Hilfethemen.

Öffnen des Programms „Server-Admin“ Das Programm „Server-Admin“ ist im Ordner „/Programme/Server“ installiert. Von dort aus kann es im Finder geöffnet werden. Zum Öffnen des Programms „Server-Admin“ können Sie auch auf das Symbol für „Server-Admin“ im Dock oder auf die Taste „Admin“ in der Symbolleiste des Arbeitsgruppenmanagers klicken.

Wenn Sie einen Server auswählen möchten, mit dem Sie arbeiten wollen, geben Sie im Anmeldefenster die IP-Adresse oder den DNS-Namen ein. Alternativ können Sie auch auf „Verfügbare Server“ klicken, um aus einer Liste von Servern auszuwählen. Geben Sie den Benutzernamen und das Kennwort für einen Serveradministrator ein, und klicken Sie dann auf „Verbinden“.

42 Kapitel 3 Verwaltungsprogramme Oberfläche des Programms „Server-Admin“ Die Oberfläche des Programms „Server-Admin“ ist hier dargestellt. Die einzelnen Elemente werden in der folgenden Tabelle erläutert.

A B

F E C

K L M N

A Serverliste: Zeigt Server, Gruppen, intelligente Gruppen und, falls erwünscht, die verwalteten Dienste für die einzelnen Server an. Sie wählen eine Gruppe aus, um eine Statuszusammenfassung für alle gruppierten Computer anzuzeigen. Sie wählen einen Computer aus, um die Serverkomponenten in der Übersicht und die Serverein- stellungen einzublenden. Sie wählen einen Serverdienst aus, um den Dienst zu steuern und zu konfigurieren. B Kontexttasten: Zeigen die verfügbaren Informationen und Konfigurationsfenster an. C Symbolleiste: Zeigt die verfügbaren Kontexttasten an. Wenn eine Taste grau dargestellt wird oder durch Klicken nicht ausgewählt werden kann, verfügen Sie nicht über die Verwaltungs- berechtigungen für einen Zugriff. D Hauptarbeitsbereich: Zeigt Status- und Konfigurationsoptionen an. Dieser Bereich sieht für jeden Dienst und für jede ausgewählte Taste anders aus. E Verfügbare Server: Scannt das lokale Netzwerk, sodass Sie Server erkennen und in der Server- liste hinzufügen können.

Kapitel 3 Verwaltungsprogramme 43 F Alle Server: Zeigt alle Computer unabhängig vom Status an, die Server-Admin hinzugefügt wurden. G Server: Zeigt den Hostnamen des verwalteten Servers an. Wählen Sie diese Option aus, um die Hardware, das Betriebssystem, den aktiven Dienst und die Zusammenfassung des Systemstatus anzuzeigen. H Dienst: Zeigt einen verwalteten Dienst für einen bestimmten Server an. Wählen Sie diese Option, um den Dienststatus, die Protokolle und die Konfigurationsoptionen abzurufen. I Gruppe: Zeigt eine vom Administrator erstellte Servergruppe an. Wählen Sie diese Option, um eine Statuszusammenfassung für alle gruppierten Computer anzuzeigen. Weitere Informationen hierzu finden Sie im Abschnitt „Manuelles Gruppieren von Servern“ auf Seite 165. J Intelligente Gruppe: Zeigt eine automatische Gruppe an, die aus Servern besteht, die zuvor festgelegte Kriterien erfüllen. Weitere Informationen hierzu finden Sie im Abschnitt „Gruppieren von Servern mithilfe von intelligenten Gruppen“ auf Seite 166. K Taste „Hinzufügen“: Zeigt ein Einblendmenü mit Objekten an, die der Serverliste hinzugefügt werden: Server, Gruppen und intelligente Gruppen. L Taste „Aktion“: Zeigt ein Einblendmenü mit Aktionen an, die für einen ausgewählten Dienst oder Server möglich sind, u. a. Trennen des Servers, gemeinsame Nutzung des Serverbildschirms usw. M Taste „Aktualisieren“: Ermöglicht das Senden einer Statusanfrage an alle Computer in der Serverliste. N Taste zum Starten/Stoppen von Diensten: Wenn ein Dienst ausgewählt wird, können Sie ihn mit dieser Taste je nach Bedarf starten oder anhalten. O Aktionsleiste: Zeigt Tasten und Einblendmenüs mit Befehlen für ausgewählte Server oder Dienste der Serverliste. Klicken Sie hier, um vorgenommene Änderungen an den Einstellungen zu sichern oder zurückzusetzen. Dazu gehören die Taste „Hinzufügen“, die Taste „Aktion“, die Tasten zum Starten und Anhalten der Tasten sowie die Tasten zum Sichern und Zurücksetzen.

Anpassen der Umgebung des Programms „Server-Admin“ Für die Steuerung der Umgebung des Programms „Server-Admin“ stehen Ihnen mehrere Optionen zur Verfügung. Â Informationen zum Steuern der Liste mit Diensten finden Sie im Abschnitt „Hinzu- fügen und Entfernen von Diensten im Programm „Server-Admin““ auf Seite 172. Â Zur Steuerung des Erscheinungsbilds der Listen im Programm „Server-Admin“, der Bildwiederholfrequenzen und anderer Verhaltensparameter wählen Sie „Server- Admin“ > „Einstellungen“.

44 Kapitel 3 Verwaltungsprogramme Serverassistent Der Serverassistent wird für folgende Schritte verwendet: Â Ferne Serverinstallation Â Erstkonfiguration eines lokalen Servers Â Erstkonfiguration von entfernten Servern Â Vorbereiten von Daten für die automatische Durchführung einer erweiterten Konfiguration

Der Begrüßungsbildschirm des Serverassistenten ist hier abgebildet.

Das Programm „Serverassistent“ befindet sich im Ordner „/Programme/Server“.

Weitere Informationen zur Verwendung des Serverassistenten finden Sie über die Hilfetasten oder in Kapitel 6 „Server-Erstkonfiguration“ auf Seite 121.

Kapitel 3 Verwaltungsprogramme 45 Arbeitsgruppenmanager Mac OS X Server enthält den Arbeitsgruppenmanager, ein Programm für die Benutzer- verwaltung, mit dem Sie Accounts für Benutzer, Gruppen, Computer und Computer- gruppen erstellen und verwalten können. Sie können damit auch auf das Fenster „Info“ zugreifen, eine erweiterte Funktion, die eine erste Bearbeitung von Open Directory- Einträgen ermöglicht.

Der Arbeitsgruppenmanager ist im Ordner „/Programme/Server“ installiert und kann vom Finder aus geöffnet werden. Sie können den Arbeitsgruppenmanager aber auch öffnen, indem Sie in der Menüleiste „Server-Admin“ auf „Darstellung“ > „Arbeitsgrup- penmanager“ klicken.

Der Arbeitsgruppenmanager arbeitet eng mit einer Verzeichnis-Domain zusammen. Verzeichnis-Domains sind mit Datenbanken vergleichbar, die allerdings speziell auf das Speichern von Account-Informationen und auf Identifizierungsaktivitäten zugeschnitten sind.

Informationen über die Verwendung des Arbeitsgruppenmanagers finden Sie in mehreren Dokumenten: Â Im Handbuch Benutzerverwaltung wird erklärt, wie mithilfe des Arbeitsgruppen- managers Accounts und Einstellungen verwaltet werden. Dieses Handbuch enthält auch Informationen dazu, wie Accounts importiert und exportiert werden. Â Im Handbuch Open Directory – Administration wird die Verwendung der Detail- ansicht beschrieben.

Nachdem Sie den Arbeitsgruppenmanager geöffnet haben, können Sie ein Arbeits- gruppenmanager-Fenster öffnen. Wählen Sie dazu „Server“ > „Neues Arbeitsgruppen- manager-Fenster“.

Wichtig: Wenn Sie eine Verbindung mit einem Server herstellen oder eine Identifizie- rung im Arbeitsgruppenmanager durchführen, müssen Sie sicherstellen, dass die Groß- schreibung des eingegebenen Namens mit dem Namen eines Serveradministrators oder dem Account eines Domain-Administrators übereinstimmt.

46 Kapitel 3 Verwaltungsprogramme Oberfläche des Arbeitsgruppenmanagers Die Oberfläche des Arbeitsgruppenmanagers ist hier dargestellt. Die einzelnen Elemente werden in der folgenden Tabelle erläutert.

A B C

E F

J H

A Server-Admin: Klicken Sie hier, um das Programm „Server-Admin“ zu öffnen. B Tasten für Einstellungen: Klicken Sie auf „Accounts“, um Accounts zu konfigurieren. Klicken Sie auf „Einstellungen“, um Einstellungen festzulegen oder zu bearbeiten. C Symbolleiste: Klicken Sie auf die Symbole, um die verschiedenen Befehle auszuführen. Die Symbolleiste kann angepasst werden. D Verzeichnispfad: Verwenden Sie diesen Pfad, um das Verzeichnis anzuzeigen, das Sie gerade bearbeiten. Klicken Sie auf das Globussymbol, um eine Verzeichnis-Domain auszuwählen. Klicken Sie auf das Schloss, wenn Sie sich identifizieren und anmelden wollen. E Symbole der Eintragstypen: Verwenden Sie diese Symbole, um die Einträge für Benutzer, Gruppen, Computer sowie alle Einträge anzuzeigen. Falls die Detailansicht aktiviert ist, wird auch das Symbol „Detailansicht“ eingeblendet. F Textfilter: Verwenden Sie diese Option, um Text zum Filtern von Eintragsnamen einzugeben. G Eintragsliste: Verwenden Sie diese Liste, um alle Eintragsnamen für einen ausgewählten Eintragstyp anzuzeigen. H Auswahlzeile: Hier wird die Anzahl der gefundenen und ausgewählten Einträge angezeigt.

Kapitel 3 Verwaltungsprogramme 47 I Hauptarbeitsbereich: Verwenden Sie diesen Bereich, um mit Account-, Einstellungs- und Kon- figurationsoptionen zu arbeiten. Dieser Bereich sieht für jeden Benutzer, jede Gruppe und jeden Einstellungstyp anders aus. J Aktionsbereich: Verwenden Sie diesen Bereich, um Änderungen zu sichern und zurückzusetzen und um Vorgaben auf ausgewählte Einträge anzuwenden.

Anpassen der Umgebung des Arbeitsgruppenmanagers Es gibt mehrere Möglichkeiten, die Umgebung des Arbeitsgruppenmanagers auf den jeweiligen Bedarf abzustimmen: Â Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“ aus, um die Einstellungen des Arbeitsgruppenmanagers festzulegen. Sie können Optionen wie DNS-Namensauflösung konfigurieren, falls die Detailan- sicht aktiviert ist, wenn Sie eine Suchabfrage zum Auflisten der Einträge eingeben und wenn sie ermitteln möchten, wie hoch die maximale Anzahl der angezeigten Einträge ist. Â Zum Anpassen der Symbolleiste wählen Sie „Ansicht“ > „Symbolleiste anpassen“. Â Wenn Sie vordefinierte Benutzer und Gruppen in den Benutzer- und Gruppen- listen aufnehmen möchten, wählen Sie „Ansicht“ > „Systembenutzer und Gruppen einblenden“. Â Wenn Sie das Programm „Server-Admin“ öffnen möchten, klicken Sie in der Symbol- leiste auf die Taste „Server-Admin“.

Verzeichnis Das Programm „Verzeichnis“ bietet Benutzern Zugriff auf gemeinsam genutzte Informa- tionen zu Personen, Gruppen, Standorten und Ressourcen innerhalb des Unterneh- mens. Die Benutzer können mit dem Programm „Verzeichnis“ Kontakte gemeinsam nutzen, Gruppendienste einrichten und ihre eigenen Kontaktinformationen verwalten.

Wenn Benutzer Informationen über andere Personen anfordern, erhalten sie neben den eigentlichen Kontaktangaben eine Fülle weiterer Informationen. Wenn die Person ein Bild bereitstellt, sieht der Benutzer, wie er oder sie aussieht. Der Benutzer kann den Vor- gesetzten der Person und ihre Mitarbeiter anzeigen. Außerdem kann der Benutzer die öffentlichen Gruppen anzeigen, denen die Person angehört. Der Benutzer hat auch die Möglichkeit, eine Karte zu drucken, auf dem der Standort der Person eingezeichnet ist.

Das Programm „Verzeichnis“ nutzt mehrere Mac OS X-Programme. So können Benutzer zum Beispiel im Programm „Adressbuch“ Kontakte für die gemeinsame Nutzung anlegen, im Programm „Mail“ durch Klicken auf E-Mail-Adressen Nachrichten senden und in Safari die Gruppen-Webdienste laden, bei denen sie Mitglied sind.

48 Kapitel 3 Verwaltungsprogramme Oberfläche des Programms „Verzeichnis“ Die Oberfläche des Programms „Verzeichnis“ ist hier dargestellt. Die einzelnen Elemente werden in der folgenden Tabelle erläutert.

A B

C D

E F

A Suchfeld: Zum Suchen von Eintragstypen. Links neben den Tasten „Eintragstyp“ werden Zahlen angezeigt, um die Anzahl der übereinstimmenden Einträge anzuzeigen. B Tasten „Eintragstyp“: Klicken Sie hier, um die Art der gewünschten Verzeichniseinträge anzuzeigen. C Ergebnisliste: Hier werden die Ergebnisse der Eintragssuche angezeigt. D Eintragsdarstellung: Hier wird der in der Ergebnisliste ausgewählte Eintrag angezeigt. E Taste „Hinzufügen“: Verwenden Sie diese Taste, um einen Eintrag für eine Person, eine Gruppe, einen Speicherort oder eine Ressource hinzuzufügen. F Taste „Bearbeiten“: Klicken Sie auf diese Taste, um den ausgewählten Eintrag zu bearbeiten.

Kapitel 3 Verwaltungsprogramme 49 Verzeichnisdienste Die Verzeichnisdienste sind das wichtigste Programm zum Einrichten der Verbin- dungen eines Mac OS X-Computers mit Open Directory, Active Directory und anderen Verzeichnis-Domains sowie zum Definieren der Suchbedingungen und der Protokolle für die Diensterkennung, mit denen ein Computer arbeitet.

Die Oberfläche der Verzeichnisdienste wird nachfolgend mit den erweiterten Konfigurationsoptionen beschrieben.

Das Programm „Verzeichnisdienste“ ist auf Mac OS X Server-Computern und Mac OS X- Computern im Ordner „/Programme/Dienstprogramme“ installiert.

Weitere Informationen zur Verwendung der Verzeichnisdienste finden Sie im Hand- buch Open Directory – Administration oder in der Hilfe zu den Verzeichnisdiensten.

50 Kapitel 3 Verwaltungsprogramme Servermonitor Sie verwenden das Programm „Servermonitor“, um lokale oder ferne Xserve-Hardware zu überwachen. Zudem können Sie festlegen, dass Sie E-Mail-Benachrichtigungen erhalten, wenn bestimmte Umstände die Aufmerksamkeit des Administrators erfordern. Das Programm „Servermonitor“ zeigt Informationen über das installierte Betriebssystem, über Laufwerke, über die Stromversorgung, die Temperatur von Gehäuse und Prozessor, den Lüfter, die Sicherheit und das Netzwerk an.

Die Oberfläche des Programms „Servermonitor“ ist unten dargestellt.

Das Programm „Servermonitor“ wird beim Installieren Ihres Servers oder Konfigurieren eines Administratorcomputers im Ordner „/Programme/Server“ installiert. Zum Öffnen des Servermonitors klicken Sie in das Symbol „Servermonitor“ im Dock, oder Sie wählen das Symbol für „Servermonitor“ im Ordner „/Programme/Server“ durch Doppelklicken aus. Wählen Sie im Programm „Server-Admin“ die Option „Ansicht“ > „Servermonitor“.

Sie definieren den zu überwachenden Xserve-Server, indem Sie auf „Server hinzufü- gen“ klicken, den entsprechenden Server auswählen und Benutzernamen und Kenn- wort eines Administrators des Servers angeben.

Verwenden Sie das Einblendmenü „Aktualisierungsintervall“ im Bereich „Information“ um festzulegen, wie oft die Daten aktualisiert werden sollen.

Wählen Sie „Ablage“ > „Exportieren“ bzw. „Ablage“ > „Importieren“ zum Verwalten der verschiedenen Listen mit Xserve-Servern, die Sie überwachen möchten. Wählen Sie „Ablage“ > „Zusammenfügen“, um die Listen zu einer einzigen Liste zusammenzufassen.

Kapitel 3 Verwaltungsprogramme 51 Die Service-LEDs an der Vorder- und Rückseite des Xserve leuchten auf, wenn der Ser- ver gewartet werden muss. Mit dem Programm „Servermonitor“ können Sie herausfin- den, warum die Anzeigen leuchten. Sie können die LED-Anzeigen auch einschalten, um einen bestimmten Xserve-Server in einem Rack zu identifizieren, indem Sie den Server auswählen und im Feld „Information“ in die Option „Service-LED“ klicken.

Klicken Sie auf „Benachrichtigungen bearbeiten“, um den Servermonitor so zu konfigurieren, dass Sie per E-Mail benachrichtigt werden, wenn sich der Status eines Xserve- Servers ändert. Sie können für jeden Server die Bedingungen festlegen, über die Sie benachrichtigt werden möchten. Die betreffende E-Mail kann entweder vom Pro- gramm „Servermonitor“ oder vom Server selbst geschickt werden.

Das Programm „Servermonitor“ erstellt Protokolle der Aktivität des Programms für jeden Xserve-Server. Klicken Sie auf die Option „Protokoll anzeigen“, um ein Protokoll anzuzeigen. Ein Protokoll zeigt zum Beispiel die Anzahl der Versuche des Programms „Servermonitor“ an, eine Verbindung zum Server herzustellen und ob diese Verbin- dung erfolgreich war. Zudem zeigt das Protokoll Veränderungen des Serverstatus an. (Angaben zur Systemaktivität des Servers sind in diesen Protokollen nicht enthalten.)

Zusätzliche Informationen finden Sie in der Servermonitor-Hilfe.

Verwaltung von System-Image-Dateien Sie können die folgenden Mac OS X Server-Programme zum Konfigurieren und Verwal- ten von Image-Dateien für NetBoot und NetInstall verwenden: Â Das System-Image-Dienstprogramm erstellt Mac OS X-Image-Dateien. Es wird mit der Mac OS X Server-Software im Ordner „/Programme/Server“ installiert. Â Das Programm Server-Admin aktiviert und konfiguriert den NetBoot-Dienst und unterstützende Dienste. Es wird mit der Mac OS X Server-Software im Ordner „/Programme/Server“ installiert. Â PackageMaker erstellt Package-Dateien, die Sie zum Hinzufügen zusätzlicher Soft- ware zu Image-Dateien verwenden können. Sie greifen auf PackageMaker über die Xcode-Tools zu. Ein Installationsprogramm für Xcode-Tools befindet sich auf der Ser- ver-Installations-DVD im Ordner „Other Installs“. Â Der Property List Editor bearbeitet Eigenschaftslisten, wie NBImageInfo.plist. Auf den Property List Editor greifen Sie über Xcode-Tools zu.

52 Kapitel 3 Verwaltungsprogramme Die Oberfläche des System-Image-Dienstprogramms ist nachfolgend dargestellt.

Das Handbuch System-Imaging und Softwareaktualisierung – Administration enthält Anweisungen zur Verwendung all dieser Programme.

Verwalten der Streaming-Übertragung von Medien Das Handbuch QuickTime Streaming und Broadcasting – Administration enthält Anwei- sungen zur Verwaltung des QuickTime Streaming Server (QTSS) mit dem Programm „Server-Admin“.

Das Handbuch QuickTime Streaming und Broadcasting – Administration enthält auch eine Beschreibung von QTSS-Publisher, ein Programm für die Verwaltung von Medien- dateien und zum Vorbereiten derselben für das Streaming oder für progressive Ladevorgänge.

Kapitel 3 Verwaltungsprogramme 53 Befehlszeilenprogramme Wenn Sie als Administrator lieber in einer Systemumgebung mit der traditionellen Befehlszeile arbeiten, ist dies mit Mac OS X Server ohne Weiteres möglich.

Vom Programm „Terminal“ in Mac OS X aus können Sie die integrierten UNIX-Shells (sh, csh, tsh, zsh, bash) für die Nutzung von Dienstprogrammen zum Installieren und Konfigurieren von Serversoftware sowie zum Konfigurieren und Überwachen von Diensten verwenden. Sie können auch von einem anderen als einem Mac OS X- Computer aus Befehle übermitteln.

Beim Verwalten von Servern per Fernzugriff können Sie eine sichere Verwaltung durch- führen, indem Sie in einer SSH-Sitzung (Secure Shell) arbeiten.

Im Handbuch Command-Line Administration finden Sie Informationen über das Pro- gramm „Terminal“, SSH, Befehle zur Serververwaltung und Konfigurationsdateien.

Xgrid-Admin Sie können mit Xgrid-Admin lokale oder ferne Xgrid-Controller, -Grids und -Aufträge überwachen. Sie können zu überwachende Controller und Agenten hinzufügen sowie Agenten angeben, die sich dem Grid noch nicht angeschlossen haben. Sie können das Programm „Xgrid-Admin“ auch zum Anhalten, Stoppen oder erneuten Starten von Auf- trägen verwenden.

Die Oberfläche des System-Image-Dienstprogramms ist nachfolgend dargestellt.

54 Kapitel 3 Verwaltungsprogramme Das Programm „Xgrid-Admin“ wird im Ordner „/Programme/Server“ installiert, wenn Sie Ihren Server installieren oder einen Administrator-Computer konfigurieren. Zum Öffnen des Programms „Xgrid-Admin“ wählen Sie das Symbol „Xgrid-Admin“ im Ordner „/Programme/Server“ durch Doppelklicken aus.

Zusätzliche Informationen finden Sie in der Xgrid-Admin-Hilfe.

Apple Remote Desktop Apple Remote Desktop (ARD) kann als zusätzliche Option erworben werden. Es ist ein benutzerfreundliches Programm für die Verwaltung von Netzwerkcomputern. ARD vereinfacht die Konfiguration, Überwachung und Wartung von Computern per Fernzugriff und ermöglicht die Interaktion mit Benutzern.

Die Apple Remote Desktop-Oberfläche ist hier abgebildet.

Sie können das Programm „ARD“ zum Steuern und Beobachten von Computerbildschir- men verwenden. Sie können Computer konfigurieren und Software installieren. Sie können mit einem oder mehreren Benutzern kommunizieren und bei Bedarf Hilfestel- lung leisten. Sie können grundlegende Fehlerbeseitigung im Netzwerk durchführen. Außerdem können Sie Berichte generieren, die bei Computern die Hardwareeigen- schaften und die installierte Software überwachen.

Sie haben zudem die Möglichkeit, mithilfe von ARD die Installation auf einem Com- puter zu steuern, den Sie von einer Installations-DVD für Mac OS X Server Version 10.5 (oder neuer) gestartet haben. Dies ist möglich, weil ARD die Funktion „VNC-Viewer“ bereitstellt.

Weitere Informationen zu Apple Remote Desktop finden Sie im Internet unter der Adresse: www.apple.com/de/remotedesktop/.

Kapitel 3 Verwaltungsprogramme 55

4 Sicherheit 4

Durchdachte Sicherheitsrichtlinien und Vorgehensweisen können die Bedrohung für die Systemintegrität und Daten- sicherheit minimieren.

Mac OS X Server basiert auf einer stabilen UNIX-Grundlage, deren Architektur viele Sicherheitsfunktionen enthält. Modernste, auf Standards basierende Technologien schützen Server, Netzwerk und Daten. Zu diesen Technologien zählen eine integrierte Firewall mit zustandsabhängiger Paketanalyse, sichere Verschlüsselungs- und Identifi- kationsdienste, Architekturen für die Datensicherheit und Unterstützung für Zugriffs- steuerungslisten. Verwenden Sie dieses Kapitel, um sich Anregungen zu holen. Das Kapitel enthält weder genaue Planungsrichtlinien noch die Details, die Sie benötigen, um zu entscheiden, ob eine bestimmte Sicherheitsrichtlinie implementiert werden soll und um deren Ressour- cenanforderungen einzuschätzen. Stattdessen soll dieses Kapitel Sie dabei unterstüt- zen, die in Ihrer Umgebung benötigten Sicherheitsrichtlinien zu planen und zu einzusetzen. Weitere Informationen finden Sie in den Handbüchern Mac OS X Server-Sicherheitskonfi- guration und Mac OS X-Sicherheitskonfiguration.

Physische Sicherheit Die physische Sicherheit eines Servers ist ein Aspekt, der bei der Planung der Sicher- heit von Computern häufig außer Acht gelassen wird. Denken Sie daran, dass alle Per- sonen mit physischem Zugang zu einem Computer (etwa zum Öffnen des Gehäuses, Anschließen einer Tastatur usw.) den Computer und die darauf abgelegten Daten nahezu vollständig steuern können. Ein Benutzer mit physischem Zugang zu einem Computer hat beispielsweise folgende Möglichkeiten: Â Neustarten des Computers von einem anderen externen Laufwerk und Umgehen vorhandener Anmeldemechanismen. Â Entfernen der Festplatten und Verwenden von Analysetechniken für die Daten- wiederherstellung zum Abrufen von Daten. Â Installieren von hardwarebasierten Keyloggern auf der lokalen Administratortastatur.

57 Sie müssen entscheiden, welche Vorsichtsmaßnahmen in Ihrem Unternehmen und in Ihrer Arbeitsumgebung notwendig, effektiv und preislich sinnvoll sind, um den Wert von Daten und Netzwerk zu schützen. In einem Unternehmen, in dem zum Schutz des Serverraums z. B. deckenhohe Wände notwendig sind, sollte auch in Betracht gezogen werden, die zum Raum führenden Lüftungskanäle abzusichern. In anderen Unterneh- men mag dagegen ein abschließbares Server-Rack oder ein Open Firmware-Kennwort ausreichen.

Netzwerksicherheit Die Netzwerksicherheit ist für die Datenintegrität ebenso wichtig wie die physische Sicherheit. Es mag zwar als notwendig erscheinen, einen teuren Server vor Diebstahl zu schützen, eine Einschränkung des Zugriffs auf die Daten auf diesem Server scheint dagegen u. U. weniger wichtig. In den folgenden Abschnitten finden Sie Informationen zu Überlegungen, Techniken und Technologien, die Ihnen dabei helfen, Ihr Netzwerk zu schützen.

Firewalls und Paketfilter Ähnlich wie eine Brandschutzmauer, die als Schutz vor Hitze und Folgeschäden durch Hitzeeinwirkung in einem Gebäude oder für ein Fahrzeug dient, wird eine Netzwerk- Firewall zum Schutz Ihrer Netzwerkdaten eingesetzt, um so unbefugte Datenzugriffe von außen zu verhindern.

Der Firewall-Dienst von Mac OS X Server schützt die Netzwerkprogramme, die auf Ihrem Mac OS X Server-Computer ausgeführt werden.

Die Aktivierung des Firewall-Diensts ist vergleichbar mit dem Einziehen einer Wand als Schutzmaßnahme. Der Firewall-Dienst prüft eingehende IP-Pakete und lehnt diese ab bzw. akzeptiert sie basierend auf von Ihnen festgelegten Regeln.

Sie können den Zugriff auf beliebige auf dem Server ausgeführte IP-Dienste einschrän- ken und die Regeln für alle eingehenden Clients oder für eine Gruppe von Client-IP- Adressen anpassen. Dienste wie Web und FTP werden auf Ihrem Server durch eine TCP- Portnummer (Transmission Control Protocol) oder UDP-Portnummer (User Datagram Protocol) identifiziert. Wenn ein Computer versucht, eine Verbindung zu einem Dienst herzustellen, überprüft der Firewall-Dienst die Regelliste auf eine übereinstimmende Portnummer. Stimmt eine Regel mit der Paketübertragung in der Verbindung überein, wird die in der Regel angegebene Aktion (etwa Erlauben oder Ablehnen) ausgeführt. Je nach Aktion werden dann ggf. weitere Regeln überprüft.

58 Kapitel 4 Sicherheit Netzwerk-DMZ Im Bereich der Netzwerksicherheit ist eine demilitarisierte Zone (DMZ) ein Netzwerk- bereich (ein Teilnetzwerk), der sich zwischen dem internen Netzwerk eines Unter- nehmens und einem externen Netzwerk wie dem Internet befindet.

Verbindungen zwischen dem internen und dem externen Netzwerk zur DMZ werden zugelassen, jedoch keine Verbindungen von der DMZ zum internen Netzwerk (diese sind auf das externe Netzwerk beschränkt). Dadurch erhält ein Unternehmen die Mög- lichkeit, dem externen Netzwerk Dienste bereitzustellen und das interne Netzwerk gleichzeitig vor der Gefährdung eines Hosts in der DMZ zu schützen. Gefährdet ein Benutzer einen DMZ-Host, kann der Benutzer keine Verbindung zum internen Netz- werk herstellen.

Die DMZ wird häufig für die Verbindung von Servern verwendet, auf die vom externen Netzwerk oder Internet zugegriffen wird, wie Mail-, Web- und DNS-Server.

Verbindungen vom externen Netzwerk zur DMZ werden meist mithilfe von Firewalls und NAT (Network Address Translation) gesteuert. Eine DMZ kann über die Firewall- Konfiguration erstellt werden: jedes Netzwerk ist mit einem anderen Port der Firewall verbunden. Diese Konfiguration wird als „Three-Legged“ oder „dreiarmige“ Firewall- Konfiguration bezeichnet. Der Vorteil hierbei ist die einfache Konfiguration, als Nachteil gilt aber der SPoF (Single Point of Failure).

Ein anderer Ansatz besteht in der Verwendung zweier Firewalls, mit der DMZ in der Mitte und einer Verbindung von der DMZ zu beiden Firewalls. Eine Firewall ist dabei mit dem internen Netzwerk und die andere mit dem externen Netzwerk verbunden. Dadurch lassen sich zusätzlich versehentliche Fehlkonfigurationen verhindern, die den Zugriff vom externen auf das interne Netzwerk ermöglichen. Diese Art der Kon- figuration wird als „Screened-Subnet-Firewall“ bezeichnet.

VLANs Mac OS X Server stellt 802.1q-VLAN-Unterstützung (Virtual Local Area Network) für die Ethernetanschlüsse und sekundären PCI-Gigabit-Ethernetkarten bereit, die mit Xserve- Computern verfügbar sind oder geliefert werden.

VLAN ermöglicht die Kommunikation mehrerer Computer in verschiedenen lokalen Netzwerken, als befänden sie sich im selben Netzwerk. Zu den Vorteilen zählen eine effizientere Nutzung der Netzwerkbandbreite und eine höhere Sicherheit, da Broadcast- oder Multicast-Verkehr nur an Computer im allgemeinen Netzwerksegment gesendet wird. Xserve G5-VLAN-Unterstützung entspricht dem IEEE-Standard 802.1q.

Kapitel 4 Sicherheit 59 MAC-Filterung Die MAC-Filterung (oder Layer 2-Adressfilterung) bezieht sich auf eine Zugriffskontrolle, bei der der Zugriff auf das Netzwerk mittels der MAC-Adresse oder Ethernetadresse (die jeder Netzwerkschnittstelle zugewiesene 42-Bit-Adresse) bestimmt wird.

MAC-Adressen sind für jede Karte eindeutig. Bei Verwendung der MAC-Filterung in einem Netzwerk wird also der Netzwerkzugriff für bestimmte Geräte erlaubt oder abgelehnt und nicht für bestimmte Benutzer oder bestimmte Arten des Netzwerkverkehrs. Anhand einer MAC-Adresse werden keine einzelnen Benutzer identifiziert, sondern nur ein Gerät. Eine berechtigte Person muss daher über eine Liste der zugelassenen Geräte verfügen, die sie zum Zugriff auf das Netzwerk verwenden kann. Theoretisch ermöglicht es die MAC-Filterung einem Netzwerkadministrator, Hosts und Geräten, die der MAC-Adresse zugeordnet sind, den Netzwerkzugriff zu erlauben oder zu verweigern. In der Praxis gibt es jedoch Methoden, diese Form der Zugriffssteue- rung durch Adressmanipulation (Spoofing) oder durch den physischen Austausch von Netzwerkkarten zwischen Hosts zu umgehen.

Transportverschlüsselung Zu einer sicheren Übertragung von Daten in einem Netzwerk gehört die Verschlüsse- lung von Paketinhalten, die zwischen zwei Computern ausgetauscht werden. Mac OS X Server kann die Protokolle TLS (Transport Layer Security) und dessen Vorgänger SSL (Secure Sockets Layer) als kryptografische Protokolle bereitstellen, die für eine sichere Kommunikation im Internet beim Surfen, beim Austauschen von E-Mails und anderen Arten der Datenübertragung sorgen.

Dank dieser Verschlüsselungsprotokolle können Client- und Serverprogramme auf eine Weise kommunizieren, die unerlaubtes Abhören, Zugreifen und Fälschen von Daten und Nachrichten verhindert. Das TLS-Protokoll bietet eine Identifizierung der Endgeräte und den Schutz der Kommunikation im Internet mithilfe einer Verschlüsselung. Diese verschlüsselten Verbindungen identifizieren den Server (sodass dessen Identität sichergestellt ist), doch der Client wird nicht identifiziert. Wenn Sie eine gegenseitige Iden- tifizierung benötigen (bei der jede Seite der Verbindung die Identität der anderen Seite überprüft), müssen Sie eine Infrastruktur des öffentlichen Schlüssels (Public Key Infrastructure) auf den verbundenen Clients nutzen.

Mac OS X Server nutzt OpenSSL und hat die Transportverschlüsselung in die folgenden Werkzeuge und Dienste integriert: Â SSH Â VPN Â Webdienste Â Mail-Dienste Â Verzeichnisdienste Â iChat-Server

60 Kapitel 4 Sicherheit Payload-Verschlüsselung Anstatt die Übertragung einer Datei im Netzwerk zu verschlüsseln, können Sie den Inhalt der Datei verschlüsseln. Sicher verschlüsselte Dateien können zwar bei der Über- tragung abgefangen werden, sind jedoch unleserlich. Bei der Transportverschlüsselung müssen meist beide, sowohl Absender als auch Empfänger, an der Transaktion teilnehmen. Einige Dienste (etwa der SMTP-Mail-Dienst) können solche Techniken nicht ver- lässlich nutzen, sodass eine Verschlüsselung der Datei selbst die einzige Möglichkeit darstellt, den Inhalt der Datei zu schützen.

Weitere Informationen zur Verschlüsselung von Dateien finden Sie im Abschnitt „Dateiverschlüsselung“ auf Seite 62.

Dateisicherheit Standardmäßig ist der Benutzer, der Dateien und Ordner erstellt, auch deren Eigentü- mer. Nach ihrer Erstellung werden die Zugriffsrechte (eine Kombination aus Eigentü- mer und Berechtigungen) der Objekte beibehalten, selbst wenn die Objekte bewegt werden. Dies gilt nicht, wenn die Zugriffsrechte vom Eigentümer oder einem Admi- nistrator explizit geändert werden. Daher können Client-Benutzer nicht auf von Ihnen neu erstellte Dateien und Ordner zugreifen, wenn diese in einem Ordner angelegt werden, für den die Benutzer keine Zugriffsrechte haben.

Vergewissern Sie sich beim Einrichten von Netzwerkvolumes, dass den Objekten die jeweils erforderlichen Zugriffsrechte für die Benutzer zugewiesen sind, für die Sie die Objekte bereitstellen möchten.

Berechtigungen für Dateien und Ordner Mac OS X Server unterstützt zwei Arten von Berechtigungen für Dateien und Ordner: Â POSIX-Berechtigungen (Standard Portable Operating System Interface) Â Zugriffssteuerungslisten (ACLs)

Mittels POSIX-Berechtigungen können Sie den Zugriff auf Dateien und Ordner auf der Grundlage dreier Benutzerkategorien steuern: Eigentümer, Gruppe und Alle. Diese Berechtigungen ermöglichen zwar eine ausreichende Steuerung des Zugriffs auf Dateien oder Ordner, sie besitzen jedoch nicht das Maß an Flexibilität und Granularität, das Unternehmen für große Benutzerumgebungen benötigen.

Berechtigungen für Zugriffssteuerungslisten (ACLs) stellen eine erweiterte Gruppe an Berechtigungen für eine Datei oder einen Ordner bereit und ermöglichen Ihnen, mehrere Benutzer und Gruppen als Eigentümer zu definieren. Außerdem sind Zugriffssteue- rungslisten mit Windows Server 2003 und Windows XP kompatibel und bieten Ihnen zusätzliche Flexibilität in einer Umgebung mit verschiedenen Plattformen. Weitere Informationen zu Dateiberechtigungen finden Sie in den Handbüchern Datei- dienste – Administration und Mac OS X Server-Sicherheitskonfiguration.

Kapitel 4 Sicherheit 61 Dateiverschlüsselung In Mac OS X sind verschiedene Technologien für die Dateiverschlüsselung integriert, u. a.: Â FileVault: FileVault führt eine sofortige Verschlüsselung des Benutzerordners der jeweiligen Benutzer aus. Damit wird das gesamte Verzeichnis in ein virtuelles Volume verschlüsselt, das anschließend aktiviert wird. Die Daten werden nach Bedarf entschlüsselt. Â Sicherer virtueller Speicher: Diese Funktion verschlüsselt den virtuellen Speicher des Systems (Speicherdaten, die zu Speicherzwecken vorübergehend auf die Fest- platte geschrieben werden). Mit dieser Methode werden keine Benutzerdateien verschlüsselt, aber die Sicherheit Ihres Systems wird erhöht, da das Lesen und unberechtigte Nutzen von Dateien im virtuellen Speicher verhindert wird. Â Festplatten-Dienstprogramm: Das Festplatten-Dienstprogramm kann Image-Dateien erstellen, deren Inhalt verschlüsselt und kennwortgeschützt ist. Image-Dateien ähneln austauschbaren Medien wie externen Festplatten oder USB-Speichersticks, sind auf dem Computer jedoch nur als Datei vorhanden. Nachdem Sie die verschlüsselte Image-Datei erstellt haben, wählen Sie sie durch Doppelklicken aus, um Sie auf Ihrem System zu aktivieren. Alle auf die aktivierte Image-Datei bewegten Dateien werden verschlüsselt und in der Image-Datei gespeichert. Sie können diese Image-Datei an andere Mac OS X-Benutzer senden. Durch Eingabe des Kennworts zum Entschlüsseln können die Benutzer auf die Dateien zugreifen, die Sie in der Image-Datei gespeichert haben.

Zusätzliche Informationen zu den folgenden Verschlüsselungsmethoden für Dateien finden Sie im Handbuch Mac OS X Server-Sicherheitskonfiguration: Â Erstellen einer neuen verschlüsselten Image-Datei Â Erstellen einer verschlüsselten Image-Datei aus vorhandenen Daten

Sicheres Löschen Wenn eine Datei in den Papierkorb bewegt und der Papierkorb gelöscht wird oder wenn eine Datei mithilfe des UNIX-Dienstprogramms „rm“ entfernt wird, werden die Dateien selbst nicht von der Festplatte entfernt. Stattdessen werden sie aus der Datei- liste entfernt, die das Betriebssystem protokolliert und nicht überschreibt.

Freier Speicherplatz auf Ihrer Festplatte (an dem das Betriebssystem eine Datei ablegen kann), enthält sehr wahrscheinlich zuvor gelöschte Dateien. Diese Dateien können mithilfe von Dienstprogrammen zum Wiederherstellen von Dateien und einer Daten- analyse wiederhergestellt werden.

Damit die Daten vollständig von der Festplatte entfernt werden, müssen Sie eine sicherere Löschmethode verwenden. Sicherheitsexperten raten, gelöschte Dateien und freien Speicherplatz mehrmals mit zufällig gewählten Daten zu überschreiben.

62 Kapitel 4 Sicherheit Mac OS X Server stellt folgende Werkzeuge zum sicheren Löschen von Dateien bereit: Â Papierkorb sicher entleeren (ein Befehl im Finder-Menü, der anstelle von „Papierkorb entleeren“ verwendet wird) Â srm (ein UNIX-Dienstprogramm, das Dateien sicher löscht und anstelle von „rm“ verwendet wird)

Identifizierung und Autorisierung Bei der Identifizierung (auch „Identifikationsüberprüfung“ genannt) wird die Identität einer Person überprüft. Bei der Autorisierung wird überprüft, ob eine identifizierte Per- son eine bestimmte Aktion ausführen darf. Die Identifizierung ist eine Voraussetzung für die Autorisierung.

In einer Computing-Umgebung werden Sie bei der Eingabe eines Benutzernamens und Kennworts am Computer identifiziert, da der Computer davon ausgeht, dass nur eine Person (Sie) sowohl den Anmeldenamen als auch das Kennwort kennt. Nachdem Sie sich identifiziert haben, überprüft das Betriebssystem Listen mit Personen, die auf bestimmte Dateien zugreifen dürfen. Sind Sie für den Zugriff autorisiert, wird Ihnen der Zugriff erlaubt. Da eine Autorisierung nicht ohne Identifizierung erfolgen kann, wird mit dem Begriff „Autorisierung“ gelegentlich die Kombination aus Identifizierung und Autorisierung bezeichnet.

In Mac OS X Server müssen sich Benutzer, die verschiedene Dienste nutzen möchten (wie eine Anmeldung an einer mit Workstation mit Verzeichniserkennung oder das Aktivieren eines entfernten Volumes), anhand eines Anmeldenamens und Kennworts identifizieren, bevor die Zugriffsrechte für die Benutzer bestimmt werden können.

Für die Identifikation von Benutzern stehen Ihnen mehrere Optionen zur Auswahl: Â Open Directory-Identifizierung. Basierend auf dem standardmäßigen SASL-Proto- koll (Simple Authentication and Security Layer) unterstützt die Open Directory- Identifizierung zahlreiche Methoden der Identifikationsüberprüfung, einschließlich CRAM-MD5, APOP, WebDAV, SHA-1, LAN Manager, NTLMv1 und NTLMv2. Sie ist die bevorzugte Methode zur Identifizierung von Windows-Benutzern. Die Methoden für die Identifikationsüberprüfung lassen sich gezielt einzeln deaktivieren, um für noch mehr Sicherheit bei der Kennwortspeicherung auf dem Server zu sorgen. Wenn z. B. keine Clients mit Windows-Diensten arbeiten, können Sie die Methoden NTLMv1 und LAN-Manager deaktivieren. Dann ist eine Speicherung von Kennwörtern mit diesen Methoden auf dem betreffenden Server nicht mehr mög- lich. Ein Benutzer, der Zugriff auf Ihre Kennwortdatenbank erlangt, hat dann keine Möglichkeit, die Schwächen dieser Methoden für die Identifikationsüberprüfung zu nutzen, um Kennwörter auszuspionieren.

Kapitel 4 Sicherheit 63 Die Identifikationsüberprüfung in Open Directory ermöglicht das Konfigurieren von Kennwortrichtlinien für einzelne Benutzer oder auch für alle Benutzer, deren Daten in einem bestimmten Verzeichnis gespeichert sind, wobei im Bedarfsfall Ausnahmen möglich sind. Bei der Open Directory-Identifikationsüberprüfung können Sie auch Kennwortrichtlinien für einzelne Verzeichnisreplikate festlegen. Sie können z. B. eine Mindestlänge für das Kennwort festlegen oder den Benutzer verpflichten, das Kennwort beim nächsten Anmelden zu ändern. Sie können auch die Anmeldung für inaktive Benutzer-Accounts deaktivieren oder festlegen, dass nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche die Anmeldung abgelehnt wird. Â Kerberos v5-Identifikationsüberprüfung. Die Verwendung der Kerberos-Identifika- tionsüberprüfung ermöglicht eine Integration in vorhandene Kerberos-Umgebungen. Das Key Distribution Center (KDC) auf Mac OS X Server bietet volle Unterstützung für Kennwortrichtlinien, die Sie auf dem Server festlegen. Kerberos bietet auch die Funk- tion der so genannten Gesamtauthentifizierung. Diese wird im nächsten Abschnitt aus- führlicher beschrieben. Die folgenden Dienste von Mac OS X Server unterstützen die Kerberos-Identifika- tionsüberprüfung: Apple Filing Protocol (AFP), Mail, File Transfer Protocol (FTP), Secure Shell (SSH), Anmeldefenster, LDAPv3, Virtual Private Network (VPN), iChat- Server, Bildschirmschoner und Apache (über das SPNEGO-Protokoll (Simple and Protected GSS-API Negotiation Mechanism)). Â Speichern von Kennwörtern in Benutzer-Accounts. Diese Methode ist u. U. sinnvoll, wenn Benutzer-Accounts von älteren Serverversionen auf neue umgestellt werden. Die Methode unterstützt jedoch ggf. keine Clients, die bestimmte „netzwerksichere“ Protokolle für die Identifikationsüberprüfung erfordern, z. B. APOP. Â Andere als Apple LDAPv3 Identifikationsüberprüfung. Diese Methode ist in Umge- bungen verfügbar, in denen ein LDAPv3-Server für das Identifizieren von Benutzern konfiguriert ist. Â RADIUS (ein Identifizierungsprotokoll für die Steuerung des Netzwerkzugriffs durch Clients in mobilen oder stationären Konfigurationen). Weitere Informationen zu RADIUS in Mac OS X Server finden Sie im Handbuch Netzwerkdienste – Administration.

64 Kapitel 4 Sicherheit Gesamtauthentifizierung (Single Sign-On, SSO) Mac OS X Server verwendet Kerberos für die Gesamtauthentifizierung, sodass Benutzer nicht für jeden Dienst separat Benutzername und Kennwort eingeben müssen. Bei der Gesamtauthentifizierung gibt ein Benutzer immer einen Benutzernamen und ein Kenn- wort im Anmeldefenster ein. Danach muss der Benutzer für den Apple-Dateidienst, Mail-Dienst oder andere Dienste mit Kerberos-Identifizierung keinen Benutzernamen und kein Kennwort nicht mehr eingeben.

Damit die Gesamtauthentifizierung genutzt werden kann, müssen Benutzer und Dienste kerberisiert sein (für die Kerberos-Identifizierung konfiguriert) und denselben KDC-Server (Kerberos Key Distribution Center) verwenden.

Benutzer-Accounts, die sich in einem LDAP-Verzeichnis von Mac OS X Server befinden und ein Open Directory-Kennwort verwenden, nutzen das integrierte KDC des Servers. Diese Benutzer-Accounts werden automatisch für Kerberos und die Gesamtauthentifi- zierung konfiguriert.

Die kerberisierten Dienste dieses Servers verwenden ebenfalls das integrierte KDC des Servers und werden automatisch für die Gesamtauthentifizierung konfiguriert. Dieses Mac OS X Server-KDC kann Benutzer auch für Dienste identifizieren, die von anderen Servern bereitgestellt werden. Damit weitere Mac OS X Server-Computer das Mac OS X Server-KDC nutzen können, ist nur eine minimale Konfiguration erforderlich.

Kerberos wurde vom MIT (Massachusetts Institute of Technology) entwickelt, um eine sichere Identifizierung und Kommunikation in offenen Netzwerken wie dem Internet zu ermöglichen. Kerberos liefert zwei Parteien einen Identitätsnachweis. Sie können damit Netzwerkdiensten, die Sie verwenden möchten, Ihre Identität bestätigen. Außerdem wird Ihren Programmen bestätigt, dass die Netzwerkdienste echt sind und nicht mani- puliert. Wie andere Identifikationssysteme auch stellt Kerberos keine Autorisierung bereit. Jeder Netzwerkdienst ermittelt separat, welche Aktionen Sie basierend auf Ihrer bestätigten Identität ausführen dürfen.

Mithilfe von Kerberos können sich ein Client und ein Server gegenseitig eindeutig identifizieren, und zwar auf bedeutend sicherere Weise als bei einer typischen, stan- dardmäßigen Identifizierungsmethode via Kennwortanforderung. Kerberos ermöglicht auch eine Gesamtauthentifizierung, bei der sich Benutzer nur einmal täglich, einmal wöchentlich oder einmal während einer anderen Zeitspanne anmelden müssen. Auf diese Weise wird Benutzern die Identifizierung bedeutend vereinfacht. Mac OS X Server und Mac OS X 10.3 bis 10.5 unterstützen Kerberos 5.

Kapitel 4 Sicherheit 65 Zertifikate, SSL und die Infrastruktur des öffentlichen Schlüssels Mac OS X Server unterstützt zahlreiche Dienste, die mithilfe von SSL (Secure Socket Layer) eine verschlüsselte Datenübertragung gewährleisten. Es verwendet ein PKI- System (Public Key Infrastructure, Infrastruktur des öffentlichen Schlüssels), um Iden- titätszertifikate für die Verwendung mit SSL-konformen Diensten zu generieren und zu warten.

PKI-Systeme ermöglichen es den beiden Parteien einer Datenübertragung, sich gegenseitig zu identifizieren und Schlüssel und andere Informationen in Identitätszertifikaten zu verwenden, um ausgetauschte Nachrichten zu verschlüsseln und zu entschlüsseln.

Mithilfe der Infrastruktur des öffentlichen Schlüssels können mehrere kommunizierende Parteien ihre Vertrauenswürdigkeit und die Integrität von Nachrichten feststellen und die Nachrichtenquelle identifizieren, ohne vorab geheime Informationen auszutauschen.

Die SSL-Technologie verwendet ein PKI-System für eine sichere Datenübertragung und Benutzeridentifizierung. Dabei wird ein erster sicherer Kommunikationskanal zum Erzielen einer schnelleren, geheimen Schlüsselübertragung erstellt. Mac OS X Server verwendet SSL, um eine verschlüsselte Datenübertragung für Mail-, Web- und Verzeich- nisdienste bereitzustellen.

Die folgenden Abschnitte enthalten weitere Hintergrundinformationen zu den wichtigsten Aspekten der Infrastruktur des öffentlichen Schlüssels: Â „Öffentliche und private Schlüssel“ auf Seite 66 Â „Zertifikate“ auf Seite 67 Â „Zertifizierungsinstanzen“ auf Seite 68 Â „Identitäten“ auf Seite 68

Öffentliche und private Schlüssel Innerhalb einer Infrastruktur des öffentlichen Schlüssels werden zwei Schlüssel erstellt: der öffentliche Schlüssel und der private Schlüssel. Der private Schlüssel wird nicht weitergegeben und wird oft durch ein Kennwort verschlüsselt. Der öffentliche Schlüssel wird an andere miteinander kommunizierende Geräte weitergegeben.

66 Kapitel 4 Sicherheit Die grundlegenden Leistungsmerkmale der Schlüssel können wie folgt zusammengefasst werden:

Schlüsseltyp Leistungsmerkmale Öffentlich Â Kann Nachrichten verschlüsseln, die nur vom Eigentümer des entsprechenden privaten Schlüssels entschlüsselt werden können. Â Kann die Signatur einer Nachricht überprüfen, die von einem privaten Schlüssel stammt. Privat Â Kann eine Nachricht oder ein Zertifikat digital signieren und die Authentizität bestätigen. Â Kann Nachrichten entschlüsseln, die mit dem öffentlichen Schlüssel verschlüsselt wurden. Â Kann Nachrichten verschlüsseln, die nur mit dem privaten Schlüssel selbst ent- schlüsselt werden können.

Web-, Mail- und Verzeichnisdienste verwenden den öffentlichen Schlüssel mit SSL, um für die Dauer der Verbindung einen gemeinsamen Schlüssel zu wählen. Ein Mail-Server sendet seinen öffentlichen Schlüssel beispielsweise an einen verbundenen Client und startet die Anforderung einer sicheren Verbindung. Der verbundene Client verwendet den öffentlichen Schlüssel, um die Antwort auf die Anforderung zu verschlüsseln. Der Mail-Server kann die Antwort entschlüsseln, da er über den privaten Schlüssel verfügt. Die Schlüsselauswahl wird fortgesetzt, bis der Mail-Server und der Client einen Schlüs- sel (Shared Secret) für die Verschlüsselung ihres Datenaustauschs gefunden haben.

Zertifikate Öffentliche Schlüssel sind häufig in Zertifikaten enthalten. Ein Benutzer kann Nach- richten mit seinem privaten Schlüssel digital verschlüsseln und ein anderer Benutzer kann die Signatur mithilfe des öffentlichen Schlüssels überprüfen, der im Zertifikat des signierenden Benutzers enthalten ist. Dieses Zertifikat wurde von einer Zertifizierungs- instanz innerhalb der Infrastruktur des öffentlichen Schlüssels ausgestellt.

Ein Public-Key-Zertifikat (gelegentlich auch als „Identitätszertifikat“ bezeichnet) ist eine Datei in einem angegebenen Format (Mac OS X Server verwendet das Format „x.509“), die Folgendes enthält: Â Den öffentlichen Schlüssel aus einem öffentlich-privaten Schlüsselpaar Â Die Identitätsdaten des Schlüsselbenutzers wie Name und Kontaktinformationen Â Einen Gültigkeitszeitraum (wie lange das Zertifikat als korrekt angesehen werden kann) Â Die URL-Adresse eines Benutzers, der das Zertifikat widerrufen kann (der Widerrufsdienst) Â Die digitale Signatur einer Zertifizierungsinstanz oder der Schlüsselbenutzer

Kapitel 4 Sicherheit 67 Zertifizierungsinstanzen Eine Zertifizierungsinstanz ist eine Organisation, die digitale Zertifikate herausgibt, um die Vertrauenswürdigkeit einer Person oder Firma zu beglaubigen. Es handelt sich also um eine vertrauenswürdige dritte Instanz zwischen zwei Transaktionen.

In x.509-Systemen sind Zertifizierungsinstanzen hierarchisch strukturiert. Dabei werden Zertifizierungsinstanzen von übergeordneten Zertifizierungsinstanzen beglaubigt, bis die root-Instanz erreicht wird. Eine root-Instanz ist eine Zertifizierungsinstanz, deren Integrität allgemein anerkannt ist. Die Hierarchie von Zertifikaten verläuft immer von oben nach unten. Das Zertifikat einer root-Instanz ist dabei ganz oben angeordnet.

Bei einer Zertifizierungsinstanz kann es sich um ein Unternehmen handeln, das gegen eine Gebühr ein Public-Key-Zertifikat signiert und ausstellt. Mit dem Public-Key-Zertifi- kat beglaubigt die Zertifizierungsinstanz, dass der öffentliche Schlüssel dem im Zertifi- kat angegebenen Eigentümer gehört. Eine Zertifizierungsinstanz ist in gewisser Weise ein digitaler Notar. Ein Benutzer fordert bei der Zertifizierungsinstanz ein Zertifikat an, indem er seine Identität und Kontaktinformationen sowie den öffentlichen Schlüssel angibt. Die Zertifizierungsinstanz muss die Identität des Bewerbers überprüfen, sodass Benutzer darauf vertrauen können, dass die von dieser Zertifizierungsinstanz ausge- stellten Zertifikate dem identifizierten Bewerber gehören.

Identitäten Identitäten bezeichnen im Zusammenhang mit dem Zertifikatsmanager von Mac OS X Server eine Kombination aus einem signierten Zertifikat für beide Schlüssel eines PKI- Schlüsselpaars. Die Identitäten werden vom Schlüsselbund des Systems verwendet und können von verschiedenen Diensten mit Unterstützung für SSL genutzt werden.

Selbstsignierte Zertifikate Selbstsignierte Zertifikate sind Zertifikate, die vom privaten Schlüssel des Schlüsselpaars, das zum Zertifikat gehört, digital signiert werden. Diese Zertifikate ersetzen das durch eine Zertifizierungsinstanz signierte Zertifikat. Indem Sie ein Zertifikat selbst signieren, bestätigen Sie Ihre Identität. Vertrauenswürdige Dritte sind hierbei nicht beteiligt.

68 Kapitel 4 Sicherheit Der Zertifikatmanager im Programm „Server-Admin“ Der Zertifikatmanager von Mac OS X Server ist in das Programm „Server-Admin“ integriert und unterstützt Sie bei der Erstellung, Verwendung und Wartung von Identitäten für SSL-fähige Dienste.

In der folgenden Abbildung sehen Sie die Oberfläche des Programms „Server-Admin“ mit ausgewähltem Zertifikatmanager.

Der Zertifikatmanager bietet eine integrierte Verwaltung von SSL-Zertifikaten in Mac OS X Server für alle Dienste, die die Nutzung von SSL-Zertifikaten erlauben.

Der Zertifikatmanager ermöglicht die Erstellung selbstsignierter Zertifikate sowie von CSR-Anforderungen (Certificate Signing Requests) zum Erhalt eines von einer Zertifizie- rungsinstanz signierten Zertifikats. Die Zertifikate sind entweder selbstsigniert oder von einer Zertifizierungsinstanz signiert und können von den Diensten verwendet werden, die SSL unterstützen. Identitäten, die zuvor erstellt und in OpenSSL-Dateien gespeichert wurden, können ebenfalls in den Zertifikatmanager importiert werden und stehen dann allen Diensten mit Unterstützung für SSL zur Verfügung.

Mit dem Zertifikatmanager im Programm „Server-Admin“ können Sie Zertifikate weder als Zertifizierungsinstanz noch als root-Instanz signieren und ausstellen. Wenn Sie diese Funktionen benötigen, können Sie die Schlüsselbundverwaltung von Apple im Ordner „/Programme/Dienstprogramme“ verwenden. Die Schlüsselbundverwaltung stellt diese und weitere Funktionen bereit.

Kapitel 4 Sicherheit 69 Mit der Schlüsselbundverwaltung von Apple erstellte selbstsignierte und von einer Zertifizierungsinstanz ausgestellte Zertifikate können im Zertifikatmanager verwendet werden, indem das Zertifikat importiert wird.

Der Zertifikatmanager zeigt folgende Informationen zu jedem Zertifikat an: Â Den Domain-Namen, für den das Zertifikat ausgestellt wurde Â Das Gültigkeitsdatum Â Die signierende Instanz (etwa die Zertifizierungsinstanz oder im Falle eines selbstsignierten Zertifikats die Angabe „selbstsigniert“)

Fertigstellen von Zertifikaten Damit Sie SSL in Mac OS X Server-Diensten verwenden können, müssen die Zertifikate erstellt oder importiert werden. Sie können Ihr eigenes selbstsigniertes Zertifikat erstellen, eine CSR-Anforderung (Certificate Signing Request) generieren und an eine Zerti- fizierungsinstanz senden, oder ein Zertifikat importieren, das zuvor mit OpenSSL erstellt wurde.

Wählen Sie eine Zertifizierungsinstanz zum Signieren Ihrer Zertifikatsanforderung aus. Steht Ihnen keine Zertifizierungsinstanz zum Signieren Ihrer Anforderung zur Verfü- gung, können Sie selbst die Funktion einer Zertifizierungsinstanz übernehmen und Ihre Zertifizierungsinstanz-Zertifikate dann in die root-Datenbank aller Ihrer verwalteten Computer importieren.

Wenn Sie ein selbstsigniertes Zertifikat verwenden, ziehen Sie die Verwendung einer selbstsignierten Zertifizierungsinstanz in Betracht, um eine CSR-Anforderung für Ihre Dienstnutzung zu signieren. Anschließend können Sie das öffentliche Zertifikat Ihrer Zertifizierungsinstanz in den Schlüsselbund des Systems auf allen Client-Computern importieren. Diese beiden Optionen setzen voraus, dass Sie die Client-Computer steuern können.

Anfordern eines Zertifikats von einer Zertifizierungsinstanz Der Zertifikatmanager unterstützt Sie bei der Erstellung einer CSR-Anforderung (Certificate Signing Request), die an Ihre gewählte Zertifizierungsinstanz gesendet wird.

Gehen Sie wie folgt vor, um ein signiertes Zertifikat anzufordern: 1 Wählen Sie im Programm „Server-Admin“ den Server aus, der Dienste mit Unter- stützung für SSL bereitstellt. 2 Klicken Sie auf „Zertifikate“. 3 Klicken Sie auf die Taste „Hinzufügen“ (+) unter der Zertifikatsliste. 4 Geben Sie die Identitätsinformationen ein. Der allgemeingültige Name ist der vollständig qualifizierte Domain-Name des Servers, der SSL-fähige Dienste verwendet.

70 Kapitel 4 Sicherheit 5 Geben Sie Start- und Enddaten für die Gültigkeit ein. 6 Wählen Sie die Größe des privaten Schlüssels aus (1024 Bit ist der Standardwert). 7 Geben Sie ein Kennwort für den privaten Schlüssel ein. Dieses Kennwort sollte sicherer als ein normales Kennwort sein. Es wird empfohlen, mindestens 20 Zeichen, Groß- und Kleinschreibung, Zahlen und/oder Satzzeichen zu verwenden, keine Zeichen zu wiederholen und keine Wörterbucheinträge zu wählen. 8 Klicken Sie auf das Aktionsmenü und wählen Sie „CSR (Certificate Signing Request) erzeugen“. 9 Befolgen Sie die Anweisungen auf dem Bildschirm zum Anfordern eines signierten Zertifikats von Ihrer gewählten Zertifizierungsinstanz. Hierzu ist es unter Umständen erforderlich. auf das Internet zuzugreifen oder eine E-Mail-Adresse einzugeben. 10 Klicken Sie auf „E-Mail erstellen“. 11 Klicken Sie auf „Fertig“, um die Identitätsinformationen zu sichern. Wenn die Zertifizierungsinstanz auf die E-Mail antwortet, werden diese Angaben zum Text der E-Mail hinzugefügt. 12 Vergewissern Sie sich, dass das Zertifikat im Feld „Zertifikate“ erneut ausgewählt ist. 13 Klicken Sie auf das Aktionsmenü und wählen Sie dann „Signiertes oder erneutes Zertifi- kat der Zertifizierungsinstanz hinzufügen“. 14 Kopieren Sie die Zeichen von „==Begin CSR==“ bis „==End CSR==“ in das Textfeld. 15 Klicken Sie auf „OK“. 16 Klicken Sie auf „Sichern“.

Erstellen eines selbstsigniertes Zertifikats Wenn Sie im Zertifikatmanager eine Identität anlegen, erstellen Sie ein selbstsigniertes Zertifikat. Der Zertifikatmanager erstellt ein privat-öffentliches Schlüsselpaar im Systemschlüsselbund mit angegebener Schlüsselgröße (512 – 2048 Bit). Anschließend wird das entsprechende selbstsignierte Zertifikat im Systemschlüsselbund erstellt.

Eine CSR-Anforderung (Certificate Signing Request) wird zur selben Zeit erstellt wie das selbstsignierte Zertifikat. Sie wird nicht im Schlüsselbund gespeichert, sondern auf die Festplatte geschrieben (/etc/certificates/cert.common.name.tld.csr). „common.name.tld“ ist dabei der allgemeingültige Name des Zertifikats, das ausgestellt wurde.

Gehen Sie wie folgt vor, um ein selbstsigniertes Zertifikat zu erstellen: 1 Wählen Sie im Programm „Server-Admin“ den Server aus, der Dienste mit Unter- stützung für SSL bereitstellt. 2 Klicken Sie auf „Zertifikate“.

Kapitel 4 Sicherheit 71 3 Klicken Sie auf die Taste „Hinzufügen“ (+). 4 Geben Sie die Identitätsinformationen ein. Der allgemeingültige Name ist der vollständig qualifizierte Domain-Name des Servers, der SSL-fähige Dienste verwendet. 5 Geben Sie Start- und Enddaten für die Gültigkeit ein. 6 Wählen Sie die Größe des privaten Schlüssels aus (1024 Bit ist der Standardwert). 7 Geben Sie ein Kennwort für den privaten Schlüssel ein. Dieses Kennwort sollte sicherer als ein normales Kennwort sein. Es wird empfohlen, mindestens 20 Zeichen, Groß- und Kleinschreibung, Zahlen und Satzzeichen zu verwenden, keine Zeichen zu wiederholen und keine Wörterbuchein- träge zu wählen. 8 Klicken Sie auf „Fertig“, um die Identitätsinformationen zu sichern. 9 Klicken Sie auf „Sichern“.

Erstellen einer Zertifizierungsinstanz Wenn Sie in der Lage sein wollen, Zertifikate anderer Benutzer zu signieren, müssen Sie eine Zertifizierungsinstanz erstellen. Dies wird gelegentlich auch als „root-Zertifikat“ bezeichnet. Durch Verwendung des root-Zertifikats werden Sie zum vertrauenswür- digen Dritten bei den Transaktionen dieses Zertifikats und belegen die Identität des Zertifikateigentümers.

Wenn Sie für ein großes Unternehmen arbeiten, entscheiden Sie sich möglicherweise, Zertifikate für Mitarbeiter auszustellen oder zu signieren, um die Sicherheitsvorteile von Zertifikaten mit Ihren eigenen Computing-Diensten nutzen zu können. Allerdings vertrauen externe Unternehmen einer solchen Signatur möglicherweise nicht oder erkennen sie nicht an.

Gehen Sie wie folgt vor, um eine Zertifizierungsinstanz zu erstellen: 1 Starten Sie das Dienstprogramm „Schlüsselbundverwaltung“. Das Dienstprogramm „Schlüsselbundverwaltung“ befindet sich im Ordner „/Programme/Dienstprogramme“. 2 Wählen Sie aus dem Menü „Schlüsselbundverwaltung“ die Option „Zertifikatsassistent“ > „Eine Zertifizierungsinstanz erstellen“. Der Zertifikatsassistent wird gestartet. Er führt Sie durch den Erstellungsprozess der Zertifizierungsinstanz. 3 Wählen Sie aus, eine „Selbst-signierte root-Zert.-Instanz“ erstellen zu wollen.

72 Kapitel 4 Sicherheit 4 Geben Sie die erforderlichen Informationen im Zertifikatsassistenten ein und klicken Sie auf „Fortfahren“. Die folgenden Informationen werden zum Erstellen einer Zertifizierungsinstanz benötigt: Â Eine E-Mail-Adresse Â Der Name der ausstellenden Instanz (Sie oder Ihr Unternehmen) Sie müssen auch entscheiden, ob Sie die Standardeinstellungen überschreiben möch- ten und ob Sie diese Zertifizierungsinstanz als Standard-Zertifizierungsinstanz des Unternehmens definieren wollen. Ist für das Unternehmen keine Standard-Zertifizie- rungsinstanz festgelegt, geben Sie im Zertifikatsassistenten an, diese Zertifizierungs- instanz als Standard zu definieren. In den meisten Fällen empfiehlt es sich, die Standardeinstellungen nicht zu überschrei- ben. Wenn Sie die Standardeinstellungen beibehalten, fahren Sie mit Schritt 16 fort. 5 Wenn Sie die Standardeinstellungen überschreiben möchten, geben Sie die folgenden Informationen in den nächsten Fenstern ein: Â Eine eindeutige Seriennummer für das root-Zertifikat Â Die Anzahl Tage, die die Zertifizierungsinstanz gültig ist, bevor sie abläuft Â Die Art des Benutzerzertifikats, das diese Zertifizierungsinstanz signiert Â Ob Sie eine Zertifizierungsinstanz-Website erstellen möchten, über die Zertifizierungsinstanz Zertifikate an Benutzer weitergegeben werden 6 Klicken Sie auf „Fortfahren“. 7 Geben Sie die erforderlichen Informationen im Zertifikatsassistenten ein und klicken Sie auf „Fortfahren“. Die folgenden Informationen werden zum Erstellen einer Zertifizierungsinstanz benötigt: Â Eine E-Mail-Adresse der verantwortlichen Partei für Zertifikate Â Der Name der ausstellenden Instanz (Sie oder Ihr Unternehmen) Â Der Name des Unternehmens Â Der Name der Abteilung des Unternehmens Â Der Standort der ausstellenden Instanz 8 Wählen Sie eine Schlüssellänge und einen Verschlüsselungsalgorithmus für das Zerti- fizierungsinstanz-Zertifikat aus und klicken Sie dann auf „Fortfahren“. Eine größere Schlüssellänge erfordert mehr Verarbeitungsleistung, ist jedoch bedeutend sicherer. Der gewählte Algorithmus hängt mehr von den Anforderungen Ihres Unternehmens als von technischen Gegebenheiten ab. Sowohl DSA als auch RSA sind starke Verschlüsselungsalgorithmen. DSA ist ein Standard der US-Regierung für digitale Signaturen. Bei RSA handelt es sich um eine neuere Entwicklung im Bereich der Algorithmen.

Kapitel 4 Sicherheit 73 9 Wählen Sie eine Schlüssellänge und einen Verschlüsselungsalgorithmus für die zu signierenden Zertifikate aus und klicken Sie dann auf „Fortfahren“. 10 Wählen Sie unter „Erweiterung „Schlüsselverwendung““ die Option, die Sie für das Zertifizierungsinstanz-Zertifikat benötigen, und klicken Sie dann auf „Fortfahren“. Sie müssen mindestens „Signatur“ und „Zertifikatssignierung“ wählen. 11 Wählen Sie unter „Erweiterung „Erweiterte Schlüsselverwendung““ die Option, die Sie für die Signierung der Zertifikate benötigen, und klicken Sie dann auf „Fortfahren“. Die Auswahl der standardmäßigen Schlüsselverwendung basiert auf der Schlüsselart, die zuvor im Assistenten gewählt wurde. 12 Geben Sie andere Erweiterungen zum Hinzufügen des Zertifizierungsinstanz-Zertifikats an und klicken Sie auf „Fortfahren“. Sie müssen die Optionen „Erweiterung „Grundlegende Einschränkungen“ einschließen“ und „Dieses Zertifikat als Zertifizierungsinstanz verwenden“ wählen. 13 Geben Sie wie gewünscht weitere Erweiterungen zum Hinzufügen des Zertifizierungs- instanz-Zertifikats an und klicken Sie auf „Fortfahren“. Es ist nicht erforderlich, weitere Optionen zu wählen. 14 Wählen Sie den Systemschlüsselbund „System“ zum Speichern des Zertifizierungsin- stanz-Zertifikats aus. 15 Legen Sie fest, Zertifikaten auf diesem Computer zu vertrauen, die von der erstellten Zertifizierungsinstanz signiert wurden. 16 Klicken Sie auf „Fortfahren“ und identifizieren Sie sich als ein Administrator, um das Zertifikat und das Schlüsselpaar zu erstellen. 17 Lesen und befolgen Sie die Anweisungen auf der letzten Seite des Zertifikatsassistenten. Sie können nun vertrauenswürdigen Dritten Zertifikate ausgeben und CSR-Anfor- derungen signieren.

Verwenden einer Zertifizierungsinstanz zum Erstellen eines Zertifikats für Dritte Sie können mit Ihrem Zertifizierungsinstanz-Zertifikat ein Zertifikat für Dritte ausstellen. Dies wird auch als „Signieren einer CSR-Anforderung“ (Certificate Signing Request) bezeichnet. Sie bestätigen dadurch, dass Sie als vertrauenswürdig gelten und die Identität des Zertifikateigentümers überprüfen können.

Damit Sie ein Zertifikat für einen anderen Benutzer erstellen können, muss dieser Benutzer eine CSR-Anforderung generieren. Der Benutzer kann die CSR-Anforderung mit dem Zertifikatsassistenten generieren und Ihnen per E-Mail zusenden. Sie verwenden anschließend den Text der CSR-Anforderung zum Erstellen des Zertifikats.

74 Kapitel 4 Sicherheit Gehen Sie wie folgt vor, um ein Zertifikat für einen anderen Benutzer zu erstellen: 1 Starten Sie das Dienstprogramm „Schlüsselbundverwaltung“. Das Dienstprogramm „Schlüsselbundverwaltung“ befindet sich im Ordner „/Programme/Dienstprogramme“. 2 Wählen Sie aus dem Menü „Schlüsselbundverwaltung“ die Option „Zertifikatsassistent“ > „Als Zertifizierungsinstanz ein Zertifikat für eine anderen Person erstellen“. Der Zertifikatsassistent wird gestartet und führt Sie durch den Prozess der Zertifikatserstellung. 3 Bewegen Sie die CSR-Anforderung per Drag&Drop auf den Zielbereich. 4 Wählen Sie die Zertifizierungsinstanz aus, die die Anforderung ausstellt, und signieren Sie die Anforderung. Sie können auch auswählen, die Standardeinstellungen der Anforderung zu überschreiben. 5 Klicken Sie auf „Fortfahren“. Wenn Sie die Standardeinstellungen der Anforderung überschreiben, geben Sie die erforderlichen Informationen im Zertifikatsassistenten ein und klicken Sie auf „Fortfahren“. Das Zertifikat ist nun signiert. Das standardmäßige E-Mail-Programm wird gestartet und das signierte Zertifikat als Anhang verwendet.

Importieren eines Zertifikats Sie können ein zuvor generiertes OpenSSL-Zertifikat und den zugehörigen privaten Schlüssel in den Zertifikatmanager importieren. Die Objekte werden wie in der Identi- tätsliste verfügbar gespeichert und können von SSL-fähigen Diensten genutzt werden.

Gehen Sie wie folgt vor, um ein vorhandenes Zertifikat im OpenSSL-Stil zu importieren: 1 Wählen Sie im Programm „Server-Admin“ den Server aus, der Dienste mit Unter- stützung für SSL bereitstellt. 2 Klicken Sie auf „Zertifikate“. 3 Klicken Sie auf die Taste „Importieren“. 4 Geben Sie den Dateinamen und Pfad des vorhandenen Zertifikats ein. Suchen Sie alternativ nach dessen Speicherort. 5 Geben Sie den Dateinamen und Pfad des vorhandenen privaten Schlüssels ein. Suchen Sie alternativ nach dessen Speicherort. 6 Geben Sie das Kennwort für den privaten Schlüssel ein. 7 Klicken Sie auf „Importieren“.

Kapitel 4 Sicherheit 75 Verwalten von Zertifikaten Nachdem ein Zertifikat erstellt und signiert wurde, ist die Hauptarbeit getan. Zertifikate lassen sich nur im Programm „Server-Admin“ bearbeiten und können nicht geändert werden, nachdem sie von einer Zertifizierungsinstanz signiert wurden. Selbstsignierte Zertifikate können geändert werden. Sie sollten Zertifikate löschen, wenn die enthaltenen Informationen (Kontaktinformationen etc.) nicht mehr korrekt sind oder wenn Sie der Meinung sind, dass das Schlüsselpaar nicht mehr sicher ist.

Bearbeiten eines Zertifikats Nachdem eine Zertifikatssignatur einer Zertifizierungsinstanz hinzugefügt wurde, kann das Zertifikat nicht mehr bearbeitet werden.

Ein selbstsigniertes Zertifikat lässt sich dagegen bearbeiten. Alle Felder des Zertifikats (einschließlich Domain-Name und Kennwort des privaten Schlüssels, Größe des privaten Schlüssels usw.) können geändert werden. Wenn die Identität aus dem System- schlüsselbund auf die Festplatte exportiert wurde, ist ein erneuter Export erforderlich.

Gehen Sie wie folgt vor, um ein Zertifikat zu bearbeiten: 1 Wählen Sie im Programm „Server-Admin“ den Server aus, der Dienste mit Unterstüt- zung für SSL bereitstellt. 2 Klicken Sie auf „Zertifikate“. 3 Wählen Sie die zu bearbeitende Zertifikatsidentität aus. Es muss sich um ein selbstsigniertes Zertifikat handeln. 4 Klicken Sie auf die Taste „Bearbeiten“ (/). 5 Klicken Sie auf „Bearbeiten“.

Weitergeben eines öffentlichen Zertifizierungsinstanz-Zertifikats an Clients Wenn Sie selbstsignierte Zertifikate verwenden, wird in den meisten Benutzerprogram- men eine Warnmeldung mit dem Hinweis angezeigt, dass die Zertifizierungsinstanz nicht erkannt wird. Andere Software wie der LDAP-Client verweigern die Verwendung von SSL, wenn die Zertifizierungsinstanz des Servers unbekannt ist.

Mac OS X Server wird nur mit Zertifikaten bekannter kommerzieller Zertifizierungsin- stanzen ausgeliefert. Sie vermeiden diese Warnmeldung, indem Sie Ihr Zertifizierungs- instanz-Zertifikat auf jeden Client-Computer exportieren, der mit dem sicheren Server verbunden wird.

76 Kapitel 4 Sicherheit Gehen Sie wie folgt vor, um das selbstsignierte Zertifizierungsinstanz-Zertifikat weiterzugeben: 1 Kopieren Sie das selbstsignierte Zertifizierungsinstanz-Zertifikat (die Datei mit der Bezeichnung „ca.crt“) auf jeden Client-Computer. Hierfür werden vorzugsweise nicht-wiederbeschreibbare Medien wie CD-Rs verwendet. Durch die Verwendung nicht-wiederbeschreibbarer Medien wird verhindert, dass das Zertifikat beschädigt wird. 2 Öffnen Sie das Dienstprogramm „Schlüsselbundverwaltung“, indem Sie das ca.crt-Sym- bol dort durch Doppelklicken auswählen, wo das Zertifikat auf den Client-Computer kopiert wurde. 3 Fügen Sie das Zertifikat mithilfe des Dienstprogramms „Schlüsselbundverwaltung“ zum Systemschlüsselbund hinzu.

Verwenden Sie alternativ den Befehl certtool in Terminal: sudo certtool i ca.crt k=/System/Library/Keychains/Systems

Jetzt erkennen alle Client-Programme, die eine Prüfung mit dem Systemschlüssel- bund ausführen (etwa Safari und Mail), alle von Ihrer Zertifizierungsinstanz signierten Zertifikate.

Löschen eines Zertifikats Wenn ein Zertifikat abgelaufen ist oder beschädigt wurde, müssen Sie es löschen.

Gehen Sie wie folgt vor, um ein Zertifikat zu löschen: 1 Wählen Sie im Programm „Server-Admin“ den Server aus, der Dienste mit Unter- stützung für SSL bereitstellt. 2 Klicken Sie auf „Zertifikate“. 3 Wählen Sie die zu löschende Zertifikatsidentität aus. 4 Klicken Sie auf die Taste „Entfernen“ (-) und wählen Sie „Löschen“. 5 Klicken Sie auf „Sichern“.

Erneuern eines abgelaufenen Zertifikats Alle Zertifikate haben ein Ablaufdatum, d. h., Sie müssen Zertifikate aktualisieren, wenn sie ablaufen.

Gehen Sie wie folgt vor, um ein abgelaufenes Zertifikat zu erneuern: 1 Fordern Sie ein neues Zertifikat von der Zertifizierungsinstanz an. Wenn Sie selbst als Zertifizierungsinstanz fungieren, erstellen Sie mithilfe Ihres eigenen root-Zertifikats ein neues Zertifikat. 2 Wählen Sie im Programm „Server-Admin“ in der Serverliste den Server aus, auf dem das ablaufende Zertifikat abgelegt ist.

Kapitel 4 Sicherheit 77 3 Klicken Sie auf „Zertifikate“. 4 Wählen Sie die zu bearbeitende Zertifikatsidentität aus. 5 Klicken Sie auf das Aktionsmenü und wählen Sie „Signatur oder erneutes Zertifikat der Zertifizierungsinstanz hinzufügen“ aus. 6 Setzen Sie das erneuerte Zertifikat in das Textfeld ein und klicken Sie auf „OK“. 7 Klicken Sie auf die Taste „Bearbeiten“, damit das Zertifikat bearbeitet werden kann. 8 Passen Sie die Datumsangaben für das Zertifikat an. 9 Klicken Sie auf „Sichern“.

Verwenden von Zertifikaten In Server-Admin zeigen die verschiedenen Dienste wie Web, Mail, VPN usw. eine Ein- blendliste mit Zertifikaten an, die dem Administrator zur Auswahl stehen. Die Dienste werden unterschiedlich dargestellt, weshalb sich auch der Anzeigeort der Einblendliste ändert. Informationen zu dem Dienst, den Sie mit dem Zertifikat verwenden wollen, finden Sie im jeweiligen Administrationshandbuch.

SSH und SSH-Schlüssel SSH ist ein Netzwerkprotokoll, das einen sicheren Kanal zwischen Ihrem Computer und einem entfernten Computer aufbaut. Das Protokoll identifiziert den entfernten Compu- ter mittels Public-Key-Kryptografie. Außerdem sorgt es für die Verschlüsselung und Integrität der zwischen den beiden Computern ausgetauschten Daten.

Das SSH-Protokoll wird häufig für die Anmeldung bei einem entfernten Computer zum Ausführen von Befehlen genutzt, kann aber auch einen sicheren Datentunnel mit einer Weiterleitung über einen beliebigen TCP-Port erstellen. Außerdem kann SSH Dateien mithilfe der zugehörigen SFTP- und SCP-Protokolle übertragen. Ein SSH-Server ist mit dem Standard-TCP-Port 22 verbunden.

Mac OS X Server verwendet OpenSSH als Grundlage für die SSH-Werkzeuge.

Schlüsselbasierte SSH-Anmeldung Die schlüsselbasierte Identifizierung ist für Aufgaben wie die Automatisierung von Dateiübertragungen und Datensicherungen sowie zum Erstellen von Skripts für die Ausfallumschaltung hilfreich, da sie die Kommunikation zwischen Computern ermög- licht, ohne dass ein Benutzer ein Kennwort eingeben muss. Es ist nicht sicher, den privaten Schlüssel eines Computers auf einen anderen Computer zu kopieren.

Wichtig: Die schlüsselbasierte Identifizierung birgt gewisse Risiken. Wird der generierte private Schlüssel Unbefugten zugänglich, können diese Benutzer auf Ihren Computer zugreifen. Sie müssen entscheiden, ob die Vorteile einer schlüsselbasierten Identifizie- rung dieses Risiko wert sind.

78 Kapitel 4 Sicherheit Generieren eines Schlüsselpaars für SSH In diesem Abschnitt wird kurz dargestellt, wie die schlüsselbasierte SSH-Anmeldung unter Mac OS X und Mac OS X Server eingerichtet wird. Zum Einrichten der schlüssel- basierten SSH-Anmeldung müssen Sie die Schlüssel generieren, die die zwei Computer verwenden, um gegenseitig ihre Identitäten zu ermitteln und zu bestätigen.

Führen Sie hierzu die folgenden Befehle in Terminal aus: 1 Überprüfen Sie, ob ein .ssh-Ordner in Ihrem Benutzerordner vorhanden ist, indem Sie diesen Befehl eingeben: ls -ld ~/.ssh. Wird .ssh anschließend aufgelistet, fahren Sie mit Schritt 2 fort. Wird .ssh in der Aus- gabe nicht genannt, führen Sie „mkdir ~/.ssh“ aus und fahren Sie dann mit Schritt 2 fort. 2 Geben Sie für die Verzeichnisse in der Shell den ausgeblendeten ssh-Ordner an, indem Sie den folgenden Befehl eingeben: cd ~/.ssh 3 Generieren Sie die öffentlichen und privaten Schlüssel durch Eingabe dieses Befehls: ssh-keygen -b 1024 -t dsa -f id_dsa -P '' Die Kennung „-b“ setzt die Länge der Schlüssel auf 1.024 Bit, „-t“ gibt die Nutzung des DSA-Hash-Algorithmus an, „-f“ definiert den Dateinamen als „id_dsa“ und „-P“ gefolgt von zwei einfachen Anführungszeichen legt als Kennwort des privaten Schlüssels als „null“ fest. Das Kennwort „null“ des privaten Schlüssels erlaubt automatisierte SSH- Verbindungen. 4 Erstellen Sie eine leere autorisierte Schlüsseldatei, indem Sie den folgenden Befehl eingeben: touch authorized_keys2 5 Kopieren Sie den öffentlichen Schlüssel in die autorisierte Schlüsseldatei, indem Sie folgenden Befehl eingeben: cat id_dsa.pub >> authorized_keys2 6 Ändern Sie die Berechtigungen des privaten Schlüssels durch die Eingabe des folgenden Befehls: chmod 400 id_dsa Die Berechtigungen des privaten Schlüssels müssen so definiert sein, dass die Datei nicht von allen Personen gelesen werden kann.

Kapitel 4 Sicherheit 79 7 Kopieren Sie den privaten Schlüssel und die autorisierten Schlüssellisten in den Benut- zerordner des angegebenen Benutzers auf dem entfernten Computer, indem Sie den folgenden Befehl eingeben: scp authorized_keys2 username@remotemachine:~/.ssh/ Wenn Sie eine Kommunikation zwischen Servern in beide Richtungen ermöglichen wollen, wiederholen Sie den oben beschriebenen Prozess auf dem zweiten Computer.

Dieser Prozess muss für jeden Benutzer wiederholt werden, der auf eine schlüsselba- sierte SSH-Sitzung zugreifen können soll. Der root-Benutzer ist von dieser Anforderung nicht ausgenommen. Der Benutzerordner für den root-Benutzer unter Mac OS X Server befindet sich hier: /var/root/.

Schlüsselbasiertes SSH-Protokoll mit Beispiel für die Skripterstellung Ein Server-Cluster ist eine ideale Umgebung für die Verwendung eines schlüsselbasier- ten SSH-Protokolls. Das folgende Perl-Skript ist ein einfaches Beispiel für die Skripter- stellung, das nicht implementiert werden sollte. Es zeigt, wie eine Verbindung über einen SSH-Tunnel zu allen Servern hergestellt wird, die in der variablen Serverliste (serverList) definiert sind, wie die Softwareaktualisierung ausgeführt wird, verfügbare Aktualisierungen installiert werden und der Computer falls erforderlich neu gestartet wird. Das Skript setzt voraus, dass das schlüsselbasierte SSH-Protokoll für den root- Benutzer auf allen zu aktualisierenden Servern korrekt konfiguriert wurde. #!/usr/bin/perl

# \@ ist die Escape-Sequenz für das Symbol "@v". my @serverList = ('root\@exampleserver1.example.com', 'root\@exampleserver2.example.com'); foreach $server (@serverList) { open SBUFF, "ssh $server -x -o batchmode=yes 'softwareupdate -i -a' |";

while() { my $flag = 0; chop($_); #Text für Neustart in $_ prüfen my $match = "Please restart immediately"; $count = @{[$_ =~ /$match/g]}; if($count > 0) { $flag = 1; } }

close SBUFF; if($flag == 1) { 'ssh $server -x -o batchmode=yes shutdown -r now' } }

80 Kapitel 4 Sicherheit Sicherheit auf Administratorebene Mac OS X Server bietet zusätzliche Sicherheit durch eine weitere Stufe der Zugriffs- steuerung. Administratoren können Diensten zugewiesen werden, die sie konfigurieren können. Diese Einschränkungen werden auf Serverbasis umgesetzt. Mithilfe dieser Methode kann ein Administrator, für den keine Einschränkungen gelten, anderen Benutzern der admin-Gruppe administrative Aufgaben zuweisen. Dies führt zu einem abgestuften Verwaltungsmodell, bei dem einige Administratoren für zugewiesene Dienste mehr Zugriffsrechte haben als andere. Dadurch wird eine Zugriffssteuerung für einzelne Serverfunktionen und -dienste möglich.

Ein Beispiel: Alice, die Hauptadministratorin, steuert alle Dienste auf einem Server und kann festlegen, in welchem Umfang andere Benutzer der admin-Gruppe (etwa Bob und Cathy) Einstellungen auf dem Server ändern können. Sie kann Bob die Verwaltung des DNS- und Firewall-Diensts zuweisen und die Verwaltung des Mail-Diensts Cathy überlassen. Cathy kann weder den Firewall-Dienst noch einen anderen Dienst außer Mail ändern. Auch Bob kann abgesehen von den ihm zugewiesenen Diensten keine Dienste ändern.

Die Steuerelemente für eine abgestufte Verwaltung werden im Programm „Server- Admin“ und im Befehlszeilenprogramm „serveradmin“ eingesetzt. Sie können nicht verwendet werden, um die verschiedenen UNIX-Konfigurationsdateien im System wirksam vor Veränderung zu schützen. Die UNIX-Konfigurationsdateien müssen durch POSIX-Berechtigungen oder Zugriffssteuerungslisten geschützt werden.

Festlegen von Zugriffsrechten auf Administratorebene Sie können festlegen, welche Dienste die verschiedenen Benutzer der admin-Gruppe ändern können. Dazu benötigt der Administrator, der dies bestimmt, umfassenden und uneingeschränkten Zugriff.

Der Prozess zur Festlegung von Zugriffsrechten auf Administratorebene wird im Abschnitt „Abgestufte Verwaltungsrechte“ auf Seite 175 beschrieben.

Kapitel 4 Sicherheit 81 Sicherheit auf Dienstebene Sie steuern mithilfe einer Zugriffssteuerungsliste für Dienste (SACL), welche Benutzer einen Dienst verwenden können. Es handelt sich hierbei nicht um eine Art der Identi- fizierung, sondern um eine Liste der Benutzer, die über die entsprechenden Zugriffs- rechte für die Verwendung eines Diensts verfügen. Zugriffssteuerungslisten für Dienste erlauben Ihnen, zusätzlich zu standardmäßigen Berechtigungen und ACL-Berechtigun- gen eine weitere Stufe der Zugriffssteuerung hinzuzufügen. Nur Benutzer und Grup- pen, die in einer SACL aufgeführt werden, können auf den entsprechenden Dienst zugreifen. Wenn Sie beispielsweise verhindern möchten, dass bestimmte Benutzer auf AFP-Netzwerkvolumes auf einem Server, einschließlich auf Benutzerordner, zugreifen, entfernen Sie diese Benutzer aus der SACL des AFP-Diensts. Das Programm „Server-Admin“ in Mac OS X Server ermöglicht die Konfiguration von SACLs. Open Directory identifiziert Benutzer-Accounts und SACLs berechtigen zur Nut- zung von Diensten. Wenn Sie von Open Directory identifiziert werden, bestimmt die SACL für das Anmeldefenster, ob Sie sich anmelden können, die SACL für den AFP- Dienst stellt fest, ob Sie auf den Apple-Dateidienst zugreifen dürfen usw.

Festlegen von Berechtigungen über eine Zugriffssteuerungsliste für Dienste Mit Zugriffssteuerungslisten für Dienste (SACLs) können Sie festlegen, welche Benutzer und Gruppen Zugriff auf Mac OS X Server-Dienste haben, u. a. AFP, FTP und Windows- Dateidienste.

Gehen Sie wie folgt vor, um SACL-Zugriffsrechte für einen Dienst festzulegen: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie den Server in der Serverliste aus. 3 Klicken Sie auf „Einstellungen“. 4 Klicken Sie auf „Zugriff“. 5 Wählen Sie „Für alle Dienste“, um den Zugriff auf alle Dienste einzuschränken oder diese Option zu deaktivieren und die Zugriffsrechte pro Dienst anzugeben. 6 Haben Sie die Option „Für alle Dienste“ deaktiviert, wählen Sie einen Dienst aus der Dienstliste aus. 7 Klicken Sie auf „Alle Benutzer und Gruppen zulassen“, um uneingeschränkten Zugriff auf Dienste zu ermöglichen. Wenn Sie den Zugriff auf bestimmte Benutzer und Gruppen beschränken möchten: a Wählen Sie „Nur Benutzer und Gruppen unten“. b Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer & Gruppen“ zu öffnen. c Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer & Gruppen“ in die Liste. 8 Klicken Sie auf „Sichern“.

82 Kapitel 4 Sicherheit Bewährte Sicherheitsmaßnahmen Serveradministratoren sind dafür verantwortlich, dass angemessene Sicherheitsmaßnah- men zum Schutz eines Servers vor einem Angriff umgesetzt werden. Ein gefährdeter Server stellt sowohl eine Gefahr für die Ressourcen und Daten auf dem Server als auch auf anderen verbundenen Systemen dar. Ein unzureichend geschütztes System kann als Basis für einen Angriff auf andere Systeme innerhalb oder außerhalb Ihres Netzwerks genutzt werden.

Bei der Gewährleistung der Sicherheit von Servern muss zwischen den Kosten für die Umsetzung von Sicherheitsvorkehrungen und der Wahrscheinlichkeit eines erfolgreichen Angriffs sowie dessen Auswirkungen abgewägt werden. Es ist zwar unmöglich, alle Sicherheitsrisiken für einen Server in einem Netzwerk zu umgehen, doch lassen sich diese zumindest verringern und effizient bekämpfen.

Zu den bewährten Vorgehensweisen für die Verwaltung von Serversystemen gehören u. a. Folgende: Â Aktualisieren Ihres Systems mit wichtigen Sicherheits-Patches und Aktualisierungen. Â Regelmäßiges Suchen nach Aktualisierungen. Â Installieren geeigneter Antivirenprogramme und deren regelmäßige Verwendung sowie regelmäßiges Aktualisieren von Virendefinitionsdateien und -software. Im Vergleich zu Windows sind Viren auf der Macintosh-Plattform weniger verbreitet. Trotzdem stellen sie ein Risiko dar. Â Einschränken des physischen Zugangs zum Server. Da ein unbefugter Benutzer bei lokalem Zugriff meist einen Großteil der Sicherheits- vorrichtungen des Systems umgehen kann, schützen Sie den Serverraum, Server- Racks und Netzwerkknotenpunkte. Verwenden Sie Sicherheitssperren. Solche vor- beugenden Maßnahmen sind sehr wichtig. Â Sicherstellen, dass Server ausreichend vor physischen Beschädigungen geschützt sind und dass die Klimatisierung des Serverraums funktioniert. Â Umsetzen aller zusätzlicher Vorsichtsmaßnahmen zum Schutz der Server. Aktivieren Sie z. B. Open-Firmware-Kennwörter, verschlüsseln Sie Kennwörter sofern möglich und bewahren Sie Sicherungsmedien sicher auf. Â Schützen des logischen Zugriffs auf den Server. Entfernen oder deaktivieren Sie beispielsweise nicht benötigte Accounts. Accounts für externe Benutzer sollte deaktiviert werden, wenn sie nicht in Verwendung sind. Â Konfigurieren von SACLs nach Bedarf. Über diese Zugriffssteuerungslisten können Sie angeben, wer auf Dienste zugreifen darf.

Kapitel 4 Sicherheit 83 Â Konfigurieren von ACLs nach Bedarf. Über diese Zugriffssteuerungslisten können Sie steuern, wer auf Netzwerkvolumes und deren Inhalt zugreifen darf. Â Schützen aller Accounts mit Zugriffsrechten auf root- oder Systemadministrator- Ebene durch Befolgen empfohlener Kennwortrichtlinien mit sicheren Kennwörtern. Weitere Informationen zu Kennwörtern finden Sie im Abschnitt „Kennwortrichtli- nien“ auf Seite 85. Â Keine Verwendung von Administrator-Accounts (UNIX-“admin“-Gruppe) für alltägliche Aufgaben. Einschränken der Verwendung von Verwaltungsrechten, indem die Administrator- Anmeldedaten nicht für alltägliche Aufgaben genutzt werden. Â Regelmäßiges Sichern wichtiger Daten des Systems und Aufbewahren einer Siche- rungskopie an einem sicheren, entfernten Standort. Sicherungskopien haben wenig Nutzen, wenn sie z. B. bei einem Feuer im Server- raum zusammen mit dem Computer zerstört werden. Notfallpläne für die Daten- sicherung/Wiederherstellung sollten vorab getestet werden, um sicherzustellen, dass die Wiederherstellung tatsächlich funktioniert. Â Regelmäßiges Überprüfen von Systemprüfprotokollen und Untersuchen unge- wöhnlicher Verkehrsmuster. Â Deaktivieren von Diensten, die auf Ihrem System nicht benötigt werden. Eine Schwachstelle bei einem Dienst auf Ihrem System kann das gesamte System gefährden. In einigen Fällen bedingt die Standardkonfiguration (die Werkseinstellun- gen) eines Systems empfindliche Schwachstellen bei Diensten, die implizit und mit ungeeigneten Standardoptionen aktiviert wurden. Beim Aktivieren eines Diensts wird ein Port geöffnet, über den Benutzer auf Ihr System zugreifen können. Zwar unterstützt ein aktivierter Firewall-Dienst die Abwehr unberechtigter Zugriffe, aber ein inaktiver Dienstport bleibt eine Schwachstelle, die ein Angreifer ausnutzen könnte. Â Aktivieren des Firewall-Diensts auf Servern, speziell an der Netzwerkgrenze. Die Firewall Ihres Servers ist der primäre Zugangsschutz gegen unberechtigten Zugriff. Weitere Informationen hierzu finden Sie im Kapitel zum Konfigurieren des Firewall-Diensts im Handbuch Netzwerkdienste – Administration. Sie können auch eine zusätzliche Hardware-Firewall eines Drittanbieters einsetzen, falls Ihr Server sehr anfällig gegen Angriffe von außen ist. Â Installieren einer lokalen Firewall auf wichtigen oder leicht zugänglichen Servern, falls erforderlich. Das Implementieren einer lokalen Firewall schützt das System vor einem Angriff aus dem Netzwerk des Unternehmens oder aus dem Internet.

84 Kapitel 4 Sicherheit Â Zusätzlicher Schutz durch Implementieren eines VPN (Virtual Private Network), das für die gesamte Kommunikation zwischen einem Client-Computer und Ihrem Server- programm einen sicheren, verschlüsselten Tunnel bereitstellt. Einige Netzwerkgeräte stellen eine Kombination verschiedener Funktionen bereit: Firewall, Erkennung von Eindringlingen und VPN. Â Entferntes Verwalten von Servern. Mit Programmen wie „Server-Admin“, „Servermonitor“, „RAID-Admin“ und „Apple Remote Desktop“ können Sie Ihre Server über das Netzwerk verwalten. Indem Sie den physischen Zugriff auf die Administratorsysteme minimieren, können Sie das Schadensrisiko verringern.

Kennwortrichtlinien Viele Programme und Dienste erfordern die Erstellung eines Kennworts für die Identi- fizierung. Mac OS X umfasst Programme, die Sie bei der Erstellung komplexer Kenn- wörter unterstützen (mithilfe des Kennwortassistenten) und Ihre Kennwörter sicher speichern (mithilfe des Programms „Schlüsselbundverwaltung).

Erstellen komplexer Kennwörter Verwenden Sie die folgenden Tipps, um komplexe Kennwörter zu erstellen: Â Verwenden Sie eine Mischung aus alphabetischen Zeichen (Groß- und Kleinschrei- bung), numerischen Zeichen und Sonderzeichen (etwa ! und @). Â Verwenden Sie keine Wörter oder Wortkombinationen, die in einem Wörterbuch einer beliebigen Sprache vorkommen. Â Hängen Sie keine Zahl an ein alphabetisches Wort an (etwa „verrückt2“), um die Vorgabe zu erfüllen, eine Zahl zu verwenden. Â Ersetzen Sie Buchstaben nicht durch ähnlich aussehende Zahlen oder Symbole (z. B. „M33R“ anstelle von „MEER“). Â Wählen Sie keine Eigennamen. Â Verwenden Sie keine Datumsangaben. Â Erstellen Sie ein Kennwort aus mindestens 12 Zeichen. Längere Kennwörter sind allgemein sicherer als kürzere. Â Verwenden Sie Kennwörter, die sich nicht erraten lassen, auch nicht von Personen, die Sie und Ihre Interessen gut kennen. Â Erstellen Sie so weit wie möglich ein zufällig gewähltes Kennwort. Mit dem Kennwortassistenten (im Ordner „/System/Library/CoreServices“) können Sie die Komplexität Ihres Kennworts überprüfen.

Kapitel 4 Sicherheit 85

5 Installation und Implementierung 5

Unabhängig davon, ob Sie Mac OS X Server auf einem Einzel- server oder einem Server-Cluster installieren, stehen Ihnen Werkzeuge und Prozesse für die erfolgreiche Installation und Implementierung zur Verfügung.

Auf manchen Computern ist die Mac OS X Server-Software bereits installiert. Bei anderen Computern muss die Serversoftware noch installiert werden. Beispielsweise wird durch die Installation von Leopard Server auf einem Computer mit Mac OS X dieser Computer zu einem Server mit Mac OS X Server.

Das Installieren von Leopard Server auf einem bestehenden Server mit Mac OS X Server 10.2–10.4 aktualisiert die Serversoftware auf Version 10.5. Ist Leopard Server bereits installiert, wird durch das erneute Installieren die Serverumgebung erneuert.

Das vorliegende Kapitel bietet Anweisungen zu einer neuen Installation von Leopard Server mithilfe mehrerer verschiedener Methoden.

Installation – Überblick Sie haben bereits über Anzahl und Art der zu installierenden Server geplant und entschieden.

Schritt 1: Voraussetzungen müssen erfüllt sein Stellen Sie sicher, dass der vorgesehene Zielserver die Systemvoraussetzungen erfüllt. Weitere Informationen hierüber finden Sie in folgenden Abschnitten: Â „Systemvoraussetzungen zum Installieren von Mac OS X Server“ auf Seite 89 Â „Hardwarespezifische Anweisungen zur Installation von Mac OS X Server“ auf Seite 90

87 Schritt 2: Erfassen von Informationen Erfassen Sie alle benötigten Informationen, bevor Sie beginnen. Das trägt nicht nur zu einem reibungslosen Ablauf der Installation bei, es hilft ggf. auch bei bestimmten Planungsentscheidungen. Weitere Informationen hierzu finden Sie: Â in Kapitel 2 „Planung“ auf Seite 25 Â im Anhang „Mac OS X Server – Erweitertes Arbeitsblatt“ auf Seite 229 Â im Abschnitt „Informationen zur Serverinstallations-DVD“ auf Seite 91

Schritt 3: Konfigurieren der Umgebung Wenn Sie selbst nicht die vollständige Kontrolle über die Netzwerkumgebung (DNS- Server, DHCP-Server, Firewall usw.) haben, setzen Sie sich vor dem Installieren wegen Fragen der Koordination mit Ihrem Netzwerkadministrator in Verbindung. Ein funktio- nierendes DNS-System mit Reverse Lookup (RLU) und einer Firewall für die Konfigura- tion bilden das absolute Minimum einer Konfigurationsumgebung. Wenn Sie planen, den Server mit einem bestehenden Verzeichnissystem zu verbinden, müssen Sie Ihre Maßnahmen auch mit dem Verzeichnis-Administrator absprechen. Vgl. dazu die folgenden Abschnitte: Â „Verbinden mit dem Verzeichnis während der Installation“ auf Seite 91 Â „Installieren der Serversoftware auf einem vernetzten Computer“ auf Seite 92

Wenn Sie den Server von einem anderen Computer aus verwalten, müssen Sie einen Administratorcomputer anlegen. Weitere Informationen hierzu finden Sie im Abschnitt „Vorbereiten eines Administratorcomputers“ auf Seite 90.

Schritt 4: Starten des Computers von einer Installations-DVD Das Installieren auf der Festplatte, von der aus der Computer gestartet wird, ist nicht möglich, sehr wohl aber das Aktualisieren. Für komplette Neuinstallationen und Aktua- lisierungen müssen Sie den Server von einer Installations-DVD aus starten, nicht von der Zielfestplatte aus. Vgl. dazu die folgenden Abschnitte: Â „Informationen zum Starten des Systems für die Installation“ auf Seite 92 Â „Ferner Zugriff auf die Installations-DVD“ auf Seite 93 Â „Starten von der Installations-DVD“ auf Seite 94 Â „Starten von einer alternativen Partition“ auf Seite 95 Â „Starten aus einer NetBoot-Umgebung“ auf Seite 99

Schritt 5: Vorbereiten der Zielfestplatte Wenn Sie eine Neuinstallation durchführen, müssen Sie die Zielfestplatte vorbereiten. Dazu müssen Sie zunächst sicherstellen, dass die Zielfestplatte das richtige Format und das richtige Partitionsschema aufweist. Vgl. dazu die folgenden Abschnitte: Â „Vorbereiten von Volumes für die Installation von Mac OS X Server“ auf Seite 101 Â „Auswählen eines Dateisystems“ auf Seite 101 Â „Partitionieren einer Festplatte“ auf Seite 103

88 Kapitel 5 Installation und Implementierung Â „Erstellen eines RAID-Arrays“ auf Seite 105 Â „Löschen eines Volumes oder einer Partition“ auf Seite 108

Schritt 6: Starten des Installationsprogramms Das Installationsprogramm nimmt Software von der Start-DVD und den Serversoftware- paketen und installiert diese auf der Zielfestplatte. Vgl. dazu die folgenden Abschnitte: Â „Angeben von entfernten Servern beim Installieren von Mac OS X Server“ auf Seite 110 Â „Interaktives Installieren der Serversoftware“ auf Seite 111 Â „Lokales Installieren von Installations-DVD“ auf Seite 111 Â „Entferntes Installieren mit dem Serverassistenten“ auf Seite 113 Â „Entferntes Installieren mit VNC“ auf Seite 115 Â „Verwenden des Befehlszeilenprogramms „installer“ zum Installieren der Serversoft- ware“ auf Seite 115 Schritt 7: Konfigurieren von Diensten Start Sie das System von der Zielfestplatte aus neu, um mit der Konfiguration fortzufahren. Weitere Informationen zur Serverkonfiguration finden Sie im Abschnitt „Server-Erstkonfiguration“ auf Seite 121.

Systemvoraussetzungen zum Installieren von Mac OS X Server Der Macintosh-Desktop-Computer oder Server, auf dem Sie Mac OS X Server 10.5 Leopard installieren, muss über folgende Komponenten verfügen: Â Intel-Prozessor oder PowerPC G4- oder G5-Prozessor mit mindestens 867 MHz Â Integrierte FireWire-Unterstützung Â Mindestens 1 Gigabyte (GB) Arbeitsspeicher (RAM) Â Mindestens 10 Gigabyte (GB) verfügbarer Festplattenspeicher. Â Neue Seriennummer für Mac OS X Server 10.5. Die mit einer vorherigen Version von Mac OS X Server verwendete Seriennummer gestattet keine Registrierung in Version 10.5. Ein integriertes DVD-Laufwerk ist praktisch, aber nicht zwingend erforderlich. Die Verwendung von Monitor und Tastatur ist optional. Sie können die Serversoftware von einem Administratorcomputer aus auf einem Computer ohne Monitor und Tasta- tur installieren. Weitere Informationen hierzu finden Sie im Abschnitt „Vorbereiten eines Administratorcomputers“ auf Seite 90. Wenn Sie eine Installations-DVD für Mac OS X Server 10.5 (oder neuer) verwenden, kön- nen Sie die Installation über einen anderen Computer steuern, der über Software für VNC-Viewer verfügt. Open Source-VNC-Viewer-Software ist verfügbar. Apple Remote Desktop (vgl. dazu Seite 55) umfasst die VNC-Viewer-Funktion.

Kapitel 5 Installation und Implementierung 89 Hardwarespezifische Anweisungen zur Installation von Mac OS X Server Wenn Sie Serversoftware auf Xserve-Systemen installieren, hängt das beim Starten des Computers für die Installation verwendete Verfahren von der Art der Xserve-Hardware ab, die Sie haben. Sie müssen möglicherweise das im Lieferumfang Ihres Xserve-Com- puters enthaltene Xserve-Benutzerhandbuch oder das Dokument Xserve-Kurzübersicht zu Rate ziehen, in denen diese Verfahren dokumentiert sind.

Erfassen der benötigten Informationen Verwenden Sie das Dokument Mac OS X Server – Erweitertes Arbeitsblatt, um Informatio- nen für jeden Server festzuhalten, den Sie installieren wollen. Die Informationen unten bieten ergänzende Erklärungen für Objekte auf dem Mac OS X Server – Erweitertes Arbeitsblatt. Das Mac OS X Server – Erweitertes Arbeitsblatt befindet sich im Anhang auf Seite 229.

Vorbereiten eines Administratorcomputers Sie können einen Administratorcomputer zum Installieren, Konfigurieren und Verwal- ten von Mac OS X Server auf einem anderen Computer verwenden. Ein Administrator- computer ist ein Computer mit Mac OS X 10.5 Leopard oder Mac OS X Server Leopard, den Sie zum Verwalten von Servern per Fernzugriff verwenden.

Wenn Sie Mac OS X Server auf einem Computer installieren und konfigurieren, der mit Bildschirm und Tastatur ausgestattet ist, ist dieser bereits ein Administratorcomputer. Wenn Sie einen Computer mit Mac OS X zu einem Administratorcomputer umfunktionieren möchten, müssen Sie zusätzliche Software installieren.

Wichtig: Wenn Sie administrative Programme und Werkzeuge aus Mac OS X Server 10.4 Tiger oder älteren Versionen haben, verwenden Sie diese nicht in Verbindung mit Leopard Server.

Gehen Sie wie folgt vor, um die Fernverwaltung von Mac OS X Server von einem Mac OS X-Computer aus zu aktivieren: 1 Vergewissern Sie sich, dass auf dem Mac OS X-Computer Mac OS X 10.5 Leopard oder eine neuere Version installiert ist. 2 Stellen Sie sicher, dass der Computer mit mindestens 1 GB Arbeitsspeicher und 1 GB freiem Festplattenspeicher ausgestattet ist. 3 Legen Sie die CD „Admin Tools“ ein. 4 Öffnen Sie den Ordner „Installers“ mit dem Installationsprogramm. 5 Öffnen Sie die Datei „ServerAdministrationSoftware.mpkg“, um das Installations- programm zu starten. Befolgen Sie danach die auf dem Bildschirm angezeigten Anleitungen.

90 Kapitel 5 Installation und Implementierung Informationen zur Serverinstallations-DVD Sie können die Serversoftware von der Mac OS X Server-Installations-DVD installieren. Diese Installations-DVD enthält alles, was Sie zum Installieren von Mac OS X Server brauchen. Sie enthält auch einen Ordner „Other Installs“ mit Installationsprogrammen zum Aktualisieren eines Mac OS X Computers auf Mac OS X Server sowie zur separaten Installation von Serververwaltungssoftware, des Programms „Verzeichnis“, des Pro- gramms „Podcast-Aufzeichnung“, der X11-Software sowie der Xcode Developer Tools.

Neben der Installations-DVD umfasst Mac OS X Server auch die CD „Admin Tools“. Diese CD verwenden Sie zum Konfigurieren eines Administratorcomputers. Die CD enthält auch Installationsprogramme für das Programm „Verzeichnis“, das Programm „Podcast- Aufzeichnung“ und den QTSS Publisher. Für erfahrene Administratoren bietet die CD auch noch Installationsprogramme für PackageMaker und Property List Editor.

Konfigurieren der Netzwerkdienste Vor dem Installieren müssen Sie die folgenden Einstellungen für Ihren Netzwerkdienst konfigurieren bzw. bereits vorliegen haben: Â DNS: Für die IP-Adresse jedes Servers im DNS-System muss ein vollständig qualifizierter Doman-Name vorhanden sein. Die DNS-Zone muss den Namen und die Adresse als RLU-Sucheintrag (Reverse Lookup) enthalten. Das Fehlen eines stabilen und funktionsfähigen DNS-Systems mit RLU führt zu Ausfällen und unerwartetem Systemverhalten. Â DHCP: Es wird davon abgeraten, Servern dynamische IP-Adressen zuzuweisen. Wenn Ihr Server seine IP-Adresse via DHCP erhält, konfigurieren Sie eine statische Zuord- nung auf dem DHCP-Server, damit der Server (über seine Ethernetadresse) jedesmal die gleiche IP-Adresse erhält. Â Firewall oder Routing: Zusätzlich zu einer auf Ihrem Server aktiven Firewall können auch für den Teilnetz-Router bestimmte Einschränkungen hinsichtlich des Netzwerk- verkehrs gelten. Stellen Sie sicher, dass die IP-Adresse Ihres Servers für Abwicklung und Ausführung von Datenaustausch und Diensten im vorgesehenen Umfang ver- fügbar ist.

Verbinden mit dem Verzeichnis während der Installation Wenn Sie einen Server als Open Directory-Master verwenden möchten, stellen Sie sicher, dass vor Beginn von Installation und Erstkonfiguration eine aktive Ethernet- verbindung zu einem sicheren Netzwerk vorliegt.

Kapitel 5 Installation und Implementierung 91 Installieren der Serversoftware auf einem vernetzten Computer Wenn Sie einen Computer über eine Serverinstallations-DVD starten, wird SSH gestartet, damit entfernte Installationen ausgeführt werden können.

Wichtig: Vergewissern Sie sich, dass das Netzwerk sicher ist, bevor Sie Mac OS X Server installieren oder erneut installieren, da SSH auch anderen Benutzern über das Netzwerk Zugriff auf den Computer gewährt. Gestalten Sie die Netzwerktopologie beispielsweise so, dass das Teilnetzwerk des Servercomputers bei Bedarf nur vertrauenswürdigen Benutzern zugänglich gemacht werden kann.

Informationen zum Starten des Systems für die Installation Der Computer kann keine Installation auf seinem eigenen Startvolume durchführen, Sie müssen deshalb das System auf andere Weise starten, z.B.: Â Von optischen Medien, DVDs Â Von alternativen Volumes (Zweitpartitionen auf der Festplatte oder externe FireWire- Festplatten) Â Über NetBoot

Der Computer muss von der gleichen CD/DVD bzw. der gleichen Image-Datei aus die Installation durchführen, von der er gestartet wurde. Das Aktivieren eines weiteren Netzwerkordners mit einem Installationsprogramm führt nicht zum Erfolg. Das Installa- tionsprogramm verwendet einige der Dateien, die gegenwärtig in der Partition des gestarteten Systems aktiv sind, für die Neuinstallation.

Vor dem Start Wenn Sie statt der Aktualisierung eines vorhandenen Servers eine Neuinstallation durchführen, sichern Sie sämtliche Benutzerdaten, die sich auf dem Volume oder der Partition befinden, auf dem bzw. der Sie die Serversoftware installieren.

Wenn Sie einen vorhandenen Server aktualisieren, stellen Sie sicher, dass gesicherte Konfigurationsdaten nicht versehentlich vom Server, den Sie aktualisieren, erkannt und dann automatisch für eine erweiterte Konfiguration verwendet werden können. Der Serverassistent sucht nach gesicherten Konfigurationsdaten auf allen aktivierten Fest- platten und in allen Verzeichnissen, auf die der Server Zugriff hat. Die gesicherten Kon- figurationsdaten überschreiben die gegenwärtigen Einstellungen des Servers.

Weitere Informationen zur automatischen Serverkonfiguration finden Sie im Abschnitt „Verwenden der automatischen Serverkonfiguration“ auf Seite 133.

92 Kapitel 5 Installation und Implementierung Ferner Zugriff auf die Installations-DVD Bei Verwendung als Start-DVD bietet die Installations-DVD einige Dienste für den Fern- zugriff. Nach dem Starten von der DVD sind SSH und VNC verfügbar. VNC ermöglicht die Nutzung eines VNC-Viewers (z. B. Apple Remote Desktop) zum Anzeigen der Benut- zeroberfläche, so als würden Sie mit Tastatur, Maus und Bildschirm des entfernten Computers arbeiten. Alle Funktionen, die Sie am Computer mit Tastatur und Maus ausführen konnten, sind nun sowohl per Fernzugriff als auch lokal verfügbar. Ausge- nommen hiervon sind Hardware-Resets, andere Hardwaremanipulationen oder das Gedrückthalten von Tasten während des Systemstarts.

SSH ermöglicht den Zugriff auf den Computer über die Befehlszeile mit Administrator- berechtigung.

Gehen Sie wie folgt vor, um mit VNC auf den Computer zuzugreifen: 1 Starten Sie den Zielcomputer von der Installations-DVD für Mac OS X Server 10.5 (oder neuer). Das verwendete Verfahren hängt von der Hardware des Zielservers ab. Weitere Informationen über die Optionen auf der Start-DVD finden Sie im Abschnitt „Informationen zum Starten des Systems für die Installation“ auf Seite 92. 2 Verwenden Sie Ihre Software für VNC-Viewer, um eine Verbindung zum Zielserver herzustellen. 3 Geben Sie den Zielserver an. Wenn die Software für VNC-Viewer den Zielserver in der Liste verfügbarer Server auf- führt, wählen Sie ihn in der Liste aus. Andernfalls geben Sie eine IP-Adresse im IPv4- Format ein (000.000.000.000). Wenn Sie die IP-Adresse nicht kennen und sich der entfernte Server im lokalen Teilnetz- werk befindet, können Sie den Befehl sa_srchr verwenden, um alle Computer im lokalen Teilnetzwerk anzuzeigen: Geben Sie Folgendes an einem Computer mit installierten Mac OS X Server Tools ein: /system/library/serversetup/sa_srchr 224.0.0.1

Mit diesem Befehl werden die IP-Adresse und die Ethernet-ID (neben weiteren Informa- tionen) der Server im lokalen Teilnetzwerk aufgelistet, die von der Installations-DVD aus gestartet wurden. 4 Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie die ersten acht Ziffern der integrierten Hardwareseriennummer des Servers ein. Sie finden die Seriennummer an der Rückseite des Servers. Wenn Sie die Installation auf einem älteren Computer vornehmen wollen, der keine integrierte Hardwareseriennummer besitzt, verwenden Sie 12345678 als Kennwort. Wenn Sie Apple Remote Desktop als Software für VNC-Viewer verwenden, geben Sie das Kennwort, aber keinen Benutzernamen ein.

Kapitel 5 Installation und Implementierung 93 Gehen Sie wie folgt vor, um mit SSH auf den Computer zuzugreifen: 1 Starten Sie den Zielcomputer von der Installations-DVD für Mac OS X Server 10.5 (oder neuer). Das verwendete Verfahren hängt von der Hardware des Zielservers ab. Weitere Informationen über die Optionen auf der Start-DVD finden Sie im Abschnitt „Informationen zum Starten des Systems für die Installation“ auf Seite 92. 2 Verwenden Sie das Programm „Terminal“, um eine SSH-Verbindung (Secure SHell) zum Zielserver herzustellen. Der Benutzername lautet „root“, das Kennworts umfasst ersten acht Ziffern der integrierten Hardwareseriennummer des Servers.

Sie finden die Seriennummer an der Rückseite des Servers. Wenn Sie die Installation auf einem älteren Computer vornehmen wollen, der keine integrierte Hardwareserien- nummer besitzt, verwenden Sie 12345678 als Kennwort. Wenn Sie die IP-Adresse nicht kennen und sich der entfernte Server im lokalen Teilnetz- werk befindet, können Sie den Befehl sa_srchr verwenden, um alle Computer im lokalen Teilnetzwerk anzuzeigen: Geben Sie Folgendes an einem Computer mit installierten Mac OS X Server Tools ein: /system/library/serversetup/sa_srchr 224.0.0.1

Mit diesem Befehl werden die IP-Adresse und die Ethernet-ID (neben weiteren Informa- tionen) der Server im lokalen Teilnetzwerk aufgelistet, die von der Installations-DVD aus gestartet wurden.

Starten von der Installations-DVD Dies ist die einfachste Methode, den Computer zu starten, sofern Sie Zugang zum Server selbst haben und dieser über ein optisches Laufwerk verfügt.

Installationsprogramm oder Befehlszeilenprogramm „installer“ im Programm „Terminal“

Wenn es sich beim Zielserver um einen Xserve-Computer mit integriertem DVD-Lauf- werk handelt, starten Sie den Server mithilfe der Installations-DVD. Befolgen Sie hierzu die Anweisungen im Xserve-Benutzerhandbuch zum Starten von einer System-CD/DVD.

Wenn der Zielserver kein integriertes DVD-Laufwerk besitzt, können Sie ein externes FireWire-DVD-Laufwerk verwenden. Außerdem können Sie Serversoftware auf einem Xserve-System ohne DVD-Laufwerk installieren, indem Sie das zugehörige Laufwerks- modul in ein anderes Xserve-System einsetzen, das über ein DVD-Laufwerk verfügt.

94 Kapitel 5 Installation und Implementierung Gehen Sie wie folgt vor, um den Computer mit der Installations-DVD zu starten: 1 Schalten Sie den Computer ein und legen Sie die Installations-DVD für Mac OS X Server in das DVD-Laufwerk ein. 2 Wenn Sie ein integriertes DVD-Laufwerk verwenden, starten Sie den Computer neu und halten Sie dabei die Taste „C“ gedrückt. Sie können die Taste „C“ loslassen, sobald Sie das Apple Logo sehen. Alternativ dazu können Sie den Computer auch neu starten, indem Sie bei gedrückter Wahltaste das Symbol der Installations-DVD auswählen und dann auf den Rechtspfeil klicken. Diese Methode müssen Sie verwenden, wenn Sie von einem externen DVD-Laufwerk aus starten. 3 Beim Installieren auf einem Xserve kann die Prozedur beim Starten von DVD ggf. von dieser Beschreibung abweichen. Weitere Informationen finden Sie im Benutzerhand- buch oder in der Kurzübersicht zu Ihrem Xserve. 4 Wählen Sie nach dem Neustart zunächst die für die Installation gewünschte Sprache. Klicken Sie danach auf die Pfeiltaste. Das Installationsprogramm ist nun aktiv.

Starten von einer alternativen Partition Bei einer Einzelserver-Installation kann die Vorbereitung für den Start von einer anderen Partition aus zeitraubender sein als das unkomplizierte Verwenden der Installations- DVD. Die Zeit zum Abbilden, Scannen und Wiederherstellen der Image-Datei auf einer Startpartition ist ggf. länger als die Installation von DVD. Wenn Sie allerdings regelmä- ßig Neuinstallationen durchführen, oder wenn Sie eine externe, auf einem FireWire- Laufwerk basierte Installation zum Mitnehmen auf verschiedene Computer erstellen, oder wenn Sie eine andere Art der Verteilung in großen Mengen benötigen (z. B. Xserve-Cluster-Systeme ohne DVD-Laufwerke), ist diese Methode oft sehr effizient.

Diese Methode eignet sich gut zum Installieren auf Computern, zu denen Sie nur eingeschränkt physischen Zugang haben. Mit entsprechender Vorbereitung lässt sich diese Methode für einfache Implementierung großer Mengen korrekt lizenzierter Kopien von Mac OS X Server modifizieren.

Um diese Methode verwenden zu können, müssen Sie irgendeine bestehende Installa- tion auf dem Computer vorliegen haben. Sie ist für Umgebungen vorgesehen, in denen bereits ein bestimmtes Maß an Infrastruktur von Mac OS X Server vorhanden ist. Für eine erstmalige Serverinstallation ist sie ggf. nicht geeignet. Zum Starten von einer anderen Partition sind im Wesentlichen vier Schritte erforderlich.

Kapitel 5 Installation und Implementierung 95 Schritt 1: Vorbereiten der Festplatten und Partitionen auf dem Zielcomputer Bevor Sie fortfahren, müssen mindestens zwei Partitionen auf dem Zielcomputer vorhanden sein. Die erste wird die ursprüngliche und endgültige Startpartition; die zweite ist die vorübergehende Installationspartition. Sie können eine einzelne Festplatte mit mehreren Partitionen verwenden, aber auch mehrere Festplatten. Zum Vorbereiten der Festplatten verwenden Sie das Festplatten-Dienstprogramm.

Weitere Informationen zum Vorbereiten einer Festplatte finden Sie in der Hilfe zum Festplatten-Dienstprogramm.

Schritt 2: Erstellen einer wiederherstellbaren Image-Datei der Installations-DVD Dieser Schritt muss auf dem Zielcomputer nicht durchgeführt werden. Er kann auf einem Administratorcomputer erfolgen, es muss allerdings genug freier Speicherplatz vorhanden sein, damit die komplette Installations-DVD abgebildet werden kann.

Gehen Sie wie folgt vor, um eine Image-Datei der Installations-DVD zu erstellen: 1 Legen Sie die Installations-DVD ein. 2 Starten Sie das Festplatten-Dienstprogramm. 3 Wählen Sie das erste Volumesymbol unter dem Symbol für das optische Laufwerk aus. Dieses befindet sich in der Liste der Geräte links im Fenster. 4 Wählen Sie „Ablage“ > „Neu“ > „Image von “. 5 Geben Sie der Image-Datei einen Namen, wählen Sie „Nur lesen“, „Lesen/Schreiben“ oder „Komprimiert“ als Image-Typ und klicken Sie auf „Sichern“. 6 Nach Fertigstellung der Image-Datei wählen Sie sie in der Liste auf der linken Seite aus. 7 Wählen Sie „Images“ > „Image für das Wiederherstellen überprüfen“ in der Menüleiste aus. 8 Geben Sie bei Bedarf Anmeldenamen und Kennwort für den Administrator ein.

Die Image-Datei des Installationsprogramms kann nun auf Ihrer zusätzlichen Partition wiederhergestellt werden.

∏ Tipp: Wenn Sie lieber die Befehlszeile verwenden, können Sie mit dem Befehl hdiutil die Image-Datei erstellen, mit asr können Sie sie zum Wiederherstellen scannen. Alle Befehle müssen mit Superuser- oder root-Berechtigung ausgeführt werden. Dieser Befehl erstellt z. B. das Disk-Image „Installer.dmg“ von dem Gerät unter disk1s1: hdiutil create -srcdevice disk1s1 Installer.dmg

Dieser Befehl scannt die Image-Datei „Installer.dmg“ und aktiviert sie für die Wiederherstellung: asr imagescan --source Installer.dmg

96 Kapitel 5 Installation und Implementierung Schritt 3: Wiederherstellen der Image-Datei auf der alternativen Partition Sie können die Image-Datei auf einer Partition des gleichen Computers oder auf einer externen Festplatte wiederherstellen. Anschließend kann die neu wiederhergestellte Partition genau wie die Installations-DVD verwendet werden. Stellen Sie sicher, dass die alternative Partition mindestens die Größe der Image-Datei aufweist.

Das Wiederherstellen der Image-Datei auf der Partition löscht alle ggf. davor vorhandenen Daten auf der Partition.

Gehen Sie wie folgt vor, um die Image-Datei wiederherzustellen: 1 Starten Sie den Zielcomputer. 2 Stellen Sie sicher, dass sich die Image-Datei nicht auf der Partition befindet, die gelöscht werden soll. 3 Starten Sie das Festplatten-Dienstprogramm. 4 Wählen Sie in der Geräteliste links im Fenster die Image-Datei der Installations-DVD aus. 5 Klicken Sie auf „Wiederherstellen“. 6 Bewegen Sie das Installations-Image von der linken Seite des Fensters in das Feld „Quelle“. 7 Bewegen Sie die alternative Partition aus der Liste der Gerät links im Fenster in das Feld „Zielmedium“. 8 Wählen Sie „Zielmedium löschen“ aus. 9 Klicken Sie auf „Wiederherstellen“.

Wenn Sie lieber die Befehlszeile verwenden, geben Sie den Befehl „asr“ ein, um die Image-Datei auf der Partition wiederherzustellen. Für die Verwendung des Befehls „asr“ ist die Superuser- oder die root-Berechtigung erforderlich. Die grundlegende Syntax lautet: sudo asr restore -s -t --erase

Der Befehl zum Wiederherstellen der Image-Datei „Installer.dmg“auf der Partition „ExtraHD“ wäre z. B.: asr restore -s Installer.dmg -t ExtraHD --erase

Weitere Informationen zum Befehl asr und dessen Funktionsspektrum finden Sie auf der entsprechenden man-Seite.

∏ Tipp: Sie können den Befehl „asr“ zum Wiederherstellen einer Image-Datei über ein Netzwerk verwenden, indem Sie die einzelnen Blöcke per Multitasking auf die Client- Computer übertragen. Mit der Multicast-Serverfunktion von asr können Sie eine Kopie des Installations-Images auf eine Partition aller Computer platzieren, die Multicast- Pakete empfangen können. Zum erfolgreichen Konfigurieren dieser Funktion benöti- gen Sie die Informationen auf der man-Seite des Befehls.

Kapitel 5 Installation und Implementierung 97 Der Befehl „asr“ kann auch zum Laden des Ziel-Images von einem HTTP-Server mithilfe von http- oder https-URL-Adressen als Quelle verwendet werden, sodass das Image nicht auf dem Zielcomputer gespeichert sein muss.

Schritt 4: Auswählen der alternativen Partition als Startvolume Nach dem Wiederherstellen der Partition stellt diese eine Start- und Installationsfest- platte für Ihren Server dar. Nun müssen Sie den Computer von dieser Partition aus starten. Wenn der Computer betriebsbereit und aktiv ist, entspricht die Partition einem Mac OS X Server-Installationsprogramm, so als hätten Sie den Computer von der DVD aus gestartet.

Gehen Sie wie folgt vor, um den Computer mit der Installations-DVD zu starten: 1 Schalten Sie den Computer ein und halten Sie die Wahltaste gedrückt. 2 Wählen Sie das Symbol aus, das die Installationspartition darstellt, und klicken Sie auf den Pfeil. Diese Methode müssen Sie verwenden, wenn Sie von einem externen DVD-Laufwerk aus starten. Beim Installieren auf einem Xserve kann die Prozedur beim Starten von DVD ggf. von dieser Beschreibung abweichen. Weitere Informationen finden Sie im Xserve-Benutzer- handbuch oder in der Kurzübersicht zu Ihrem Xserve. 3 Wählen Sie nach dem Neustart zunächst die für die Installation gewünschte Sprache. Klicken Sie danach auf die Pfeiltaste. Das Installationsprogramm ist nun aktiv. Wenn Sie dazu lieber die Befehlszeile verwenden möchten, können Sie das Startvo- lume mit dem Befehl systemsetup festlegen. In Mac OS X Server ab Version 10.4 befindet sich das Programm „systemsetup“ im Ordner „/usr/sbin/systemsetup“. Wenn Sie gegenwärtig den Mac OS X-Client für diesen Prozess verwenden, finden Sie das Programm im Ordner „/System/Library/CoreServices/RemoteManagement/ARD- Agent.app/Contents/Support/systemsetup“. Sie müssen die Befehle „-liststartupdisks“ und „-setstartupdisk“ verwenden, um das neu wiederhergestellte Installationsvolume zu finden, und dieses dann als Startvolume aus- wählen. Alle zusammen mit systemsetup eingegebenen Befehle müssen mit Superu- ser- oder root-Berechtigung ausgeführt werden. Das Folgende ist ein Beispielbefehl zum Auswählen des Startvolumes: systemsetup -setstartupdisk "/Volumes/Mac OS X Server Install Disk"

Führen Sie dann mit dem Befehl shutdown -r einen Neustart aus.

Weitere Informationen zum Befehl systemsetup finden Sie im Handbuch Command- Line Administration sowie auf der man-Seite zu dem Befehl.

98 Kapitel 5 Installation und Implementierung Starten aus einer NetBoot-Umgebung Wenn Sie bereits eine bestehende NetBoot-Infrastruktur haben, ist dies der einfachste Weg zur Durchführung von Installationen und Implementierungen in großer Zahl. Diese Methode kann für Cluster verwendet werden, die kein optisches Laufwerk oder keine vorhandene Systemsoftware verwenden, wie die folgende Abbildung verdeutlicht:

Mac OS X Ziel Administrator- Server computer

NetBoot- Server- Zielserver Erstinstallation

Zielserver

Sie kann auch in Umgebungen verwendet werden, in denen eine große Anzahl Server auf effiziente Weise implementiert werden muss.

Dieser Abschnitt bietet keine Informationen zum Erstellen der notwendigen NetBoot- Infrastruktur. Wenn Sie NetBoot- und NetInstall-Optionen für Ihr Netzwerk, Ihre Server und Client-Computer konfigurieren möchten, finden Sie entsprechende Informationen im Handbuch System-Imaging- und Softwareaktualisierung – Administration.

Dieser Abschnitt liefert Anweisungen zum Erstellen eines NetInstall-Images von der Mac OS X Server-Installations-DVD sowie zum Starten eines Servers von diesem Speichermedien. Vorbereitende Maßnahmen auf der Festplatte sind in diesem Fall nicht nötig.

Kapitel 5 Installation und Implementierung 99 Schritt 1: Erstellen eines NetInstall-Images von der Installations-DVD Dieser Schritt muss auf dem Zielcomputer nicht durchgeführt werden. Er kann auf einem Administratorcomputer erfolgen, der genug freien Speicherplatz aufweist, damit die komplette Installations-DVD erstellt werden kann. 1 Starten Sie das System-Image-Dienstprogramm im Ordner „/Progarmme/Server“. 2 Wählen Sie die Installations-DVD links und anschließend das NetInstall-Image auf der rechten Seite aus. 3 Klicken Sie auf „Fortfahren“. 4 Geben Sie einen Namen für das Image sowie eine Beschreibung ein. Diese Informationen werden an den Clients angezeigt, die das Image als Startvolume auswählen. 5 Klicken Sie auf „Erstellen“ und wählen Sie einen Speicherort zum Sichern der Image- Datei aus.

Danach kann dieses Image mit einem vorhandenen NetBoot-Server zum Starten eines Servers für die Installation verwendet werden.

Weitere Informationen zu NetInstall-Images und dem System-Image-Dienstprogramm, einschließlich Anpassungsoptionen, finden Sie im Handbuch System-Imaging- und Soft- wareaktualisierung – Administration.

Schritt 2: Starten des Computers vom NetBoot-Server Dazu gibt es je nach Umgebung vier Möglichkeiten. Â Wählen Sie auf dem Zielcomputer das NetInstall-Volume im Bereich „Startvolume“ der Systemeinstellungen aus. Â Starten Sie den Computer neu und halten Sie dabei die Taste „n“ gedrückt. Der erste NetBoot-Server, der dem Computer antwortet, startet den Computer mit dessen Standard-Image. Â Starten Sie den Computer neu und halten Sie dabei die Wahltaste gedrückt. Der Computer zeigt die verfügbaren Startvolumes an, die sich lokal auf dem Com- puter und entfernt auf NetBoot- und NetInstall-Servern befinden. Wählen Sie ein Volume aus und fahren Sie mit dem Startvorgang fort. Â Verwenden Sie die Befehlszeile lokal oder per Fernzugriff, um den NetBoot-Server anzugeben, von dem aus der Computer gestartet wird: sudo bless --netboot --server bsdp://server.beispiel.com

100 Kapitel 5 Installation und Implementierung Vorbereiten von Volumes für die Installation von Mac OS X Server Vor einer Neuinstallation von Mac OS X Server können Sie die Festplatte des Server- computers in mehrere Volumes partitionieren, ein RAID-Array erstellen oder das Zielvolume oder die Zielpartition löschen.

Wenn Sie eine Installations-DVD für Mac OS X Server Version 10.5 (oder neuer) verwenden, können Sie vor der Neuinstallation diese Aufgaben über einen anderen, vernetzten Computer ausführen, der Software für VNC-Viewer (wie beispielsweise Apple Remote Desktop) verwendet.

ACHTUNG: Sichern Sie vor dem Partitionieren eines Volumes, dem Erstellen eines RAID-Arrays oder dem Löschen eines Volumes oder einer Partition alle gewünschten Benutzerdaten, indem Sie sie auf ein anderes Volume oder eine andere Partition kopieren.

Auswählen eines Dateisystems Unter einem Dateisystem versteht man eine Methode zum Speichern und Verwalten von Computerdateien und der darin enthaltenen Daten auf einer Speichereinheit, wie etwa einer Festplatte. Mac OS X Server unterstützt mehrere Arten von Dateisystemen zur Verwendung als Festplattenspeicher. Jedes Dateisystem hat seine spezifischen Vor- züge. Sie müssen entscheiden, welches System den Bedarf Ihres Unternehmens am besten erfüllt.

Weitere Informationen finden Sie im Internet unter: developer.apple.com/technotes/tn/tn1150.html

Die folgenden Systeme sind verfügbar:

Mac OS Extended (Journaled), auch bekannt als HFS+J Ein HFS+J-Volume ist das Standarddateisystem für Mac OS X Server.

Ein HFS+J-Volume besitzt ein optionales Journal zur schnellen Wiederherstellung beim Aktivieren eines Volumes, das zuvor nicht korrekt deaktiviert wurde (z. B. als Folge eines Stromausfalls oder Systemfehlers). Das Journal ermöglicht ein schnelles und einfaches Wiederherstellen der Volume-Strukturen, ohne sämtliche Strukturen hierfür durchsuchen zu müssen.

Das Journal wird nur für Volume-Strukturen und Metadaten verwendet. Die Inhalte einer Verzweigung (Data-Fork) werden dadurch nicht geschützt. Anders ausgedrückt: Dieses Journal schützt die Integrität der zugrunde liegenden Festplattenstrukturen, aber keine Daten, die aufgrund eines Schreibfehlers oder eines Stromausfalls beschä- digt wurden.

Kapitel 5 Installation und Implementierung 101 Weitere Informationen zu HFS+J finden Sie in der Entwickler-Dokumentation von Apple unter folgender Adresse:

developer.apple.com/documentation/MacOSX/Conceptual/BPFileSystem/Articles/ Comparisons.html

Mac OS Extended (Journaled, Groß-/Kleinschreibung), auch bekannt als HFSX HFSX ist eine Erweiterung von HFS Plus und gibt Volumes die Möglichkeit, mit Datei- und Verzeichnisnamen zu arbeiten, in denen zwischen Groß- und Kleinschreibung unterschieden wird. Das bedeutet, dass innerhalb eines Verzeichnisses zur gleichen Zeit zwei Objekte vorhanden sein können, deren Namen sich nur in der Groß- und Klein- schreibung ihrer Buchstaben unterscheiden. So können z. B. Bob, BOB und bob im gleichen Verzeichnis als eindeutig benannte Dateien vorhanden sein.

Ein Volume, das zwischen Groß- und Kleinschreibung unterscheidet, wird als Format für das Boot-Volume unterstützt. Ein HFSX-Dateisystem für Mac OS X Server muss explizit ausgewählt sein, wenn Sie ein Volume löschen und für die Erstinstallation vorbereiten möchten. HFSX ist ein verfügbares Format für die Option „Löschen und Installieren“ bei lokalen Installationen. HFSX ist kein verfügbares Format für Installationen, die per Fern- zugriff gesteuert werden. Wenn Sie NFS verwenden möchten, sollten Sie mit einem zwischen Groß- und Kleinschreibung unterscheidenden HFSX-Dateisystem arbeiten.

Ein HFSX-Volume kann zwischen Groß- und Kleinschreibung unterscheiden oder auch nicht. Diese Vorgabe gilt dann global für das gesamte Volume. Die Einstellung gilt für alle Datei- und Verzeichnisnamen auf dem Volume. Wenn Sie feststellen möchten, ob ein HFSX-Volume zwischen Groß- und Kleinschreibung unterscheidet oder nicht, verwenden Sie das Feld „keyCompareType“ des B-Tree-Headers in der Katalogdatei. Der Wert „kHFSBinaryCompare“ bedeutet, dass das Volume zwischen Groß- und Kleinschrei- bung unterscheidet. Der Wert „kHFSCaseFolding“ bedeutet, dass das Volume nicht zwischen Groß- und Kleinschreibung unterscheidet.

Hinweis: Gehen Sie nicht davon aus, dass ein HFSX-Volume zwischen Groß- und Klein- schreibung unterscheidet. Verwenden Sie stets den Parameter „keyCompareType“ zum Bestimmen dieser Eigenschaft. Gehen Sie außerdem nicht davon aus, dass Ihre Drittan- bieter-Softwarelösungen von vornherein korrekt mit der Unterscheidung zwischen Groß- und Kleinschreibung arbeiten können.

Wichtig: Zwischen Groß- und Kleinschreibung unterscheidende Namen ignorieren für Unicode ignorierbare Zeichen nicht. Dies bedeutet, dass ein einzelnes Verzeichnis mehrere Namen haben kann, die unter den Unicode-Vergleichsregeln als gleichwertig gelten würden, die aber auf einem zwischen Groß- und Kleinschreibung unterscheidenden HFSX-Volume als unterschiedlich interpretiert werden.

102 Kapitel 5 Installation und Implementierung Partitionieren einer Festplatte Durch das Partitionieren der Festplatte werden ein Volume für die Serversystemsoft- ware und mindestens ein weiteres Volume für Daten und andere Software erstellt. Bei der Partitionierung wird der bisherige Inhalt des Volumes gelöscht.

Für eine Installationspartition werden 20 GB als Mindestgröße empfohlen. Für eine Standard- oder eine Arbeitsgruppenkonfiguration wird ein deutlich größeres Volume empfohlen, da bei diesen Konfigurationen auf dem Startvolume zusätzlich zur Server- software auch die gemeinsamen Ordner und die Websites der unterstützten Benutzer- gruppen angelegt werden.

Das Löschen einer Festplatte ist nur eine andere Bezeichnung dafür, eine Festplatte mit einer einzigen Volume-Partition zu versehen und dieses Volume zu löschen.

Erwägen Sie das Dedizieren einer Festplatte oder eines Volumes einer partitionierten Festplatte exklusiv für die Serversoftware. Bringen Sie zusätzliche Software, Netzwerk- volumes, Websites usw. auf anderen Festplatten oder Volumes unter. Auf diese Weise können Sie die Serversoftware aktualisieren oder neu installieren, ohne dass dadurch andere Software oder Benutzerdaten beeinträchtigt werden können. Wenn Sie zusätz- liche Software oder Daten auf dem Systemvolume speichern müssen, erwägen Sie die Spiegelung auf einer anderen Festplatte.

∏ Tipp: Eine oder zwei zusätzliche leere Partitionen auf der Zielfestplatte der Installation sorgen für zusätzliche Flexibilität bei der Installation und Implementierung des Servers. Mit zusätzlichem Speicherplatz können Sie z. B. einen Platz für eine temporäre Spiege- lung Ihrer gegenwärtigen Installation einrichten, bevor Sie die Aktualisierung Ihrer derzeitigen Konfiguration vornehmen, oder Sie erhalten dadurch eine schnelle Installationsfestplatte.

Partitionieren eines Volumes mit dem Festplatten-Dienstprogramm Sie können mit dem Installationsprogramm auch das Festplatten-Dienstprogramm öffnen und dann damit das Zielvolume oder ein anderes Volume löschen. Sie können das Zielvolume in einem der Formate Mac OS Extended, Mac OS Extended (Journaled), Mac OS Extended (Groß-/Kleinschreibung) und Mac OS Extended (Groß-/Kleinschrei- bung und Journaled) löschen. Das Partitionieren des aktiven Startvolumes oder das Löschen des aktiven Startvolumes ist nicht möglich. 1 Starten Sie das Festplatten-Dienstprogramm. Wenn das Installationsprogramm gestartet ist, ist das Festplatten-Dienstprogramm über das Menü „Dienstprogramme“ verfügbar. Andernfalls starten Sie das Programm im Ordner „/Programme/Dienstprogramme/ Festplatten-Dienstprogramm“.

Kapitel 5 Installation und Implementierung 103 2 Wählen Sie die zu partitionierende Festplatte aus. Sie können Ihr aktuelles Startlaufwerk nicht auswählen. Durch Auswählen eines Volumes auf der Festplatte können Sie das Volume löschen, ohne ein anderes Partitionsschema zu erstellen. 3 Klicken Sie auf „Partitionieren“. 4 Wählen Sie das Partitionsschema aus und folgen Sie den Anweisungen im Fenster, um alle erforderlichen Parameter festzulegen. 5 Klicken Sie auf „Anwenden“. Anweisungen zum Partitionieren der Festplatte in mehrere Volumes, zum Erstellen eines RAID-Arrays und zum Löschen des Zielvolumes oder der Zielpartition finden Sie in der Hilfe zum Festplatten-Dienstprogramm. Die Online-Hilfe des Festplatten-Dienst- programms zeigen Sie an, indem Sie das Festplatten-Dienstprogramm auf einem anderen Macintosh-Computer mit Mac OS X Version 10.5 öffnen und dann „Hilfe“ > „Festplatten-Dienstprogramm-Hilfe“ wählen.

Partitionieren einer Festplatte über die Befehlszeile Sie können mit dem Befehlszeilenprogramm „diskutil“ eine Festplatte partitionieren und löschen. Normalerweise würden Sie per Fernzugriff einen Shell-Befehl (SSH) verwenden, um sich beim neu gestarteten Computer anzumelden und diese Methode zu verwenden. Das Programm zum Partitionieren von Festplatten heißt „diskutil“.

Genau wie mit dem Festplatten-Dienstprogramm können Sie das Zielvolume in einem der Formate Mac OS Extended, Mac OS Extended (Journaled), Mac OS Extended (Groß-/Kleinschreibung) und Mac OS Extended (Groß-/Kleinschreibung und Journaled) löschen. Â Das Partitionieren des aktiven Startlaufwerks oder das Löschen des aktiven Start- volumes ist nicht möglich. Â Alle diskutil-Operationen, mit denen Daten gelöscht werden können, müssen mit Superuser- oder root-Berechtigung ausgeführt werden.

Zusätzliche Informationen über diskutil und andere Verwendungsmöglichkeiten des Programms finden Sie im Handbuch Command-Line Administration. Die vollständige Befehlssyntax von diskutil finden Sie auf der man-Seite des Programms.

Der jeweils anzugebende Befehl richtet sich nach dem jeweils benötigten Festplatten- format der verwendeten Hardware. Achten Sie darauf, die Befehlszeilenattribute zu verwenden, die Ihrem jeweiligen Bedarf entsprechen.

Der folgende Befehl ist ein Muster, bei dem die (einzige) Festplatte eines Computers mit 120 GB in zwei gleich große 60-GB-Volumes (Journaled HFS+) („BootDisk“ und „DataStore“) partitioniert werden, die einen PowerPC-basierten Macintosh-Computer starten können.

104 Kapitel 5 Installation und Implementierung Die Basissyntax lautet: diskutil partitionDisk device numberOfPartitions APMFormat

Damit lautet der Befehl wie folgt: diskutil partitionDisk disk0 2 APMFormat JournaledHFS+ BootDisk 50% JournaledHFS+ DataStore 50%

Erstellen eines RAID-Arrays Wenn Sie Mac OS X Server auf einem Computer installieren, der über mehrere interne Festplattenlaufwerke verfügt, können Sie ein RAID-System (Redundant Array of Independent Disks) einrichten. Ein RAID-System wirkt sich positiv auf die Speicher- kapazität, die Systemleistung und die Zuverlässigkeit des Systems im Falle eines Festplattenfehlers aus.

Ein RAID-System mit gespiegelten Platten erhöht beispielsweise die Zuverlässigkeit Ihres Systems, da alle Daten immer auf mindestens zwei Festplatten zugleich geschrieben werden. Fällt eine Festplatte aus, kann der Server an ihrer Stelle automatisch eine der anderen Festplatten des RAID-Systems verwenden.

Sie können ein RAID-System mithilfe des Festplatten-Dienstprogramms einrichten. Es gibt zwei Arten von RAID-Arrays und eine zusätzliche Festplattenoption im Fest- platten-Dienstprogramm: Â Ein verteiltes RAID-Array (RAID 0) verteilt Dateien übergreifend auf die Festplatten in diesem Array. Ein solches RAID-Array steigert die Leistung Ihrer Software, da es auf allen Festplatten in dem Array gleichzeitig lesen und schreiben kann. Die Verwen- dung von verteilten RAID-Arrays bietet sich ggf. an, wenn Sie mit besonders großen Dateien arbeiten, z. B. mit digitalen Videos. Â Ein gespiegeltes RAID-Array (RAID 1) dupliziert Dateien auf den Festplatten in diesem Array. Da dieses Schema zwei oder mehr Kopien der Dateien aufbewahrt, sorgt es für kontinuierliche Sicherungskopien dieser Dateien. Außerdem gewährleistet dies die Verfügbarkeit der Daten, falls einmal eine Festplatte ausfällt. Das Spiegeln empfiehlt sich, wenn Sie gemeinsam genutzte Dateien oder Programme haben, auf die oft zugegriffen wird. Wenn Sie die Software auf einer nicht partitionierten Festplatte installieren, können Sie die RAID-Funktion für die Plattenspiegelung auch nach Abschluss der Installation der Serversoftware einrichten. Zur Vermeidung von Datenverlusten sollte die RAID- Spiegelung jedoch so rasch wie möglich konfiguriert werden. Â Zusammengefasste Laufwerke ermöglichen die Verwendung mehrerer Festplatten als ein einziges Volume. Dabei handelt es sich um kein echtes RAID-Array, und es bietet auch keine Redundanzen oder Leistungsgewinne.

Kapitel 5 Installation und Implementierung 105 Sie können unterschiedliche RAID-Arrays miteinander kombinieren, um deren jeweilige Vorteile zu kombinieren. Sie können z. B. ein RAID-Array erstellen, das den schnellen Festplattenzugriff eines verteilten RAID-Arrays mit der Datenschutzleistung eines gespiegelten RAID-Array kombiniert. Dazu erstellen Sie zwei RAID-Arrays eines Typs und anschließend ein RAID-Array des anderen Typs, wobei die ersten beiden RAID- Arrays als Festplatten verwendet werden.

Die RAID-Arrays, die Sie kombinieren, müssen alle mit dem Festplatten-Dienstpro- gramm oder mit diskutil in Mac OS X 10.4 (oder neuer) erstellt worden sein.

Die Methode der Partitionierung, die für die Festplatten angewandt wurde, kann nicht in einem RAID-Array gemischt werden (PPC-Plattform verwendet das APM-Format, Intel-Plattform das GPT-Format).

Mac Pro-Desktop-Computer und Intel-basierte Xserve-Systeme können von einem Soft- ware-RAID-Volume aus gestartet werden. Einige Intel-basierte Mac-Computer unter- stützen das Starten von Software-RAID-Volumes aus nicht. Wenn Sie versuchen, diese Intel-basierten Mac-Computer von einem Software-RAID-Volume zu starten, startet der Computer möglicherweise, zeigt aber nur ein blinkendes Fragezeichen an.

Die folgenden Computer unterstützen das Starten von Software-RAID-Volumes aus nicht: Â iMac (Anfang 2006) Â Mac mini (Anfang 2006)

Es gibt keine PPC-basierten Mac-Computer, die das Starten von Software-RAID-Volu- mes aus unterstützen.

Wenn Sie umfassenderen RAID-Support benötigen, erwägen Sie die Verwendung eines Hardware-RAIDs. Dieser besitzt speziell dedizierte RAID-Hardware und kann über 5 Terabyte Massenspeicher enthalten.

Erstellen eines RAID-Arrays mit dem Festplatten-Dienstprogramm Sie können über das Installationsprogramm das Festplatten-Dienstprogramm öffnen und dann damit das RAID-Array aus verfügbaren Festplatten erstellen. Es ist nicht erforderlich, die Festplatten vor dem Erstellen des Arrays zu löschen. Beim Erstellen eines RAID-Arrays wird der vorherige Inhalt der betreffenden Festplatten gelöscht.

Die Volumes der RAID-Systeme können eines der Formate Mac OS Extended, Mac OS Extended (Journaled), Mac OS Extended (Groß-/Kleinschreibung), Mac OS Extended (Journaled, Groß-/Kleinschreibung) und MS-DOS FAT aufweisen. Weitere Informationen zu Volume-Formaten finden Sie im Abschnitt „Vorbereiten von Volumes für die Installa- tion von Mac OS X Server“ auf Seite 101.

106 Kapitel 5 Installation und Implementierung Es ist nicht möglich, ein RAID-Array mit dem aktiven Startvolume zu erstellen. 1 Starten Sie das Festplatten-Dienstprogramm. Wenn das Installationsprogramm geöffnet ist, ist das Festplatten-Dienstprogramm über das Menü „Dienstprogramme“ verfügbar. Starten Sie das Programm andernfalls aus dem Ordner „/Programme/Dienstprogramme/Festplatten-Dienstprogramm“. 2 Wählen Sie die Festplatte aus, die Teil des RAID-Arrays werden soll. Sie können Ihr aktuelles Startlaufwerk nicht auswählen. Beim Erstellen von RAID-Systemen oder Hinzufügen von Volumes empfiehlt es sich, stets die gesamte Festplatte anzugeben, nicht nur eine Partition der Festplatte. 3 Klicken Sie auf „RAID“. 4 Wählen Sie den Typ Ihres RAID-Arrays aus. 5 Bewegen Sie die Volumes in das Fenster. 6 Folgen Sie den Anweisungen im Fenster, um alle erforderlichen Parameter zu konfigurieren. 7 Klicken Sie auf „Erstellen“. Anweisungen zum Partitionieren der Festplatte in mehrere Volumes, zum Erstellen eines RAID-Arrays und zum Löschen des Zielvolumes oder der Zielpartition finden Sie in der Festplatten-Dienstprogramm-Hilfe. Die Online-Hilfe des Festplatten-Dienstpro- gramms zeigen Sie an, indem Sie das Festplatten-Dienstprogramm auf einem anderen Macintosh-Computer mit Mac OS X Version 10.5 öffnen und dann „Hilfe“ > „Festplatten- Dienstprogramm-Hilfe“ wählen.

Erstellen eines RAID-Arrays über die Befehlszeile Sie können auch das Befehlszeilenprogramm „diskutil“ zum Erstellen eines RAID-Arrays verwenden. Normalerweise würden Sie per Fernzugriff einen Shell-Befehl (SSH) verwenden, um sich beim neu gestarteten Computer anzumelden und diese Methode zu verwenden. Das Programm zum Erstellen eines RAID-Arrays heißt „diskutil“.

Genau wie mit dem Festplatten-Dienstprogramm können Sie mit diskutil ein RAID- Volume in einem der Formate Mac OS Extended, Mac OS Extended (Journaled), Mac OS Extended (Groß-/Kleinschreibung), Mac OS Extended (Journaled, Groß-/Kleinschrei- bung) oder MS-DOS erstellen. Beachten Sie jedoch Folgendes: Â Es ist nicht möglich, ein RAID-Array mit dem aktiven Startvolume zu erstellen. Â Geben Sie beim Erstellen von RAID-Sätzen oder Hinzufügen von Volumes stets die gesamte Festplatte an, nicht nur eine Partition der Festplatte. Â Alle diskutil-Operationen, mit denen Daten gelöscht werden können, müssen mit Superuser- oder root-Berechtigung ausgeführt werden.

Kapitel 5 Installation und Implementierung 107 Zusätzliche Informationen über diskutil und andere Verwendungsmöglichkeiten des Programms finden Sie im Handbuch Command-Line Administration. Die vollständige Befehlssyntax von „diskutil“ finden Sie auf der man-Seite des Programms.

Der jeweils auszugebende Befehl richtet sich nach Ihrem RAID-Bedarf. Verwenden Sie Befehlszeilenattribute, die Ihrem jeweiligen Bedarf entsprechen. Der folgende Befehl stellt ein Muster dar, mit dem ein einzelnes, gespiegeltes RAID-Array (RAID 1) aus den ersten beiden Festplatten erstellt wird, die im Computer installiert sind (disk0 und disk1); das resultierende RAID-Volume heißt „MirrorData“.

Die Basissyntax lautet: diskutil createRAID mirror setName format device device ...

Damit lautet der Befehl wie folgt: diskutil createRAID mirror MirrorData JournaledHFS+ disk0 disk1

Löschen eines Volumes oder einer Partition Sie haben mehrere Optionen zum Löschen einer Festplatte, je nach Ihren bevorzugten Programmen und Ihrer Computerumgebung: Â Löschen einer Festplatte mithilfe des Installationsprogramms: Sie können ein Volume oder eine Partition löschen, während Sie das Mac OS X Server-Installations- programm verwenden. Wenn Sie das Zielvolume im Installationsprogramm auswäh- len, können Sie auch eine Option auswählen, mit der das Zielvolume oder die Zielpartition bei der Installation im Format „Mac OS Extended (Journaled)“ gelöscht wird. Hierbei handelt es sich um das empfohlene Format für ein Mac OS X Server- Startvolume. Â Löschen eines Volumes mit dem Festplatten-Dienstprogramm: Sie können das Installationsprogramm verwenden, um das Festplatten-Dienstprogramm zu öffnen, und dann damit das Zielvolume oder ein anderes Volume löschen. Sie können das Zielvolume im Format Mac OS Extended oder Mac OS Extended (Journaled) löschen. Andere Volumes lassen sich ebenfalls in diesen beiden Formaten, im Format Mac OS Extended (Groß-/Kleinschreibung) oder Mac OS Extended (Journaled, Groß-/Klein- schreibung) löschen. Mit dem Mac OS X Server-Installationsprogramm können Sie eine Festplatte oder Partition zwar löschen, aber nicht partitionieren. Wenn Sie das Zielvolume im Installa- tionsprogramm auswählen, können Sie auch eine Option auswählen, mit der das Zielvolume oder die Zielpartition bei der Installation im Format „Mac OS Extended (Journaled)“ gelöscht wird. Hierbei handelt es sich um das empfohlene Format für ein Mac OS X Server-Startvolume.

108 Kapitel 5 Installation und Implementierung Anweisungen zum Partitionieren der Festplatte in mehrere Volumes, zum Erstellen eines RAID-Arrays und zum Löschen des Zielvolumes oder der Zielpartition finden Sie in der Festplatten-Dienstprogramm-Hilfe. Die Online-Hilfe des Festplatten-Dienstpro- gramms zeigen Sie an, indem Sie das Festplatten-Dienstprogramm auf einem anderen Macintosh-Computer mit Mac OS X Version 10.5 öffnen und dann „Hilfe“ > „Festplatten-Dienstprogramm-Hilfe“ wählen. Â Löschen einer Festplatte über die Befehlszeile: Sie können mit dem Befehlszeilen- programm „diskutil“ eine Festplatte auch über die Befehlszeile löschen. Beim Löschen einer Festplatte mit diskutil gehen alle Volume-Partitionen verloren. Der Befehl zum Löschen einer kompletten Festplatte lautet: diskutil eraseDisk format name [OS9Drivers | APMFormat | MBRFormat | GPTFormat] device Beispiel: diskutil eraseDisk JournaledHFS+ MacProHD GPTFormat disk0 Es gibt auch eine Option zum sicheren Löschen von Daten durch mehrfaches Über- schreiben der Festplatte mit Zufallsdaten. Weitere Informationen finden Sie auf der man-Seite zum Befehl „diskutil“. Zum Löschen eines einzelnen Volumes auf einer Festplatte wird ein leicht geänder- ter Befehl verwendet: diskutil eraseVolume format name device Beispiel: diskutil eraseVolume JournaledHFS+ UntitledPartition /Volumes/ OriginalPartition

Zusätzliche Informationen über diskutil und andere Verwendungsmöglichkeiten des Programms finden Sie im Handbuch Command-Line Administration. Die vollständige Befehlssyntax von „diskutil“ finden Sie auf der man-Seite des Programms.

Kapitel 5 Installation und Implementierung 109 Angeben von entfernten Servern beim Installieren von Mac OS X Server Für entfernte Serverinstallationen benötigen Sie folgende Informationen über den Zielserver: Â Die Identität des Zielservers: Wenn Sie den Serverassistenten verwenden, müssen Sie den Zielserver in einer Liste von Servern auf Ihrem lokalen Teilnetzwerk erkennen können oder die IP-Adresse des Servers eingeben (im Format IPv4: 000.000.000.000), sofern sich dieser in einem anderen Teilnetzwerk befindet. Die Informationen für Server in der Liste beinhalten die IP-Adresse, den Hostnamen und die MAC-Adresse (Media Access Control) (auch als Hardware- oder Ethernetadresse bezeichnet). Wenn Sie Software für VNC-Viewer verwenden, um die Installation von Mac OS X Ser- ver Version 10.5 (oder neuer) über einen entfernten Computer zu steuern, ist es even- tuell möglich, den Zielserver aus einer Liste verfügbarer VNC-Server auszuwählen. Ist dies nicht der Fall, müssen Sie die IP-Adresse des Servers eingeben (im IPv4- Format: 000.000.000.000). Die IP-Adresse des Zielservers wird von einem DHCP-Server im Netzwerk zugewiesen. Falls im Netzwerk kein DHCP-Server vorhanden ist, verwendet der Zielcomputer eine Adresse im Format „169.xxx.xxx.xxx“, anhand derer er eindeutig von anderen Ser- vern im lokalen Teilnetz unterschieden werden kann. Bei der nachfolgenden Server- konfiguration können Sie diese IP-Adresse bei Bedarf ändern. Wenn Sie die IP-Adresse nicht kennen und sich der entfernte Server im lokalen Teil- netzwerk befindet, können Sie den Befehl sa_srchr verwenden, um alle Computer im lokalen Teilnetzwerk anzuzeigen: Geben Sie Folgendes an einem Computer mit installierten Mac OS X Server Tools ein: /system/library/serversetup/sa_srchr 224.0.0.1 Dieser Befehl listet die IP-Adresse und die Ethernet-ID (neben weiteren Informatio- nen) der Server im lokalen Teilnetzwerk auf, die von der Installations-DVD aus gestartet wurden. Â Das voreingestellte Kennwort für den Zielserver: Das Kennwort besteht aus den ersten acht Ziffern der integrierten Hardwareseriennummer des Servers. Sie finden die Seriennummer auf der Rückseite des Servers. Ältere Computer haben keine integrierten Hardwareseriennummern. Verwenden Sie für diese Systeme die Ziffern 12345678.

110 Kapitel 5 Installation und Implementierung Interaktives Installieren der Serversoftware Sie können die Installations-DVDs zum interaktiven Installieren von Serversoftware auf einem lokalen Server, auf einem entfernten Server oder auf einem Computer mit vorin- stalliertem Mac OS X verwenden.

Lokales Installieren von Installations-DVD Sie können Mac OS X Server direkt auf einem Computer mit Monitor, Tastatur und angeschlossenem optischem Laufwerk installieren (vgl. die folgende Abbildung):

Installationsprogramm oder Befehlszeilenprogramm „installer“ im Programm „Terminal“

Wenn Sie eine Installations-DVD verwenden, muss das optische Laufwerk in der Lage sein, DVDs zu lesen.

Auf einem Computer ohne Bildschirm, Tastatur und optischem Laufwerk, der Ihre Installations-DVD lesen kann, können Sie die Installation ebenfalls direkt ausführen. In diesem Fall starten Sie den Zielcomputer im Festplattenbetrieb und verbinden ihn über ein FireWire-Kabel mit einem Administratorcomputer.

Sie verwenden den Administratorcomputer zum Installieren der Serversoftware auf dem Volume oder der Partition des Zielcomputers, das bzw. die als entsprechendes Symbol auf dem Administratorcomputer angezeigt wird.

Diese Anweisungen setzen voraus, dass Sie den Computer mithilfe der Installations- DVD, der Installationspartition oder über das NetInstall-Volume gestartet haben. Ist dies nicht der Fall, beachten Sie bitte die Anweisungen im Abschnitt „Informationen zum Starten des Systems für die Installation“ auf Seite 92.

Gehen Sie wie folgt vor, um die Serversoftware lokal zu installieren: 1 Nach erfolgtem Start des Computers wählen Sie die gewünschte Sprache für den Server aus und klicken auf „Fortfahren“. 2 Wenn das Installationsprogramm geöffnet wird und Sie eine Neuinstallation durchfüh- ren wollen, verwenden Sie optional das Menü „Dienstprogramme“, um das Festplatten- Dienstprogramm zu öffnen und zunächst das Zielvolume oder die Zielpartition vorzu- bereiten. Wenn Sie Ihre Festplatte zuvor nicht für die Installation vorbereitet haben, können Sie dies jetzt mit dem Festplatten-Dienstprogramm tun. Weitere Anweisungen hierzu finden Sie im Abschnitt „Vorbereiten von Volumes für die Installation von Mac OS X Server“ auf Seite 101.

Kapitel 5 Installation und Implementierung 111 3 Befolgen Sie die Anweisungen auf dem Bildschirm, um die Installation fortzusetzen. 4 Wenn der Bereich „Zielvolume wählen“ angezeigt wird, wählen Sie ein Zielvolume oder eine Zielpartition aus und vergewissern Sie sich, dass dieses bzw. diese den erwarteten Zustand hat. Wenn Sie eine Neuinstallation durchführen, können Sie auf „Optionen“ klicken, um die Zielfestplatte bzw. das Zielvolume im Format „Mac OS Extended (Journaled)“ zu formatieren. Wählen Sie „Löschen“, um das Volume im Format „Mac OS Extended (Journaled)“ zu formatieren, und klicken Sie dann auf „OK“. Wenn das ausgewählte Volume Mac OS X Server Version 10.3.9 oder 10.2.8 enthält und Sie eine Aktualisierung vornehmen wollen, klicken Sie auf „Optionen“, wählen Sie „Nicht löschen“ aus und klicken Sie auf „OK“. Wichtig: Wenn Sie eine Aktualisierung durchführen, stellen Sie sicher, dass gesicherte Konfigurationsdaten nicht versehentlich vom Server erkannt und verwendet werden können. Wenn gesicherte Konfigurationsdaten verwendet werden, sind die Serverein- stellungen nicht mit den gesicherten Einstellungen kompatibel, was zu unerwarteten Folgen führen kann. Weitere Informationen finden Sie im Abschnitt „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141. 5 Befolgen Sie die Anweisungen auf dem Bildschirm, um die Installation fortzusetzen. Nachdem die Installation beendet wurde, wird der Computer neu gestartet, und Sie können die Server-Erstkonfiguration vornehmen. 6 Wenn Sie einen Administratorcomputer zum Installieren der Software auf einem Server verwenden, der sich im FireWire-Festplattenmodus befindet und über ein FireWire- Kabel angeschlossen ist: a Beenden Sie den Serverassistenten, wenn dieser automatisch auf dem Administrator- computer gestartet wird. b Schalten Sie den Administratorcomputer und den Server aus. c Starten Sie den Administratorcomputer und den Server wie gewohnt (nicht im FireWire-Festplattenbetrieb). Jetzt können Sie den Server per Fernzugriff konfigurieren, indem Sie auf dem Administratorcomputer den Serverassistenten verwenden.

In Kapitel 6 „Server-Erstkonfiguration“ auf Seite 121 wird beschrieben, wie ein Server lokal oder per Fernzugriff eingerichtet wird.

112 Kapitel 5 Installation und Implementierung Entferntes Installieren mit dem Serverassistenten Zum Installieren von Mac OS X Server auf einem entfernten Server von der Serverinstal- lations-DVD, der Installationspartition oder dem NetInstall-Volume benötigen Sie einen Administratorcomputer, von dem aus Sie mit dem Serverassistenten die Installation verwalten können (vgl. die folgende Abbildung):

Administratorcomputer Willkommen >installer >installer

Teilnetz 1

Teilnetz 2

Nach dem Starten des Computers können Sie eine beliebige Anzahl Server von einem Administratorcomputer aus steuern und verwalten.

Wichtig: Wenn Sie administrative Programme und Werkzeuge aus Mac OS X Server 10.4 Tiger oder älteren Versionen haben, verwenden Sie diese nicht in Verbindung mit Leo- pard Server.

Wenn Sie die Benutzeroberfläche des Installationsprogramms verwenden möchten, können Sie mit VNC das Installationsprogramm per Fernzugriff sehen und steuern. Weitere Informationen hierzu finden Sie im Abschnitt „Entferntes Installieren mit VNC“ auf Seite 115.

Diese Anweisungen setzen voraus, dass Sie den Computer mithilfe der Installations- DVD, der Installationspartition oder über das NetInstall-Volume erfolgreich gestartet haben. Ist dies nicht der Fall, beachten Sie bitte die Anweisungen im Abschnitt „Informationen zum Starten des Systems für die Installation“ auf Seite 92.

Kapitel 5 Installation und Implementierung 113 Gehen Sie wie folgt vor, um eine Installation auf einem entfernten Server mithilfe des Serverassistenten durchzuführen: 1 Nach dem Starten des Zielcomputers von der Serverinstallations-DVD, der Installations- partition oder dem NetInstall-Volume starten Sie den Serverassistenten aus dem Ord- ner „/Programme/Server“ auf dem Administratorcomputer. Sie müssen nicht als Administrator beim lokalen Computer angemeldet sein, um den Serverassistenten verwenden zu können. 2 Wählen Sie „Software auf einem entfernten Server installieren“ aus. 3 Wählen Sie jeden vorgesehenen Zielserver aus und fügen Sie ihn zur Liste hinzu. Befindet sich dieser im lokalen Teilnetzwerk, wählen Sie ihn in der Liste aus. Andern- falls klicken Sie auf die Taste „Hinzufügen“ (+) und geben eine IP-Adresse im IPv4- Format (000.000.000.000) ein. Wenn Sie eine bereits gesicherte Serverliste vorliegen haben, laden Sie diese jetzt durch Auswählen von „Ablage“ > „Serverliste laden“. 4 Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie die ersten acht Ziffern der integrierten Hardwareseriennummer des Servers ein. Sie finden die Seriennummer an der Rückseite des Servers. Wenn Sie die Installation auf einem älteren Computer vornehmen wollen, der keine integrierte Hardwareseriennummer besitzt, verwenden Sie die Ziffern 12345678 als Kennwort. 5 Wenn Sie das Hinzufügen aller gewünschten Server zur Liste abgeschlossen haben, sichern Sie die Liste für künftige Verwendung. Dazu wählen Sie „Ablage“ > „Serverliste sichern“ aus. 6 Befolgen Sie im weiteren Verlauf die Anweisungen auf dem Bildschirm. 7 Wenn der Bereich „Volumes“ angezeigt wird, wählen Sie ein Zielvolume oder eine Ziel- partition aus und vergewissern Sie sich, dass sich dieses Volume bzw. die Partition im erwarteten Status befindet. Klicken Sie danach auf „Fortfahren“. Wenn das ausgewählte Volume Mac OS X Server Version 10.4.10 oder 10.3.9 enthält und Sie eine Aktualisierung vornehmen wollen, wählen Sie „Nicht löschen“ aus. Andern- falls können Sie „Löschen“ auswählen, um das Volume im Format „Mac OS Extended (Journaled)“ zu formatieren. Klicken Sie auf „OK“.

ACHTUNG: Wenn Sie eine Aktualisierung durchführen, stellen Sie sicher, dass gesicherte Konfigurationsdaten nicht versehentlich vom Server erkannt und verwendet werden können. Wenn gesicherte Konfigurationsdaten verwendet werden, sind die Servereinstellungen nicht mit den gesicherten Einstellungen kompatibel, was zu unerwarteten Folgen führen kann. Weitere Informationen hierzu finden Sie im Abschnitt „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141.

114 Kapitel 5 Installation und Implementierung 8 Befolgen Sie im weiteren Verlauf die Anweisungen auf dem Bildschirm. Sie haben dabei die Möglichkeit, ein weiteres Fenster des Serverassistenten zu öffnen, um die Serversoftware auf anderen Computern zu installieren. Wählen Sie dazu „Ablage“ > „Neues Fenster“.

Nachdem die Installation beendet ist, wird der Zielserver neu gestartet, und Sie können die Server-Erstkonfiguration durchführen. Informationen zur Vorgehensweise finden Sie in Kapitel 6 „Server-Erstkonfiguration“ auf Seite 121.

Entferntes Installieren mit VNC Wenn Sie eine Installations-DVD für Mac OS X Server Version 10.5 (oder neuer) verwenden, können Sie die Installation über einen anderen Computer steuern, der über Open Source-Software für VNC-Viewer oder Apple Remote Desktop verfügt. Mit dieser Vorge- hensweise können Sie die Vorbereitung des Zielvolumes oder der Zielpartition per Fernzugriff steuern, bevor Sie mit der Installation beginnen.

Sie können die Festplatte in mehrere Volumes partitionieren, ein RAID-Array erstellen oder das Zielvolume oder die Zielpartition löschen.

Die Installation per Fernzugriff mit VNC ist die gleiche wie beim lokalen Installieren mit Tastatur und Monitor, abgesehen davon, dass Sie zuerst die Verbindung zum VNC-Ser- ver auf dem Zielcomputer mit einem VNC-Client wie Apple Remote Desktop herstellen.

Informationen zum Verbinden mit einem Computer, der von einer Installations-DVD aus aktiviert wurde, finden Sie im Abschnitt „Ferner Zugriff auf die Installations-DVD“ auf Seite 93.

Die Anleitung zum lokalen Ausführen des Installationsprogramms finden Sie im Abschnitt „Lokales Installieren von Installations-DVD“ auf Seite 111.

Verwenden des Befehlszeilenprogramms „installer“ zum Installieren der Serversoftware Mit dem Programm installer installieren Sie die Serversoftware auf einem lokalen oder entfernten Computer über die Befehlszeile. Näheres zum Befehlszeilenprogramm „installer“ finden Sie: Â im Handbuch Command-Line Administration. Â Indem Sie das Programm „Terminal“ öffnen und installer, installer -help oder man installer eingeben.

Kapitel 5 Installation und Implementierung 115 Gehen Sie wie folgt vor, um das Programm „installer“ zum Installieren der Serversoft- ware zu verwenden: 1 Starten Sie eine Befehlszeilensitzung mit dem Zielserver durch Auswahl einer der folgenden Möglichkeiten: Â Installieren eines lokalen Servers: Nach dem Öffnen des Installationsprogramms wählen Sie „Dienstprogramm“ > „Terminal öffnen“, um das Programm „Terminal“ zu öffnen. Â Installieren eines entfernten Servers: Starten Sie im Programm „Terminal“ auf einem Administratorcomputer oder auf einer UNIX-Workstation als root-Benutzer eine SSH- Sitzung mit dem Zielserver. Geben Sie für die tatsächliche IP-Adresse des Zielservers an: ssh root@

∏ Wenn Sie die IP-Adresse nicht kennen und sich der entfernte Server im lokalen Teilnetz- werk befindet, können Sie den Befehl sa_srchr verwenden, um alle Computer im lokalen Teilnetzwerk anzuzeigen: /system/library/serversetup/sa_srchr 224.0.0.1 meincomputer.beispiel.com#PowerMac4,4###Mac OS X Server 10.5#RDY4PkgInstall#2.0#512 Sie können auch den Serverassistenten verwenden, um Informationen für Computer im lokalen Teilnetzwerk zu ermitteln. Öffnen Sie den Serverassistenten. Wählen Sie „Soft- ware auf einem entfernten Server installieren“ und klicken Sie auf „Fortfahren“. Anschließend wird der Bereich „Zielmedium“ geöffnet, und eine Liste der Server, deren Installation ansteht, wird generiert. 2 Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie die ersten acht Ziffern der integrierten Hardwareseriennummer des Servers ein. Sie finden die Seriennummer auf der Rückseite des Servers. Wenn der Zielcomputer als Server konfiguriert war, finden Sie auch die Hardwareseriennummer unter „/System/Library/ServerSetup/SerialNumber“. Wenn Sie die Installation auf einem älteren Computer vornehmen wollen, der keine integrierte Hardwareseriennummer besitzt, verwenden Sie die Ziffern 12345678 als Kennwort. 3 Suchen Sie das Zielserver-Volume, auf dem Sie die Serversoftware installieren möchten. Geben Sie den folgenden Befehl ein, um die für die Installation der Serversoftware von der DVD aus verfügbaren Servervolumes aufzulisten: /usr/sbin/installer -volinfo -pkg /System/Installation/Packages/ OSInstall.mpkg

116 Kapitel 5 Installation und Implementierung Sie können auch eine Image-Datei für die Netzwerkinstallation (NetInstall) angeben, die Sie erstellt und aktiviert haben: /usr/sbin/installer -volinfo -pkg /Volumes/ServerNetworkImage10.5/ System/Installation/Packages/OSInstall.mpkg

Die angezeigte Liste entspricht Ihrer eigenen Umgebung. Sie finden hier jedoch ein Beispiel, das drei verfügbare Volumes zeigt: /Volumes/Mount 01 /Volumes/Mount1 /Volumes/Mount02 4 Falls noch nicht geschehen, bereiten Sie die Festplatten für die Installation vor. Weitere Informationen zum Vorbereiten der Festplatten für die Installation finden Sie im Abschnitt „Vorbereiten von Volumes für die Installation von Mac OS X Server“ auf Seite 101. Wenn auf dem Zielvolume Mac OS X Server 10.4.10 oder 10.3.9 installiert ist, wenn Sie das Programm installer ausführen, wird der Server auf Version 10.5 aktualisiert, wobei Benutzerdateien beibehalten werden. Wenn Sie keine Aktualisierung, sondern eine Neuinstallation durchführen, sichern Sie die Benutzerdateien, die Sie behalten wollen. Verwenden Sie dann den Befehl diskutil, um das Volume zu löschen und zu formatieren, um die Journalfunktion zu aktivieren: /usr/sbin/diskutil eraseVolume HFS+ "Mount 01" "/Volumes/Mount 01" /usr/sbin/diskutil enableJournal "/Volumes/Mount 01"

Sie können den Befehl diskutil auch verwenden, um das Volume zu partitionieren und die Spiegelung einzurichten. Weitere Informationen zu dem Befehl finden Sie auf der man-Seite zu diskutil. Wichtig: Speichern Sie keine Daten auf der Festplatte oder Festplattenpartition, auf der das Betriebssystem installiert wird. So vermeiden Sie die Gefahr des Datenverlusts, falls Sie einmal die Systemsoftware neu installieren oder aktualisieren müssen. Wenn Sie zusätzliche Software oder Daten auf der Systempartition speichern müssen, erwägen Sie eine Spiegelung des Laufwerks. 5 Installieren Sie das Betriebssystem auf einem Volume aus der in Schritt 3 generierten Liste. Zur Verwendung von „Mount 01´“ im Beispiel in Schritt 4 (Installieren von einer Server- Installationsfestplatte) geben Sie z. B. Folgendes ein: /usr/sbin/installer -verboseR -lang en -pkg /System/Installation/ Packages/OSInstall.mpkg -target "/Volumes/Mount 01"

Wenn Sie eine Image-Datei für die Netzwerkinstallation (NetInstall) verwenden, identifiziert der Befehl diese wie in Schritt 3 gezeigt.

Kapitel 5 Installation und Implementierung 117 Wenn Sie den Parameter „-lang“ eingeben, verwenden Sie einen der folgenden Werte: en (für Englisch), de (Deutsch), fr (Französisch) oder ja (Japanisch). Während der Installation werden Statusinformationen angezeigt. Sie haben dabei die Möglichkeit, ein weiteres Terminal-Fenster zu öffnen, um die Serversoftware auf einem anderen Computer zu installieren. 6 Wenn die Installation von der CD beendet ist, starten Sie den Server neu durch Eingabe von: /sbin/reboot

oder /sbin/shutdown -r

Der Serverassistent wird geöffnet, wenn die Installation beendet ist. Sie können nun mit dem Konfigurieren des Servers fortfahren. Weitere Informationen hierzu finden Sie im Abschnitt „Server-Erstkonfiguration“ auf Seite 121.

Installieren mehrerer Server Sie können den Serverassistenten, Software für VNC-Viewer oder das Befehlszeilenpro- gramm installer verwenden, um mehrere Installationsvorgänge für die Serversoft- ware zu starten. Nach der Verwendung des Serverassistenten zum Einleiten der Serversoftwareinstallation auf mehreren entfernten Computern wählen Sie „Ablage“ > „Neues Fenster“ zum Installieren der Software auf weiteren Computern.

Beim Ausführen des Serverassistenten von einem Administratorcomputer zum Installieren auf mehreren Maschinen fassen Sie jeweils gleiche Hardwarekonfigu- rationen zu Gruppen zusammen. Fassen Sie z. B. alle Intel-Xserve-Maschinen oder alle G4-Mac minis zusammen.

Nachdem Sie die Installation von Mac OS X Server Version 10.5 (oder neuer) auf einem entfernten Computer mithilfe einer Software für VNC-Viewer ausgeführt haben, kön- nen Sie die VNC-Software verwenden, um eine Verbindung zu einem anderen, entfernten Computer herzustellen und die Installation dort zu steuern. Da dies eine Interaktion mit jedem einzelnen Server erfordert, ist diese Methode weniger effizient als das Instal- lieren auf mehreren Servern.

118 Kapitel 5 Installation und Implementierung Die effizienteste Methode der Installation wäre eine komplett automatisierte Installa- tion. Durch das Öffnen des Programms „Terminal“ und Verwendung des Programms installer zum Starten jeder einzelnen Serversoftwareinstallation wird dies nicht auf effiziente Weise erreicht. Es kann aber sehr effizient sein, für das Befehlszeilenpro- gramm ein Skript zu schreiben (z. B. unter Verwendung bekannter Werte für die Server- IP-Adressen), um auf diese Weise mehrere gleichzeitige Installationen automatisch aus- zuführen. Für eine komplett automatisierte Serverinstallation müssen Sie das Installati- onsprogramm installer in ein Skript integrieren und ein hohes Maß an Kontrolle über die Netzwerkinfrastruktur besitzen.

Wenn Sie z. B. bekannte IP-Adressen und die entsprechenden Hardwareseriennum- mern in Ihr Skript eingegeben haben, können Sie sich nicht auf zufällig vergebene IP-Adressen verlassen. Sie können via DHCP zugewiesene statische Adressen dazu nutzen, Ungewissheiten auszuschließen und Ihre Überlegungen bezüglich der Skripterstellung zu vereinfachen.

Eine erschöpfende Behandlung der Methoden, Skriptsprachen und Möglichkeiten würde den Rahmen des vorliegenden Handbuchs sprengen.

Aktualisieren eines Computers von Mac OS X auf Mac OS X Server Sie können die Installations-DVD für Mac OS X Server 10.5 zum Aktualisieren eines Desktop-Computers mit den folgenden Eigenschaften verwenden: Â Mac OS X 10.5 (oder neuer) ist installiert Â Der Computer verfügt über einen Intel-Prozessor. Â Der Computer wurde im Sommer 2006 oder später auf den Markt gebracht. Â Der Computer erfüllt die Systemanforderungen, die im Abschnitt „Systemvoraus- setzungen zum Installieren von Mac OS X Server“ auf Seite 89 genannt werden.

Gehen Sie wie folgt vor, um einen Computer von Mac OS X auf Mac OS X Server zu aktualisieren: 1 Starten Sie den Computer ganz normal von der Festplatte. Verwenden Sie keine Installations-DVD. 2 Legen Sie die Installations-DVD ein, öffnen Sie den Ordner „Other Installs“ und wählen Sie das Programm „MacOSXServerInstall.mpkg“ durch Doppelklicken aus, um das Installationsprogramm zu starten. Wenn das Installationsprogramm beendet ist, wird Ihr Computer automatisch neu gestartet und der Serverassistent geöffnet, mit dem Sie den Server konfigurieren können. 3 Nachdem der Server neu gestartet wurde, installieren Sie mithilfe der Systemeinstel- lung „Softwareaktualisierung“ Aktualisierungen der Serversoftware.

Kapitel 5 Installation und Implementierung 119 Sicherstellen, dass die Serversoftware auf dem neusten Stand ist Nach dem Konfigurieren des Servers empfiehlt es sich normalerweise, diesen immer dann zu aktualisieren, wenn Apple neue Softwareaktualisierungen zum Server veröffentlicht.

Es gibt mehrere Möglichkeiten, auf veröffentlichte Aktualisierungen von Mac OS X Server zuzugreifen: Â Wählen Sie im Programm „Server-Admin“ einen Server in der Liste „Server“ aus und klicken Sie anschließend auf die Taste „Server-Updates“. Â Verwenden Sie die Systemeinstellung „Softwareaktualisierung“. Â Verwenden Sie das Befehlszeilenprogramm softwareupdate. Â Verwenden Sie den Dienst für die Softwareaktualisierung des Servers. Â Laden Sie eine Image-Datei der Softwareaktualisierung von folgender Adresse: www.apple.com/de/support/downloads

120 Kapitel 5 Installation und Implementierung 6 Server-Erstkonfiguration 6

Die grundlegenden Eigenschaften von Mac OS X Server werden während der Serverkonfiguration festgelegt. Der Server kann mit drei verschiedenen Konfigurationen verwendet werden: Erweitert, Standard und Arbeitsgruppe. Bei den Anleitungen in diesem Kapitel wird angenommen, dass Sie die erweiterte Konfiguration gewählt haben.

Nach der Installation der Serversoftware besteht die nächste Aufgabe darin, den Server zu konfigurieren. Es gibt mehrere Methoden zum Konfigurieren eines Servers: Â Konfigurieren Sie einen oder mehrere Server interaktiv. Â Automatisieren Sie die Konfiguration, indem Sie die in einer Datei oder einem Ver- zeichnis gesicherten Konfigurationsdaten verwenden, auf die bzw. das die Server entsprechend ihrer Konfiguration zugreifen.

Benötigte Informationen Informationen zu den Servern und Anweisungen zum Aufzeichnen von Informationen der zu konfigurierenden Server finden Sie im Anhang Mac OS X Server – Erweitertes Arbeitsblatt auf Seite 229. Die nachfolgenden Informationen bieten ergänzende Erläuterungen zu einigen der Objekte auf dem Arbeitsblatt.

Wenn Sie von Mac OS X Server Version 10.4.10 oder 10.3.9 aktualisieren, zeigt der Server- assistent die vorhandenen Servereinstellungen an, Sie können diese jedoch ändern. Notieren Sie auf dem Mac OS X Server – Erweitertes Arbeitsblatt die Einstellungen, die für den Server der Version 10.5 verwendet werden sollen.

121 Verschieben der Serverkonfiguration nach der Installation Der Serverassistent wird auf einem Server, der noch nicht konfiguriert wurde, automatisch geöffnet, damit Sie mit der Konfiguration beginnen können. Möchten Sie den Server zu einem späteren Zeitpunkt konfigurieren, können Sie die Konfiguration verschieben. Verwenden Sie dazu Tastatur, Maus und Bildschirm des Servers.

Gehen Sie wie folgt vor, um die Konfiguration von Mac OS X Server zu verschieben: m Drücken Sie im Serverassistenten die Tastenkombination „Befehl-Q“ auf der Tastatur des Servers und klicken Sie dann auf „Ausschalten“. Nach einem Neustart des Servers wird der Serverassistent erneut geöffnet. Wenn Sie einen Server ohne Tastatur oder Bildschirm konfigurieren, können Sie Befehle in das Programm „Terminal“ eingeben, um den Server per Fernzugriff auszuschalten. Informationen zur Verwendung der Befehlszeile zum Herstellen einer Verbindung zu einem entfernten Computer und Ausschalten dieses Computers finden Sie im Hand- buch Command-Line Administration.

Verbinden mit dem Netzwerk während der erstmaligen Serverkonfiguration Versuchen Sie einen Server an seiner endgültigen Position im Netzwerk (Teilnetzwerk) zu platzieren, bevor Sie ihn zum ersten Mal konfigurieren. Wenn Sie Sorgen wegen eines möglichen unberechtigten oder vorzeitigen Zugriffs während der Konfiguration haben, können Sie ein Firewall konfigurieren, um den Server während der Fertigstel- lung seiner Konfiguration zu schützen. Wenn die Verlagerung eines Servers nach der Erstkonfiguration nicht zu vermeiden ist, müssen Sie Einstellungen ändern, für die der Standort im Netzwerk bekannt sein muss, bevor der Server verwendet werden kann. Die IP-Adresse und der Hostname des Ser- vers, die in Verzeichnissen und Konfigurationsdateien auf dem Server gespeichert sind, müssen z. B. aktualisiert werden. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Hostnamens des Servers nach der Konfiguration“ auf Seite 170.

Konfigurieren von Servern mit mehreren Ethernetanschlüssen Ihr Server besitzt einen integrierten Ethernetanschluss und ggf. zusätzliche integrierte oder nachträglich hinzugefügte Ethernetanschlüsse. Wenn Sie den Serverassistenten zum interaktiven Konfigurieren eines oder mehrerer Server verwenden, werden alle verfügbaren Ethernetanschlüsse eines Servers aufgelistet, und Sie können einen oder mehrere zu aktivierende und zu konfigurierende Anschlüsse auswählen. Wenn Sie im Offline-Modus des Serverassistenten arbeiten, können Sie durch Klicken auf die Taste „Hinzufügen“ manuell eine Liste der zu konfigurierenden Anschlüsse erstellen.

122 Kapitel 6 Server-Erstkonfiguration Wenn Sie mehrere Anschlüsse aktivieren, geben Sie die Reihenfolge an, in der die Anschlüsse beim Routing von Datenverkehr im Netzwerk verwendet werden sollen. Der Server empfängt Netzwerkverkehr an jedem beliebigen aktiven Anschluss. Vom Server ausgehender Netzwerkverkehr wird dagegen über den jeweils ersten freien und aktiven Anschluss geleitet.

Eine Beschreibung der Attribute von Anschlusskonfigurationen finden Sie im Anhang Mac OS X Server – Erweitertes Arbeitsblatt.

Bei der Server-Erstkonfiguration festgelegte Einstellungen Bei der Serverkonfiguration werden die folgenden grundlegenden Servereinstellungen festgelegt. Â Die für die Serververwaltung zu verwendende Sprache und die Tastaturbelegung des Computers werden definiert. Â Die Seriennummer der Serversoftware wird eingegeben. Â Ein Serveradministrator wird definiert und der Benutzerordner wird erstellt. Â Standardmäßige AFP- und FTP-Netzwerkvolumes, wie Netzwerkobjekte, Benutzer und Gruppen, werden definiert. Â Grundlegende Open Directory-Informationen werden festgelegt. Es wird mindestens eine lokale Verzeichnis-Domain erstellt. Sie können auch ein LDAP-Verzeichnis konfigurieren, das andere Computer verwenden können, oder Sie können den Server so konfigurieren, dass Verzeichnisinformationen von anderen Servern abgerufen werden. Â Der Hostname des Servers, der Computername und der lokale Hostname werden festgelegt. Sie können die Namen von Computer und lokalem Host angeben, der Serverassistent legt jedoch den Hostnamen auf den Wert „AUTOMATIC“ in „/etc/hostconfig“ fest. Diese Einstellung bewirkt, dass der Hostname des Servers der erste Name in der folgenden Liste ist, der als „wahr“ identifiziert wird: Â Der vom DHCP- oder BootP-Server für die primäre IP-Adresse bereitgestellte Name Â Der erste Name, der von einer umgekehrten DNS-Abfrage (Adresse-zu-Name) für die primäre IP-Adresse zurückgemeldet wird Â Der lokale Hostname Â Der Name „localhost“ Â Netzwerkschnittstellen (Ports) werden konfiguriert. TCP/IP- und Etherneteinstellun- gen werden für jeden Port definiert, den Sie aktivieren möchten. Â Der Netzwerkzeitdienst kann eingerichtet werden.

Beim Aktualisieren werden die aktuellen grundlegenden Einstellungen im Verlauf des Konfigurationsprozesses angezeigt, Sie können sie aber ändern. Andere Einstellungen, wie z. B. die von Ihnen definierten Netzwerkvolumes und konfigurierten Dienste, werden beibehalten. Eine umfassende Beschreibung der aktualisierten Einstellungen und von Aktionen finden Sie im Handbuch Aktualisieren und Migrieren.

Kapitel 6 Server-Erstkonfiguration 123 Sie können die Server-Erstkonfiguration nur einmal durchführen, ohne den Server neu installieren zu müssen. Zum Ändern von Einstellungen, die Sie während der Kon- figuration festgelegt haben, stehen Ihnen alternative Möglichkeiten zur Verfügung. Zum Beispiel können Sie mit dem Programm „Server-Admin“ oder dem Programm „Verzeichnisdienste“ Open Directory-Einstellungen verwalten.

Festlegen der Erstverwendung von Open Directory Beim Einrichten einer erweiterten Konfiguration legen Sie fest, wie der Server Benutzer- Accounts und andere Verzeichnisinformationen speichert und darauf zugreift. Sie wäh- len aus, ob der Server eine Verbindung zu einem Verzeichnissystem herstellt oder als eigenständiger Server arbeitet. Nach der Konfiguration können Sie eine Verbindung zu einem Verzeichnissystem erstellen oder ändern, indem Sie das Programm „Verzeichnisdienste“ verwenden. Alternativ können Sie den Server als Open Directory-Master oder -Replik definieren, indem Sie die Open Directory-Diensteinstellungen des Servers mit dem Programm „Server-Admin“ ändern. Weitere Informationen zum Ändern von Verzeichnisdiensten finden Sie im Handbuch Open Directory – Administration. Wenn Sie einen Server neu einrichten, legen Sie seine Konfiguration für die Verzeichnis- dienste fest. Sie haben folgende Möglichkeiten: Â Ohne Änderungen, nur verfügbar bei Aktualisierungen von Mac OS X Server 10.4.10 oder 10.3.9. Â Eigenständiger Server, wird verwendet, um ausschließlich eine lokale Verzeichnis- Domain auf dem Server einzurichten. Â Verbunden mit einem Verzeichnissystem, wird verwendet, um den Server dafür einzurichten, Verzeichnisinformationen von einer freigegebenen Verzeichnis-Domain abzurufen, die bereits auf einem anderen Server eingerichtet ist. In allen Fällen wird die Open Directory-Identifikationsüberprüfung auf dem Server eingerichtet und standardmäßig für alle neuen Benutzer verwendet, die zu Domains hin- zugefügt werden, die sich auf dem Server befinden. Wenn Sie mehrere Server konfigurieren und einer oder mehrere davon ein freigegebe- nes Verzeichnis bereitstellen werden, richten Sie diese Server ein, bevor Sie Server konfigurieren, die auf die betreffenden freigegebenen Verzeichnisse zugreifen sollen. Hinweis: Wenn Sie Mac OS X Server 10.5 mit einer Verzeichnis-Domain von Mac OS X Server 10.2 (oder älter) verbinden, können die in der älteren Verzeichnis-Domain definierten Benutzer nicht mit der MS-CHAPv2-Methode identifiziert werden. Diese Methode ist ggf. erforderlich, um Benutzer für den VPN-Dienst von Mac OS X Server 10.5 sicher zu identifizieren. Open Directory in Mac OS X Server 10.5 unterstützt die MSCHAPv2-Identifikationsüberprüfung, aber der Kennwortserver in Mac OS X Server 10.2 unterstützt MS-CHAPv2 nicht.

124 Kapitel 6 Server-Erstkonfiguration Verwenden Sie nach der Konfiguration das Programm „Verzeichnisdienste“ oder „Server- Admin“, um die Verzeichniskonfiguration des Servers ggf. weiter zu optimieren. Die Ver- zeichnisdienste ermöglichen das Einrichten von Verbindungen zu mehreren Verzeich- nissen, einschließlich Active Directory und anderen nicht-Apple-Verzeichnissystemen. Sie können damit auch eine Suchrichtlinie angeben (die Reihenfolge, in der der Server die Domains durchsuchen soll). Das Programm „Server-Admin“ ermöglicht das Konfigu- rieren von Repliken eines Open Directory-Masters und die Verwaltung anderer Aspekte der Verzeichnisdienste eines Servers. Das Handbuch Open Directory – Administration bietet bei Bedarf hilfreiche Informatio- nen dazu, welche Konfigurationsoption für die Verzeichnisverwendung für Sie geeignet ist. Bei einer Aktualisierung ist „Ohne Änderungen“ meist die beste Wahl. Bei der Konfiguration eines neuen Servers ist „Eigenständiger Server“ die einfachste Wahl. Im Anschluss an die Erstkonfiguration des Servers können Sie das Programm „Verzeichnis- dienste“ oder „Server-Admin“ verwenden, um die Verzeichniskonfiguration anzupassen und zu vervollständigen.

Kein Ändern der Verzeichnisverwendung beim Aktualisieren Wenn Sie einen Server konfigurieren, der von Version 10.3.9 oder 10.2.8 auf Version 10.5 aktualisiert wird und der Server weiterhin dieselbe Verzeichniskonfiguration verwenden soll, wählen Sie „Ohne Änderung“ im Bereich „Verzeichnisverwendung“ des Server- assistenten aus. Selbst wenn Sie die Verzeichniskonfiguration des Servers ändern wollen, bietet die Option „Ohne Änderungen“ die sicherste Methode bei der Aktualisierung. Dies ist besonders dann der Fall, wenn Sie planen, eine Verzeichniskonfiguration zu ändern, die für die gemeinsame Nutzung freigegeben wurde. Typische Beispiele von Änderungen an der Verzeichnisverwendung, die Sie nach der Konfiguration des Servers vornehmen sollten, sind etwa, dass ein Verzeichnis nicht mehr von einem Server bereitgestellt werden soll, sondern der Server vielmehr das freigegebene Verzeichnis eines anderen Ser- vers nutzen soll (oder umgekehrt) oder dass eine freigegebene NetInfo-Domain auf LDAP umgestellt werden soll. Nur so ist der Zugriff auf die Verzeichnisinformationen zu Ihrem Netzwerk gewährleistet. Informationen zu allen verfügbaren Optionen für die Verzeichnisverwendung und dazu, wie die Programme „Verzeichnisdienste“ und „Server-Admin“ verwendet werden, um Verzeichnisänderungen vorzunehmen, finden Sie im Handbuch Open Directory – Administration. Informationen dazu, wie Sie vorhandene Verzeichnisdaten weiterhin verwenden können, wenn Sie Einstellungen des Verzeichnisdiensts ändern, finden Sie im Handbuch Aktualisieren und Migrieren. Wenn Sie die Option „Ohne Änderungen“ wählen und der Server keinen Kennwort- server verwendete, wird die Open Directory-Identifikationsüberprüfung eingerichtet. Wenn Sie Benutzer zu einer beliebigen, auf dem Server befindlichen Apple-Verzeichnis- Domain hinzufügen, werden die Benutzerkennwörter standardmäßig über die Open Directory-Identifikationsüberprüfung authentifiziert.

Kapitel 6 Server-Erstkonfiguration 125 Konfigurieren eines eigenständigen Servers Ein eigenständiger Server speichert Account-Informationen in seiner lokalen Verzeich- nis-Domain und greift auch dort darauf zu. Der eigenständige Server identifiziert Clients mithilfe seiner lokalen Verzeichnis-Domain für den Datei- und Mail-Dienst und für andere Dienste. Andere Server und Client-Computer können nicht auf die lokale Verzeichnis-Domain des eigenständigen Servers zugreifen.

Die Open Directory-Identifikationsüberprüfung wird auf dem Server ebenfalls eingerichtet. Standardmäßig wird die Open Directory-Identifikationsüberprüfung verwendet, wenn ein Benutzer zur lokalen Domain hinzugefügt wird.

Wenn ein Benutzer versucht, sich bei dem Server anzumelden oder auf einen seiner Dienste zuzugreifen, der eine Identifizierung erfordert, prüft der Server die Zugriffsbe- rechtigung des betreffenden Benutzers durch Abfrage der lokalen Datenbank. Wenn der Benutzer auf dem System einen Account besitzt und das korrekte Kennwort ein- gibt, verläuft die Identifikationsüberprüfung erfolgreich.

Konfigurieren eines Servers für die Verbindung zu einem Verzeichnissystem Wenn Ihr Server mit einem anderen Verzeichnissystem verbunden ist, speichert er Account-Informationen im freigegebenen Verzeichnis eines anderen Servers und greift dort auf diese Informationen zu. Der Server kann das andere Verzeichnissystem verwenden, um Clients für Datei- und Mail-Dienste und für andere Dienste zu identifizieren. Ihr Server kann auch seine lokale Verzeichnis-Domain für Account-Informationen und die Identifizierung verwenden.

Sie können Ihren Server in eine Vielzahl von Verzeichnissystemen integrieren, indem Sie bei der Konfiguration eine der folgenden Optionen auswählen: Â Open Directory-Server: Ihr Server kann mithilfe von LDAP Verzeichnisinformationen über einen Open Directory-Server speichern und darauf zugreifen. Damit Sie diese Option verwenden können, müssen Sie den DNS-Namen oder die IP-Adresse des Open Directory-Servers kennen. Â Gemäß Angabe durch DHCP-Server: Ihr Server erhält Informationen für die Verbin- dung mit einem Verzeichnissystem über einen DHCP-Server. Der DHCP-Server muss so konfiguriert sein, dass er Adresse und Suchbeginn eines LDAP-Servers bereitstellt (DHCP-Option 95). Der Verzeichnisdienst und DHCP-Dienst sind unabhängig voneinander. Sie müssen nicht vom selben Server bereitgestellt werden. Â Anderer Verzeichnisserver: Wenn Sie den Server mit einer anderen Art Verzeichnis- system oder mit mehreren Verzeichnissystemen integrierten müssen, wählen Sie diese Option. Richten Sie die Verbindungen zu einem späteren Zeitpunkt mit dem Programm „Verzeichnisdienste“ ein.

126 Kapitel 6 Server-Erstkonfiguration Mit dieser Option können Sie Ihren Server in nahezu jeden vorhandenen Verzeichnis- dienst integrieren, u. a. Microsoft Active Directory, Novell eDirectory, andere nicht- Apple-Verzeichnisdienste oder eine NIS-Domain. Informationen zur Verwendung des Programms „Verzeichnisdienste“ finden Sie im Handbuch Open Directory – Admi- nistration oder über das Menü „Hilfe“ im Programm „Verzeichnisdienste“.

Wenn Sie den Server für die Verbindung zu einem Open Directory-Server mit Mac OS X Server 10.3 (oder älter) konfigurieren, können Sie u. U. nicht alle Funktionen nutzen: Â Für den VPN-Dienst ist eine MS-CHAP2-Identifizierung erforderlich, die in Version 10.2 (oder älter) nicht verfügbar ist. Â Die Replikation wird von Version 10.2 (und älter) nicht unterstützt. Â Die Kerberos-Konfiguration ist unter Version 10.2 wesentlich komplexer. Darüber hin- aus erfordert die automatische Synchronisierung von Kerberos und Kennwort-Server Version 10.3 (oder neuer). Â Unter Version 10.3 und älter sind die zuverlässige Verzeichnisanbindung, die Unter- stützung für LDAP-Subdomains und die Steuerelemente für Verzeichnisdienste nicht verfügbar.

Verwenden der interaktiven Serverkonfiguration Die einfachste Methode zum Konfigurieren einer geringen Anzahl von Servern ist die interaktive Verwendung des Serverassistenten. Hierfür muss zuerst die Verbindung zum jeweiligen Server hergestellt werden. Sie geben Server-Konfigurationsdaten interaktiv an und beginnen dann die Konfiguration. Wenn Sie nur wenige Server zu konfigurieren haben, ist die interaktive Methode nützlich. Mit der interaktiven Methode können Sie einen lokalen Server, einen fernen Server oder mehrere ferne Server konfigurieren.

Hierfür öffnen Sie den Serverassistenten, stellen die Verbindung zu einem oder mehreren Zielservern her, geben die Konfigurationsdaten ein und starten danach unmittelbar den Konfigurationsvorgang.

Diese Methode verwenden Sie zum Konfigurieren eines lokalen Servers (vgl. dazu den Abschnitt „Interaktives Konfigurieren eines lokalen Servers“ auf Seite 128). Sie können diesen interaktiven Ansatz auch verwenden, um einen entfernten Server von einem Administratorcomputer aus zu konfigurieren. Die Anleitung finden Sie im Abschnitt „Interaktives Konfigurieren eines Servers per Fernzugriff“ auf Seite 129.

Wenn mehrere entfernte Server dieselben Konfigurationsdaten verwenden können, können Sie die Daten bereitstellen und anschließend mithilfe einer Stapelverarbeitung die Konfiguration aller Server beginnen. Wenn Sie den Serverassistenten von einem Administratorcomputer ausführen, um mehrere Server einzurichten, fassen Sie identische Hardwarekonfigurationen in Gruppen zusammen. Wählen Sie dann beispielsweise alle Intel-Xserve-Computer oder alle Mac mini-Computer mit G4-Prozessoren.

Kapitel 6 Server-Erstkonfiguration 127 Diese Methode (auf der linken Seite der folgenden Abbildung dargestellt) erfordert, dass für alle Zielserver unter Verwendung von DHCP- oder BootP-Netzwerk-IDs festgelegt werden. Anleitungen hierzu finden Sie im Abschnitt „Interaktives Konfigurieren mehrerer Server per Fernzugriff in einem Arbeitsgang“ auf Seite 131.

Willkommen Willkommen Willkommen

Teilnetz 1

Teilnetz 2

Wenn Sie die Konfiguration einzelner Server anpassen wollen, können Sie jede Konfi- guration gesondert in einem anderen Fenster des Serverassistenten verwalten. Dieser Ansatz ist auf der rechten Seite der Abbildung oben dargestellt. Anleitungen hierzu finden Sie im Abschnitt „Interaktives Konfigurieren eines Servers per Fernzugriff“ auf Seite 129.

Die Abbildung oben zeigt in einem Szenario die Zielserver im gleichen Teilnetzwerk wie den Administratorcomputer, im anderen Szenario befinden sie sich in einem anderen Teilnetzwerk. Beide Konfigurationsszenarien können jedoch zum Konfigurieren von Servern im gleichen oder in unterschiedlichen Teilnetzwerken verwendet werden.

Wenn sich ein Zielserver in einem anderen Teilnetzwerk befindet, müssen Sie seine IP-Adresse angeben. Server in demselben Teilnetzwerk werden im Serverassistenten aufgeführt, sodass Sie einen oder mehrere Server in der Liste auswählen.

Interaktives Konfigurieren eines lokalen Servers Nach der Installation der Serversoftware auf einem Server können Sie diesen mit der interaktiven Methode lokal konfigurieren, sofern Sie Zugang zu den betreffenden Computern haben.

Bei dieser Konfiguration wird angenommen, dass Sie den Serverkonfigurationsmodus „Erweitert“ verwenden. Verwenden Sie diese Anweisungen nicht mit dem Modus „Standard“ oder „Arbeitsgruppe“.

128 Kapitel 6 Server-Erstkonfiguration Gehen Sie wie folgt vor, um einen lokalen Server interaktiv zu konfigurieren: 1 Füllen Sie das Mac OS X Server – Erweitertes Arbeitsblatt im Anhang aus. Ergänzende Informationen finden Sie im Abschnitt „Benötigte Informationen“ auf Seite 121. Nach dem Neustart des Servers wird der Serverassistent geöffnet. 2 Geben Sie beim Durcharbeiten der einzelnen Fensterbereiche im Assistenten die Kon- figurationsdaten ein, die Sie in das Mac OS X Server – Erweitertes Arbeitsblatt eingetragen haben, und folgen Sie dabei den Anweisungen auf dem Bildschirm. Stellen Sie sicher, dass die DHCP- oder DNS-Server, die der Server gemäß Ihren Angaben in den Konfigurationsdaten verwenden soll, auch gestartet sind. Nach Eingabe aller Konfigurationsdaten zeigt der Serverassistent eine Übersicht der Daten an. 3 Überprüfen Sie die eingegebenen Daten und klicken Sie falls erforderlich auf „Zurück“, um Änderungen vorzunehmen. 4 Zum Sichern der Konfigurationsdaten als Textdatei oder in einem für die automatische Serverkonfiguration verwendbaren Format (als Konfigurationsdatei oder als Verzeichnis- eintrag) klicken Sie auf „Sichern unter“. Wenn Sie eine Konfigurationsdatei oder einen Verzeichniseintrag verschlüsseln möch- ten, wählen Sie „Verschlüsselt sichern“ aus. Anschließend müssen Sie ein Kennwort eingeben und bestätigen. Sie müssen das Kennwort angeben, damit eine verschlüsselte Datei von einem Zielserver verwendet werden kann. 5 Klicken Sie auf „Anwenden“, um die Konfiguration des lokalen Servers zu starten. 6 Klicken Sie nach Abschluss der Serverkonfiguration auf „Neustart“. Nun können Sie sich als der Serveradministrator anmelden, der beim Einrichten des Servers für das Konfigurieren von Diensten erstellt wurde.

Interaktives Konfigurieren eines Servers per Fernzugriff Nach erfolgter Installation der Serversoftware auf einem Server können Sie den Server mit der interaktiven Methode auch per Fernzugriff von einem Administratorcomputer aus konfigurieren, der eine Verbindung zum Zielserver herstellen kann.

Gehen Sie wie folgt vor, um einen Server interaktiv per Fernzugriff zu konfigurieren: 1 Füllen Sie das Mac OS X Server – Erweitertes Arbeitsblatt im Anhang aus. Ergänzende Informationen finden Sie im Abschnitt „Benötigte Informationen“ auf Seite 121. 2 Vergewissern Sie sich, dass der Zielserver gestartet ist.

Kapitel 6 Server-Erstkonfiguration 129 3 Öffnen Sie auf einem Administratorcomputer den Serverassistenten im Ordner „/Programme/Server“. Sie müssen nicht als Administrator beim Administratorcomputer angemeldet sein, um den Serverassistenten verwenden zu können. 4 Wählen Sie im Fenster „Willkommen“ die Option „Entfernten Server konfigurieren“ und klicken Sie auf „Fortfahren“. 5 Markieren Sie im Bereich „Ziel“ in der Spalte „Aktiv“ den entfernten Server, den Sie konfigurieren möchten. Geben Sie dann das zuvor festgelegte Kennwort in das Feld „Kennwort“ ein und klicken Sie auf „Fortfahren“, um die Verbindung zu dem Server herzustellen. Wenn der Zielserver nicht in der Liste nicht enthalten ist, klicken Sie auf „Hinzufügen“, um ihn zur Liste hinzuzufügen. Klicken Sie auf „Liste aktualisieren“, um festzustellen, ob der Server verfügbar ist. 6 Wählen Sie „Erweitert“ als Serverkonfiguration aus. 7 Geben Sie im Fenster „Sprache“ die Sprache an, die Sie zum Verwalten des Zielservers verwenden möchten. 8 Wenn Sie gesicherte Konfigurationsdaten verwenden, führen Sie folgende Schritte aus: Wählen Sie im Fenster „Sprache“ die Menüoption „Ablage“ > „Konfigurationsdatei öffnen“ oder „Ablage“ > „Verzeichniseintrag öffnen“, um die gesicherten Konfigurationsdaten zu laden, die Sie verwenden möchten. Wenn die gesicherten Konfigurationsdaten verschlüs- selt sind, geben Sie nach entsprechender Eingabeaufforderung das Kennwort ein. Optional können Sie auch mit der Auswahl „Darstellung“ > „Zur Übersicht springen“ die Übersicht öffnen, um die Konfigurationsdaten zu überprüfen und bei Bedarf durch Klicken auf „Zurück“ zu ändern. 9 Wenn Sie gesicherte Konfigurationsdaten eingeben, führen Sie folgende Schritte aus: Klicken Sie auf „Fortfahren“. Geben Sie beim Durcharbeiten der einzelnen Fensterberei- che des Assistenten die Konfigurationsdaten ein und folgen Sie dabei den Anweisun- gen auf dem Bildschirm. Klicken Sie dann auf „Fortfahren“. Stellen Sie sicher, dass die DHCP- oder DNS-Server, die der Server gemäß Ihren Angaben in den Konfigurationsdaten verwenden soll, auch gestartet sind. 10 Wenn alle Konfigurationsdaten eingegeben sind, überprüfen Sie diese in der Übersicht, die vom Serverassistenten angezeigt wird, und klicken Sie ggf. auf „Zurück“, um weitere Änderungen vorzunehmen. 11 Zum Sichern der Konfigurationsdaten als Textdatei oder in einem für die automatische Serverkonfiguration verwendbaren Format (als gesicherte Konfigurationsdatei oder als gesicherter Verzeichniseintrag) klicken Sie auf „Sichern unter“.

130 Kapitel 6 Server-Erstkonfiguration Wenn Sie eine Konfigurationsdatei oder einen Verzeichniseintrag verschlüsseln möch- ten, wählen Sie „Verschlüsselt sichern“ aus. Anschließend müssen Sie ein Kennwort eingeben und bestätigen. Sie müssen das Kennwort angeben, damit eine verschlüsselte Datei von einem Zielserver verwendet werden kann. 12 Klicken Sie auf „Anwenden“, um die Konfiguration des entfernten Zielservers zu starten. 13 Klicken Sie nach Abschluss der Serverkonfiguration auf „Fortfahren“. Der Zielserver wird neu gestartet und Sie können sich als der Serveradministrator anmelden, der während der Konfiguration angelegt wurde.

Interaktives Konfigurieren mehrerer Server per Fernzugriff in einem Arbeitsgang Sie können mit der interaktiven Methode mehrere Server im Stapelbetrieb (d. h. in einem Arbeitsgang) konfigurieren, wenn folgende Voraussetzungen erfüllt sind: Â Auf alle Server kann von einem Administratorcomputer aus zugegriffen werden. Â Alle Server verwenden dieselbe Prozessorplattform (z. B. Intel oder PowerPC). Â Alle Server verwenden abgesehen von der Seriennummer der Serversoftware und den Daten für die jeweilige Identität im Netzwerk (Hostname, Computername und lokaler Hostname) die gleichen Konfigurationsdaten. Â Die Daten für die Netzwerkidentität werden von einem DHCP- oder BootP-Server bereitgestellt.

Wenn Sie den Serverassistenten von einem Administratorcomputer ausführen, um mehrere Server einzurichten, ordnen Sie identische Hardwarekonfigurationen in Grup- pen an. Wählen Sie beispielsweise alle Intel-Xserve-Computer oder alle Mac mini-Com- puter mit G4-Prozessoren.

Wenn Sie mehrere Server mit verschiedenen Konfigurationsdateien haben, können Sie für jede Servergruppe ein eigenes Fenster für den Serverassistenten öffnen. Auf diese Weise lassen sich Server nach Plattform, Einstellungen, Teilnetz oder einem anderen Kriterium Ihrer Wahl gruppieren.

Gehen Sie wie folgt vor, um mehrere Server per Fernzugriff in einem Arbeitsgang interaktiv zu konfigurieren: 1 Tragen Sie in das Mac OS X Server – Erweitertes Arbeitsblatt die Einstellungen ein, die Sie für alle zu konfigurierenden Server verwenden möchten. Das Mac OS X Server – Erweitertes Arbeitsblatt befindet sich auf der Mac OS X Server- Installations-DVD im Ordner „Documentation“. Ergänzende Informationen finden Sie im Abschnitt „Benötigte Informationen“ auf Seite 121. Im Vorwort erfahren Sie, an welchen weiteren Speicherorten Sie das Mac OS X Server – Erweitertes Arbeitsblatt finden können.

Kapitel 6 Server-Erstkonfiguration 131 2 Stellen Sie sicher, dass die Zielservers und ggf. DHCP- oder DNS-Server, die verwendet werden sollen, gestartet sind. 3 Öffnen Sie an einem Administratorcomputer, der die Verbindung zu allen vorgesehenen Zielservern herstellen kann, den Serverassistenten. Er befindet sich im Ordner „/Programme/Server“. Sie müssen nicht als Administrator am Administratorcomputer angemeldet sein, um den Serverassistenten verwenden zu können. 4 Wählen Sie im Fenster „Willkommen“ die Option „Entfernten Server konfigurieren“ und klicken Sie auf „Fortfahren“. 5 Markieren Sie im Bereich „Ziel“ jeden einzelnen der entfernten Server, die Sie konfigurieren möchten, in der Spalte „Aktiv“. Geben Sie nun das vorgegebene Kennwort für jeden Server in das Feld „Kennwort“ ein und klicken Sie auf „Fortfahren“, um die Ver- bindung zu den Servern herzustellen. Wenn ein zu konfigurierender Zielserver in der Liste nicht enthalten sein sollte, klicken Sie auf „Hinzufügen“, um ihn hinzuzufügen. 6 Geben Sie im Fenster „Sprache“ die Sprache an, die Sie zum Verwalten der Zielserver verwenden möchten. 7 Wenn Sie gesicherte Konfigurationsdaten verwenden, führen Sie folgende Schritte aus: Wählen Sie im Fenster „Sprache“ die Menüoption „Ablage“ > „Konfigurationsdatei öffnen“ oder „Ablage“ > „Verzeichniseintrag öffnen“, um die gesicherten Konfigurationsdaten zu laden, die Sie verwenden möchten. Wenn die gesicherten Konfigurationsdaten verschlüs- selt sind, geben Sie nach entsprechender Eingabeaufforderung das Kennwort ein. Optional können Sie auch mit der Auswahl „Darstellung“ > „Zur Übersicht springen“ die Übersicht öffnen, um die Konfigurationsdaten zu überprüfen und bei Bedarf durch Klicken auf „Zurück“ zu ändern. 8 Wenn Sie gesicherte Konfigurationsdaten eingeben, führen Sie folgende Schritte aus: Klicken Sie auf „Fortfahren“. Geben Sie beim Durcharbeiten der einzelnen Fensterberei- che des Assistenten die Konfigurationsdaten ein und folgen Sie dabei den Anweisun- gen auf dem Bildschirm. Klicken Sie dann auf „Fortfahren“. Stellen Sie sicher, dass die DHCP- oder DNS-Server, die der Server gemäß Ihren Angaben in den Konfigurationsdaten verwenden soll, auch gestartet sind. 9 Wenn alle Konfigurationsdaten eingegeben sind, überprüfen Sie diese in der Übersicht, die vom Serverassistenten angezeigt wird, und klicken Sie ggf. auf „Zurück“, um weitere Änderungen vorzunehmen. 10 Zum Sichern der Konfigurationsdaten als Textdatei oder in einem für die automatische Serverkonfiguration verwendbaren Format (als gesicherte Konfigurationsdatei oder als gesicherter Verzeichniseintrag) klicken Sie auf „Sichern unter“.

132 Kapitel 6 Server-Erstkonfiguration Wenn Sie eine Konfigurationsdatei oder einen Verzeichniseintrag verschlüsseln möch- ten, wählen Sie „Verschlüsselt sichern“ aus. Anschließend müssen Sie ein Kennwort eingeben und bestätigen. Sie müssen das Kennwort angeben, damit eine verschlüsselte Datei von einem Zielserver verwendet werden kann. 11 Klicken Sie auf „Anwenden“, um die Serverkonfiguration zu starten. 12 Klicken Sie auf „Anwenden“, um die Konfiguration des entfernten Zielservers zu starten. 13 Klicken Sie nach Abschluss der Serverkonfiguration auf „Fortfahren“. Die Zielserver werden neu gestartet und Sie können sich als der Serveradministrator anmelden, der während der Konfiguration angelegt wurde.

Verwenden der automatischen Serverkonfiguration Wenn Sie zahlreiche Server konfigurieren müssen, sollten Sie eine automatische Server- konfiguration in Erwägung ziehen. Dieser Ansatz bietet auch die Möglichkeit, die Kon- figurationsdaten zu sichern, sodass Sie sie erneut verwenden können, wenn Sie die Serversoftware neu installieren müssen.

Die automatische Methode ist in folgenden Situationen sinnvoll: Â Sie müssen eine größere Anzahl Server konfigurieren. Â Sie möchten das Konfigurieren von Servern vorbereiten, die gegenwärtig noch nicht verfügbar sind. Â Sie möchten Konfigurationsdaten als Sicherheitskopien sichern. Â Das erneute Installieren von Servern ist häufig notwendig.

Für die Verwendung der automatischen Serverkonfiguration geben Sie mithilfe des Serverassistenten Konfigurationsdaten für jeden Computer oder jede Computergruppe an. Anschließend sichern Sie die Daten wie in folgender Abbildung dargestellt in einer Datei oder in einem Verzeichnis, um Konfigurationsdaten zu erstellen:

Administratorcomputer Konfigurationsdaten Konfigurationsdaten in einer Datei in einem Verzeichnis

Abschließend stellen Sie diese Konfigurationsdaten den Zielservern bereit. Sie können die Daten auf unterschiedliche Weise bereitstellen. Sichern Sie z. B. Daten in Dateien auf der Festplatte, auf austauschbaren Medien oder in Verzeichniseinträgen. Standardmä- ßig werden gesicherte Konfigurationsdaten aus Sicherheitsgründen verschlüsselt.

Kapitel 6 Server-Erstkonfiguration 133 Wird ein Server das erste Mal gestartet, sucht er nach Daten für die automatische Konfiguration, um sich selbst zu konfigurieren. Danach wird der interaktive Assistent gestartet.

Die automatische Serverkonfiguration umfasst zwei grundlegende Schritte:

Schritt 1: Erstellen der Dateien mit den Konfigurationsdaten Die folgenden Abschnitte enthalten hilfreiche Informationen zum Erstellen der Dateien mit Konfigurationsdaten. Â „In einer Datei gesicherte Konfigurationsdaten“ auf Seite 135 Â „In einem Verzeichnis gesicherte Konfigurationsdaten“ auf Seite 137 Â „Erstellen und Sichern von Konfigurationsdaten“ auf Seite 134 Â „Anlegen von Sicherungskopien der gesicherten Konfigurationsdaten“ auf Seite 138

Schritt 2: Bereitstellen der Konfigurationsdaten für einen neu installierten Server Die folgenden Abschnitte enthalten hilfreiche Informationen zum Bereitstellen der Daten für diese Server: Â „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141 Â „Automatisches Konfigurieren von Servern mithilfe von Daten, die in einer Datei gesichert sind“ auf Seite 142 Â „Automatisches Konfigurieren von Servern mithilfe von Daten, die in einem Verzeich- nis gesichert sind“ auf Seite 145

Erstellen und Sichern von Konfigurationsdaten Wenn Sie mit gesicherten Konfigurationsdaten arbeiten möchten, überlegen Sie sich eine Strategie zum Benennen, Verschlüsseln, Speichern und Bereitstellen dieser Daten.

Eine Möglichkeit zum Erstellen von Konfigurationsdaten besteht darin, den Serverassi- stenten im Offline-Modus zu verwenden. So können Sie mit Konfigurationsdaten arbeiten, ohne dass eine Verbindung zu bestimmten Servern benötigt wird. Sie geben die Konfigurationsdaten an und sichern diese anschließend in einer Datei oder einem Ver- zeichnis, auf das die Zielserver Zugriff haben. Näheres dazu finden Sie in den beiden folgenden Abschnitten. Zielserver, auf denen die Mac OS X Server-Software der Version 10.5 installiert ist, erkennen automatisch vorhandene gesicherte Konfigurationsdaten und nutzen sie für ihre eigene Konfiguration.

Sie können generische Konfigurationsdaten definieren, die sich zum Konfigurieren beliebiger Server verwenden lassen. Sie könnten z. B. generische Konfigurationsdaten für einen bestellten, aber noch nicht implementierten Server definieren, oder um 50 Xserve-Computer zu konfigurieren, die eine identische Konfiguration erhalten sollen. Sie können aber selbstverständlich auch Konfigurationsdaten sichern, die speziell auf einen bestimmten Server zugeschnitten und ausschließlich für diesen vorgesehen sind.

134 Kapitel 6 Server-Erstkonfiguration Wichtig: Wenn Sie eine Aktualisierungsinstallation durchführen, stellen Sie sicher, dass gesicherte Konfigurationsdaten nicht versehentlich vom Server erkannt und verwendet werden können. Wenn gesicherte Konfigurationsdaten verwendet werden, werden die vorhandenen Servereinstellungen durch die gesicherten Einstellungen überschrieben. Weitere Informationen hierzu finden Sie im Abschnitt „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141.

In einer Datei gesicherte Konfigurationsdaten Wenn Sie die Konfigurationsdaten in einer Datei sichern, erkennt ein Zielserver die Datei und verwendet sie unter folgenden Voraussetzungen: Â Die vom Zielserver gefundenen Konfigurationsdaten befinden sich nicht in einem Verzeichnis, auf das der Server zugreifen kann. Informationen dazu, wie ein Server Verzeichnisdaten erkennt und verwendet, um sich selbst zu konfigurieren, finden Sie im Abschnitt „In einem Verzeichnis gesicherte Konfigurationsdaten“ auf Seite 137. Â Die Konfigurationsdatei befindet sich auf einem Volume, das lokal unter „/Volumes/*/Auto Server Setup“ aktiviert ist, wobei der Stern * für jedes Gerät steht, das unter „Volumes“ aktiviert wurde. Ein Zielserver durchsucht die Volumes alphabetisch nach Gerätename. Bei der Komponente, die als Dateisystem aktiviert ist, kann es sich um die Festplatte des Servers, einen iPod, eine DVD/CD, ein FireWire-Laufwerk, ein USB-Laufwerk oder ein anderes mit dem Server verbundenes Gerät handeln (z. B. „/Volumes/AdminiPod/ Auto Server Setup/meinserver.beispiel.com.plist“). Â Der Name der Konfigurationsdatei entspricht einem der folgenden (bei der Suche nach Konfigurationsdateien sucht der Zielserver in der aufgeführten Reihenfolge nach den Namen): .plist (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.plist). .plist (z. B. 10.0.0.4.plist). .plist (z. B. meinserver.plist). .plist (nur die ersten 8 Zeichen, z. B. ABCD1234.plist). .plist (z. B. meinserver.beispiel.com.plist). .plist (10.0.plist stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.plist (eine Datei, die jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benötigen). Wenn die in der Datei angegebene Seriennummer nicht für den Standort lizenziert ist, müssen Sie diese nach der Konfiguration manuell eingeben. Verwenden Sie das Programm „Server-Admin“ oder den folgenden Befehl im Programm „Terminal“: serversetup -setServerSerialNumber.

Kapitel 6 Server-Erstkonfiguration 135 Â Das korrekte Kennwort bzw. der Kennwortsatz wird dem Server zur Verfügung gestellt, wenn die Konfigurationsdaten verschlüsselt sind. Sie können den Serverassistenten verwenden, um ein Kennwort interaktiv zur Verfü- gung zu stellen. Sie können das Kennwort aber auch in einer Textdatei bereitstellen. Legen Sie die Kennwortdatei auf einem Volume ab, das lokal auf dem Zielserver aktiviert ist unter: „/Volumes/*/Auto Server Setup/“ Die Kennwortdatei kann einen der folgenden Namen haben. Zielserver suchen nach Namen in der angegebenen Reihenfolge. .pass (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.pass). .pass (z. B. 10.0.0.4.pass). .pass (z. B. meinserver.pass). .pass (nur die ersten 8 Zeichen, z. B. ABCD1234.pass). .pass (z. B. meinserver.beispiel.com.pass). .pass (10.0.pass stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.pass (eine Datei, die von jedem Server erkannt wird). Wenn die Serien- nummer der Serversoftware nicht für den Standort lizenziert ist, müssen Sie diese nach der Konfiguration manuell eingeben. Verwenden Sie das Programm „Server-Admin“ oder den folgenden Befehl im Programm „Terminal“: serversetup -setServerSerialNumber.

Wenn Sie die gesicherten Konfigurationsdaten nach der Neuinstallation eines Servers wieder verwenden möchten, können Sie die Server-Konfigurationsdateien in einer kleinen lokalen Partition speichern, die beim Neuinstallieren des Servers nicht gelöscht wird. Die Konfigurationsdateien werden erkannt und nach jeder Neuinstallation verwendet.

136 Kapitel 6 Server-Erstkonfiguration In einem Verzeichnis gesicherte Konfigurationsdaten Mit dieser Methode lassen sich zahlreiche Server nahezu ohne Benutzereingriff einrichten. Allerdings ist erforderlich, dass Sie bereits eine DHCP- und Verzeichnis- Infrastruktur konfiguriert haben.

Mit dem Serverassistenten können Sie Konfigurationsdaten in einem vorhandenen Verzeichnis sichern, auf das der Computer, den Sie verwenden, zugreifen kann und aus dem neu installierte Server die Konfigurationsdaten abrufen sollen. Das Verzeichnis- schema muss die gespeicherten Konfigurationsdaten unterstützen. Open Directory besitzt eine integrierte Unterstützung für gespeicherte Konfigurationsdaten. Wenn Sie Konfigurationsdaten in einem nicht-Apple-Verzeichnis speichern wollen, müssen Sie zuerst dessen Schema wie im Handbuch Open Directory – Administration beschrieben erweitern.

Wenn Sie die Konfigurationsdaten in einem Verzeichnis sichern, erkennt ein Zielserver diese und verwendet die Datei unter folgenden Voraussetzungen: Â Der Zielserver erhält seine Netzwerknamen (Hostname, Computername und lokaler Hostname) sowie seine Anschlusskonfiguration von einem DHCP-Server. Â Der DHCP-Server ist dafür eingerichtet, die IP-Adresse des Verzeichnisservers zu identifizieren, auf dem sich die Konfigurationsdaten befinden. Anweisungen zur Konfigu- ration eines DHCP-Servers finden Sie im Handbuch Netzwerkdienste – Administration. Â Die Verzeichnis- und DHCP-Server sind gestartet. Â Die Konfigurationsdaten werden im Verzeichnis unter dem Pfad „/AutoServerSetup“ und einem Datensatzeintrag mit einem der folgenden Namen gespeichert. Zielser- ver suchen nach Namen in der angegebenen Reihenfolge. (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef). (z. B. 10.0.0.4). (z. B. meinserver). (nur die ersten 8 Zeichen, z. B. ABCD1234). (z. B. meinserver.beispiel.com). (10.0 stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.plist (ein Datensatz, den jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benötigen). Wenn die in der Datei angegebene Seriennummer nicht für den Standort lizenziert ist, müssen Sie diese nach der Konfiguration manuell eingeben. Verwenden Sie das Programm „Server-Admin“ oder den folgenden Befehl im Programm „Terminal“: serversetup -setServerSerialNumber.

Kapitel 6 Server-Erstkonfiguration 137 Â Das korrekte Kennwort wird dem Server zur Verfügung gestellt (Konfigurationsdaten, die in einem Verzeichnis gespeichert werden, sollten immer verschlüsselt werden). Sie können den Serverassistenten verwenden, um ein Kennwort interaktiv zur Ver- fügung zu stellen. Sie können das Kennwort aber auch in einer Textdatei bereitstellen. Legen Sie die Kennwortdatei auf einem Volume ab, das lokal auf dem Zielserver unter „/Volumes/*/Auto Server Setup/“ aktiviert ist, wobei der Stern * für jedes beliebige aktivierte unter „Volumes“ aufgeführte Gerät steht. Ein Zielserver durchsucht die Volumes alphabetisch nach Gerätename. Die Kennwortdatei kann einen der folgenden Namen haben. Zielserver suchen nach Namen in der angegebenen Reihenfolge. .pass (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.pass). .pass (z. B. 10.0.0.4.pass). .pass. (z. B. meinserver.pass). .pass (nur die ersten 8 Zeichen, z. B. ABCD1234.pass). .pass (z. B. meinserver.beispiel.com.pass). .pass (10.0.pass stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.pass (eine Datei, die von jedem Server erkannt wird). Wenn die Serien- nummer der Serversoftware nicht für den Standort lizenziert ist, müssen Sie diese nach der Konfiguration manuell einstellen. Verwenden Sie das Programm „Server-Admin“ oder den folgenden Befehl im Programm „Terminal“: serversetup -setServerSerialNumber.

Anlegen von Sicherungskopien der gesicherten Konfigurationsdaten Gesicherte Konfigurationsdaten sind nicht nur nützlich, um mehrere Server automatisch einzurichten. Hiermit steht Ihnen auch die Möglichkeit zur Verfügung, Server erneut einzurichten, falls Sie einmal die Serversoftware erneut darauf installieren müssen.

Sie können Sicherungskopien der Konfigurationsdaten auf einem Netzwerkdateiserver ablegen. Alternativ können Sie die Konfigurationsdaten auch auf einer lokalen Parti- tion ablegen, die bei einer Neuinstallation des Servers nicht gelöscht wird.

138 Kapitel 6 Server-Erstkonfiguration Verwenden der Verschlüsselung für Dateien mit Konfigurationsdaten Standardmäßig werden gesicherte Konfigurationsdaten aus Sicherheitsgründen verschlüsselt. Damit sich ein Server unter Verwendung von verschlüsselten Daten konfigurieren kann, muss er Zugriff auf das zum Verschlüsseln der Daten verwendete Kennwort haben.

Das Kennwort kann entweder interaktiv (mithilfe des Serverassistenten) oder in einer Datei auf einem lokalen Volume des Zielservers bereitgestellt werden. Zum Beispiel können Sie die Datei mit dem Kennwort auf einem iPod speichern und diesen dann an jeden Server anschließen, der das Kennwort benötigt. Ein Server mit der IP-Adresse 10.0.0.4 würde „/Volumes/meinIPod/Auto Server Setup/10.0.0.4.pass“ verwenden.

Bereitstellen von Dateien mit Konfigurationsdateien für Server Verwenden von Dateien im Dateisystem Wenn Sie eine Konfigurationsdatei auf einem Volume (CD, DVD, iPod, USB-Speicher- medium, Volume-Partition) sichern, das lokal auf einem Server aktiviert wird, den Sie installiert, aber nicht konfiguriert haben, erkennt der Server die Datei und verwendet sie für die Konfiguration.

Sie könnten beispielsweise mehrere Konfigurationsdateien auf einem iPod speichern und den iPod dann mit dem ersten Server verbinden, für den eine Konfigurationsdatei vorhanden ist (vgl. folgende Abbildung).

iPod

Anschließend verbinden Sie den iPod mit dem nächsten Server:

iPod

Kapitel 6 Server-Erstkonfiguration 139 Jeder Zielserver erkennt seine eigene Datei, weil sie unter Verwendung einer seiner IDs benannt wurde und sich an einem bekannten Speicherort befindet. Zum Beispiel würde ein Server mit WXYZ1234 als den ersten acht Zeichen seiner integrierten Seriennummer die folgende Konfigurationsdatei verwenden: „/Volumes/meinIPod/ Auto Server Setup/WXYZ1234.plist“. Die IP-Adresse eines Servers kann auch als ID verwendet werden. Ein Server mit der IP-Adresse 10.0.0.4 würde die folgende Datei verwenden: „/Volumes/meinIPod/Auto Server Setup/10.0.0.4.plist“.

Sie könnten auch eine einzelne Datei, die Sie „generic.plist“ benannt haben, zum Konfi- gurieren mehrerer Server verwenden, wenn die Konfigurationsdaten nicht eindeutig sein müssen und die Netzwerkidentitäten des Servers von DHCP bereitgestellt werden. Weitere Informationen zum Benennen und Verwenden einer Konfigurationsdatei finden Sie im Abschnitt „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141.

Verwenden von Einstellungen in einem Verzeichnis Ein Zielserver kann die Konfiguration mithilfe von Konfigurationsdaten vornehmen, die Sie in einem Verzeichnis gespeichert haben, auf das der Server seiner Konfiguration entsprechend zugreift.

Obwohl das Speichern von Konfigurationsdaten in einem Verzeichnis die am stärksten automatisierte Methode zum Konfigurieren mehrerer Server darstellt, erfordert dieser Ansatz, dass Sie zuerst eine Infrastruktur einrichten, sodass Zielserver die im Verzeich- nis gespeicherten Konfigurationsdaten auffinden können.

Die entscheidendsten Komponenten der Infrastruktur sind DHCP und Open Directory (vgl. dazu die folgende Abbildung).

Open Directory-Server DHCP-Server

Der Open Directory-Server in diesem Beispiel enthält ein LDAP-Verzeichnis, in dem Konfigurationsdaten gesichert wurden. Die Adresse des Open Directory-Servers wird beim DHCP-Server registriert, der in diesem Beispiel auf einem anderen Server ausge- führt wird. Der DHCP-Server übermittelt den Zielservern die Open Directory-Server- adresse, wenn er den betreffenden Servern IP-Adressen zuweist. Die Zielserver erkennen für sie im LDAP-Verzeichnis gespeicherte Konfigurationsdaten und verwenden sie zur Konfiguration.

140 Kapitel 6 Server-Erstkonfiguration Sie können Konfigurationsdaten in einem Apple-OpenLDAP-Verzeichnis oder in einem anderen Verzeichnis sichern, das Apple-Schemaerweiterungen für gesicherte Konfi- gurationsdaten unterstützt. Diese Erweiterungen sind im Handbuch Open Directory – Administration dokumentiert. Weitere Informationen zum Benennen und Verwenden einer Konfigurationsdatei finden Sie im Abschnitt „Wie ein Server nach gesicherten Konfigurationsdaten sucht“ auf Seite 141.

Wie ein Server nach gesicherten Konfigurationsdaten sucht Ein neu installierter Server kann sich selbst mithilfe gesicherter Konfigurationsdaten konfigurieren, wenn er diese in der folgenden Suchsequenz findet. Wenn der Server gesicherte Konfigurationsdaten findet, die den beschriebenen Kriterien entsprechen, stoppt er die Suche und verwendet diese Daten, um sich selbst zu konfigurieren. 1 Der Server durchsucht lokal aktivierte Volumes für die Konfiguration von Dateien in „/Volumes/*/Auto Server Setup“, wobei der Stern * für den Namen eines Dateisystems (Geräts) steht. Er durchsucht die Volumes in alphabetischer Reihenfolge nach Gerätenamen. Dabei wird eine Datei mit der Erweiterung „.plist“ gesucht, die unter Verwendung ihrer MAC- Adresse, IP-Adresse, des DNS-Teilnamens, der integrierten Hardwareseriennummer, des vollständig qualifizierten DNS-Namens, der teilweisen IP-Adresse oder der generischen „.plist“ benannt sind (in dieser Reihenfolge). 2 Anschließend sucht der Server in dem Verzeichnis, das für die Verwendung eines Konfigurationseintrags im Pfad „AutoServerSetup“ festgelegt wurde. Er sucht nach Einträgen, die unter Verwendung ihrer MAC-Adresse, IP-Adresse, des DNS-Teilnamens, der integrierten Hardwareseriennummer, des vollständig qualifizierten DNS-Namens (meinserver.beispiel.com), der teilweisen IP-Adresse oder „generic“ benannt sind (in dieser Reihenfolge).

Wenn die Konfigurationsdaten verschlüsselt sind, benötigt der Server das korrekte Kennwort, damit er sich selbst konfigurieren kann. Sie können den Serverassistenten verwenden, um das Kennwort interaktiv anzugeben. Sie können das Kennwort auch in einer Textdatei unter „/Volumes/*/Auto Server Setup/“ ablegen.

Der Zielserver durchsucht die Volumes in alphabetischer Reihenfolge nach Datei- systemnamen. Dabei wird eine Datei mit der Erweiterung „.pass“ gesucht, die unter Verwendung ihrer MAC-Adresse, IP-Adresse, des DNS-Teilnamens, der integrierten Hardwareseriennummer, des vollständig qualifizierten DNS-Namens, der teilweisen IP-Adresse oder der generischen „.plist“ benannt sind (in dieser Reihenfolge).

Kapitel 6 Server-Erstkonfiguration 141 Wichtig: Wenn Sie eine Aktualisierung durchführen, stellen Sie sicher, dass gesicherte Konfigurationsdaten nicht versehentlich vom Server, den Sie aktualisieren, erkannt und verwendet werden. Wenn gesicherte Konfigurationsdaten verwendet werden, werden die vorhandenen Servereinstellungen durch die gesicherten Einstellungen überschrieben.

Die nächsten beiden Abschnitte enthalten weitere Einzelheiten über die Verwendung gesicherter Konfigurationsdaten.

Automatisches Konfigurieren von Servern mithilfe von Daten, die in einer Datei gesichert sind Nach dem Installieren der Serversoftware auf einem Server können Sie diesen automatisch mittels Daten konfigurieren, die zuvor in einer Datei gesichert wurden.

Gehen Sie wie folgt vor, um Konfigurationsdaten in einer Datei zu sichern und aus dieser zu übernehmen: 1 Füllen Sie das Mac OS X Server – Erweitertes Arbeitsblatt zu jedem Server aus, den Sie konfigurieren möchten. Das Mac OS X Server – Erweitertes Arbeitsblatt befindet sich im Anhang. 2 Öffnen Sie auf einem Administratorcomputer den Serverassistenten im Ordner „/Programme/Server“. Sie müssen nicht als Administrator beim Administratorcomputer angemeldet sein, um den Serverassistenten verwenden zu können. 3 Wählen Sie im Fenster „Willkommen“ die Option „Konfigurationsdaten in Datei oder Verzeichniseintrag sichern“, um im Offline-Modus zu arbeiten. Hierfür ist keine Server- verbindung erforderlich. 4 Geben Sie im Fenster „Sprache“ die Sprache an, die Sie zum Verwalten der Zielserver verwenden möchten. 5 Möchten Sie eine Konfigurationsdatei erstellen, fahren Sie mit Schritt 6 fort. Möchten Sie mit einer vorhanden Konfigurationsdatei arbeiten, gehen Sie zu Schritt 7. Wenn Sie beabsichtigen, eine generische Konfigurationsdatei zu erstellen, weil Sie diese zum Konfigurieren mehrerer weiterer Server verwenden möchten, geben Sie keine Netzwerknamen (Computername und lokaler Hostname) an und stellen Sie sicher, dass jede Netzwerkschnittstelle (Port) für die Konfiguration mit „DHCP“ oder mit „BootP“ eingerichtet ist. 6 Klicken Sie auf „Fortfahren“. Geben Sie beim Durcharbeiten der einzelnen Fenster- bereiche des Assistenten die Konfigurationsdaten ein und folgen Sie dabei den Anweisungen auf dem Bildschirm.

142 Kapitel 6 Server-Erstkonfiguration 7 Wählen Sie im Systemassistenten die Option „Ablage“ > „Konfigurationsdatei öffnen“ oder „Ablage“ > „Verzeichniseintrag öffnen“, um die gesicherten Konfigurationsdaten zu laden, die Sie verwenden möchten. Wenn die gesicherten Konfigurationsdaten ver- schlüsselt sind, geben Sie nach entsprechender Eingabeaufforderung das Kennwort ein. Optional können Sie auch mit der Auswahl „Darstellung“ > „Zur Übersicht springen“ die Übersicht öffnen, um die Konfigurationsdaten zu überprüfen und bei Bedarf durch Klicken auf „Zurück“ zu ändern. 8 Klicken Sie im Fenster „Netzwerkschnittstellen“ auf „Hinzufügen“, wenn Sie Netzwerk- schnittstellen angeben möchten. 9 Wenn die Konfigurationsdaten eingegeben sind, überprüfen Sie diese in der Übersicht, die vom Serverassistenten angezeigt wird, und klicken Sie ggf. auf „Zurück“, um weitere Änderungen vorzunehmen. 10 Klicken Sie auf „Sichern unter“ und wählen Sie „Konfigurationsdatei“. 11 Wenn Sie die Datei verschlüsseln möchten, wählen Sie „Verschlüsselt sichern“ aus. Anschließend geben Sie ein Kennwort ein und bestätigen es. Sie müssen das Kennwort angeben, damit eine verschlüsselte Datei von einem Zielserver verwendet werden kann. 12 Klicken Sie auf „OK“ und navigieren Sie zu dem Speicherort, an dem Sie die Datei ablegen möchten. Benennen Sie die Datei mithilfe einer der folgenden Optionen und klicken Sie dann auf „Sichern“. Bei der Suche nach Konfigurationsdateien suchen Zielserver in der aufgeführten Reihenfolge nach Namen. .plist (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.plist). .plist (z. B. 10.0.0.4.plist). .plist (z. B. meinserver.plist). .plist (nur die ersten 8 Zeichen, z. B. ABCD1234.plist). .plist (z. B. meinserver.beispiel.com.plist). .plist (10.0.plist stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.plist (eine Datei, die jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benötigen).

Kapitel 6 Server-Erstkonfiguration 143 13 Legen Sie die Datei an einem Speicherort ab, an dem sie die Zielserver finden können. Ein Server kann eine Konfigurationsdatei finden, wenn sie sich auf einem Volume befindet, das lokal unter „/Volumes/*/Auto Server Setup“ aktiviert ist, wobei der Stern * für jedes Gerät steht, das unter „Volumes“ aktiviert wurde. Das Gerät kann die Festplatte des Servers sein, aber auch ein iPod, ein CD- oder DVD-Laufwerk, ein FireWire-Lauf- werk, ein USB-Laufwerk oder jedes andere an den Server angeschlossene Gerät. Wenn Sie z. B. einen iPod unter dem Namen „AdminiPod“ angeschlossen haben, lautet der verwendete Suchpfad „/Volumes/AdminiPod/Auto Server Setup/“. 14 Wenn die Konfigurationsdaten verschlüsselt sind, machen Sie das Kennwort für die Zielserver verfügbar. Sie können das Kennwort interaktiv über den Serverassistenten oder auch mit einer Textdatei zur Verfügung stellen. Wenn Sie das Kennwort in einer Datei bereitstellen, fahren Sie mit Schritt 15 fort. Wenn Sie es interaktiv angeben möchten, fahren Sie mit Schritt 16 fort. 15 Wenn Sie ein Kennwort in einer Datei bereitstellen, erstellen Sie eine Textdatei und geben das Kennwort für die gesicherte Konfigurationsdatei in der ersten Zeile ein. Sichern Sie die Datei dann unter einem der unten genannten Namen. Zielserver suchen nach Namen in der aufgeführten Reihenfolge. .pass (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.pass). .pass (z. B. 10.0.0.4.pass). .pass. (z. B. meinserver.pass). .pass (nur die ersten 8 Zeichen, z. B. ABCD1234.pass). .pass (z. B. meinserver.beispiel.com.pass). .pass (10.0.pass stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.pass (eine Datei, die von jedem Server erkannt wird). Sichern Sie die Kennwortdatei auf einem Volume, das lokal auf dem Zielserver unter „/Volumes/*/Auto Server Setup/“ aktiviert ist. Der Stern * steht dabei für jedes beliebige aktivierte unter „Volumes“ aufgeführte Gerät.

144 Kapitel 6 Server-Erstkonfiguration 16 Wenn Sie das Kennwort interaktiv bereitstellen möchten, verwenden Sie den Server- assistenten auf einem Administratorcomputer, der eine Verbindung zum Zielserver herstellen kann. a Wählen Sie im Fenster „Willkommen“ oder „Ziel“ die Menüoption „Ablage“ > „Kennwort eingeben“. b Geben Sie in das Dialogfenster die IP-Adresse des Servers, das Administratorkenn- wort und das Serverkennwort ein. c Klicken Sie auf „Senden“. 17 Wenn Sie eine generische Konfigurationsdatei verwenden und die Seriennummer nicht für den Standort lizenziert ist, müssen Sie nach der Konfiguration die Seriennummer des Servers angeben. Dazu verwenden Sie das Programm „Server-Admin“ oder die Befehlszeile. Im Programm „Server-Admin“ wählen Sie den Server aus, klicken auf „Einstellungen“ und anschließend auf „Allgemein“. Alternativ können Sie auch im Programm „Terminal“ mit dem Befehl „ssh“ eine Verbindung zum Server herstellen und den Befehl serversetup -setServerSerialNumber eingeben.

Eine Beschreibung des Aufbaus einer gesicherten Konfigurationsdatei und weitere Informationen zum Befehl serversetup finden Sie im Handbuch Command-Line Administration.

Automatisches Konfigurieren von Servern mithilfe von Daten, die in einem Verzeichnis gesichert sind Nach dem Installieren der Serversoftware auf einem Server können Sie diesen automatisch unter Verwendung von Daten konfigurieren, die zuvor in einem Verzeichnis gesichert wurden. Diese Methode setzt ein entsprechendes, bereits vorhandenes Ver- zeichnis und die DHCP-Infrastruktur voraus, wie aus der im Folgenden beschriebenen Anweisung hervorgeht.

Gehen Sie wie folgt vor, um Konfigurationsdaten in einem Verzeichniseintrag zu sichern und aus diesem zu übernehmen: 1 Stellen Sie sicher, dass das Verzeichnis, in dem Sie die Konfigurationsdaten sichern möchten, bereits existiert, dass das Verzeichnisschema gespeicherte Konfigurations- daten unterstützt und dass der Administratorcomputer, mit dem Sie arbeiten, auf das Verzeichnis zugreifen kann. Im Handbuch Open Directory – Administration werden die Konfiguration und der Zugriff auf Verzeichnisse beschrieben. Dort wird auch das Schema für gespeicherte Konfigu- rationsdaten erläutert. Die Unterstützung gespeicherter Konfigurationsdaten ist ein integriertes Element von Apple-OpenLDAP-Verzeichnissen, das Schema anderer Ver- zeichnisse muss jedoch erweitert werden, damit die Unterstützung gespeicherter Konfigurationsdaten gewährleistet ist.

Kapitel 6 Server-Erstkonfiguration 145 2 Füllen Sie das Mac OS X Server – Erweitertes Arbeitsblatt zu jedem Server aus, den Sie konfigurieren möchten. Das Mac OS X Server – Erweitertes Arbeitsblatt befindet sich im Anhang. 3 Öffnen Sie auf einem Administratorcomputer den Serverassistenten im Ordner „/Programme/Server“. Sie müssen nicht als Administrator beim Administratorcomputer angemeldet sein, um den Serverassistenten verwenden zu können. 4 Wählen Sie im Fenster „Willkommen“ die Option „Konfigurationsdaten in Datei oder Verzeichniseintrag sichern“, um im Offline-Modus zu arbeiten. Hierfür ist keine Server- verbindung erforderlich. 5 Geben Sie im Fenster „Sprache“ die Sprache an, die Sie zum Verwalten der Zielserver verwenden möchten. 6 Wenn Sie eine neue Konfiguration erstellen möchten, fahren Sie mit Schritt 7 fort. Wenn Sie mit einer vorhandenen Konfiguration arbeiten möchten, fahren Sie mit Schritt 8 fort. Wenn Sie generische Konfigurationsdaten erstellen, geben Sie keine Netzwerknamen (Computername und lokaler Hostname) an und stellen Sie sicher, dass jede Netzwerk- schnittstelle (Port) für die Konfiguration mit „DHCP“ oder „BootP“ eingerichtet ist. 7 Klicken Sie auf „Fortfahren“. Geben Sie beim Durcharbeiten der einzelnen Fenster- bereiche des Assistenten die Konfigurationsdaten ein und folgen Sie dabei den Anweisungen auf dem Bildschirm. 8 Wählen Sie im Fenster „Sprache“ die Menüoption „Ablage“ > „Konfigurationsdatei öff- nen“ oder „Ablage“ > „Verzeichniseintrag öffnen“, um die gesicherten Konfigurations- daten zu laden, die Sie verwenden möchten. Wenn die gesicherten Konfigurationsdaten verschlüsselt sind, geben Sie nach entsprechender Eingabeaufforderung das Kennwort ein. Optional können Sie auch mit der Auswahl „Darstellung“ > „Zur Übersicht springen“ die Übersicht öffnen, um die Konfigurationsdaten zu überprüfen und bei Bedarf durch Klicken auf „Zurück“ zu ändern. 9 Klicken Sie im Bereich „Netzwerkschnittstellen“ auf „Hinzufügen“, wenn Sie Netzwerk- schnittstellen angeben möchten. 10 Wenn alle Konfigurationsdaten eingegeben sind, überprüfen Sie diese in der Übersicht, die vom Serverassistenten angezeigt wird, und klicken Sie ggf. auf „Zurück“, um weitere Änderungen vorzunehmen. 11 Klicken Sie auf „Sichern unter“ und wählen Sie „Verzeichniseintrag“.

146 Kapitel 6 Server-Erstkonfiguration 12 Wenn Sie die Datei verschlüsseln möchten, wählen Sie „Verschlüsselt sichern“ aus. Anschließend geben Sie ein Kennwort ein und bestätigen es. Sie müssen das Kennwort angeben, damit ein verschlüsselter Verzeichniseintrag von einem Zielserver verwendet werden kann. 13 Geben Sie das Verzeichnis an, in dem Sie die Konfiguration sichern möchten. Geben Sie dann einen Namen für den Konfigurationseintrag an und klicken Sie auf „OK“. Geben Sie bei einer entsprechenden Aufforderung die erforderlichen Informationen ein, um sich als Administrator einer Verzeichnis-Domain zu identifizieren. Die Einstellungen werden im Verzeichnis unter „AutoServerSetup“ gesichert. Zielserver suchen nach Namen von Verzeichniseinträgen in folgender Reihenfolge: (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef). (z. B. 10.0.0.4). (z. B. meinserver). (nur die ersten 8 Zeichen, z. B. ABCD1234). (z. B. meinserver.beispiel.com). (10.0 stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.plist (ein Datensatz, den jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benötigen). 14 Stellen Sie sicher, dass die korrekte Infrastruktur vorliegt, sodass Server, für die der gespeicherte Konfigurationseintrag verwendet werden soll, diesen auch finden können. Der Verzeichnisserver, auf dem der Konfigurationseintrag gespeichert ist, muss gestartet sein. DHCP muss konfiguriert werden, um den Verzeichnisserver für die Zielserver unter Verwendung von Option 95 zu identifizieren. Außerdem muss ggf. auch DNS konfiguriert sein, wenn Ihre Verzeichnisdaten auch DNS-Namen enthalten. Im Abschnitt „Definieren von Anforderungen an die Server-Konfigurationsinfrastruktur“ auf Seite 32 finden Sie weitere Informationen zu Infrastruktur. Die Handbücher Open Directory – Administration und Netzwerkdienste – Administration enthalten Anweisungen zum Einrichten von Verzeichnissen und DHCP. 15 Wenn die Konfigurationsdaten verschlüsselt sind, machen Sie das Kennwort für die Zielserver verfügbar. Sie können das Kennwort interaktiv über den Serverassistenten oder auch mit einer Textdatei zur Verfügung stellen. Wenn Sie das Kennwort in einer Datei bereitstellen, fahren Sie mit Schritt 16 fort. Wenn Sie es interaktiv angeben möchten, fahren Sie mit Schritt 17 fort.

Kapitel 6 Server-Erstkonfiguration 147 16 Wenn Sie ein Kennwort in einer Datei bereitstellen möchten, erstellen Sie eine Text- datei und geben Sie das Kennwort für die gesicherte Konfigurationsdatei in der ersten Zeile ein. Sichern Sie die Datei anschließend unter einem der folgenden Namen: Zielserver suchen nach Namen in der angegebenen Reihenfolge. .pass (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.pass). .pass (z. B. 10.0.0.4.pass). .pass. (z. B. meinserver.pass). .pass (nur die ersten 8 Zeichen, z. B. ABCD1234.pass). .pass (z. B. meinserver.beispiel.com.pass). .pass (10.0.pass stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). generic.pass (eine Datei, die von jedem Server erkannt wird). Legen Sie die Kennwortdatei auf einem Volume ab, das lokal auf dem Zielserver unter „/Volumes/*/Auto Server Setup/“ aktiviert ist, wobei der Stern * für jedes beliebige aktivierte unter dem Verzeichnis „Volumes“ aufgeführte Gerät steht. 17 Wenn Sie das Kennwort interaktiv bereitstellen möchten, verwenden Sie den Server- assistenten auf einem Administratorcomputer, der eine Verbindung zum Zielserver herstellen kann. a Wählen Sie im Fenster „Willkommen“ oder „Ziel“ die Menüoption „Ablage“ > „Kennwort eingeben“. b Geben Sie in das Dialogfenster die IP-Adresse des Servers, das Administratorkenn- wort und das Serverkennwort ein. c Klicken Sie auf „Senden“. 18 Wenn Sie einen generischen Konfigurationseintrag verwenden und die Seriennummer des Servers nicht für den Standort lizenziert ist, müssen Sie nach der Konfiguration die Seriennummer des Servers angeben. Dazu verwenden Sie das Programm „Server- Admin“ oder die Befehlszeile. Im Programm „Server-Admin“ wählen Sie den Server aus, klicken auf „Einstellungen“ und anschließend auf „Allgemein“. Zur Verwendung der Befehlszeile können Sie im Pro- gramm „Terminal“ mit dem Befehl „ssh“ eine Verbindung zum Server herstellen und den Befehl serversetup -setServerSerialNumber eingeben.

Eine Beschreibung des Schemas von Konfigurationsdaten, die in einem Verzeichnis gesichert sind, finden Sie im Handbuch Open Directory – Administration. Informatio- nen zum Befehl serversetup entnehmen Sie bitte dem Handbuch Command-Line Administration.

148 Kapitel 6 Server-Erstkonfiguration Festlegen des Status von Konfigurationen Im Normalfall wird der Server neu gestartet, wenn die Konfiguration abgeschlossen ist. Beim Start wird dann das Anmeldefenster angezeigt. Wenn die Konfiguration fehl- schlägt, können Sie auf mehrere Arten eine entsprechende Benachrichtigung erhalten.

Verwenden des Fensters „Ziel“ für Informationen zum Konfigurationsstatus Der Serverassistent zeigt Fehlerinformationen im Fenster „Ziel“ an. Wenn Sie auf diesen Bereich zugreifen möchten, wählen Sie im Fenster „Willkommen“ die Option „Entfern- ten Server konfigurieren“ und klicken Sie auf „Fortfahren“.

Wenn der Server nicht aufgelistet wird, klicken Sie auf „Hinzufügen“, damit er in die Liste aufgenommen wird. Wählen Sie den Server aus und überprüfen Sie die angezeigten Informationen.

Sie können eine Liste der Server, deren Konfigurationsstatus Sie feststellen möchten, im Fenster „Ziel“ sichern, indem Sie die Menüoption „Ablage“ > „Server-Liste sichern“ aus- wählen. Wenn Sie den Status eines dieser Server feststellen möchten, wählen Sie die Option „Ablage“ > „Server-Liste laden“.

Bearbeiten von Konfigurationsfehlern Wenn eine Serverkonfiguration fehlschlägt, wird auf dem Zielserver unter „/System/ Library/ServerSetup/Configured/POR.err“ ein Fehlerprotokoll erstellt. An einem entfernten Administratorcomputer können Sie den Inhalt dieses Protokolls anzeigen und die Protokolldatei löschen.

Wählen Sie das Fehlersymbol eines Servers im Fenster „Ziel“ des Serverassistenten durch Doppelklicken aus. Geben Sie nach entsprechender Eingabeaufforderung das voreingestellte Kennwort ein und klicken Sie auf „Senden“.

Der Inhalt des Protokolls wird angezeigt, und Sie können auf „Löschen“ klicken, um die Protokolldatei zu löschen. Die Konfiguration kann erst dann wieder neu gestartet werden, wenn diese Datei gelöscht wurde.

Wenn die Konfiguration fehlschlägt, weil bei Verwendung von Konfigurationsdaten, die in einer Datei oder einem Verzeichniseintrag gesichert sind, eine Kennwortdatei nicht gefunden wurde, haben Sie folgende Möglichkeiten: Â Verwenden Sie den Serverassistenten zum interaktiven Angeben eines Kennworts. Wählen Sie im Fenster „Ziel“ die Menüoption „Ablage“ > „Kennwort eingeben“. Â Stellen Sie das Kennwort in einer Textdatei bereit. Legen Sie die Kennwortdatei auf einem Volume ab, das lokal auf dem Zielserver unter „/Volumes/*/Auto Server Setup/ “ aktiviert ist, wobei der Stern * für jedes beliebige aktivierte unter „/Volumes“ aufgeführte Gerät steht. Ein Zielserver durchsucht die Volumes alphabetisch nach Gerätename.

Kapitel 6 Server-Erstkonfiguration 149 Wenn die Konfiguration eines entfernten Servers aus einem anderen Grund fehlschlägt, installieren Sie die Serversoftware erneut und wiederholen Sie die Erstkonfiguration.

Wenn die Konfiguration eines lokalen Servers fehlschlägt, starten Sie den Computer neu, führen Sie den Serverassistenten nochmals aus und starten Sie die Konfiguration erneut. Sie können aber auch die Serversoftware neu installieren.

Reagieren auf Warnmeldungen bei der Konfiguration Wenn die Konfiguration vollständig durchgeführt wird, aber am Ende eine Bedingung vorliegt, die einen Benutzereingriff erforderlich macht, wird unter „/Library/Logs/Server- Assistant.POR.status“ auf dem Zielserver ein Protokoll mit entsprechenden Warnhinwei- sen erstellt. Klicken Sie auf den Schreibtisch-Link mit Namen „ServerAssistant.status“ auf dem Zielserver, um diese Datei zu öffnen.

Es folgen einige Meldungen, die Sie in diesem Protokoll vorfinden können: Â Die Seriennummer der Serversoftware ist ungültig. Öffnen Sie das Programm „Server- Admin“, wählen Sie einen Server in der Serverliste aus und klicken Sie auf „Einstellun- gen“ und danach auf „Allgemein“. Geben Sie die richtige Seriennummer ein und klicken Sie auf „Sichern“. Â Da dieser Server mithilfe einer generischen Konfigurationsdatei bzw. eines generischen Verzeichniseintrags konfiguriert wurde und die Seriennummer des Servers nicht für den Standort lizenziert ist, müssen Sie nach der Konfiguration die Serien- nummer der Serversoftware eingeben. Dazu verwenden Sie das Programm „Server- Admin“. Öffnen Sie das Programm „Server-Admin“, wählen Sie einen Server in der Serverliste aus und klicken Sie auf „Einstellungen“ und danach auf „Allgemein“. Geben Sie die richtige Seriennummer ein und klicken Sie auf „Sichern“. Â Der in den Konfigurationsdaten definierte Server-Administratorbenutzer existiert bereits auf dem Server, den Sie aktualisiert haben.

Abrufen von Informationen zum Status der Aktualisierungsinstallation Wenn Sie eine Aktualisierung ausführen, werden möglicherweise Protokolldateien auf dem Zielserver abgelegt. Informationen zu Aktualisierungsprotokollen finden Sie in den Anleitungen zu Aktualisierungen im Dokument Aktualisieren und Migrieren.

Konfigurieren von Diensten Nach der Ausführung einer erweiterten Konfiguration müssen Sie mit dem Programm „Server-Admin“ Dienste konfigurieren und mit dem Arbeitsgruppenmanager Benutzer und Gruppen einrichten.

Die folgenden Abschnitte bieten einen Überblick über die Erstkonfiguration bestimmter Dienste. Sie erfahren hier auch, wo Sie Anweisungen zum Anpassen der Dienste an die jeweiligen Erfordernisse finden können.

150 Kapitel 6 Server-Erstkonfiguration Hinzufügen von Diensten zur Serverliste Damit Sie Dienste konfigurieren können, müssen Sie die Dienste zur Serverliste im Pro- gramm „Server-Admin“ hinzufügen. Für Ihren Server werden z. B. standardmäßig keine Dienste angezeigt. Wenn Sie zu verwaltende Dienste auswählen, werden die jeweiligen Konfigurationsbereiche in einer Liste unter dem Namen des Computers verfügbar.

Wenn Sie Server-Admin das erste Mal starten und eine Verbindung zu einem neu installierten Server herstellen, werden Sie zur Auswahl der Dienste aufgefordert, die Sie auf diesem Server konfigurieren möchten. Die in der Liste ausgewählten Dienste werden unter dem Hostnamen des Servers in der Serverliste angezeigt.

Damit Sie einen Dienst aktivieren oder konfigurieren können, muss er zur Liste der verwalteten Dienste hinzugefügt werden.

Gehen Sie wie folgt vor, um zu verwaltende Dienste zu ändern: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld neben jedem Dienst, den Sie aktivieren möchten.

Konfigurieren von Open Directory Sofern Ihr Server nicht mit dem Verzeichnissystem eines anderen Herstellers integriert werden muss und sofern die Verzeichnisarchitektur eines Servers, den Sie aktualisieren, nicht unmittelbar geändert werden muss, können Sie mit der Nutzung der Verzeich- nisse beginnen, die Sie im Verlauf der Serverkonfiguration eingerichtet haben.

Das Handbuch Open Directory – Administration enthält Anweisungen zu allen Aspekten der Konfiguration einer Open Directory-Domain und -Identifizierung, u. a.: Â Konfigurieren des Zugriffs von Client-Computern auf freigegebene Verzeichnisdaten Â Replikation von LDAP-Verzeichnissen und Identifikationsdaten von Open Directory- Masters Â Integration mit Active Directory und anderen Verzeichnissen, die nicht zur Apple-Verzeichnisstruktur gehören Â Konfigurieren der Gesamtauthentifizierung (Single Sign-On, SSO) Â Verwenden von Kerberos und anderen Verfahren der Identifikationsüberprüfung

Kapitel 6 Server-Erstkonfiguration 151 Konfigurieren der Benutzerverwaltung Wenn Sie den Server nicht nur für die Bereitstellung von Internetinhalten (z. B. für Web- seiten) oder für das Computer-Clustering nutzen wollen, können Sie neben den vom Serverassistenten für Sie erstellten Administrator-Accounts weitere Benutzer-Accounts einrichten.

Im Handbuch Benutzerverwaltung finden Sie Informationen dazu, wie Sie mit dem Arbeitsgruppenmanager eine Verbindung zum Verzeichnis herstellen, Benutzerein- stellungen definieren, Gruppen-Accounts und Computerlisten einrichten, verwaltete Einstellungen definieren und Accounts importieren.

Gehen Sie wie folgt vor, um einen Benutzer-Account einzurichten: 1 Starten Sie den Arbeitsgruppenmanager. 2 Identifizieren Sie sich als Verzeichnisadministrator beim Verzeichnis. 3 Klicken Sie oben im Programmfenster auf die Taste „Accounts“, um das Verzeichnis auszuwählen, zu dem Sie Benutzer hinzufügen wollen. 4 Klicken Sie auf die Taste „Neuer Benutzer“. 5 Geben Sie die Benutzereinstellungen in den angezeigten Fensterbereichen ein. Sie können Benutzer-Accounts konfigurieren, indem Sie den Arbeitsgruppenmanager zum Importieren von Einstellungen aus einer Datei verwenden.

Konfigurieren der Dateidienste Wenn Sie File-Sharing aktivieren, können Benutzer Objekte in ausgewählten Ordnern gemeinsam nutzen. Sie aktivieren und konfigurieren Dateidienste und Netzwerk- volumes mithilfe von Server-Admin. In Mac OS X Server-Versionen vor Leopard Server wurden Netzwerkordner mit dem Arbeitsgruppenmanager erstellt. Diese Funktionalität wird nun vom Programm „Server-Admin“ bereitgestellt.

Das Handbuch Dateidienste – Administration enthält Anweisungen zum Erstellen, Konfi- gurieren und Verwalten von Netzwerkordner für File-Sharing mithilfe aller verfügbaren Protokolle.

Gehen Sie wie folgt vor, um File-Sharing zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das entsprechende Feld neben jedem Dateidienst, den Sie aktivieren möchten. Zur gemeinsamen Nutzung mit Macintosh-Computern starten Sie den Apple- Dateidienst (AFP). Zur gemeinsamen Nutzung mit Windows-Computern starten Sie den SMB-Dienst.

152 Kapitel 6 Server-Erstkonfiguration Zum Bereitstellen des FTP-Zugriffs (File Transfer Protocol) starten Sie den FTP-Serverdienst Zur gemeinsamen Nutzung mit UNIX-Computern starten Sie den NFS-Dienst. 4 Wählen Sie „File-Sharing“ in der Symbolleiste aus. 5 Wählen Sie ein Volume oder einen Ordner, den Sie freigeben möchten. 6 Wählen Sie „Freigeben“ für jeden Ordner oder jedes Volume, den bzw. das Sie freigeben möchten. 7 Klicken Sie auf die weiteren Titel, um Attribute für das Netzwerkvolume anzugeben.

Konfigurieren des Druckdiensts Wenn Sie den Druckdienst gestartet haben, können Serverbenutzer PostScript-Drucker im Netzwerk gemeinsam nutzen oder direkt am Server angeschlossene nicht Post- Script-fähige Drucker verwenden.

Für jeden USB-Drucker, der mit dem Server verbunden wird, wird automatisch eine Warteliste eingerichtet. Für Netzwerkdrucker werden die Druckerlisten nicht automatisch eingerichtet, doch lassen sie sich einfach hinzufügen.

Gehen Sie wie folgt vor, um eine gemeinsam genutzte Druckerliste zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den Druckdienst. 4 Wählen Sie in der Liste unter dem Server den Druckdienst aus. Wird er nicht ausgeführt, klicken Sie auf die Taste „Druck starten“. 5 Klicken Sie auf „Wartelisten“. 6 Klicken Sie auf die Taste „Hinzufügen“ (+). 7 Wählen Sie ein Verbindungsprotokoll aus, geben Sie die Druckerinformationen ein und klicken Sie auf „OK“.

Anschließend können Benutzer von Mac OS X-Computern einen Drucker hinzufügen.

Weitere Informationen zum Konfigurieren von Druckdiensten finden Sie im Handbuch Drckdienste – Administration.

Kapitel 6 Server-Erstkonfiguration 153 Konfigurieren des Webdiensts Sie können den Apache HTTP-Server, der zum Lieferumfang von Mac OS X Server gehört, zum Bereitstellen von Serverwebsites und von Websites einzelner Benutzer verwenden.

Wenn Sie einen Webdienst im Serverassistenten aktivieren, kann Ihr Server HTML- Seiten von Server- und Benutzerordnern bereitstellen. Â Zum Anzeigen der Startsite des Servers öffnen Sie einen Webbrowser auf einem beliebigen Computer mit Zugriff auf den Server und geben die IP-Adresse des Servers oder den Domain-Namen ein. Â Zum Anzeigen einer Benutzer-Site geben Sie nach der Serveradresse einen Schräg- strich (/), eine Tilde (~) und den Kurznamen des Benutzers ein. Geben Sie z. B. Folgendes ein: http://192.268.2.1/~einbenutzer Gehen Sie wie folgt vor, um den Webdienst bei Bedarf zu starten: 1 Wenn die HTML-Dateien für Ihre Startsite verfügbar sind, kopieren Sie sie in den Ord- ner „Dokumente“ im Verzeichnis „/Library/WebServer“. Wenn die Dateien, aus denen sich Ihre Website zusammensetzt, in Ordnern verwaltet werden, kopieren Sie die gesamte Ordnerstruktur in den Ordner „Dokumente“. Bei einer Benutzersite werden die Dateien im Ordner „Websites“ im entsprechenden Benutzerordner abgelegt. Vergewissern Sie sich, dass die Dateien und Ordner mit Webinhalten die erforderlichen Zugriffsrechte und Eigentümer aufweisen. Für einen standardmäßigen Webzugriff und für WebDAV-Nur-Lese-Zugriff müssen die Dateien vom Benutzer „www“ lesbar und die Ordner (einschließlich aller übergeordneten Ordner) vom Benutzer „www“ lesbar und durchsuchbar sein. Für WebDAV-Lese-/Schreibzugriff müssen die Dateien vom Benut- zer „www“ beschreibbar sein und der direkt übergeordnete Ordner muss vom Benutzer „www“ beschreibbar sein. Wenn Sie noch keine eigenen HTML-Dateien besitzen, können Sie den Webdienst dennoch starten, um zu sehen, wie er funktioniert. Verwenden Sie hierzu die Standard- Startseiten, die zum Lieferumfang von Mac OS X Server gehören. 2 Öffnen Sie das Programm „Server-Admin“. 3 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 4 Markieren Sie das Feld für den Webdienst. 5 Klicken Sie in der Liste unter dem Server auf die Taste für den Webdienst. 6 Falls der Dienst nicht bereits gestartet ist, klicken Sie in der Symbolleiste auf „Dienst starten“.

154 Kapitel 6 Server-Erstkonfiguration Im Handbuch Webtechnologie – Administration werden die zahlreichen Funktionen des Webdiensts beschreiben. Unter anderem finden Sie hier Hinweise zum Konfigurieren von SSL für eine Website, zum Aktivieren von WebMail und zum Verwenden von WebDAV für File-Sharing.

Konfigurieren des Mail-Diensts Damit Sie Ihren Benutzern umfassende Mail-Dienste bereitstellen können, sind weitere Konfigurationsschritte erforderlich, die über das hinausgehen, was hier beschrieben werden kann. Im Handbuch Mail-Dienste – Administration finden Sie ausführliche Anweisungen zum Konfigurieren und Verwalten eines Mail-Servers.

Konfigurieren der Netzwerkdienste Wenn Sie einen der folgenden Netzwerkdienste auf einem Server bereitstellen möchten, lesen Sie die Konfigurationsanleitungen im Handbuch Netzwerkdienste – Administration: Â DHCP-Server Â DNS Â Firewall-Dienst Â Network Address Translation (NAT) Â RADIUS Â VPN Â Netzwerkzeitserver

Konfigurieren der System-Image-Datei und der Dienste für die Softwareaktualisierung Details zur Verwendung von NetBoot und NetInstall zum Vereinfachen der Verwaltung und Installation von Client-Betriebssystemen und anderer Software finden Sie im Hand- buch System-Imaging und Softwareaktualisierung – Administration.

Hier erfahren Sie, wie Sie Image-Dateien erstellen und Mac OS X Server so konfigurieren, dass andere Macintosh-Computer von diesen Image-Dateien über das Netzwerk starten oder Software über das Netzwerk installieren können.

Das gleiche Handbuch beschreibt auch das Konfigurieren des Diensts für die Software- aktualisierung, mit dem Sie Aktualisierungen von Apple-Software auf Client-Compu- tern anpassen können.

Gehen Sie wie folgt vor, um den NetBoot- und NetInstall-Dienst für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den NetBoot-Dienst.

Kapitel 6 Server-Erstkonfiguration 155 Konfigurieren von Media-Streaming und Broadcasting Informationen zum Verwalten eines Streaming-Servers, der Medien-Streams live oder auf Anforderung an Client-Computer überträgt, finden Sie im Handbuch QuickTime Streaming und Broadcasting – Administration.

Gehen Sie wie folgt vor, um den QuickTime Streaming-Dienst für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den QuickTime Streaming-Dienst.

Konfigurieren des Diensts „Podcast-Produzent“ Informationen zum Verwalten eines Servers für die Podcast-Produktion, der Client- Computern syndizierte Medien bereitstellt, finden Sie im Handbuch Podcast-Produzent – Administration.

Gehen Sie wie folgt vor, um den Dienst „Podcast-Produzent“ für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den Dienst „Podcast-Produzent“.

Konfigurieren des WebObjects-Diensts Informationen zum Entwickeln von WebObjects-Programmen finden Sie in der WebObjects-Referenzbibliothek unter folgender Adresse: developer.apple.com/ referencelibrary/WebObjects/. Informationen zum Konfigurieren eines WebObjects- Anwendungsservers finden Sie im Bereich „Deployment“ (Implementierung) der WebObjects-Referenzbibliothek. Weitere Informationen zum WebObject-Dienst entnehmen Sie bitte dem Handbuch Webtechnologie – Administration.

Gehen Sie wie folgt vor, um den WebObject-Dienst für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den WebObject-Dienst.

156 Kapitel 6 Server-Erstkonfiguration Konfigurieren des iChat-Diensts Zusätzlich zu den bereits beschriebenen Diensten, die dafür sorgen, dass die Benutzer in Kontakt miteinander bleiben (z. B. das Programm „Mail“ und Dateidienste sowie Gruppen-Accounts und -Einstellungen) können Sie einen iChat-Server konfigurieren.

Im Handbuch iChat-Dienste – Administration wird die Konfiguration des iChat-Diensts mit Server-Admin beschrieben.

Gehen Sie wie folgt vor, um den iChat-Dienst für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den iChat-Dienst.

Konfigurieren des iCal-Diensts Wenn Sie den iCal-Dienst aktivieren, können Sie Kalender für Einzelpersonen und Grup- pen freigeben und bearbeiten. Bei Verwendung eines für CalDAV aktivierten Kalender- programms können Sie Kalender mit anderen Benutzern gemeinsam verwenden, anzeigen und bearbeiten.

Informationen zum Konfigurieren des iCal-Diensts mithilfe von Server-Admin finden Sie im Handbuch iCal-Dienste – Administration.

Gehen Sie wie folgt vor, um den iCal-Dienst für die Verwaltung zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Dienste“. 3 Markieren Sie das Feld für den iCal-Dienst.

Kapitel 6 Server-Erstkonfiguration 157

7 Verwaltung 7

In diesem Kapitel wird erklärt, wie Sie die Verwaltung Ihrer Systeme vervollständigen. Hierzu gehört die Konfiguration von Administratorcomputern, das Zuweisen von Administrator- rechten und das Vermeiden von Ausfallzeiten von Diensten.

Folgende Abschnitte sind enthalten: Â „Für die Verwaltung verwendete Ports“ auf Seite 160 Â „Standardmäßig geöffnete Ports“ auf Seite 160 Â „Für die Serververwaltung verwendbare Computer“ auf Seite 161 Â „Verwenden der Verwaltungsprogramme“ auf Seite 162 Â „Öffnen des Programms „Server-Admin““ auf Seite 163 Â „Hinzufügen und Entfernen von Servern im Programm „Server-Admin““ auf Seite 164 Â „Manuelles Gruppieren von Servern“ auf Seite 165 Â „Gruppieren von Servern mithilfe von intelligenten Gruppen“ auf Seite 166 Â „Arbeiten mit Einstellungen für einen bestimmten Server“ auf Seite 167 Â „Verwalten von Diensten“ auf Seite 171 Â „Abgestufte Verwaltungsrechte“ auf Seite 175 Â „Grundlagen zum Arbeitsgruppenmanager“ auf Seite 177 Â „Verwalten von Accounts“ auf Seite 178 Â „Arbeiten mit Computern mit älteren Serverversionen von Servern mit Version 10.5“ auf Seite 183 Â „Konfigurationsassistenten für Dienste“ auf Seite 183 Â „Wichtige Konfigurations- und Datendateien“ auf Seite 184 Â „Verbessern der Dienstverfügbarkeit“ auf Seite 188 Â „Konfigurieren Ihres Servers für einen automatischen Neustart“ auf Seite 190 Â „Lastenverteilung“ auf Seite 198 Â „Überblick über Daemons“ auf Seite 199

159 Für die Verwaltung verwendete Ports Damit die Apple-Verwaltungsprogramme funktionieren, müssen die hier genannten Ports aktiviert sein.

Portnummer und -typ Verwendetes Programm 22 TCP SSH-Befehlszeilen-Shell 311 TCP Server-Admin (mit SSL) 625 TCP Arbeitsgruppenmanager 389, 686 TCP Verzeichnis 80 TCP QuickTime Streaming-Verwaltung 4111 TCP Xgrid-Admin

Außerdem müssen für alle Dienste, die Sie auf Ihrem Server ausführen möchten, weitere Ports aktiviert werden. Eine Übersicht der Ports finden Sie im Handbuch Netzwerk- dienste – Administration und im Handbuch zum jeweiligen Dienst.

Standardmäßig geöffnete Ports Nach der Konfiguration ist die Firewall im Servermodus „Erweitert“ standardmäßig deaktiviert und daher sind alle Ports geöffnet. Wenn die Firewall aktiviert ist, sind alle Ports mit Ausnahme der folgenden für alle IP-Adressen des Servers blockiert:

Portnummer und -typ Dienst 22 TCP SSH-Befehlszeilen-Shell 311 TCP Server-Admin (mit SSL) 626 UDP Unterstützung für Seriennummer 625 TCP Entfernter Verzeichniszugriff ICMP eingehend und Standard-Ping ausgehend 53 UDP DNS-Namensauflösung

160 Kapitel 7 Verwaltung Für die Serververwaltung verwendbare Computer Wenn Sie einen Server lokal mithilfe der Verwaltungsprogramme mit grafischer Ober- fläche (diese befinden sich im Ordner „/Programme/Server“) verwalten möchten, melden Sie sich als Serveradministrator beim Server an und öffnen Sie die gewünschten Programme.

Zum Verwalten eines entfernten Servers öffnen Sie die entsprechenden Programme auf einem Administratorcomputer. Ein Administratorcomputer ist jeder Computer mit Mac OS X Server oder Mac OS X Version 10.5 (oder neuer), auf dem Verwaltungspro- gramme von der CD Mac OS X Server Admin Tools installiert wurden. Weitere Informatio- nen hierzu finden Sie im Abschnitt „Konfigurieren eines Administratorcomputers“ auf Seite 161.

Sie können Befehlszeilenprogramme über das Programm „Terminal“ (im Ordner „/Programme/Dienstprogramme“) auf einem beliebigen Mac OS X Server oder Mac OS X-Computer verwenden. Sie können Befehlszeilenprogramme auch von einer UNIX-Workstation aus ausführen.

Konfigurieren eines Administratorcomputers Ein Administratorcomputer ist ein Computer mit Mac OS X oder Mac OS X Server Ver- sion 10.5 (oder neuer), den Sie zum Verwalten von Servern per Fernzugriff verwenden.

In der folgenden Abbildung gehen die Pfeile jeweils vom Administratorcomputer aus und zeigen auf Server, für deren Verwaltung die Administratorcomputer genutzt werden könnten.

Mac OS X- Administratorcomputer

Mac OS X Server

Wenn Sie einen Mac OS X Server-Computer installiert und konfiguriert haben, der mit Bildschirm, Tastatur und optischem Laufwerk ausgestattet ist, ist dieser bereits ein Admi- nistratorcomputer. Wenn Sie einen Computer mit Mac OS X zu einem Administratorcom- puter umfunktionieren möchten, müssen Sie zusätzliche Software installieren.

Kapitel 7 Verwaltung 161 Gehen Sie wie folgt vor, um die Fernverwaltung von Mac OS X Server von einem Mac OS X-Computer aus zu aktivieren: 1 Vergewissern Sie sich, dass auf dem Mac OS X-Computer Mac OS X 10.5 (oder neuer) installiert ist. Vergewissern Sie sich außerdem, dass der Computer über mindestens 512 MB Arbeitsspeicher und 1 GB freien Speicherplatz verfügt. 2 Legen Sie die CD Mac OS X Server Admin Tools ein. 3 Öffnen Sie den Ordner „Installer“ mit dem Installationsprogramm. 4 Starten Sie das Installationsprogramm (ServerAdministrationSoftware.mpkg) und folgen Sie den Anweisungen auf dem Bildschirm.

Verwenden eines anderen Computers (kein Mac OS X) für die Verwaltung Zum Verwalten eines Mac OS X Servers mithilfe der Befehlszeilenprogramme können Sie auch einen anderen als einen Mac OS X-Computer verwenden, sofern dieser mit SSH-Unterstützung ausgestattet ist, z. B. eine UNIX Workstation. Weitere Informationen hierzu finden Sie im Handbuch Command-Line Administration.

Sie können auch einen beliebigen Computer verwenden, auf dem eine VNC-Viewer- Software zum Verwalten von Mac OS X Server ausgeführt werden kann. Die Verwaltung des Servers über VNC ist identisch mit der lokalen Verwendung von Tastatur, Maus und Bildschirm des Servers.

Sie aktivieren einen VNC-Server auf dem Mac OS X Server-Computer, indem Sie die Bildschirmfreigabe (Screen Sharing) in der Systemeinstellung „Sharing“ aktivieren.

Verwenden der Verwaltungsprogramme Informationen zu den Verwaltungsprogrammen finden Sie jeweils auf den in der folgenden Tabelle angegebenen Seiten.

Infos zum Verwenden dieser Software zu folgendem Zweck finden Sie auf Installationsprogramm Installieren von Serversoftware oder Seite 87 Aktualisieren der Software von Version 10.2 oder 10.3 Serverassistent Konfigurieren eines Servers mit Seite 127 Version 10.5. Arbeitsgruppenmanager Verwalten von Accounts und deren Seite 177 verwalteter Einstellungen

162 Kapitel 7 Verwaltung Infos zum Verwenden dieser Software zu folgendem Zweck finden Sie auf Server-Admin Konfigurieren und Überwachen von Seite 167 Diensten und des Administratorzu- Seite 42 griffs sowie Konfigurieren von Netzwerkvolumes. Konfigurieren und Verwalten des QuickTime-Medien-Streaming Programme für System- Verwalten der NetBoot- und NetInstall- Seite 52 Image-Dateien Image-Dateien Servermonitor Überwachen der Xserve-Hardware Seite 203 QTSS Publisher Verwalten von Medien und Vorberei- Seite 53 ten der Medien für Streaming-Über- tragung oder progressives Laden Apple Remote Desktop Überwachen und Steuern anderer Seite 54 (optional) Macintosh-Computer Befehlszeilenprogramme Verwalten eines Servers über eine Seite 54 UNIX-Befehls-Shell Xgrid-Admin Überwachen lokaler oder entfernter Seite 54 Xgrid-Controller, Grids und Aufträge

Mit dem Programm „Server-Admin“ verwalten Sie die Server auf einem oder mehreren Mac OS X Server-Computern. Im Programm „Server-Admin“ können Sie Einstellungen angeben, die mehrere Dienste unterstützen. Beispielsweise können Sie SSL-Zertifikate erstellen und verwalten und angeben, welche Benutzer und Gruppen auf bestimmte Dienste Zugriff erhalten sollen.

Öffnen des Programms „Server-Admin“ Das Programm „Server-Admin“ ist im Ordner „/Programme/Server“ installiert. Sie können das Programm im Finder oder durch Klicken auf das Server-Admin-Symbol im Dock öffnen. Alternativ können Sie auch auf die Taste „Server-Admin“ in der Symbolleiste des Arbeitsgruppenmanagers klicken.

Wenn Sie einen Server auswählen möchten, mit dem Sie arbeiten wollen, geben Sie im Anmeldefenster die IP-Adresse oder den DNS-Namen ein. Geben Sie den Benutzer- namen und das Kennwort für einen Serveradministrator ein und klicken Sie dann auf „Verbinden“.

Kapitel 7 Verwaltung 163 Hinzufügen und Entfernen von Servern im Programm „Server-Admin“ Die Server, die Sie mit dem Programm „Server-Admin“ verwalten können, werden in der Serverliste links im Programmfenster angezeigt.

Sie können einen Server zur Serverliste hinzufügen und sich auf zweierlei Weise anmelden: Â Klicken Sie auf die Taste „Hinzufügen“ (+) in der unteren Aktionsleiste und wählen Sie „Server hinzufügen“. Â Wählen Sie „Server“ > „Server hinzufügen“ in der Menüleiste.

Wenn Sie das Programm „Server-Admin“ das nächste Mal öffnen, werden alle hinzuge- fügten Server in der Liste angezeigt. Wenn Sie die Reihenfolge der Server in der Liste ändern möchten, bewegen Sie einen Server an die gewünschte neue Stelle in der Liste.

In ähnlicher Weise lassen sich Server auch aus der Serverliste entfernen. Zuerst wählen Sie den Server aus, der entfernt werden soll. Anschließend führen Sie einen der folgenden Schritte aus: Â Klicken Sie auf das Aktionsmenü in der unteren Aktionsleiste und wählen Sie „Trennen“ > „Server entfernen“. Â Wählen Sie „Server“ > „Trennen“ und wählen Sie dann „Server“ > „Server entfernen“ in der Menüleiste.

164 Kapitel 7 Verwaltung Wenn ein Server in der Serverliste grau dargestellt wird, wählen Sie den Server durch Doppelklicken aus oder klicken Sie in der Symbolleiste auf die Taste „Verbinden“, um sich erneut anzumelden. Wählen Sie bei der Anmeldung „Kennwort im Schlüsselbund sichern“, um die automatische erneute Verbindung zu aktivieren, wenn Sie Server- Admin das nächste Mal öffnen.

Manuelles Gruppieren von Servern Im Programm „Server-Admin“ werden links im Fenster alle verfügbaren Server aufgelistet. Unter „Server“ befinden sich alle verwalteten Server, die Sie hinzugefügt und bei denen Sie sich identifiziert haben. Sie können auch Gruppen erstellen, um die Computer in Ihrem Netzwerk auf die gewünschte Art und Weise zu verwalten.

Servergruppen weisen folgende Merkmale auf: Â Sie können beliebig viele Listen erstellen. Â Server können in mehreren Listen angezeigt werden. Â Gruppen lassen sich in beliebigen Verwaltungsschemata erstellen: geografisch, funktional, nach Hardwarekonfiguration oder sogar nach Farbe. Â Sie können auf einen Gruppennamen klicken, um eine Statusübersicht aller Server in der Gruppe anzuzeigen.

Sie können aus der Liste „Server“ gezielt Servergruppen erstellen. Zuerst können Sie leere Listen erstellen und zu einem späteren Zeitpunkt Server aus der Liste „Server“ hinzufügen.

Gehen Sie wie folgt vor, um eine Servergruppe zu erstellen: 1 Klicken Sie auf die Taste „Hinzufügen“ (+) unter der Serverliste unten im Fenster „Server-Admin“. 2 Wählen Sie „Gruppe hinzufügen“ und geben Sie einen Namen für die Gruppe ein. Sie können Gruppen umbenennen, indem Sie auf die Gruppe klicken und den Zeiger einige Sekunden über den Namen halten. Daraufhin wird der Name bearbeitbar. 3 Bewegen Sie die Server aus der Liste „Server“ in die neu erstellte Gruppe.

Kapitel 7 Verwaltung 165 Gruppieren von Servern mithilfe von intelligenten Gruppen Im Programm „Server-Admin“ werden links im Fenster alle verfügbaren Server aufgelistet.Unter „Server“ befinden sich alle verwalteten Server, die Sie hinzugefügt und bei denen Sie sich identifiziert haben. Sie können eine Serverliste erstellen, die automatisch auf der Grundlage eigener Kriterien gefüllt wird. Nachdem Sie eine intelligente Gruppe erstellt haben, wird jeder Server, der zur Liste „Server“ (oder einer anderen angegebenen Liste) hinzugefügt wurde und den Kriterien entspricht, dynamisch zur intelligenten Gruppe hinzugefügt.

Sie können beliebige oder alle der folgenden Kriterien festlegen: Â Sichtbare Dienste Â Aktive Dienste Â Netzwerkdurchsatz Â CPU-Last Â IP-Adresse Â OS-Version

Gehen Sie wie folgt vor, um eine intelligente Servergruppe zu erstellen: 1 Klicken Sie auf die Taste „Hinzufügen“ (+) unter der Serverliste unten im Fenster „Server-Admin“. 2 Wählen Sie „Intelligente Gruppe hinzufügen“. 3 Geben Sie einen Namen für die intelligente Gruppe ein. 4 Definieren Sie die Kriterien, nach denen die Server in die Liste aufgenommen werden und klicken Sie dann auf „OK“.

Die Gruppe wird in der Serverliste angezeigt.

166 Kapitel 7 Verwaltung Arbeiten mit Einstellungen für einen bestimmten Server Wenn Sie die allgemeinen Servereinstellungen bearbeiten möchten, wählen Sie einen Server in der Serverliste aus. Anschließend stehen Ihnen mehrere Tasten in der Symbolleiste zur Auswahl, die Konfigurationsoptionen oder Bereiche mit Konfigurationsoptionen enthalten.

Die folgende Abbildung zeigt den Bereich „Einstellungen“ eines Servers:

Die Tabelle enthält eine Zusammenfassung der Bereiche, die beim Klicken auf die jeweiligen Tasten angezeigt werden:

Taste in der Symbolleiste Zeigt Übersicht Information zu Hardware, Software, Diensten und Status des Servers Protokolle Das Systemprotokoll und das Sicherheitsprotokoll des Systems Graphen Eine grafische Darstellung des Verlaufs der Serveraktivitäten File-Sharing Konfigurationsoptionen zum Definieren von File-Sharing-Ordnern, Netzwerk- ordnern und automatisch aktivierten Objekten Server-Updates Softwareaktualisierungen von Apple zur Aktualisierung der Serversoftware Zertifikate Die Sicherheitszertifikate des Servers Einstellungen Die Netzwerkeinstellungen, Seriennummer der Serversoftware, Steuerelemente für die Zugriffskontrolle und andere Informationen des Servers.

Kapitel 7 Verwaltung 167 Wenn Sie auf „Einstellungen“ klicken, erhalten Sie Zugriff auf die folgenden Fensterbereiche: Â Bereich „Allgemein“: Klicken Sie auf „Allgemein“, um die Seriennummer des Servers anzuzeigen oder um SNMP, NTP, SSH, die entfernte Verwaltung und die Unterstüt- zung für die serverseitige Synchronisierung mobiler Benutzerordner zu aktivieren. SNMP ist die Abkürzung für „Simple Network Management Protocol“, ein Standard für die Überwachung und Verwaltung von Computern. Der Server verwendet das Open Source-Projekt „net-snmp“ für seine SNMP-Implementierung. Keines der Werk- zeuge für die Serververwaltung verwendet oder erfordert SNMP. Das Aktivieren von SNMP ermöglicht allerdings das Überwachen und Verwalten des Servers von Dritt- anbieter-SNMP-Software aus, z. B. HP OpenView. Verwenden Sie das Feld „NTP“ (Network Time Protocol) zum Aktivieren des NTP-Diensts. Informationen zu NTP finden Sie im Handbuch Netzwerkdienste – Administration. SSH ist die Abkürzung für „Secure Shell“. Der Server verwendet das Open Source- Projekt „OpenSSH“ für seine SSH-Implementierung. Wenn Sie SSH aktivieren, können Sie Befehlszeilenprogramme zur Fernverwaltung des Servers einsetzen. SSH wird auch für andere auf entfernte Server bezogene Verwaltungsaufgaben verwendet, z. B. Server-Erstkonfiguration, File-Sharing-Funktionen und das Anzeigen von Datei- systempfaden und des Inhalts von Ordnern in den Programmen für die Serverver- waltung. SSH muss beim Erstellen einer Open Directory-Replikation aktiviert sein, kann aber danach wieder deaktiviert werden. Durch die entfernte Verwaltung kann der Server über Apple Remote Desktop verwaltet werden. Sie aktivieren und deaktivieren die Verwaltung mit Apple Remote Desktop in diesem Bereich anstatt in der Systemeinstellung „Sharing“. Die serverseitige Dateiverfolgung zur Synchronisierung mobiler Benutzerordner ist eine Funktion speziell für diese Benutzerordner. Weitere Informationen zur Aktivie- rung dieser Funktion finden Sie im Handbuch Benutzerverwaltung. Â Bereich „Netzwerk“: Klicken Sie auf „Netzwerk“, um den Computernamen des Ser- vers oder den lokalen Hostnamen zu ändern oder um eine Liste der Netzwerkschnitt- stellen für diesen Server und deren Adressinformationen anzuzeigen. Der Computername ist das, was der Benutzer beim Surfen im Netzwerk (/Network) sieht. Der lokale Hostname leitet sich normalerweise aus dem Computernamen ab, kann aber auch geändert werden. In der Tabelle mit den Netzwerkschnittstellen wird der Name der Schnittstelle, der Adressierungstyp (IPv4 oder IPv6), die IP-Adresse und der DNS-Name angezeigt, der bei einem RLU-Vorgang (Reverse Lookup) für die Adresse ermittelt wird.

168 Kapitel 7 Verwaltung Â Bereich „Datum & Uhrzeit“: Klicken Sie auf „Datum & Uhrzeit“, um Datum und Uhr- zeit, die Einstellung für den Netzwerk-Zeitserver und Zeitzone des Servers festzulegen. Weitere Informationen zum Netzwerk-Zeitserver finden Sie im Handbuch Netzwerkdienste – Administration. Â Bereich „Benachrichtigungen“: Klicken Sie auf „Benachrichtigungen“, um die automatische Ereignisbenachrichtigung von Mac OS X Server zu konfigurieren. In diesem Bereich legen Sie die E-Mail-Adresse fest und geben an, wann E-Mail- Benachrichtigungen gesendet werden sollen. Weitere ausführliche Informationen zu Benachrichtigungen finden Sie im Abschnitt „Benachrichtigung im Programm „Server-Admin““ auf Seite 206. Â Bereich „Zugriff“: Klicken Sie auf „Zugriff“, um den Benutzerzugriff auf bestimmte Dienste zu steuern und Benutzern Verwaltungsrechte zuzuweisen. Wenn Sie auf „Dienste“ klicken, können Sie den Zugriff auf Dienste für Benutzer und Gruppen konfigurieren (Zugriffssteuerungslisten für Dienste). Sie können den gleichen Zugriff für alle Dienste konfigurieren, Sie können aber auch einen Dienst aus- wählen und dessen Zugriffseinstellungen individuell anpassen. Die Zugriffssteuerung funktioniert sehr einfach. Sie können wählen, ob Sie allen oder nur ausgewählten Benutzern und Gruppen die Nutzung von Diensten erlauben möchten. Wenn Sie auf „Administratoren“ klicken, weisen Sie Benutzern Verwaltungs- oder Überwachungsrechte für die Dienste auf dem Server zu. Weitere ausführliche Informationen zu diesen Einstellungen finden Sie im Abschnitt „Definieren von Administratorrechten“ auf Seite 176. Â Bereich „Dienste“: Klicken Sie auf „Dienste“, um in Server-Admin die Dienste für diesen Server ein- oder auszublenden.

Ändern der IP-Adresse eines Servers Sie können die IP-Adresse eines Servers in der Systemeinstellung „Netzwerk“ oder mit dem Befehlszeilenprogramm networksetup ändern.

Wird eine Änderung einer Netzwerkadresse erkannt, wird das Befehlszeilenprogramm changeip ausgeführt, unabhängig davon, wie die Änderung stattfand. Das Befehlszei- lenprogramm changeip prüft alle Konfigurationsdateien und Orte, an denen die IP- Adresse des Servers abgelegt ist, und ändert die Adresse entsprechend der neuen Adresse. Die IP-Adresse des Servers kann geändert werden, ohne dass changeip über die Befehlszeile ausgeführt wird.

Kapitel 7 Verwaltung 169 Ändern des Hostnamens des Servers nach der Konfiguration Wenn Sie eine erstmalige Serverkonfiguration für neue Installationen durchführen, legt der Serverassistent den Wert für den Hostnamen fest, indem er dem Parameter „hostname“ den Wert AUTOMATIC im Ordner „/etc/hostname“ zuweist. Diese Einstel- lung bewirkt, dass der Hostname des Servers der erste Name in der folgenden Liste ist, der als „wahr“ identifiziert wird: Â Der vom DHCP- oder BootP-Server für die primäre IP-Adresse bereitgestellte Name Â Der erste Name, der von einer umgekehrten DNS-Abfrage (Adresse-zu-Name) für die primäre IP-Adresse zurückgemeldet wird Â Der lokale Hostname Â Der Name „localhost“

Wenn Sie nach der Erstkonfiguration den Hostnamen ändern möchten, verwenden Sie nicht den Bereich „Sharing“ der Systemeinstellungen zum Ändern des Server-Compu- ternamens. Verwenden Sie stattdessen das Befehlszeilenprogramm changeip.

Näheres finden Sie im Handbuch Command-Line Administration oder auf der man-Seite zu changeip.

Ändern des Typs der Serverkonfiguration Wenn Sie zuvor einen Server mit Standard- oder Arbeitsgruppenkonfiguration installiert haben, können Sie den Servertyp in eine erweiterte Konfiguration ändern. Alle zuvor in den Systemeinstellungen definierten Einstellungen werden in der neuen Kon- figuration beibehalten. Benutzerdienste werden nicht mehr automatisch ausgeführt.

Die Firewall der Servereinstellungen ist nicht mit der Firewall von Server-Admin identisch. Bei einem Wechsel zu einer erweiterten Konfiguration wird die Firewall der Servereinstellungen deaktiviert. Sie müssen die Firewall aktivieren und konfigurieren, auf die über Server-Admin zugegriffen wird.

Ab dem Zeitpunkt der Änderung können Sie Ihren Server mit dem Programm „Server- Admin“ und anderen zugehörigen Werkzeugen verwalten. Die Systemeinstellungen können nicht mehr verwendet werden. Es handelt sich hierbei um eine einmalige Umwandlung in eine Richtung.

Gehen Sie wie folgt vor, um Ihre Serverkonfiguration zu ändern: 1 Richten Sie einen Administratorcomputer ein, auf dem das Programm „Server-Admin“, der Arbeitsgruppenmanager und andere Verwaltungsprogramme installiert sind. Detaillierte Anleitungen finden Sie im Abschnitt „Konfigurieren eines Administrator- computers“ auf Seite 161.

170 Kapitel 7 Verwaltung 2 Starten Sie Server-Admin und melden Sie sich beim zu ändernden Server an. Ausführliche Anleitungen zum Anmelden finden Sie im Abschnitt „Öffnen des Pro- gramms „Server-Admin““ auf Seite 163. Ein Dialogfenster wird angezeigt, in dem Sie gefragt werden, ob Sie den Konfigurations- modus des Servers in „Erweitert“ ändern wollen. 3 Klicken Sie auf „In erweiterte Konfiguration umwandeln“.

Der Server verwendet nun nicht mehr den Modus der Standard- oder Arbeitsgruppen- konfiguration.

Verwalten von Diensten Wenn Sie mit einem bestimmten Dienst auf einem Server arbeiten möchten, der in der Serverliste im Programm „Server-Admin“ ausgewählt ist, klicken Sie auf den Dienst in der Liste unter dem Server. Sie können spezielle Informationen über einen Dienst anzeigen (Protokolle, Graphen, usw.) sowie dessen Einstellungen verwalten.

Die folgende Abbildung zeigt ein Beispiel für die Dienstkonfiguration in Server-Admin.

Zum Starten oder Stoppen eines Diensts wählen Sie den Dienst aus und klicken dann auf „ starten“ oder „ stoppen“ in der unteren Aktionsleiste.

Kapitel 7 Verwaltung 171 Hinzufügen und Entfernen von Diensten im Programm „Server-Admin“ Server-Admin zeigt nur die Dienste an, die Sie verwalten. Die Konfigurationsbereiche aller anderen Dienste werden erst eingeblendet, wenn sie benötigt werden. Damit Sie einen Dienst verwalten können, muss er für den jeweiligen Server aktiviert sein. Der Dienst wird dann unter dem Servernamen in der Serverliste angezeigt.

Gehen Sie wie folgt vor, um einen Dienst in Server-Admin hinzuzufügen oder zu entfernen: 1 Wählen Sie den Server aus, über den der gewünschte Dienst bereitgestellt wird. 2 Klicken Sie auf die Taste „Einstellungen“ in der Symbolleiste. 3 Klicken Sie auf „Dienste“. 4 Wählen Sie den gewünschten Dienst und klicken Sie dann auf „Sichern“. Der Dienst wird nun in der Liste angezeigt und kann konfiguriert werden.

Importieren und Exportieren von Diensteinstellungen Wenn Sie Diensteinstellungen von einem Server zu einem anderen kopieren oder Diensteinstellungen in einer Datei mit einer Eigenschaftenliste zur späteren Verwen- dung sichern wollen, verwenden Sie den Befehl zum Exportieren von Dienstein- stellungen in Server-Admin.

Gehen Sie wie folgt vor, um Einstellungen zu exportieren: 1 Wählen Sie den gewünschten Server. 2 Wählen Sie „Server“ > „Exportieren“ > „Diensteinstellungen“ aus der Menüleiste. 3 Wählen Sie die Dienste aus, deren Einstellungen kopiert werden sollen. 4 Klicken Sie auf „Sichern“. Die erstellte Datei enthält alle Informationen zur Dienstkonfiguration im XML- Dokumentformat (.plist).

Gehen Sie wie folgt vor, um Einstellungen zu importieren: 1 Wählen Sie den Zielserver aus, der die Einstellungen erhalten soll. 2 Wählen Sie „Server“ > „Importieren“ > „Diensteinstellungen“ aus der Menüleiste. 3 Suchen und wählen Sie die gesicherte Dienstdatei aus. Die einzige Datei, die Sie mit dieser Funktion verwenden können, ist eine korrekt formatierte XML-basierte plist-Datei ähnlich der beim Export der Einstellungen generierten Datei. 4 Klicken Sie auf „Öffnen“.

172 Kapitel 7 Verwaltung Steuern des Zugriffs auf Dienste Sie können im Programm „Server-Admin“ festlegen, welche Benutzer und Gruppen die von einem Server bereitgestellten Dienste verwenden können. Sie konfigurieren den Zugriff auf Dienste für Benutzer und Gruppen (Zugriffssteuerungslisten für Dienste, SACLs). Sie können den gleichen Zugriff für alle Dienste konfigurieren, Sie können aber auch jeden Dienst separat auswählen und dessen Zugriffseinstellungen individuell anpassen.

Die Zugriffssteuerung funktioniert sehr einfach. Sie können wählen, ob Sie allen oder nur ausgewählten Benutzern und Gruppen die Nutzung von Diensten erlauben möchten.

Die folgende Abbildung zeigt den Bereich für Zugriffssteuerungslisten für Dienste in Server-Admin:

Wählen Sie einen Server in der Serverliste aus und klicken Sie auf „Einstellungen“. Klicken Sie anschließend auf „Zugriff“ und dann auf „Dienste“.

Sie können separate Zugriffssteuerungen für einzelne Dienste angeben, oder Sie können mehrere Einstellungen definieren, die für alle vom Server bereitgestellten Dienste gelten.

Kapitel 7 Verwaltung 173 Verwenden von SSL für die Fernverwaltung des Servers Sie können die Sicherheitsstufe der Kommunikation zwischen dem Programm „Server- Admin“ und fernen Servern steuern. Wählen Sie dazu „Server-Admin“ > „Einstellungen“.

Server-Admin behandelt die gesamte Kommunikation mit fernen Servern als mit SSL verschlüsselt. Hierfür wird ein 128-Bit-Zertifikat mit interner Signatur verwendet. Dieses wird beim Installieren des Servers im Ordner „/etc/servermgrd/ssl.crt“ installiert. Die Kommunikation verwendet HTTPS (Port 311). Wenn diese Option nicht verfügbar ist, wird HTTP (Port 687) verwendet und es wird reiner Text zwischen dem Programm „Server-Admin“ und dem fernen Server übertragen.

Wenn Sie ein höheres Sicherheitsniveau wünschen, wählen Sie zusätzlich die Option „Gültige digitale Signatur erzwingen (SSL)“. Standardmäßig ist die Option „Gültige digitale Signatur erzwingen (SSL)“ deaktiviert. Diese Option verwendet ein SSL-Zertifikat, das auf einem fernen Server installiert ist, um sicherzustellen, dass es sich bei dem fernen Server um einen gültigen Server handelt.

Bevor Sie diese Option aktivieren, generieren Sie anhand der Anweisungen im Abschnitt „Anfordern eines Zertifikats von einer Zertifizierungsinstanz“ eine CSR-Anfor- derung (Certificate Signing Request). Dadurch erhalten Sie ein SSL-Zertifikat von einer Zertifizierungsinstanz und das Zertifikat wird auf jedem fernen Server installiert. Legen Sie die entsprechenden Dateien nicht in den Ordner „/etc/httpd“, sondern in den Ord- ner „/etc/servermgrd“. Sie können auch ein selbst signiertes Zertifikat generieren und auf dem entfernten Server installieren.

Sie können das Programm „Server-Admin“ zum Konfigurieren und Verwalten selbst signierter oder ausgegebener SSL-Zertifikate nutzen, die von den Diensten „Mail“, „Web“, Open Directory und anderen verwendet werden, die diese Zertifikate unterstützen.

Im Abschnitt „Der Zertifikatmanager im Programm „Server-Admin““ auf Seite 69 finden Sie Anweisungen zur Verwendung des Programms „Server-Admin“ zum Erstellen, Verwalten und Nutzen von Sicherheitszertifikaten für SSL-fähige Dienste. In den Administrationshandbüchern zu den einzelnen Diensten wird das Konfigurieren spezifischer Dienste für die Nutzung von SSL beschrieben.

Wenn Sie sich für weitere Stufen der SSL-Identifikationsüberprüfung interessieren, finden Sie entsprechende Informationen unter der Adresse: www.modssl.org.

174 Kapitel 7 Verwaltung Verwalten der Funktion „Sharing“ Zum Arbeiten mit Netzwerkvolumes und Zugriffssteuerungslisten klicken Sie auf das Symbol „File-Sharing“ in der Symbolleiste des Programms „Server-Admin“. Weitere Informationen finden Sie im Handbuch Dateidienste – Administration.

Die folgende Abbildung zeigt einen File-Sharing-Konfigurationsbereich in Server-Admin.

Abgestufte Verwaltungsrechte In früheren Versionen von Mac OS X Server gab es zwei Klassen von Benutzern: Administratoren und alle anderen Benutzer. Administratoren konnten die Einstel- lungen aller Dienste beliebig ändern oder Verzeichnisdaten sowie Kennwörter und Kennwortrichtlinien ganz nach Bedarf ändern.

In Mac OS X Server 10.5 können Sie nun einzelnen Benutzern und Gruppen bestimmte Administratorrechte zuweisen, ohne sie zur UNIX-admin-Gruppe hinzuzufügen. (Sie können diese Benutzer also als Administratorbenutzer definieren.) Es gibt zwei Berech- tigungsstufen: Â Verwalten: Mit dieser Berechtigungsstufe erhalten Benutzer dieselben Zugriffs- rechte wie die Mitglieder der UNIX-admin-Gruppe. Sie können beliebige Einstellun- gen auf dem Server ausschließlich für den zugewiesenen Server und Dienst ändern.

Kapitel 7 Verwaltung 175 Â Überwachen: Mit dieser Berechtigungsstufe können Sie die Bereiche „Übersicht“, „Protokolle“ und andere Informationsbereiche in Server-Admin sowie allgemeine Daten zum Serverstatus in Serverstatuslisten anzeigen. Sie haben keinen Zugriff auf gesicherte Diensteinstellungen.

Diese Zugriffsrechte können beliebigen Benutzern oder Gruppen zugewiesen werden, entweder für alle oder nur für ausgewählte Dienste. Die Zugriffsrechte werden für jeden Server getrennt gespeichert.

Nur Benutzer, die zur UNIX-admin-Gruppe gehören, können die abgestuften Verwal- tungszugriffslisten ändern.

Das Programm „Server-Admin“ wird aktualisiert, um die mit den Zugriffsrechten des jeweiligen Benutzers möglichen Optionen darzustellen. Einige Dienste sind beispielsweise ausgeblendet oder der Bereich „Einstellungen“ wird grau dargestellt, wenn Sie diesen Dienst nur überwachen können.

Da die Funktion vom Server in Kraft gesetzt wird, haben die Zugriffsrechte auch Auswir- kungen auf die Nutzung der Befehlszeilenprogramme „serveradmin“, „dscl“, „dsimport“ und „pwpolicy“, da alle diese Programme auf die Zugriffsrechte beschränkt sind, die für den aktuellen Administrator konfiguriert sind.

Definieren von Administratorrechten Sie können Benutzern oder Gruppen das Überwachen oder Verwalten eines Servers oder Diensts ermöglichen, ohne ihnen die vollständigen Zugriffsrechte eines UNIX- Administrators zuzuweisen. Durch das Zuweisen effektiver Zugriffsrechte für Benutzer entsteht eine abgestufte Verwaltung, bei der einige, jedoch nicht alle Verwaltungsauf- gaben von gewählten Einzelpersonen ausgeführt werden können.

Gehen Sie wie folgt vor, um Zugriffsrechte zuzuweisen: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Zugriff“. 3 Klicken Sie auf den Titel „Administratoren“. 4 Wählen Sie aus, ob Sie für alle Dienste auf dem Server oder für ausgewählte Dienste Administratorrechte definieren wollen. 5 Wenn Sie Zugriffsrechte für jeden Dienst separat definieren möchten, markieren Sie das Feld neben jedem Dienst, der aktiviert werden soll. Wenn Sie Zugriffsrechte für jeden Dienst definieren, vergewissern Sie sich, dass Sie allen aktiven Diensten auf dem Server einen oder mehrere Administratoren zuweisen.

176 Kapitel 7 Verwaltung 6 Klicken Sie auf die Taste „Hinzufügen“ (+), um einen Benutzer oder eine Gruppe aus dem Fenster für Benutzer und Gruppen hinzuzufügen. Zum Entfernen von Administratorrechten wählen Sie einen Benutzer oder eine Gruppe aus und klicken auf die Taste „Entfernen“ (-). 7 Wählen Sie für alle Benutzer oder Gruppen die Berechtigungsstufe neben dem Benutzer- oder Gruppennamen aus. Ihnen stehen die Stufen „Überwachen“ oder „Verwalten“ zur Auswahl.

Mit dieser Einstellung wird der Funktionsumfang des Programms „Server-Admin“ beeinflusst, wenn der Server zur Serverliste hinzugefügt wird.

Grundlagen zum Arbeitsgruppenmanager Mit dem Arbeitsgruppenmanager verwalten Sie die folgenden Accounts: Benutzer- Accounts, Gruppen-Accounts und Computerlisten. Mit dem Arbeitsgruppenmanager können Sie auch Einstellungen für Mac OS X-Benutzer-Accounts, -Gruppen-Accounts und -Computer festlegen und auf die Detailansicht zugreifen, eine erweiterte Funktion, mit der Sie einfache Bearbeitungsoperationen bei Open Directory-Einträgen ausführen können.

In den folgenden Dokumenten wird die allgemeine Verwendung des Arbeitsgruppen- managers beschrieben. Anweisungen zum Ausführen bestimmter Verwaltungsaufga- ben finden Sie in der Hilfe des Arbeitsgruppenmanagers und in verschiedenen Handbüchern: Â Im Dokument Benutzerverwaltung finden Sie Anleitungen zur Verwendung des Arbeitsgruppenmanagers zum Verwalten von Benutzer-Accounts, Gruppen-Accounts, Computerlisten, Einstellungen und zum Importieren und Exportieren von Accounts. Â Im Handbuch Dateidienste – Administration wird die Verwendung der Sharing-Funk- tionen des Arbeitsgruppenmanagers zur Verwaltung von Netzwerkvolumes erklärt. Â Das Handbuch Open Directory – Administration bietet Informationen zur Verwendung der Detailansicht.

Kapitel 7 Verwaltung 177 Öffnen des Arbeitsgruppenmanagers Der Arbeitsgruppenmanager wird im Ordner „/Programme/Server“ installiert. Er kann im Finder oder Dock oder durch Auswahl von „Darstellung“ > „Arbeitsgruppenmana- ger“ in der Menüleiste des Programms „Server-Admin“ geöffnet werden: Â Wenn Sie den Arbeitsgruppenmanager auf dem Server öffnen, den Sie ohne Identifi- zierung verwenden, verfügen Sie für die Informationen in der lokalen Domain über Nur-Lese-Zugriff. Wenn Sie Änderungen vornehmen möchten, klicken Sie auf das Schlosssymbol, um sich als Serveradministrator anzumelden. Diese Methode ist besonders nützlich, wenn Sie verschiedene Server verwalten und mit mehreren Verzeichnis-Domains arbeiten. Â Wenn Sie sich als Administrator für einen bestimmten Server (lokal oder entfernt) anmelden wollen, geben Sie im Anmeldefenster die IP-Adresse oder den DNS-Namen des Servers ein. Alternativ können Sie auch auf den Verzeichnispfad im Fenster des Arbeitsgruppenmanagers klicken, um einen anderen Verzeichnisserver auszuwählen. Geben Sie den Benutzernamen und das Kennwort für einen Administrator des Servers ein und klicken Sie dann auf „Verbinden“. Diese Methode eignet sich besonders, wenn Sie hauptsächlich mit einem bestimmten Server arbeiten.

Nach dem Öffnen des Arbeitsgruppenmanagers können Sie ein Arbeitsgruppenmana- ger-Fenster für einen anderen Computer öffnen. Dazu klicken Sie auf „Neues Fenster“ in der Symbolleiste oder wählen die Menüoption „Server“ > „Verbinden“.

Wichtig: Wenn Sie eine Verbindung zu einem Server im Arbeitsgruppenmanager herstellen, vergewissern Sie sich, dass die Langform oder die Kurzform des angegebenen Benutzernamens der Groß-/Kleinschreibung im Benutzer-Account entspricht.

Verwalten von Accounts Benutzer-Accounts und Gruppenmitgliedschaften werden nicht in Server-Admin verwaltet. Zum Hinzufügen und Entfernen von Benutzern und Gruppen verwenden Sie den Arbeitsgruppenmanager. Informationen zur Verwaltung von Accounts finden Sie im Dokument Benutzerverwaltung. Im Folgenden finden Sie eine kurze Übersicht über die Account-Verwaltung mithilfe des Arbeitsgruppenmanagers. Dieser Abschnitt sollte nicht als einzige Informationsquelle zu Accounts genutzt werden.

178 Kapitel 7 Verwaltung Arbeiten mit Benutzern und Gruppen Nach dem Anmelden beim Arbeitsgruppenmanager wird das Account-Fenster angezeigt. Es enthält eine Liste der Benutzer-Accounts. Zunächst handelt es sich bei den aufgelisteten Accounts um diejenigen, die im letzten Verzeichnisknoten des Suchpfads des Servers gespeichert sind. Wenn Sie andere Fenster im Arbeitsgruppenmanager verwenden, z. B. „Einstellungen“, können Sie durch Klicken auf „Accounts“ in der Symbollei- ste zum Account-Fenster zurückkehren.

Die folgende Abbildung zeigt ein Beispiel für die Konfiguration eines Benutzereintrags im Arbeitsgruppenmanager:

Wenn Sie die Verzeichnisse angeben möchten, in denen die Accounts gespeichert sind, mit denen Sie arbeiten möchten, klicken Sie auf die kleine Kugel (Globussymbol) über der Liste der Accounts. Wenn Sie mit unterschiedlichen Accounts in mehreren Fenstern des Arbeitsgruppenmanager arbeiten möchten, klicken Sie auf „Neues Fenster“ in der Symbolleiste.

Zum Verwalten der aufgelisteten Accounts klicken Sie auf die Tasten „Benutzer“, „Grup- pen“, „Computer“ oder „Computergruppen“ links im Fenster. Sie können die über der Account-Liste eingeblendete Suchliste dazu verwenden, die aufgelisteten Accounts zu filtern. Zum Aktualisieren der Account-Liste klicken Sie auf die Taste „Aktualisieren“ in der Symbolleiste.

Sie können vorgegebene Einstellungen (Vorgaben) verwenden, um das Definieren der Anfangsattribute bei Erstellen eines Accounts zu vereinfachen. Eine Account-Vorgabe ist eine solche Einstellung.

Kapitel 7 Verwaltung 179 Wenn Sie eine solche Einstellung erstellen möchten, wählen Sie einen Account aus, konfigurieren Sie sämtliche Werte wie gewünscht und wählen Sie anschließend „Einstellung sichern“ aus dem Einblendmenü „Vorgabe“ unten im Fenster.

Klicken Sie in der Symbolleiste auf „Suchen“, um nur mit den Accounts zu arbeiten, die die spezifischen Kriterien erfüllen. Diese Suchfunktion bietet auch eine Option zur Stapelverarbeitung ausgewählter Accounts.

Zum Importieren oder Exportieren von Accounts wählen Sie die Accounts aus. Anschließend wählen Sie „Server“ > „Importieren“ bzw. „Server“ > „Exportieren“.

Definieren verwalteter Einstellungen Wenn Sie mit verwalteten Einstellungen für Benutzer-Accounts, Gruppen-Accounts oder Computerlisten arbeiten möchten, klicken Sie in der Symbolleiste des Arbeits- gruppenmanagers auf das Symbol „Einstellungen“.

Die folgende Abbildung zeigt den Übersichtsbereich für die Verwaltung von Benutzer- einstellungen im Arbeitsgruppenmanager:

180 Kapitel 7 Verwaltung Klicken Sie auf „Details“, um im Einstellungseditor die Einstellungsmanifeste zu bearbeiten. Die folgende Abbildung zeigt ein Beispielfenster des Benutzereditors im Arbeitsgruppenmanager:

Kapitel 7 Verwaltung 181 Arbeiten mit Verzeichnisdaten Wenn Sie mit reinen Verzeichnisdaten arbeiten möchten, verwenden Sie den Bereich „Detailansicht“ im Arbeitsgruppenmanager.

Die folgende Abbildung zeigt die Detailansicht eines Eintrags im Arbeitsgruppenmanager:

Gehen Sie wie folgt vor, um die Detailansicht anzuzeigen: 1 Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“. 2 Aktivieren Sie die Option „Titel „Alle Einträge“ und „Detailansicht“ einblenden“ und klik- ken Sie auf „OK“. 3 Klicken Sie auf die Taste „Alle Einträge“ (die kleine Zielscheibe über dem Suchfeld), um auf die Detailansicht zuzugreifen. 4 Verwenden Sie das Einblendmenü über der Liste „Name“ links im Fenster zum Auswäh- len der gewünschten Einträge. Sie können z. B. mit Benutzern, Gruppen, Computern, Netzwerkvolumes und vielen anderen Verzeichnisobjekten arbeiten.

182 Kapitel 7 Verwaltung Anpassen der Umgebung des Arbeitsgruppenmanagers Es gibt mehrere Möglichkeiten, die Umgebung des Arbeitsgruppenmanagers auf den jeweiligen Bedarf abzustimmen: Â Sie können steuern, wie der Arbeitsgruppenmanager Accounts und andere Parame- ter auflistet, indem Sie „Arbeitsgruppenmanager“ > „Einstellungen“ wählen. Â Zum Anpassen der Symbolleiste wählen Sie „Ansicht“ > „Symbolleiste anpassen“. Â Wenn Sie vordefinierte Benutzer und Gruppen in den Benutzer- und Gruppen- listen aufnehmen möchten, wählen Sie „Ansicht“ > „Systembenutzer und Grup- pen einblenden“. Â Wenn Sie das Programm „Server-Admin“ öffnen möchten, um Dienste auf bestimmten Servern überwachen und in anderer Weise bearbeiten zu können, klicken Sie auf das Symbol „Server-Admin“ in der Symbolleiste.

Arbeiten mit Computern mit älteren Serverversionen von Servern mit Version 10.5 Server mit Mac OS X Server 10.4 können mithilfe von Programmen für die Serverver- waltung der Version 10.5 verwaltet werden. Der Arbeitsgruppenmanager auf einem Server der Version 10.5 kann zum Verwalten von Mac OS X-Clients unter Mac OS X 10.3 (oder neuer) verwendet werden.

Sobald Sie einen Benutzereintrag mit dem Arbeitsgruppenmanager in Version 10.5 bearbeitet haben, kann auf diesen Eintrag nur noch mit dem Arbeitsgruppenmanager in Version 10.5 zugegriffen werden.

Einstellungen von Mac OS 9-Clients können mithilfe von Macintosh Manager nur dann über einen Server mit Version 10.5 verwaltet werden, wenn Sie eine Aktualisierung auf Version 10.5 ausführen. Version 10.5 lässt sich durch eine Aktualisierung auf einem Ser- ver mit Version 10.3.9 oder 10.2.8 installieren.

Konfigurationsassistenten für Dienste Das Programm „Server-Admin“ umfasst Konfigurationsassistenten, die Sie durch die Ein- richtung von Diensten führen, für die mehrere Konfigurationsschritte in verschiedenen Fensterbereichen erforderlich sind. Die Assistenten öffnen alle Konfigurationsbereiche, die für die vollständige Aktivierung eines Diensts notwendig sind.

Für folgende Dienste sind Assistenten verfügbar: Â Gateway: Dieser Assistent unterstützt Sie bei der Konfiguration Ihres Servers als Netzwerk-Gateway. Starten Sie den Assistenten über eine Taste unten rechts auf der Übersichtsseite des NAT-Diensts.

Kapitel 7 Verwaltung 183 Â Mail: Dieser Assistent unterstützt Sie beim Konfigurieren des Diensts für ein- und ausgehende E-Mails. Starten Sie den Assistenten über eine Taste unten rechts auf der Übersichtsseite des Mail-Diensts. Â RADIUS: Dieser Assistent hilft Ihnen beim Konfigurieren der RADIUS-Identifizierung für drahtlose Apple-AirPort-Zugangspunkte. Starten Sie den Assistenten über eine Taste unten rechts auf der Übersichtsseite des RADIUS-Diensts. Â Xgrid: Dieser Assistenten hilft Ihnen beim Konfigurieren von Xgrid-Controllern. Starten Sie den Assistenten über eine Taste unten rechts auf der Übersichtsseite des Xgrid-Diensts.

Wichtige Konfigurations- und Datendateien Wenn Sie eine Sicherungskopie von Systemeinstellungen und Daten anlegen, achten Sie besonders darauf, dass alle Ihre wichtigen Konfigurationsdateien gesichert werden. Die Art und Häufigkeit der Datensicherung hängt von den Richtlinien für die Daten- sicherung, Archivierung und Wiederherstellung ab, die in Ihrem Unternehmen verwendet werden. Weitere Informationen zum Erstellen einer Richtlinie für die Datensiche- rung und Wiederherstellung finden Sie im Abschnitt „Festlegen von Richtlinien für die Datensicherung und -wiederherstellung“ auf Seite 34.

Nachfolgend finden Sie eine Liste mit Konfigurations- und Datendateien für Dienste, die auf Mac OS X Server-Computern verfügbar sind.

Allgemein

Dateityp Speicherort Dienststatus /System/Library/LaunchDaemons/* SSH-Konfigurationsdateien und /etc/ssh/* öffentliche/private Schlüssel von Hosts Schlüsselbund des Systems /Library/Keychains/System.keychain

iCal-Dienst

Dateityp Speicherort Konfigurationsdateien /etc/caldavd/caldavd.plist Daten /Library/CalendarServer/Documents

iChat-Server

Dateityp Speicherort Konfigurationsdateien /etc/jabberd Daten mysqldump jabberd2 > jabberd2.backup.sql

184 Kapitel 7 Verwaltung Benachrichtigungen

Dateityp Speicherort Konfigurationsdateien /etc/emond.d/ /etc/emond.d/rules/ /Library/Keychains/System.keychain

QuickTime Streaming Server

Dateityp Speicherort Konfigurationsdateien /Library/QuickTimeStreamingServer/Config/* /Library/QuickTimeStreamingServer/Playlists/* /Library/Application Support/Apple/QTSS Publisher/* Daten: (Standardspeicherorte) /Library/QuickTimeStreamingServer/Movies/* ~user/Sites/Streaming/*

Firewall-Dienst

Dateityp Speicherort Konfigurationsdateien /etc/ipfilter/*

NAT-Dienst

Dateityp Speicherort Konfigurationsdateien /etc/nat/*

Mail-Dienste Bei den folgenden Dateien handelt es sich um die Konfigurations- und Datendateien für Mail-Dienste.

Mail – SMTP Server Postfix

Dateityp Speicherort Konfigurationsdateien /etc/postfix/ Daten: (Standardspeicherorte) /var/spool/postfix/

Mail – POP/IMAP Server Cyrus

Dateityp Speicherort Konfigurationsdateien /etc/imapd.conf /etc/cyrus.conf Daten: (Standardspeicherort für /var/imap Mail-Datenbank) (Mail-Datenspeicher) /var/spool/imap

Kapitel 7 Verwaltung 185 Eigene Speicherorte werden unter „/etc/impad.conf“ mit den folgenden Schlüsseln mit Standardwerten definiert:

Eigene Speicherorte Schlüssel: Wertepaar Speicherort der Mail-Datenbank configdirectory: /var/imap Speicherort des Mail- partition-default: /var/spool/imap Datenspeichers Weitere Datenspeicherparti- partition-xxx: /var/spool/mail_xxx tionen (kein Standardwert) Es können mehrere weitere Datenspeicherpartitionen vorhanden sein

Mail – Amavisd

Dateityp Speicherort Konfigurationsdateien /etc/amavisd.conf Daten: (Standardspeicherorte) /var/amavis/

Mail – Clam AV

Dateityp Speicherort Konfigurationsdateien /etc/clamav.conf /etc/freshclam.conf Daten: (Standardspeicherorte) /var/clamav/ /var/virusmails/

Mail – Mailman

Dateityp Speicherort Konfigurationsdateien /var/mailman/ Daten: (Standardspeicherorte) /var/mailman/

Mail – SpamAssassin

Dateityp Speicherort Konfigurationsdateien /etc/mail/spamassassin/local.cf Daten: (Standardspeicherorte) /etc/mail/spamassassin/

186 Kapitel 7 Verwaltung MySQL-Dienst

Dateityp Speicherort Konfigurationsdateien Für MySQL ist keine Konfigurationsdatei vorhanden, der Admi- nistrator kann jedoch eine solche Datei erstellen, die in diesem Fall gesichert werden sollte: /etc/my.cnf Daten: (Standardspeicherorte) /var/mysql/ mysqldump --alle-Datenbanken > all.sql

PHP

Dateityp Speicherort Konfigurationsdateien Für PHP ist keine Konfigurationsdatei vorhanden, der Administra- tor kann jedoch eine solche Datei erstellen (durch Kopieren von /etc/php.ini.default nach /etc/php.ini und Anpassen der Datei), die in diesem Fall gesichert werden sollte: /etc/php.ini Daten: (Standardspeicherorte) wie vom Administrator zugewiesen

Webdienste

Dateityp Speicherort Konfigurationsdateien /etc/httpd/* (für Apache 1.3) /etc/apache2/* (für Apache 2.2) /etc/webperfcache/* /Library/Keychains/System.keychain Daten: (Standardspeicherorte) /Library/WebServer/Documents/ /Library/Logs/WebServer/* /Library/Logs/Migration/webconfigmigrator.log (Apache-Konfig-Migrationsprotokoll)

Der Standardspeicherort für Webinhalte ist konfigurierbar und wird im Normalfall geändert und erweitert, um mehrere Verzeichnisse virtueller Hosts und WebDAV- Verzeichnisse zu integrieren.

Hinweis: Protokolldateien für den Webdienst gelten für einige Standorte als wichtige Ressource und sollten ggf. in die Datensicherung einbezogen werden. Der Speicherort kann angepasst und mit Server-Admin bestimmt werden.

Kapitel 7 Verwaltung 187 Wiki- und Blog-Server

Dateityp Speicherort Konfigurationsdateien /etc/wikid/* /Library/Application Support/Apple/WikiServer (Wiki-Themen und Vorlagendateien) Daten: (Standardspeicherorte) /Library/Collaboration/ Protokolldateien: (Standardspeic /Library/Logs/wikid/* herort)

Verbessern der Dienstverfügbarkeit Sie können die Verfügbarkeit Ihres Servers unter anderem dadurch verbessern, dass Sie SPoFs (Single Points of Failure, einzelne Fehlerstellen) vermeiden und Xserve und RAID- Hardwarelösungen verwenden. Andere Maßnahmen reichen von einfachen Lösungen, wie z. B. redundante Stromversorgung, automatischer Neustart und Einhalten optima- ler Betriebsbedingungen (z. B. richtige Temperatur und Luftfeuchtigkeit), bis hin zu anspruchsvolleren Lösungen, wie z. B. Verbindungsbündelung (auch: Verbindungs- aggregation), Lastenverteilung, Open Directory-Replikation und Datensicherung.

Vermeiden von SPoFs Eine bessere Verfügbarkeit Ihres Servers erreichen Sie, indem Sie die Anzahl der SPoFs minimieren. Ein SPoF ist eine Komponente in Ihrer Serverumgebung, deren Versagen einen Ausfall Ihres Servers zur Folge hat.

Zu den SPoFs gehören unter anderem: Â Computersystem Â Festplatte Â Stromversorgung

Es ist zwar fast unmöglich, alle SPoFs zu vermeiden, Sie sollten aber so viele wie mög- lich eliminieren. Beispiel: Wenn Sie ein Ersatzsystem und die IP-Ausfallumschaltung in Mac OS X Server verwenden, stellt der Computer keinen SPoF mehr dar. Obwohl es theoretisch möglich ist, dass der Haupt- und der Ersatzcomputer gleichzeitig oder nacheinander ausfallen, ist die Wahrscheinlichkeit eines solchen Ereignisses aber verschwindend gering.

Eine weitere Möglichkeit zur Verhinderung eines Computerausfalls bietet die Verwen- dung einer redundanten Stromversorgung sowie die Nutzung von Hardware-RAIDs zum Spiegeln der Festplatte. Wenn Sie ein Hardware-RAID verwenden, kann das System immer noch auf dieselben Daten auf der gespiegelten Festplatte zugreifen (z. B. bei Verwendung eines Xserve-Systems), wenn die Hauptfestplatte ausfällt.

188 Kapitel 7 Verwaltung Verwenden von Xserve für eine hohe Verfügbarkeit Xserve zeichnet sich durch eine besonders hohe Zuverlässigkeit und damit Verfügbarkeit aus.

Desktop-Systeme wie der Power Mac G5 oder Mac Pro können Mac OS X Server- Dienste sehr zuverlässig bereitstellen. Xserve bietet aber die folgenden zusätzlichen Funktionen, die ideal für die Hochverfügbarkeit sind. Â Xserve verfügt über acht Lüfter. Falls ein Lüfter ausfällt, laufen die übrigen Lüfter schneller, um den Ausfall zu kompensieren. Dadurch kann Ihr Server weiter in Betrieb bleiben. Â Durch eine unabhängige Laufwerksarchitektur werden die Laufwerke einzeln mit Strom versorgt. Dadurch wird verhindert, dass der Ausfall eines einzelnen Laufwerks die Verfügbarkeit oder Leistung der übrigen Laufwerke beeinträchtigt. Dieses Pro- blem tritt häufig bei SCSI-Implementierungen mit mehreren Laufwerken auf. Â Xserve verwendet eine ECC-Logik (Error Correction Code), um das System vor beschädigten Daten und Übertragungsfehlern zu schützen. Jedes DIMM-Modul verfügt über ein zusätzliches Speichermodul, in dem Prüfsum- mendaten für jede Transaktion gespeichert werden. Der System-Controller verwendet diese ECC-Daten zum Identifizieren von Abweichungen um 1 Bit (Einzelbit-Fehler). Er korrigiert sie sofort und verhindert dadurch ungeplante Systemabschaltungen. Für den seltenen Fall, dass Abweichungen um mehrere Bit (Mehrfachbit-Fehler) auftreten sollten, kann der Controller den Fehler erkennen und eine Systembenach- richtigung veranlassen, damit fehlerhafte Daten keine anderen Operationen beein- trächtigen können. Sie können das Programm „Servermonitor“ so konfigurieren, dass Sie benachrichtigt werden, sobald die Fehlerrate einen definierten Schwellenwert überschreitet. Â Der Xserve verfügt über eine integrierte Hardware-RAID-Spiegelung. Sie verhindert den Ausfall Ihres Servers, falls das Hauptlaufwerk ausfällt.

Weitere Informationen zum Xserve finden Sie unter: www.apple.com/de/xserve/.

Verwenden einer Notfall-Stromversorgung In der Architektur einer Serverlösung ist die Stromversorgung ebenfalls ein SPoF. Wenn der Strom ausfällt, werden Ihre Server ohne Vorwarnung ausgeschaltet. Damit Sie eine plötzliche Unterbrechung der Verfügbarkeit verhindern können, sollten Sie in Erwä- gung ziehen, eine Notfall-Stromversorgung einzusetzen.

Je nach Anwendungsgebiet können Sie ein Notstromaggregat oder eine unterbrechungsfreie Stromversorgung (USV) verwenden. Damit gewinnen Sie genug Zeit, die Benutzer über eine Unterbrechung der Verfügbarkeit von Diensten zu benachrichtigen.

Kapitel 7 Verwaltung 189 Verwenden einer USV-Einheit mit dem Xserve Der Xserve bietet keine Verbindungsmöglichkeit für die USV-Einheit über den seriellen Anschluss, kann aber den Ladezustand des USV-Geräts über das Netzwerk überwa- chen, wenn die USV-Einheit über eine Netzwerkkarte für die Fernverwaltung verfügt. Weitere Informationen erhalten Sie von einem USV-Händler.

Die folgende Abbildung zeigt ein Beispiel eines Xserve-Systems, das über ein Netzwerk mit einer USV-Einheit verbunden ist:

Lokales Xserve Netzwerk

Verbindung für Notfallstrom- versorgung Strom- quelle USV-Gerät

Konfigurieren Ihres Servers für einen automatischen Neustart Sie können die Energiesparoptionen auf Ihrem Mac OS X Server-Computer so konfigurieren, dass dieser automatisch neu gestartet wird, wenn es zu einem Stromausfall oder Systemstillstand kam.

Die folgende Abbildung zeigt die Systemeinstellung „Energie sparen“:

190 Kapitel 7 Verwaltung Es gibt die folgenden Optionen für den automatischen Neustart: Â Nach Stromausfall automatisch neu starten. Die PMU-Einheit (Power Management Unit) startet den Server nach einem Stromausfall automatisch neu. Â Den Computer automatisch neu starten, wenn er „eingefroren“ ist. Die PMU-Ein- heit startet den Server automatisch, wenn der Server nicht mehr auf Anforderungen reagiert, eine Fehlermeldung „Kernel Panic“ ausgegeben wird oder wenn ein System- stillstand auftritt.

Wenn Sie die Option „Den Computer automatisch neu starten, wenn er „eingefroren“ ist“ aktivieren, startet Mac OS X Server den Daemon wdticklerd. Dieser Daemon sendet alle 30 Sekunden den Befehl an Ihren Computer, nach 5 Minuten neu zu starten. Bei jedem Senden des Befehls wird der Neustart-Timer zurückgesetzt. Das bedeutet, dass der Timer niemals 5 Minuten erreicht, wenn der Server aktiv ist. Bei einem System- stillstand des Computers startet die PMU-Einheit ihn nach 5 Minuten neu.

Gehen Sie wie folgt vor, um den automatischen Neustart zu aktivieren: 1 Melden Sie sich beim Server als Administrator an. 2 Öffnen Sie die Systemeinstellungen und klicken Sie auf „Energie sparen“. 3 Klicken Sie auf „Optionen“. 4 Wählen Sie unter „Andere Optionen“ die Optionen für den Neustart aus. 5 Schließen Sie die Systemeinstellungen.

Einhalten der richtigen Betriebsbedingungen Eine Ursache für Fehlfunktionen Ihrer Server kann Überhitzung sein. Dieses Problem tritt besonders dann auf, wenn Sie mehrere Computer auf engem Raum unterbringen. Andere Faktoren, die Ihre Server beeinträchtigen können, sind Feuchtigkeit und Span- nungsschwankungen.

Achten Sie zum Schutz Ihrer Server darauf, sie an einem Ort aufzustellen, an dem Sie diese Faktoren überwachen und ggf. regulieren können, um für ideale Betriebsbedin- gungen zu sorgen. Überprüfen Sie zu diesem Zweck die Umgebungsbedingungen und die elektrischen Voraussetzungen für Ihre Systeme.

Achten Sie außerdem darauf, dass die Einrichtung, in der Sie Ihren Server einsetzen, über ein Feuermeldesystem verfügt. Erstellen Sie einen entsprechenden Notfallplan.

Bereitstellen einer Open Directory-Replikation Wenn Sie Open Directory-Dienste bereitstellen wollen, sollten Sie Repliken Ihres Open Directory-Masters erstellen. Falls der Hauptserver ausfällt, können die Client-Computer auf die Replik zugreifen.

Weitere Informationen hierzu finden Sie im Abschnitt zum Konfigurieren von Open Directory-Repliken im Handbuch Open Directory – Administration.

Kapitel 7 Verwaltung 191 Verbindungsbündelung (Verbindungsaggregation) Es kommt zwar selten vor, aber der Ausfall eines Switches, eines Kabels oder einer Netz- werkschnittstellenkarte kann dazu führen, dass Ihr Server nicht mehr verfügbar ist. Sie können diese SPoFs beseitigen, indem Sie mit einer Verbindungsbündelung arbeiten. Diese Technologie (IEEE 802.3ad) ist in Mac OS X und Mac OS X Server integriert.

Mithilfe der Verbindungsbündelung können Sie mehrere physische Verbindungen, über die Ihr Mac mit einem Gerät für die Verbindungsbündelung (einem Switch oder einem anderen Mac) verbunden ist, zu einer einzelnen logischen Verbindung zusammen- fassen. So erhalten Sie eine fehlertolerante Verbindung, deren Bandbreite gleich der Summe der Bandbreiten der physischen Verbindungen ist.

Beispiel: Sie können einen Xserve-Computer mit vier 1-GBit/Sek.-Anschlüssen (en1, en2, en3 und en4) einrichten. Über die Systemeinstellung „Netzwerk“ können Sie eine Anschlusskonfiguration für Verbindungsbündelung (bond0) erstellen, die en1, en2, en3 und en4 zu einer logischen Verbindung kombiniert.

Die auf diese Weise erstellte logische Verbindung verfügt über eine Bandbreite von 4 GBit/Sek. Außerdem ist diese Verbindung fehlertolerant. Falls eine oder mehrere physische Verbindungen ausfallen, nimmt die Bandbreite des Xserve-Computers ab. Der Xserve-Computer kann aber weiterhin Anforderungen verarbeiten, sofern nicht alle physischen Verbindungen gleichzeitig ausfallen.

Die folgende Abbildung zeigt vier Ethernetanschlüsse, die zu einer einzigen Schnitt- stelle zusammengefasst sind:

server1.beispiel.com

400 MBit/Sek. bond0 en1 en2 en3 en4

4 x 100 MBit/Sek.

Switch

192 Kapitel 7 Verwaltung Durch die Verbindungsbündelung können Sie auch vorhandene oder kostengünstige Hardware nutzen, um die Bandbreite Ihres Servers zu vergrößern. Beispiel: Sie können eine Verbindungsbündelung aus einer Kombination mehrerer 100-MBit/Sek.-Verbin- dungen oder 1-GBit/Sek.-Verbindungen erstellen.

LCAP (Link Aggregation Control Protocol) Die Verbindungsbündelung gemäß IEEE 802.3ad definiert das LACP-Protokoll (Link Aggregation Control Protocol), das von Mac OS X Server zum Bündeln (Kombinieren) mehrerer Anschlüsse (zu einem virtuellen Anschluss) verwendet wird, der für TCP- und UDP-Verbindungen genutzt werden kann.

Wenn Sie eine Verbindungsbündelung definieren, verwenden die Knoten auf den Seiten der Bündelung (etwa ein Computer und ein Switch) LCAP über jeden physika- lischen Link für folgende Schritte: Â Prüfung, ob die Verbindung gebündelt (aggregiert) werden kann. Â Verwaltung und Überwachung der Bündelung.

Wenn ein Knoten nicht mehr regelmäßig LACP-Pakete vom Peer (dem anderen Knoten der Bündelung) empfängt, nimmt er an, dass der Peer nicht mehr aktiv ist. Anschlie- ßend entfernt er den Anschluss aus der Bündelung.

Zusätzlich zu LACP verwendet Mac OS X Server einen Algorithmus für die Frame-Ver- teilung, um die Datenübermittlung einem bestimmten Anschluss zuzuordnen. Dieser Algorithmus sendet nur dann Pakete an das System am anderen Ende der Bündelung, wenn der Empfang von Paketen aktiviert ist. Mit anderen Worten: der Algorithmus sendet keine Pakete, wenn das andere System nicht empfangsbereit ist.

Durch das Zuordnen einer Datenübermittlung zu einem bestimmten Anschluss wird sichergestellt, dass Pakete nicht mehrfach angefordert werden.

Beispiele für die Verbindungsbündelung Im Folgenden werden drei gängige Beispielkonfigurationen aufgelistet: Â Computer-zu-Computer Â Computer-zu-Switch Â Computer-zu-Switch-Paar

In den folgenden Abschnitten werden diese Beispielkonfigurationen beschrieben.

Kapitel 7 Verwaltung 193 Computer-zu-Computer In diesem Beispiel werden die zwei Server direkt verbunden (wie in der folgenden Abbildung gezeigt). Hierfür werden die physischen Verbindungen der Verbindungs- bündelung verwendet.

4 x 100 MBit/Sek.

Dadurch können die beiden Server schneller Daten austauschen, ohne dass ein Switch benötigt wird. Diese Konfiguration ist ideal für die Gewährleistung einer Backend- Redundanz.

Computer-zu-Switch In dem Beispiel in der folgenden Abbildung verbinden Sie Ihren Server mit einem Switch, der für eine 802.3ad-Verbindungsbündelung konfiguriert ist.

server1.beispiel.com

4 x 1 GBit/Sek.

10 GBit/Sek.

Clients

Die Bandbreite des Switches für eingehenden Datenverkehr sollte mindestens gleich groß sein wie die der Bandbreite der Verbindungsbündelung (logische Verbindung), die Sie auf Ihrem Server definieren. Beispiel: Wenn Sie eine Aggregation aus vier 1-GBit/Sek.-Verbindungen erstellen, sollten Sie einen Switch verwenden, der eingehenden Datenverkehr (von Clients) mit mindestens 4 GBit/Sek. verarbeiten kann. Andernfalls wird der Vorteil durch die größere Bandbreite der Verbindungsbündelung nicht vollständig ausgenutzt. Hinweis: Weitere Informationen zum Konfigurieren Ihres Switches für die 802.3ad- Verbindungsbündelung finden Sie in der Dokumentation des Switch-Herstellers.

194 Kapitel 7 Verwaltung Computer-zu-Switch-Paar Mit der Beispielkonfiguration in folgender Abbildung verbessern Sie die Leistung des Computer-zu-Switch-Paars, indem Sie zwei Switches verwenden. Dadurch stellt der Switch keinen SPoF mehr dar.

server1.beispiel.com

3 x 1 GBit/Sek. 2 x 1 GBit/Sek.

Beispiel: Sie können zwei Verbindungen der Verbindungsbündelung an den Haupt- Switch und die übrigen Verbindungen an den Ersatz-Switch anschließen. Solange der Haupt-Switch aktiv ist, bleibt der Ersatz-Switch inaktiv. Wenn der Haupt-Switch ausfällt, übernimmt der Ersatz-Switch dessen Funktion, ohne dass der Benutzer dies bemerkt.

Einerseits bietet dieses Szenario die Redundanz, die verhindert, dass der Server beim einem Ausfall des Switches nicht mehr verfügbar ist. Andererseits wird jedoch die Bandbreite verringert.

Kapitel 7 Verwaltung 195 Konfigurieren der Verbindungsbündelung in Mac OS X Server Damit Sie Mac OS X Server für die Verbindungsbündelung konfigurieren können, benötigen Sie einen Mac mit mehreren IEEE 802.3ad-konformen Ethernetanschlüssen. Außerdem benötigen Sie mindestens einen IEEE 802.3ad-konformen Switch oder einen weiteren Mac OS X Server-Computer mit derselben Anzahl Anschlüsse.

Sie erstellen eine Verbindungsbündelung auf Ihrem Computer in der Systemein- stellung „Netzwerk“ (wie in folgendem Beispiel gezeigt):

Gehen Sie wie folgt vor, um eine Verbindungsbündelung zu erstellen: 1 Melden Sie sich beim Server als Administrator an. 2 Öffnen Sie die Systemeinstellungen. 3 Klicken Sie auf „Netzwerk“. 4 Klicken Sie auf das Aktionsmenü und wählen Sie „Virtuelle Anschlüsse verwalten“ aus dem Einblendmenü aus. 5 Klicken Sie auf die Taste „Hinzufügen“ (+) und wählen Sie „Neue Verbindungs-Bün- delung'“ aus dem Einblendmenü aus. Hinweis: Diese Option wird nur angezeigt, wenn Ihr System über mindestens zwei Ethernetschnittstellen verfügt. 6 Geben Sie den Namen der Verbindungsbündelung in das Feld „Name“ ein. 7 Wählen Sie in der Liste die Anschlüsse aus, die gebündelt werden sollen. 8 Klicken Sie auf „Erstellen“. 9 Klicken Sie auf „Fertig“.

196 Kapitel 7 Verwaltung Standardmäßig benennt das System die Verbindungsbündelung „bond“. Dabei ist „“ eine Zahl, die die Priorität angibt. Beispiel: Die erste Verbindungsbündelung erhält den Namen „bond0“, die zweite „bond1“ und die dritte „bond2“.

Der Schnittstellenname „bond“, der vom System zugewiesen wird, unterscheidet sich von dem Namen, den Sie der Anschlusskonfiguration der Verbindungsbünde- lung geben. Der Schnittstellenname wird für die Befehlszeile verwendet, während der Name der Anschlusskonfiguration in der Systemeinstellung „Netzwerk“ verwendet wird.

Beispiel: Wenn Sie den Befehl ifconfig -a eingeben, wird die Verbindungsbündelung in der Ausgabe mit dem Schnittstellennamen und nicht mit dem Namen der Anschlus- skonfiguration angegeben: … bond0: flags=8843 mtu 1500 inet6 fe80::2e0:edff:fe08:3ea6 prefixlen 64 scopeid 0xc inet 10.0.0.12 netmask 0xffffff00 broadcast 10.0.0.255 ether 00:e0:ed:08:3e:a6 media: autoselect (100baseTX ) status: active supported media: autoselect bond interfaces: en1 en2 en3 en4

Sie löschen oder entfernen keine Verbindungsbündelung aus der Systemeinstellung „Netzwerk“. Sie entfernen die Bündelung im Fenster „Virtuelle Anschlüsse verwalten“, das zum Erstellen der Verbindungsbündelung verwendet wurde.

Überwachen des Status der Verbindungsbündelung In Mac OS X und Mac OS X Server können Sie mithilfe des Bereichs „Status“ in der Systemeinstellung „Netzwerk“ den Status einer Verbindungsbündelung überwachen.

Gehen Sie wie folgt vor, um den Status einer Verbindungsbündelung zu überwachen: 1 Öffnen Sie die Systemeinstellungen. 2 Klicken Sie auf „Netzwerk“. 3 Wählen Sie aus der Liste der Netzwerkschnittstellen auf der linken Seite den virtuellen Anschluss der Verbindungsbündelung aus. 4 Klicken Sie unten rechts im Fenster auf „Weitere Optionen“. 5 Klicken Sie auf „Status der Bündelung“. Im Bereich „Status“ wird eine Liste angezeigt, die für jede physische Verbindung der Verbindungsbündelung eine Zeile enthält. Für jede Verbindung können Sie den Namen der Netzwerkschnittstelle, ihre Geschwindigkeit, ihre Duplex-Einstellung, die Statusan- zeigen für eingehenden und ausgehenden Datenverkehr und Gesamtstatus anzeigen.

Kapitel 7 Verwaltung 197 Hinweis: Die Statusanzeigen für „Senden“ und „Empfangen“ sind farbcodiert. Grün bedeutet, dass die Verbindung aktiv (eingeschaltet) ist und dass eine Verbindung besteht. Gelb bedeutet, dass die Verbindung aktiv ist, dass aber keine Verbindung besteht. Rot bedeutet, dass über die Verbindung kein Datenverkehr gesendet oder empfangen werden kann. 6 Weitere Informationen zu einer Verbindung werden angezeigt, wenn Sie auf den entsprechenden Eintrag in der Liste klicken.

Lastenverteilung Ein Faktor, der dazu führen kann, dass Ihr Server nicht mehr verfügbar ist, ist eine Über- lastung des Servers. Ein Server verfügt nur über begrenzte Ressourcen und kann nur eine begrenzte Anzahl Anforderungen gleichzeitig verarbeiten. Wird der Server über- lastet, wird er langsamer und kann vollständig ausfallen.

Eine Möglichkeit zur Vermeidung dieses Problems besteht darin, die Last auf eine Gruppe von Servern (eine Serverfarm) zu verteilen. Dazu können Sie ein Gerät eines Drittanbieters zur Lastenverteilung verwenden. Clients senden Anforderungen an das Gerät und das Gerät leitet die Anforderung auf der Basis eines vordefinierten Algorithmus an den ersten verfügbaren Server weiter. Die Clients sehen nur eine einzige virtuelle Adresse, nämlich die des Geräts für die Lastenverteilung.

Viele lastenausgleichende Geräte dienen auch als Switches (wie in der folgenden Abbildung dargestellt) und stellen so zwei Funktionen bereit. Dadurch verringert sich für Sie die benötigte Hardware.

Switch für Lasten- verteilung des Servers

Server-Farm

Clients

Hinweis: Ein Gerät für die Lastenverteilung muss den gebündelten (kombinierten) Datenverkehr der Server verarbeiten können, die mit ihm verbunden sind. Andernfalls wird das Gerät zu einem Engpass, der die Verfügbarkeit Ihrer Server einschränkt.

198 Kapitel 7 Verwaltung Die Lastenverteilung bietet mehrere Vorteile: Â Hochverfügbarkeit. Die Verteilung der Last auf mehrere Server verringert die Wahrscheinlichkeit, dass ein Server wegen einer Serverüberlastung ausfällt. Â Fehlertoleranz. Wenn ein Server ausfällt, wird der Datenverkehr im Hintergrund zu anderen Servern umgeleitet. Die Verfügbarkeit kann kurz unterbrochen sein, wenn z. B. ein Server ausfällt, während ein Benutzer eine Datei von einem freigegebenen Volume lädt. Der Benutzer kann die Verbindung aber wieder herstellen und den Ladeprozess neu starten. Â Skalierbarkeit. Wenn die Anforderungen an Ihren Server steigen, können Sie Ihrer Serverfarm weitere Server hinzufügen. Â Bessere Leistung. Dadurch, dass Anforderungen an die am wenigsten ausge- lasteten Server gesendet werden, können Sie schneller auf die Anforderungen der Benutzer reagieren.

Überblick über Daemons Wenn sich ein Benutzer bei einem Mac OS X-System anmeldet, wird eine bestimmte Anzahl an Prozessen bereits ausgeführt. Viele dieser Prozesse werden auch als „Daemons“ bezeichnet. Ein Daemon ist ein im Hintergrund ausgeführter Prozess, der Benutzern des Systems einen Dienst bereitstellt. Der Daemon „cupsd“ koordiniert beispielsweise Druckanforderungen und der Daemon „httpd“ reagiert auf Anforderun- gen zum Öffnen von Webseiten.

Anzeigen ausgeführter Daemons Wenn Sie die auf Ihrem System ausgeführten Daemons anzeigen möchten, verwenden Sie dazu das Programm „Aktivitätsanzeige“ (im Ordner „/Programme/Dienstprogramme“). Mit diesem Programm können Sie Informationen zu allen Prozessen anzeigen, einschließ- lich deren Ressourcen-Nutzung.

Die folgenden Daemons werden unabhängig von den aktivierten Diensten angezeigt: Â launchd (Prozess für geplante Aufgaben und Watchdog) Â servermgrd (Prozess für das Verwaltungsprogramm) Â serialnumberd (Prozess für Lizenzeinhaltung) Â mDNSresponder (Prozess für Diensterkennung für lokales Netzwerk)

Kapitel 7 Verwaltung 199 Daemon-Steuerung Einige UNIX-ähnliche Systeme verwenden zwar andere Werkzeuge, Mac OS X Server nutzt jedoch den Daemon „launchd“ zur Steuerung der Prozessinitialisierung und geplanter Aufträge.

Daemon „launchd“ Der Daemon „launchd“ stellt eine Alternative zu den folgenden, gängigen UNIX-Pro- grammen dar: init, rc, die init.d- und rc.d-Scripts, SystemStarter, inetd und xinetd, atd, crond und watchdogd. Diese Dienste gelten alle als abgelehnt und Administratoren wird dringend empfohlen, die Prozessverwaltungsaufgaben mit launchd auszuführen.

Das launchd-System umfasst zwei Programme: den Daemon „launchd“ und das Befehlszeilenprogramm „launchctl“.

Der launchd-Daemon ersetzt außerdem „init“ als den ersten in Mac OS X erzeugten Prozess und ist daher für den Start des Systems beim Gerätestart verantwortlich. Der launchd-Daemon verwaltet die Daemons auf System- und Benutzerebene. Er bietet folgende Funktionen: Â Starten von Daemons bei Bedarf Â Überwachen von Daemons, um sicherzustellen, dass sie weiter ausgeführt werden

Konfigurationsdateien werden von launchd zum Definieren der Parameter von Dien- sten und Daemons verwendet. Bei den Konfigurationsdateien handelt es sich um Dateien mit Eigenschaftenlisten, die in den Unterverzeichnissen „LaunchAgents“ und „LaunchDaemons“ der Ordner „Library“ abgelegt sind.

Weitere Informationen zum Erstellen der launchd-Konfigurationsdateien finden Sie auf der folgenden Seite mit Dokumentation für Entwickler:

developer.apple.com/documentation/MacOSX/Conceptual/BPSystemStartup/Articles/ LaunchOnDemandDaemons.html

Bei dem Programm „launchctl“ handelt es sich um das Befehlszeilenprogramm, das für folgende Schritte verwendet wird: Â Laden und Deaktivieren von Daemons Â Starten und Stoppen von mit launchd gesteuerten Aufträgen Â Abrufen von Statistiken zur Systemnutzung für launchd und dessen untergeordnete Prozesse Â Festlegen von Umgebungseinstellungen

200 Kapitel 7 Verwaltung 8 Überwachen 8

Eine effiziente Überwachung ermöglicht es Ihnen, potenzielle Probleme vor ihrem Auftreten zu erkennen. Außerdem werden Sie frühzeitig gewarnt, falls Probleme auftreten.

Wenn Sie potenzielle Probleme erkennen, können Sie Gegenmaßnahmen ergreifen, bevor die Verfügbarkeit Ihrer Server beeinträchtigt wird. Wenn Sie beim Auftreten eines Problems rechtzeitig gewarnt werden, können Sie schnell reagieren und eine Unter- brechung der bereitgestellten Dienste minimieren.

In diesem Kapitel wird die Planung einer Überwachungsrichtlinie, die Verwendung von Überwachungswerkzeugen und Hinweise auf weiterführende Informationen beschrieben.

Planen einer Überwachungsrichtlinie Das Sammeln und Zusammenstellen von Daten über Ihr System ist ein grundlegender Bestandteil einer guten Verwaltung. Verschiedene Arten gesammelter Daten werden für verschiedene Zwecke eingesetzt. Â Sammlung von Verlaufsdaten: Verlaufsdaten werden zu Analysezwecken gesam- melt. Sie können zur IT-Planung, Budgetierung und Festlegung einer Basis für nor- male Serverbedingungen und normalen Betrieb genutzt werden. Welche Art Daten benötigen Sie für diese Zwecke? Wie lange müssen sie aufbewahrt werden? Wie oft müssen sie aktualisiert werden? Wie lange zurück muss die Sammlung reichen? Â Echtzeit-Überwachung: Die Echtzeitüberwachung ist bei Warnmeldungen und zur Erkennung von Problemen bei deren Eintritt von Nutzen. Was überwachen Sie? Wie oft? Können Sie den Daten das entnehmen, was Sie wissen müssen? Dienen einige dieser Echtzeitsammlungen auch zur Erfassung von Verlaufsdaten?

201 Planen der Überwachungsreaktion Die Reaktion auf die Überwachung ist ebenso wichtig wie die Datensammlung. Ebenso, wie eine Datensicherungsrichtlinie ohne Wiederherstellungsstrategie sinnlos ist, hat eine Überwachungsrichtlinie ohne Reaktionsrichtlinie wenig Sinn.

Bei einer Überwachungsreaktion spielen verschiedene Faktoren eine Rolle: Â Was sind die passenden Reaktionsmethoden? Oder anders ausgedrückt, wie soll die Reaktion erfolgen? Â Nach welcher Zeit soll die Reaktion erfolgen? Wie viel Zeit darf zwischen Ausfall und Reaktion liegen? Â Wie lauten die Überlegungen zur Skalierbarkeit? Funktioniert der Reaktionsplan mit der Häufigkeit der erwarteten (und auch unerwarteten) Ausfälle? Â Sind die Testsysteme für die Überwachung verfügbar? Wie können Sie prüfen, ob die Überwachungsrichtlinie die erforderlichen Daten erfasst und ob die Reaktionen rechtzeitig und wie erwartet erfolgen? Haben Sie das Überwachungssystem kürzlich getestet?

Widget „Serverstatus“ Das Dashboard-Widget „Serverstatus“ ermöglicht einen schnellen Zugriff und die Anzeige von Informationen zu einem einzelnen System. Mit dem Widget „Serverstatus“ können Sie die Aktivität von Mac OS X Server 10.5 von jedem Computer mit Leopard oder Leopard Server überwachen. Das Widget zeigt Diagramme der Prozessoraktivität, Netzwerkauslastung und Festplattennutzung an, die stündlich, täglich oder wöchent- lich abgefragt werden.

Sie können auch bis zu sechs gerade ausgeführte Dienste und deren Statusberichte anzeigen. Durch Klicken auf den Dienst können Sie das Programm „Server-Admin“ mit dem Übersichtsbereich des jeweiligen Diensts öffnen.

Gehen Sie wie folgt vor, um das Widget „Serverstatus“ zu konfigurieren: 1 Fügen Sie das Widget wie jedes andere Widget zum Dashboard hinzu. 2 Geben Sie die IP-Adresse oder den Domain-Namen des Servers ein. 3 Geben Sie einen Anmeldenamen und ein Kennwort für die Verwaltung oder Überwachung an. 4 Klicken Sie auf „Fertig“.

Wenn Sie Serveradresse, Anmeldename oder Kennwort ändern möchten, klicken Sie auf die Informationstaste (i) oben im Widget und ändern Sie die Einstellungen.

202 Kapitel 8 Überwachen Servermonitor Das Programm „Servermonitor“ kann Warnungen per E-Mail, Mobiltelefon oder Pager auslösen, sobald es kritische Probleme erkennt. Integrierte Sensoren erkennen und melden wichtige Betriebsfaktoren, wie z. B. Stromversorgung, Temperatur und den Zustand wichtiger Komponenten.

Die Oberfläche des Programms „Servermonitor“ ermöglicht eine rasche Erkennung von Problemen. Im Hauptfenster listet das Programm „Servermonitor“ jeden Server und die folgenden Informationen in jeweils einer Zeile auf: Temperatur und Status der einzelnen Komponenten, einschließlich Lüfter, Volumes, Speichermodule, Netzteile und Ethernetverbindungen.

Eine grüne Statusanzeige gibt an, dass die Komponente in Ordnung ist. Eine gelbe Statusanzeige weist auf eine Warnung hin. Eine rote Statusanzeige bedeutet, dass ein Fehler aufgetreten ist.

Das Programm „Servermonitor“ funktioniert nur mit Xserve-Computern. Weitere Infor- mationen zum Programm „Servermonitor“ erhalten Sie, indem Sie im Menü „Hilfe“ des Programms „Servermonitor“ den Befehl „Servermonitor-Hilfe“ auswählen.

RAID-Admin Wie das Programm „Servermonitor“ können Sie auch das Programm „RAID-Admin“ so konfigurieren, dass es Sie per E-Mail oder Pager benachrichtigt, wenn ein Problem mit einer Komponente auftritt. Das Programm „RAID-Admin“ zeigt den Status jeder Einheit und deren Komponenten an. Dazu gehören Volumes, Fibre Channel- und Netzwerkver- bindungen.

Das Programm „RAID-Admin“ verwendet grüne, gelbe und rote Statusanzeigen. Sie können es auch so konfigurieren, dass es Sie per E-Mail oder Pager benachrichtigt, wenn ein Problem mit einer Komponente auftritt.

Außerdem bietet Ihnen das Programm „RAID-Admin“ einen Überblick über den Status der Xserve-RAID-Einheiten, die im Hauptfenster angezeigt werden.

Weitere Informationen zum Programm „RAID-Admin“ erhalten Sie, indem Sie im Menü „Hilfe“ des Programms „RAID-Admin“ den Befehl „RAID-Admin-Hilfe“ auswählen.

Kapitel 8 Überwachen 203 Konsole Mit dem Programm „Konsole“ können Sie relevante Protokolldateien auf potenzielle Probleme hin überwachen, die einen Ausfall Ihres Servers verursachen könnten.

Beispiel: Sie können die Datei „/var/log/httpd/access_log“ Ihres Webservers auf Anzei- chen von Denial-of-Service-Attacken (DoS-Attacken) hin überwachen. Werden solche Anzeichen erkannt, können Sie sofort eine festgelegte Reaktion auslösen, um einen Ausfall Ihres Servers zu verhindern.

Sie können die Effizienz Ihrer Protokollüberwachung verbessern, indem Sie den Überwachungsprozess automatisieren. Dazu können Sie AppleScript oder die Befehle grep und cron des Programms „Terminal“ verwenden. Weitere Informationen zur Verwendung der Befehle grep und cron finden Sie im Handbuch Command-Line Administration.

Volume-Überwachungsprogramme Zu wenig Festplattenspeicher kann dazu führen, dass Ihr Server unzuverlässig wird und möglicherweise ausfällt. Damit Sie dies verhindern können, müssen Sie die Auslastung des Festplattenspeichers auf Ihren Servern permanent überwachen. Außerdem müs- sen Sie Dateien löschen oder sichern, um Speicherplatz freizugeben.

Mac OS X Server bietet mehrere Programme für die Befehlszeile, mit denen Sie den Festplattenspeicher auf Ihrem Computer überwachen können: Â df. Mit diesem Befehl können Sie für jedes aktivierte Volume abrufen, wie viel Speicherplatz belegt und wie viel Speicherplatz verfügbar ist. Der folgende Befehl listet z. B. lokale Volumes auf und zeigt die Festplatten- nutzung an: df -Hl Filesystem Size Used Avail Capacity Mounted on /dev/disk0s9 40G 38G 2.1G 95% / In diesem Beispiel ist die Festplatte fast voll und es sind nur noch 2,1 GB frei. Das bedeutet, dass Sie sofort Platz auf Ihrer Festplatte schaffen müssen, bevor sie voll ist und Probleme für Ihre Benutzer verursacht.

Â du. Mit diesem Befehl können Sie abrufen, wie viel Speicherplatz von bestimmten Ordnern oder Dateien belegt wird.

204 Kapitel 8 Überwachen Beispiel: Mit dem folgenden Befehl können Sie abrufen, wie viel Speicherplatz von den privaten Ordnern der einzelnen Benutzer belegt wird: sudo du -sh /Users/* 3.2M /Users/Shared 9.3M /Users/omar 8.8M /Users/jay 1.6M /Users/lili … Wenn Sie wissen, wer den meisten Speicherplatz auf der Festplatte belegt, können Sie die betreffenden Benutzer auffordern, nicht mehr benötigte Dateien zu löschen. Hinweis: Mit dem Arbeitsgruppenmanager können Sie Zuteilungen von Festplatten- kontingenten für Benutzer festlegen und Berichte über die Belegung der Festplatte generieren. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung.

Â diskspacemonitor. Mit diesem Befehl können Sie die Überwachung der Festplatten- belegung automatisieren. Wenn die Menge des freien Festplattenspeichers unter den angegebenen Wert sinkt, führt der Befehl diskspacemonitor Shell-Skripts aus, die Ihnen eine Benachrichtigung senden. Mit diesem Befehl werden zwei Aktions- stufen definiert: Â Alert – Sendet Ihnen eine Warnmeldung, wenn die Belegung des Festplatten- speichers 75% erreicht. Â Recover – Archiviert selten verwendete Dateien und löscht nicht mehr benötigte Dateien, wenn die Belegung des Festplattenspeichers 85% erreicht.

Weitere Informationen zu diesen Befehlen finden Sie auf der zugehörigen man-Seite oder im Handbuch Command-Line Administration.

Netzwerküberwachungsprogramme Ein Nachlassen der Netzwerkleistung oder andere Netzwerkprobleme können die Ver- fügbarkeit Ihres Servers beeinträchtigen. Die folgenden Netzwerküberwachungspro- gramme können Sie frühzeitig vor möglichen Problemen warnen. Dann können Sie Maßnahmen ergreifen, um Ausfallzeiten zu verhindern oder zu minimieren. Â Zum Überwachen der Netzwerkaktivität können Sie das Programm tcpdump in Mac OS X Server verwenden. Dieses Programm zeigt die Header von eingehenden und abgehenden Paketen an einer Netzwerkschnittstelle an, die den angegebenen Parametern entsprechen. Die Verwendung des Befehls tcpdump zum Überwachen des Netzwerkverkehrs ist besonders nützlich, wenn Sie Denial-of-Service-Attacken erkennen wollen. Mit dem folgenden Befehl wird der gesamte Datenverkehr am Port 80 Ihres Computers überwacht: sudo tcpdump -i en0 dst port 80

Kapitel 8 Überwachen 205 Wenn Sie eine ungewöhnliche Anzahl Anforderungen von derselben Quelle feststellen, können Sie mithilfe des Firewall-Diensts den Datenverkehr von dieser Quelle abblocken.

Weitere Informationen zum Befehl tcpdump finden Sie auf der zugehörigen man-Seite oder im Handbuch Command-Line Administration. Â Ziehen Sie die Verwendung von Ruby, Perl, Shell-Skripts oder AppleScripts zur Automatisierung des Überwachungsprozesses in Betracht. Die Überwachung des Datenverkehrs mit dem Befehl tcpdump kann z. B. zeitaufwändig sein, sodass eine Automatisierung erforderlich wird. Â Sie können auch Ethereal verwenden, ein X11-Open Source-Programm zum Mit- schneiden des gesamten Datenverkehrs (Sniffer-Programm). Dieses Programm können Sie in der X11-Umgebung von Mac OS X Server ausführen. Es verfügt im Gegensatz zum Befehl tcpdump über eine grafische Benutzeroberfläche und eine Reihe von leistungsstarken Programmen für die Netzwerkanalyse. Weitere Informationen zu Ethereal finden Sie unter www.ethereal.com. Â Sie können weitere Programme von Drittanbietern verwenden, die den Datenver- kehr im Netzwerk automatisch analysieren und Sie auf Probleme hinweisen.

Benachrichtigung im Programm „Server-Admin“ Das Programm „Server-Admin“ bietet eine benutzerfreundliche Funktion für die Benachrichtigung, die Sie über den Status der Festplatte oder der Software Ihres Ser- vers informieren kann. Das Programm „Server-Admin“ sendet unter folgenden Bedin- gungen eine E-Mail an eine beliebige angegeben E-Mail-Adresse (lokal oder nicht): Â Auf einer Festplatte des Systems ist weniger als ein bestimmter Prozentsatz des ver- fügbaren Speicherplatzes frei. Â Es sind Softwareaktualisierungen von Apple verfügbar.

Damit der Server die E-Mail-Funktion nutzen kann, wird der SMTP-Prozess (ausgehende E-Mail) auf dem Server gestartet. Vergewissern Sie sich, dass die Firewall SMTP-Daten- verkehr vom Server zulässt.

Gehen Sie wie folgt vor, um eine Benachrichtigung festzulegen: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Benachrichtigungen“. 3 Klicken Sie auf die Taste „Hinzufügen“ (+) unter dem Feld „zu benachrichtigende Adresse“ und fügen Sie eine Adresse hinzu. 4 Wiederholen Sie diese Schritte wie erforderlich und klicken Sie anschließend auf „Sichern“.

206 Kapitel 8 Überwachen Überwachen der Serverstatus-Übersichten mit dem Programm „Server-Admin“ Das Programm „Server-Admin“ bietet verschiedene Möglichkeiten, eine Statusübersicht anzuzeigen, von ausführlichen Informationen zu einem einzelnen Server bis hin zu einer vereinfachten Übersicht für mehrere Server gleichzeitig.

Gehen Sie wie folgt vor, um eine Statusübersicht für einen Server anzuzeigen: m Wählen Sie einen Server in der Serverliste aus. Die folgende Abbildung zeigt ein Beispiel des Bereichs „Übersicht“ für einen einzelnen Server.

Diese Übersicht umfasst die grundlegende Hardware, die Betriebssystem-Version, aktive Dienste sowie Diagramme zu Prozessorauslastung, Netzwerkdurchsatz und Festplattenspeicher.

Kapitel 8 Überwachen 207 Gehen Sie wie folgt vor, um eine Statusübersicht für mehrere Server gleichzeitig anzuzeigen: m Wählen Sie eine Servergruppe, eine intelligente Gruppe, alle Server oder die verfüg- baren Server aus. Die folgende Abbildung zeigt den Bereich „Übersicht“ für eine Servergruppe.

Die Übersicht umfasst Folgendes: Â Hostname Â OS-Version Â Diagramm zur aktuellen Prozessorauslastung (durch Bewegen der Maus über das Diagramm werden weitere Daten eingeblendet) Â Aktueller Netwerkdurchsatz Â Verwendeter Festplattenspeicher (durch Bewegen mit der Maus über das Diagramm werden weitere Daten eingeblendet) Â Betriebszeit Â Anzahl der Benutzer, die auf Dateidienste zugreifen

Sie können die Liste nach Spalte sortieren.

208 Kapitel 8 Überwachen SNMP (Simple Network Management Protocol) SNMP (Simple Network Management Protocol) ist ein gängiges Protokoll für die Überwachung des Status von Netzwerkkomponenten (z. B. Router und intelligente Switches), Computern und anderen netzwerkfähigen Geräten wie unterbrechungsfreie Stromversorgungen (USV). Mac OS X Server verwendet Net-SNMP, um SNMP v1, SNMP v2c und SNMP v3 mithilfe von IPv4 und IPv6 zu implementieren.

Bei SNMPv2 handelt es sich um das standardmäßige Zugriffsprotokoll. Der standard- mäßige Nur-Lese-Community-String ist „public“.

Aktivieren der SNMP-Berichte Der SNMP-Zugriff ist in Mac OS X Server standardmäßig nicht aktiviert. Damit Sie SNMP-Werkzeuge zur Abfrage von Daten von Ihrem Mac OS X Server-Computer verwenden können, müssen Sie den Dienst konfigurieren und dann aktivieren.

Gehen Sie wie folgt vor, um SNMP zu aktivieren: 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Allgemein“. 3 Wählen Sie „Netzwerkverwaltungsserver (SNMP)“. 4 Klicken Sie auf „Sichern“. Ist SNMP aktiviert, können alle Benutzer mit Zugriff auf den SNMP-Host SNMP-Daten davon abrufen. 5 Konfigurieren Sie die grundlegenden SNMP-Parameter über die Befehlszeile. Der SNMP-Prozess beginnt erst, wenn /etc/snmpd.conf für den aktuelle Standort konfiguriert wurde. Informationen zu Konfiguration finden Sie im Abschnitt „Konfigurieren von snmpd“ auf Seite 210.

Hinweis: Bei der Standardkonfiguration von SNMPD wird der Privileged-Port 161 verwendet. Daher muss die Konfiguration vom root-Benutzer oder mit dem Programm „setuid“ ausgeführt werden. Sie sollten „setuid“ nur als root-Benutzer verwenden, wenn Ihnen die Auswirkungen bekannt sind. Wenn nicht, bitten Sie um Unterstützung oder zusätzliche Informationen. Flags (Kennzeichnungen) für SNMPD ändern die UID und GID des Prozesses nach dessen Start. Weitere Informationen hierzu finden Sie auf der man-Seite zu snmpd.

Kapitel 8 Überwachen 209 Konfigurieren von snmpd Die Konfigurationsdatei (.conf) für snmpd befindet sich im Normalfall im Verzeichnis „/etc/snmpd.conf“. Wenn Sie eine SNMPCONF-Variable haben, liest snmpd alle Dateien mit den Namen „snmpd.conf“ und „snmpd.local.conf“ in diesen Verzeichnissen. Der snmpd-Prozess kann mit einem -c-Flag gestartet werden, um auf andere conf-Dateien hinzuweisen. Weitere Informationen dazu, welche conf-Dateien verwendet werden können, finden Sie auf der man-Seite zu snmpd.

Konfigurationsdateien lassen sich mithilfe des Skripts „/usr/bin/snmpconf“ einfacher erstellen und installieren. Als root-Benutzer verwenden Sie dieses Skript mit dem -i-Flag, um die Datei im Verzeichnis „/usr/share/snmp“ zu installieren. Andernfalls gilt der Benutzerordner (~/) als Standardspeicherort für die Datei. Nur der root-Benutzer besitzt Schreibzugriff für „/usr/share/snmp“.

Da der snmpd-Prozess die Konfigurationsdateien beim Start liest, muss der Prozess gestoppt und neu gestartet werden, wenn Änderungen an Konfigurationsdateien vorgenommen werden. Sie können snmpd mit ProcessViewer oder über die Befehlszeile (kill -HUP ) stoppen.

Gehen Sie wie folgt vor, um SNMP zu aktivieren und zu konfigurieren: m Verwenden Sie den Befehl „/usr/bin/snmpconf“. Damit wird ein textbasierter Assistent für die Konfiguration des Community-Namens gestartet und die Informationen werden in der Konfigurationsdatei gesichert. Die snmp-Konfigurationsdatei befindet sich im Verzeichnis „/usr/share/snmp/snmpd.conf“.

Beispiel einer SNMP-Konfiguration

Schritt 1: Anpassen von Daten 1 Wenn Sie die von snmpd bereitgestellten Daten anpassen wollen, fügen Sie eine snmpd.conf-Datei hinzu. Verwenden Sie den Befehl „/usr/bin/snmpconf“ als root- Benutzer oder „sudo“ und den folgenden Befehl /usr/bin/snmpconf -i Sind Konfigurationsdateien vorhanden, können Sie diese in den Assistenten einlesen und deren Inhalte in die Ausgabe des Assistenten integrieren. 2 Wählen Sie aus, in der Datei zu lesen, indem Sie die Datei unter „/etc/snmp/ snmpd.conf“ angeben. Daraufhin wird eine Reihe von Textmenüs angezeigt. 3 Wählen Sie folgende Objekte der Reihe nach aus: a Datei auswählen: 1 (snmpd.conf) b Abschnitt auswählen: 5 (System Information Setup) c Abschnitt auswählen: 1 (Der [meist physische] Standort des Systems.)

210 Kapitel 8 Überwachen d Der Standort des Systems: geben Sie hier eine Zeichenfolge ein, z. B. „server_raum“ e Abschnitt auswählen: f (Ende) f Abschnitt auswählen: f (Ende) g Datei auswählen: q (beenden) Sie haben eine snmpd.conf-Datei mit dem heutigen Erstellungsdatum angelegt.

Überprüfen Sie die Erstellung, indem Sie ls -l /usr/share/snmpd.conf eingeben.

Schritt 2: Neustarten von snmpd zum Ausführen von Änderungen 1 Öffnen Sie das Programm „Server-Admin“. 2 Wählen Sie einen Server aus, klicken Sie in der Symbolleiste auf „Einstellungen“ und klicken Sie dann auf „Allgemein“. 3 Deaktivieren Sie „Netzwerkverwaltungsserver (SNMP)“. 4 Klicken Sie auf „Sichern“. Dies ist auch über die Befehlszeile möglich. Beenden Sie dazu als root-Benutzer den smnpd-Prozess und starten Sie ihn neu: /usr/sbin/snmpd

Schritt 3: Sammeln von SNMP-Informationen vom Host m Wenn Sie die SNMP-Informationen abrufen möchten, die Sie gerade hinzugefügt haben, führen Sie diesen Befehl von einem Host aus, auf dem SNMP-Programme installiert sind: /usr/bin/snmpget -c public system.sysLocation.0 Ersetzen Sie „“ durch den Namen des Zielhosts. Der von Ihnen angegebene Standort sollte angezeigt werden. In diesem Beispiel sollte die Ausgabe wie folgt lauten: SNMPv2_MIB::system.sysLocation.0 = STRING:\"server_raum\" Die anderen Optionen im verwendeten Menü sind Folgende: /usr/bin/snmpget -c public system.sysContact.0 /usr/bin/snmpget -c public system.sysServices.0 “.0“ am Ende weist darauf hin, dass Sie nach dem Indexobjekt suchen. Das Wort „public“ bezeichnet die snmp-Community, die nicht geändert wurde. Wenn Sie Informationen hierzu oder Erklärungen der snmp-Syntax benötigen, finden Sie unter folgender Adresse entsprechende Einführungen: net-snmp.sourceforge.net.

Werkzeuge für die Verwendung mit SNMP Neben „snmpget“ sind weitere snmp-basierte Programme installiert. Außerdem sind Drittanbieterpakete (kostenlos oder kostenpflichtig) mit unterschiedlicher Komplexität und Berichtsfunktion verfügbar.

Kapitel 8 Überwachen 211 Weitere Informationen Weitere Informationen zu SNMP sind bei folgenden Quellen verfügbar:

man-Seiten Durch die Eingabe von man -k snmp im Programm „Terminal“ erhalten Sie eine Liste der bekannten man-Seiten.

Websites Das Net SNMP-Projekt: Â www.net-snmp.org Â net-snmp.sourceforge.net

Bücher Essential SNMP von Douglas Mauro, Kevin Schmidt Herausgeber: O’Reilly (Zweite Auflage Sept. 2005) ISBN: 0-596-00840-6, 460 Seiten

Daemons für Benachrichtigungen und Ereignisüberwachung Zur Überwachung und Protokollierung von Systemereignissen führt das Betriebssystem verschiedene Daemons aus, die Programmmeldungen abfangen und protokollieren oder darauf reagieren.

Es gibt zwei Haupt-Daemons für Benachrichtigungen: syslogd und emond. Â syslogd: Der Daemon „syslogd“ ist eine standardmäßige UNIX-Methode zur Über- wachung von Systemen. Meldungen werden entsprechend den Einstellungen im Verzeichnis „/etc/syslog.conf“ protokolliert. Sie können die in dieser Konfiguration genannten Ausgabedateien prüfen, indem Sie ein Programm zum Drucken oder Bearbeiten von Dateien verwenden, da es sich um reine Textdateien handelt. Admi- nistratoren können diese Einstellungen bearbeiten, um genauer festzulegen, welche Daten überwacht werden. Viele Administratoren lassen die Protokolldateien von Skripts analysieren und Schritte ausführen, wenn bestimmte Informationen im Protokoll vorhanden sind. Diese selbst definierten Benachrichtigungen variieren in Qualität und Nutzen und sind auf die spezifischen Anforderungen des jeweiligen Skriptverfassers abgestimmt. Der Daemon „syslogd“ kann so konfiguriert werden, dass er Informationen aus Protokolldateien an oder von einem entfernten Server sendet und empfängt (durch Bearbeiten der Datei „/System/Library/LaunchDaemons/com.apple.syslogd.plist“). Dies wird nicht empfohlen, da syslogd Protokollmeldungen nicht sicher über das Netzwerk sendet.

212 Kapitel 8 Überwachen Â emond: Der Daemon „emond“ ist das Ereignisüberwachungssystem für Mac OS X Server 10.5. Hierbei handelt es sich um einen vereinheitlichten Prozess, der Ereig- nisse anderer Prozesse verarbeitet, wie im Regelpaket festgelegt, auf die Ereignisse reagiert und dann den Administrator benachrichtigt. emond wird derzeit als Engine für das E-Mail-Benachrichtigungssystem von Server- Admin verwendet. Für die Benachrichtigungen des Programms „Servermonitor“ wird der Daemon nicht verwendet. Der anspruchsvolle Dienst empfängt Ereignisse vom registrierten Client, analysiert, ob das Ereignis basierend auf vom Dienst bei der Registrierung bereitgestellten Regeln verarbeitet werden muss und ob, falls eine Verarbeitung erforderlich ist, die zum Ereignis gehörigen Schritte ausgeführt werden. Der Daemon umfasst drei Hauptteile entsprechend seiner Aufgaben: die Regel-Engine, die Ereignisse, auf die er reagieren kann, und die Schritte, die er ausführen kann.

Die emond-Regel-Engine führt folgende Schritte aus: Â Lesen der Konfigurationsinformationen aus der Datei „/etc/emond.d/emond.conf“. Â Lesen der Regeln aus plist-Dateien im Verzeichnis „/etc/emond.d/rules/ directory“. Â Verarbeiten des Startereignisses. Â Akzeptieren von Ereignissen bis zur Beendigung. Â Verarbeiten der mit dem Ereignis verknüpften Regeln, Auslösen wie erforderlich. Â Ausführen von Aktionen, die von den ausgelösten Regeln angegeben werden. Â Ausführen mit möglichst wenig Berechtigungen (niemand).

ACHTUNG: Die Dateiformate und Einstellungen in emond.conf und Regel-Dateien (.plist) sind nicht für den Benutzer dokumentiert. Änderungen können dazu führen, dass das Benachrichtigungssystem unbrauchbar wird und werden daher nicht unterstützt.

Protokollierung Mac OS X Server verwendet standardmäßige UNIX-Protokolldateien und Apple- spezifische Prozessprotokolle. Protokolle für das Betriebssystem finden Sie hier: Â /var/log Â /Library/Logs Â ~/Library/Logs

Jeder Prozess ist für die jeweiligen Protokolle, die Protokollstufe und die Ausführlich- keit verantwortlich. Die Prozesse oder Programme können eigene Protokolldateien schreiben oder ein Standardprotokoll des Systems verwenden, z. B. syslog. Zum Lesen dieser Protokolle und anderer Protokolldateien im Nur-Text-Format können Sie das Programm „Konsole“ (im Ordner „/Programme/Dienstprogramme“) verwenden. Der Speicherort der Protokolle ist dabei ohne Bedeutung.

Kapitel 8 Überwachen 213 Die meisten Dienste in Mac OS X Server verfügen über einen Protokollbereich im Pro- gramm „Server-Admin“. In diesen Bereichen können Sie Protokollstufen festlegen und die Protokolle für einen bestimmten Dienst anzeigen.

Syslog Das Systemprotokoll „syslog“ bietet eine Möglichkeit, Meldungen von Prozessproto- kollen gemeinsam zu erfassen. syslog stellt mehrere Stufen mit Protokolldetails bereit. Wird die Protokollierung mit geringer Detailgenauigkeit gewählt, werden detaillierte Meldungen nicht gesichert. Die Protokollierung mit hoher Detailgenauigkeit führt dagegen zu großen und möglicherweise wenig hilfreichen Protokolldateien. Die für syslog verwendete Protokollstufe kann je nach Prozess angepasst werden und sollte so gewählt werden, dass eine erfolgreiche Benachrichtigung und Fehler- beseitigung möglich ist. Syslog-Protokollstufen (in aufsteigender Reihenfolge von geringster bis größter Detailgenauigkeit)

Name der Stufe Stufenangabe in syslog.conf Detailgenauigkeit None .none Keine Emergency .emerg Geringste Alert .alert Error .err Warning .warn Notice .notice Info .info Debug .debug Höchste

Syslog-Konfigurationsdatei Die Konfigurationsdatei befindet sich hier: /etc/syslog.conf. Jede Zeile verfügt über folgendes Format:

. „einrichtung“ steht für den Prozess, der in das Protokoll schreibt. Bei dem Pfad handelt es sich um den standardmäßigen POSIX-Pfad zur Protokolldatei. Sternchen (*) können als Platzhalter verwendet werden. Die Einstellung für den Kernel lautet beispielsweise: kern.* /var/log/system.log

Dies weist darauf hin, dass alle Meldungen im Protokoll von allen Stufen des Kernel in die Datei „/var/log/system.log“ geschrieben werden.

Die folgende Einstellung ist ein Beispiel für alle Notfallmeldungen aller Prozesse, die an eine eigene Protokolldatei für Notfälle geschickt werden: *.emerg /var/log/emergencies.log

214 Kapitel 8 Überwachen Protokollierung der Fehlerbeseitigung in den Verzeichnisdiensten Wenn Sie Open Directory verwenden und Informationen zur Fehlerbeseitigung in Prozessen der Verzeichnisdienste erhalten möchten, müssen Sie eine andere Proto- kollierungsmethode als systemlog verwenden. Sie müssen die Protokollierung der Fehlerbeseitigung im Prozess manuell aktivieren. Nach der Aktivierung schreibt die Protokollierung der Fehlerbeseitigung Meldungen in folgende Protokolldatei:

/Library/Logs/DirectoryService/DirectoryService.debug.log

Die folgenden Befehle müssen mit Superuser-Berechtigungen (sudo oder root) ausgeführt werden:

Gehen Sie wie folgt vor, um die Protokollierung der Fehlerbeseitigung für die Verzeichnisdienste manuell zu aktivieren bzw. zu deaktivieren: killall -USR1 DirectoryService

Gehen Sie wie folgt vor, um die Fehlerbeseitigung beim Start zu starten: touch /Library/Preferences/DirectoryService/.DSLogAPIAtStart

Hinweis: Das Protokoll für die Fehlerbeseitigung ist nicht selbstdokumentiert und nicht für eine standardmäßige Protokollierung vorgesehen. Es ist sehr ausführlich und schwer verständlich. Im Protokoll werden API-Aufrufe, Plug-In-Anforderungen und Antworten angezeigt.

Open Directory-Protokollierung Die Konfigurationsdatei befindet sich unter „/etc/openldap“ und die Protokolle unter „/var/log/slapd.log“. Jede Verzeichnistransaktion generiert ein separates Transaktions- protokoll in der OpenLDAP-Datenbank. Die Datenbank und Transaktionsprotokolle sind hier abgelegt: /var/db/openldap/openldap-data.

Der Prozess „slapd“, der die Open Directory-Nutzung steuert, verfügt über einen zusätzlichen Parameter für eine ergänzende Protokollierung. Mit dem folgenden Befehl wird die ergänzende Protokollierung aktiviert: slapconfig -enablesslapdlog

Gehen Sie wie folgt vor, um slapd im Fehlerbeseitigungsmodus auszuführen: 1 Stoppen und entfernen Sie slapd aus der „Watchlist“ (Überwachungsliste) von launchd: launchctl unload /System/Library/LaunchDaemons/org.openldap.plist 2 Starten Sie slapd im Fehlerbeseitigungsmodus neu: sudo /usr/libexec/slapd -d 99

Kapitel 8 Überwachen 215 AFP-Protokollierung AFP (Apple File Service Protocol) protokolliert auf dem Server Zugriffe und Fehler, ver- fügt allerdings über nur wenig Informationen zur Fehlerbeseitigung. Sie können jedoch eine Client-seitige Protokollierung zu AFP-Clients hinzufügen, um die Überwachung und Fehlerbeseitigung von AFP-Verbindungen zu vereinfachen.

Gehen Sie wie folgt vor, um die Client-seitige Protokollierung zu aktivieren: Führen Sie alle diese Schritte auf dem AFP-Client-Computer aus. 1 Legen Sie die Fehlerbeseitigungsstufe für den Client fest (Stufe 0 – 8): defaults write com.apple.AppleShareClientCore -dict-add afp_debug_level 4 2 Legen Sie den Empfänger der Client-Protokollmeldungen fest (in diesem Fall syslog): defaults write com.apple.AppleShareClientCore -dict-add afp_debug_syslog 1 3 Aktivieren Sie syslog, um die Meldungen zur Fehlerbeseitigung vom Client zu erhalten: Hierfür fügen Sie *.debug /var/log/debug.log zur Datei „syslogd.conf“ hinzu. 4 Starten Sie den syslog-Prozess neu.

Zusätzliche Überwachungshilfen Sie können zusätzliche Hilfen für die Überwachung von Mac OS X Server einsetzen. Verschiedene Pakete zur Serverüberwachung von Drittanbietern sowie ein weiteres Überwachungswerkzeug von Apple stehen zur Auswahl.

Die Nennung von Drittanbietersoftware in der folgenden Liste stellt keine Empfehlung seitens Apple für diese Produkte dar. Apple bietet für diese Produkte auch keine Unter- stützung. Die Komponenten werden lediglich zu Informationszwecken aufgeführt. Â Apple Remote Desktop: Dieses Softwarepaket stellt zahlreiche Funktionen bereit, mit deren Hilfe Sie mit Computern interagieren, Berichte und Protokolle zu Com- putern abrufen können, die Mac OS X und Mac OS X Server ausführen. Die Software bietet verschiedene leistungsstarke Administrationsfunktionen und hervorragende Berichtsfunktionen. Â Nagios (Drittanbieterprodukt): Hierbei handelt es sich um ein Open Source- Programm zur Überwachung von Computersystemen und Netzwerken. Â Growl (Drittanbieterprodukt): Hierbei handelt es sich um einen zentralisierten, erweiterbaren Benachrichtigungsdienst, der lokale und entfernte Benachrichti- gungen unterstützt.

216 Kapitel 8 Überwachen 9 Beispielkonfiguration 9

Das Konfigurationsbeispiel in diesem Kapitel beschreibt eine Möglichkeit, die Verzeich- nis- und Netzwerkinfrastruktur von Mac OS X Server für die Umgebung eines Klein- unternehmens einzurichten.

Ein einzelner Mac OS X Server-Computer in einem Kleinunternehmen In diesem Beispiel stellt Mac OS X Server Verzeichnis-, Netzwerk- und Produktivitäts- dienste für die Mitarbeiter eines Kleinunternehmens bereit.

DSL Mac OS X-Server Das Internet (beispiel.com)

DNS-Server des 192.168.0.1 Internetanbeiters

Switch VPN

Mac OS X- Client

Freigegebener Drucker

Windows-Clients Mac OS X-Clients

217 Das Kleinunternehmen hat bislang ein Büronetzwerk verwendet, um Dateien und einen Drucker gemeinsam nutzen zu können. Dank der Anschaffung von Mac OS X Server ist es möglich, ein Intranet einzurichten, das auf die DNS- und DSL- (Digital Subscriber Line) Dienste eines Internetanbieters zurückgreift.

Hier ist eine Zusammenfassung der Merkmale dieser Umgebung: Â Ein Open Directory-Master-LDAP-Verzeichnis auf dem Server zentralisiert die Benutzerverwaltung, einschließlich der Identifikationsüberprüfung von Mac OS X- und Windows-Benutzern. Â Der DNS-Dienst des Internetanbieters stellt einen DNS-Domain-Namen für das Unter- nehmen zur Verfügung (beispiel.com). Â Ein DNS-Server, der unter Mac OS X Server arbeitet, stellt Benennungsdienste für den Server, den Drucker und jedes andere Intranetgerät bereit, das eine statische IP-Adresse besitzt. Â Eine Firewall zwischen dem Server und dem Internet schützt das Intranet vor dem Zugriff durch nicht berechtigte Benutzer. Â Der NAT-Dienst ermöglicht es den Intranetbenutzern, die IP-Adressen des Internet- anbieters für den Internetzugang gemeinsam zu nutzen. Der VPN-Dienst sorgt gleichzeitig dafür, dass die Mitarbeiter über das Internet per Fernzugriff sicheren Zugriff auf das Intranet erhalten, wenn sie nicht in ihrem Büro arbeiten. Â Der DHCP-Dienst von Mac OS X Server bietet dynamische IP-Adressen für Intranet- Client-Computer. Der Server und der Drucker verfügen über statische IP-Adressen, die Client-Computer verwenden jedoch dynamische Adressen.

Konfigurieren des Servers Die folgenden Schritte fassen zusammen, wie Mac OS X Server in diesem fiktiven Kleinunternehmen konfiguriert wird. Weitere Informationen zum Konfigurieren von Verzeichnisdiensten finden Sie im Handbuch Open Directory – Administration. Details zur Konfiguration von Netzwerkdiensten (IP-Firewall, DHCP usw.) finden Sie im Handbuch Netzwerkdienste – Administration.

Schritt 1: Konfigurieren des Netzwerks 1 Vergewissern Sie sich, dass der Server zwei Ethernetanschlüsse besitzt: einen für die Intranetverbindung (LAN) und einen für die DSL-Modemverbindung. Verwenden Sie die schnellere Schnittstelle für die Serververbindung. Eine 10-MBit- Verbindung ist für DSL-Verbindungen in der Regel ausreichend. 2 Schließen Sie den Server über die schnellere Verbindung an das LAN an. In diesem Beispiel wird der Server an einen Switch angeschlossen, der verwendet wird, um Client-Computer und den gemeinsam genutzten Drucker miteinander zu verbinden. Diese Schnittstelle wird hier als „interne“ Schnittstelle bezeichnet.

218 Kapitel 9 Beispielkonfiguration Intranetgeräte sollten mithilfe von hochwertigen CAT-5-Ethernetkabeln an einen Hub oder Switch angeschlossen werden. Ein schneller 10/100/1000-Megabit-Switch ist in der Lage, anspruchsvolle Serverfunktionen wie NetBoot zu unterstützen, die am besten mit einer schnellen Verbindung arbeiten. 3 Schließen Sie den Server mithilfe der zweiten Ethernetschnittstelle an das DSL-Modem an. Diese Schnittstelle wird hier als „externe“ Schnittstelle bezeichnet.

Schritt 2: Kontaktaufnahme mit Internetanbieter zum Konfigurieren externer DNS-Dienste Die Name-Server des Internetanbieters sollten für die Unternehmenszone „beispiel.com“ zur Verfügung stehen und alle öffentlichen IP-Adressen aller Server und Dienste enthalten, die für das Internet verfügbar sind (z. B. der Webserver und VPN-Gateway des Unternehmens).

Dies bedeutet, dass die vom Internetanbieter verwaltete Zone nur die öffentlichen IP-Adressen enthält. Der Name-Server des Internetanbieters sorgt dabei für die notwen- dige Redundanz. Der Internetanbieter sollte auch Forward- und Reverse-DNS-Lookup für die Domain der Zone für externe verwendete IP-Adressen bereitstellen.

ACHRUNG: In diesem Beispiel wird angenommen, dass der Internetanbieter eine Forward- und Reverse-DNS-Auflösung für die öffentliche IP-Adresse und den Namen des Servers bereitstellt. Sollte das nicht der Fall sein (etwa, wenn die Konfiguration des Internetanbieters noch nicht erfolgt ist oder wenn Sie Ihren eigenen Name-Server auf dem Server ausführen möchten), wählen Sie in Schritt 4 „Eigenständiger Server“ und wandeln Sie den Server erst in einen Open Directory-Master oder eine Open Directory-Replik um, wenn eine funktionierende DNS-Konfiguration vorhanden ist.

Schritt 3: Konfigurieren eines Administratorcomputers 1 Installieren Sie die Programme für die Serververwaltung von der Server Tools-DVD. Wählen Sie einen Computer mit Mac OS X Leopard für die Installation der Programme aus. Vergewissern Sie sich, dass die Netzwerkkommunikation zwischen dem Admi- nistratorcomputer und dem Zielserver funktioniert. Weitere Anweisungen finden Sie im Abschnitt „Vorbereiten eines Administratorcomputers“ auf Seite 90. 2 Füllen Sie das Mac OS X Server – Erweitertes Arbeitsblatt im Anhang auf Seite 229 aus. Sie benötigen diese Informationen, während Sie die einzelnen Fensterbereiche des Assistenten durcharbeiten.

Kapitel 9 Beispielkonfiguration 219 Schritt 4: Konfigurieren von Server und Master-Verzeichnis 1 Starten Sie den Server von der Installations-DVD. Das verwendete Verfahren hängt von der Hardware des Servers ab. In diesem Beispiel wird davon ausgegangen, dass der Computer mit einer Tastatur und einem DVD-Laufwerk ausgestattet ist. Schalten Sie den Computer ein. Legen Sie dann die Installations-DVD in das optische Laufwerk ein und starten Sie den Computer neu. Halten Sie während des Neustarts die Taste „C“ auf der Tastatur gedrückt. Kapitel 5 „Installation und Implementierung“ auf Seite 87 enthält Anweisungen zu anderen Installationsmethoden, etwa der Installation auf einem Server ohne optisches Laufwerk und der Installation von einer NetInstall-Umgebung. 2 Starten Sie den Assistenten auf dem Administratorcomputer. 3 Nachdem der Assistent geöffnet wurde, wählen Sie „Mac OS X Server auf einem entfernten Computer installieren“. 4 Befolgen Sie im weiteren Verlauf die Anweisungen auf dem Bildschirm. Wenn Sie das Zielvolume formatieren müssen, lesen Sie die Anweisungen im Abschnitt „Vorbereiten von Volumes für die Installation von Mac OS X Server“ auf Seite 101 zum Vorbereiten von Volumes für die Installation von Mac OS X Server. Der Server wird neu gestartet, nachdem die Installation beendet wurde. 5 Verwenden Sie den Assistenten nach dem Neustart erneut und wählen Sie „Entfernten Server konfigurieren“. 6 Verwenden Sie die Fenster für Sprache und Tastatur, um eine Sprache für die Serverver- waltung anzugeben. 7 Geben Sie im Fenster „Administrator-Account“ Namen und Kennwort des Server- administrators ein und klicken Sie dann auf „Fortfahren“. 8 Wird der neu installierte Server nicht angezeigt, klicken Sie im Fenster „Netzwerkna- men“ auf die Taste „Hinzufügen“ (+) und geben Sie IP-Adresse sowie Standardname und -kennwort des Administrators ein. Klicken Sie dann auf „Fortfahren“. Weitere Informationen hierzu finden Sie im Abschnitt „Verbinden mit dem Netzwerk während der erstmaligen Serverkonfiguration“ auf Seite 122. 9 Befolgen Sie im weiteren Verlauf die Anweisungen auf dem Bildschirm. 10 Vergewissern Sie sich, dass im Fenster „Netzwerkschnittstellen“ externe und interne Ethernetschnittstellen aufgelistet werden. 11 Vergewissern Sie sich zudem, dass die externe Schnittstelle als erste im Fenster „Netzwerkschnittstellen“ genannt wird. Die erste aufgelistete Schnittstelle ist die primäre (oder Standard-) Schnittstelle. Der vom Server ausgelöste Netzwerkverkehr wird über die primäre Schnittstelle geleitet. VPN verwendet diese Schnittstelle für den Zugang zum öffentlichen Netzwerk und behandelt alle anderen aufgeführten Einträge als private Schnittstellen.

220 Kapitel 9 Beispielkonfiguration 12 Klicken Sie auf „Fortfahren“. Das Fenster „TCP/IP-Verbindung“ wird für jede Ethernetschnittstelle angezeigt. 13 Wählen Sie für die externe Schnittstelle „Manuell“ aus dem Einblendmenü „Konfigu- ration“. Geben Sie dann die IP-Adresse, die Teilnetzmaske und die DNS-Server-IP- Adresse bzw. die Adressen von Ihrem Internetanbieter ein. Bei einer Konfiguration mit zwei Schnittstellen wie in diesem Beispiel werden alle DNS- Anfragen an die primäre Schnittstelle geleitet. Wenn Sie also DNS auf Ihrem Server ausführen, geben Sie die öffentliche IP-Adresse des Gateways auch in des Feld „Name- Server“ ein. Sorgen Sie bei einer manuellen Konfiguration dafür, dass die Adresse ganz oben in der Liste angezeigt wird, damit sie vor den Servern Ihres Internetanbieters angesprochen wird. Klicken Sie dann auf „Fortfahren“. 14 Wenn Sie den Gateway-Assistenten (aus dem Bereich des NAT-Diensts im Programm „Server-Admin“) zur Konfiguration von Netzwerkeinstellungen verwenden, müssen Sie keine interne Schnittstelle einrichten. Geben Sie ansonsten für die interne Schnittstelle die folgenden Werte ein und klicken Sie anschließend auf „Fortfahren“: Â Konfiguration: Manuell Â IP-Adresse: 192.168.0.1 (192.168 Werte sind für interne LANs reserviert) Â Teilnetzmaske: 255.255.0.0 Â Router: 192.168.0.1 Â DNS-Server 192.168.0.1 15 Wählen Sie im Fenster „Verzeichnisverwendung“ die Option „Eigenständiger Server“ aus. Sie können den Server später mithilfe von Server-Admin als Open Directory-Server konfigurieren. Die Einstellungen unter SMB erlauben das Einrichten eines Windows-PDC, sodass Mitar- beiter, die Windows NT-, Windows 2000- und Windows XP-Workstations verwenden, sich beim PDC anmelden, das Kennwort beim Anmelden ändern und auf dem Server mit „Roaming Profiles“ und Benutzerordnern im Netzwerk arbeiten können. Mit einem Benutzer-Account kann sich ein Benutzer von einer Windows-Workstation bei einem Mac OS X-Computer anmelden und auf seinen Benutzerordner im Netzwerk zugreifen. 16 Klicken Sie auf „Fortfahren“. 17 Legen Sie in den übrigen Fenster des Assistenten die erforderlichen Einstellungen fest und klicken Sie dann auf „Anwenden“, um die Serverkonfiguration zu starten. Der Server wird neu gestartet, nachdem die Konfiguration beendet wurde. 18 Melden Sie sich beim Server mit dem gerade im Assistenten festgelegten Administrator- Account an.

Kapitel 9 Beispielkonfiguration 221 19 Konfigurieren Sie die Netzwerkeinstellungen des Servers. Die einfachste Möglichkeit hierfür ist die Verwendung des Gateway-Assistenten (vgl. Schritt 4). Alternativ können Sie auch jeden Netzwerkdienst einzeln mit dem Pro- gramm „Server-Admin“ konfigurieren (vgl. Schritt 5 bis 8).

Schritt 5: Verwenden Sie den Gateway-Assistenten zum Automatisieren der Netzwerkkonfiguration der Servers 1 Öffnen Sie das Programm „Server-Admin“ auf dem Administratorcomputer. 2 Falls noch nicht geschehen, stellen Sie eine Verbindung zum Server her und melden Sie sich als der Administrator an, den Sie bei Verwendung des Assistenten definiert haben. 3 Wählen Sie den Server aus und fügen Sie die Dienste hinzu, die Sie verwenden werden. Wählen Sie für diesen Schritt den NAT-Dienst und den Firewall-Dienst aus. 4 Klicken Sie im Bereich „Übersicht“ des zu konfigurierenden Servers auf den NAT-Dienst. 5 Öffnen Sie den Gateway-Assistenten, indem Sie auf die Taste im NAT-Übersichtsbereich klicken. 6 Arbeiten Sie die einzelnen Bereiche durch und geben Sie nach Aufforderung die entsprechenden Informationen an. Wählen Sie im Bereich „WAN-Anschluss“ den Anschluss aus, den Sie bei der Erstkon- figuration als externe Schnittstelle konfiguriert haben. Aktivieren Sie im Bereich „VPN-Einstellungen“ VPN und geben Sie einen geheimen Schlüssel zur Verwendung für Client-Verbindungen an. Wählen Sie im Bereich „LAN-Anschlüsse“ den Anschluss aus, den Sie als interne Schnitt- stelle verwenden möchten. 7 Wenn der Gateway-Assistent die Netzwerkkonfiguration abgeschlossen und Sie das Programm beendet haben, fahren Sie mit Schritt 9 fort.

Schritt 6: Konfigurieren der Firewall 1 Öffnen Sie das Programm „Server-Admin“ auf dem Administratorcomputer. 2 Falls noch nicht geschehen, stellen Sie eine Verbindung zum Server her und melden Sie sich als der Administrator an, den Sie bei Verwendung des Assistenten definiert haben. 3 Klicken Sie in der Liste der Dienste auf „Firewall“. 4 Klicken Sie in der unteren Aktionsleiste auf „Firewall starten“. 5 Klicken Sie auf „Einstellungen“ und wählen Sie „Dienste“. 6 Wählen Sie aus dem Einblendmenü „Dienste bearbeiten“ die Adressgruppe mit der Bezeichnung „192.168-net“ aus.

222 Kapitel 9 Beispielkonfiguration 7 Wählen Sie „Erlauben“ für Dienste aus, auf die Mitarbeiter von ihrem Büroarbeitsplatz aus Zugriff erhalten sollen. Wählen Sie mindestens die Optionen „DNS“, „DHCP“ und „NetBoot“ aus. 8 Wählen Sie aus dem Einblendmenü „Dienste bearbeiten“ die Adressgruppe mit der Bezeichnung „beliebig“ aus. 9 Klicken Sie auf „Dienste“ und wählen Sie „Erlauben“ für Dienste aus, auf die externe Clients hinter der Firewall Zugriff erhalten sollen. Wählen Sie mindestens die Optionen „L2TP VPN“, „IKE“ und „DHCP“ aus. 10 Klicken Sie auf „Sichern“.

Schritt 7: Konfigurieren des DNS-Diensts Der DNS-Dienst von Leopard Server verarbeitet Zoneninformationen (etwa alle voll- ständig qualifizierten Hostnamen für die lokale Website wie „site1.beispiel.com“) und weist diese private Zone privaten, lokalen IPs zu. Dadurch wird vermieden, öffentliche Server zum lokalen DNS-Dienst hinzuzufügen.

Außerdem wird eine DNS-Weiterleitungsszone eingerichtet, um die DNS-Einträge des Internetanbieters nach Elementen abzufragen, die in der lokalen DNS-Zone nicht gefunden wurden (z. B. die IP-Adressen von Webservern anderer Unternehmen wie www.apple.com).

Hinweis: Wie in Schritt 2 erwähnt, wird in diesem Beispiel angenommen, dass Ihr Internetanbieter Forward- und Reverse-DNS für die Zone Ihres Unternehmens bereitstellt, einschließlich einer Auflösung der öffentlichen IP-Adresse des Servers.

Der interne Name-Server verwendet daher eine interne Zone wie , die die privaten IP-Adressen des Servers und aller anderen Geräte im LAN enthält. 1 Wählen Sie im Programm „Server-Admin“ den Eintrag „DNS“ in der Dienstliste aus. 2 Klicken Sie auf „Zonen“, klicken Sie auf die Taste „Zone hinzufügen“ unter der Zonen- liste und wählen Sie „Primärzone hinzufügen (Master)“. 3 Wählen Sie die Standardzone aus und passen Sie sie an die Anforderungen Ihres Unternehmens an. In diesem Fall werden folgende Einstellungen verwendet: Â Name der primären Zone: beispiel.com Â Adresse des Name-Servers: 192.168.0.1 Â Administrator-Mail: [email protected] 4 Fügen Sie einen Computereintrag zur Zone hinzu, indem Sie die Zone auswählen, auf „Eintrag hinzufügen“ klicken und „Computer (A) hinzufügen“ aus dem Einblendmenü auswählen.

Kapitel 9 Beispielkonfiguration 223 5 Verwenden Sie die folgenden Einstellungen und wählen Sie den Computereintrag unter dem Zonennamen aus, um den Eintrag zu bearbeiten. Klicken Sie auf „Sichern“, wenn die Bearbeitung abgeschlossen ist. Â Computername: meinserver Â IP-Adresse: 192.168.0.1 6 Verwenden Sie die folgenden Einstellungen und fügen Sie weitere Computer zur Zone hinzu. Wenn Sie z. B. einen Drucker hinzufügen möchten, klicken Sie auf die Taste „Hinzufügen“ und geben Sie Werte für den Drucker ein. Klicken Sie anschließend auf „OK“: Â IP-Adresse: 192.168.100.2 Â Name: laserdrucker_2000 7 Klicken Sie auf „Einstellungen“, um den Server so zu konfigurieren, dass er außerhalb des Servers nach Domain-Namen sucht, die nicht über den Server gesteuert werden. 8 Klicken Sie in der Liste „IP-Adressen der Weiterleiter“ auf die Taste „Hinzufügen“ (+), um die vom Internetanbieter bereitgestellten DNS-Adressen hinzuzufügen. 9 Klicken Sie auf „Sichern“ und anschließend auf „DNS starten“.

Schritt 8: Konfigurieren des DHCP-Diensts Mit diesem Schritt wird ein DHCP-Server eingerichtet, der dynamische IP-Adressen für die Computer der Mitarbeiter bereitstellt. Hiermit wird auch die Identität der DNS-, LDAP- und WINS-Server festgelegt, auf die die Mitarbeiter Zugriff erhalten sollen.

Wenn für die Suchrichtlinie eines Client-Computers die Option „Automatisch“ festgelegt wurde (mit dem Programm „Verzeichnisdienste“ auf dem Client-Computer), wird die Identität der DNS-, LDAP- und WINS-Server zusammen mit der IP-Adresse angegeben. 1 Prüfen Sie im Programm „Server-Admin“, dass der DNS-Dienst ausgeführt wird. 2 Wählen Sie DHCP in der Dienstliste aus. 3 Klicken Sie auf „Teilnetze“. 4 Klicken Sie auf die Taste „Hinzufügen“ (+), um den Adressbereich zu definieren, der dynamisch zugewiesen werden soll. Der Bereich sollte ausreichend groß gewählt werden, damit für alle aktuellen, aber auch künftigen Client-Computer Adressen bereitgestellt werden können. Stellen Sie sicher, dass Sie einige Adressen (am Anfang oder Ende des Bereichs) ausschließen, damit diese für VPN-Benutzer und für Geräte reserviert sind, die statische IP-Adressen benötigen.

224 Kapitel 9 Beispielkonfiguration Hier sind einige Beispielwerte: Â Teilnetzmaske: 255.255.0.0 Â Erste IP-Adresse: 192.168.0.2 Â Letzte IP-Adresse: 192.168.0.102 Â Netzwerkschnittstelle: en1 Â Router: 192.168.0.1 5 Stellen Sie sicher, dass der Bereich „DNS“ die folgenden Werte enthält: Â Standard-Domain:beispiel.com Â Name-Server: 192.168.0.1 6 Klicken Sie auf „LDAP“, um DHCP für die Identifizierung des Servers zu konfigurieren, den Sie als Quelle für die Verzeichnisinformationen für Client-Computer einrichten wollen, die mit dynamischen IP-Adressen arbeiten. Der von Ihnen konfigurierte Server sollte im Feld „Servername“ angegeben sein, da Sie den Server im Serverassistenten als Open Directory-Master konfigurieren. Andere Einstellungen sind für dieses Beispiel optional. 7 Klicken Sie auf „WINS“, um DHCP für die Bereitstellung Windows-spezifischer Einstellun- gen für Clients zu konfigurieren, die dynamische IP-Adressen erhalten. Stellen Sie dann die folgenden Werte bereit: Â Primärer WINS/NBNS: 192.168.0.1 Â NBT-Knotentyp: Broadcast (b-node) 8 Klicken Sie auf „Sichern“, aktivieren Sie die interne Ethernetschnittstelle und klicken Sie dann auf „DHCP starten“.

Schritt 9: Konfigurieren des NAT-Diensts 1 Wählen Sie im Programm „Server-Admin“ den Eintrag „NAT“ in der Dienstliste aus. 2 Klicken Sie auf „Einstellungen“. 3 Wählen Sie die externe Schnittstelle aus dem Einblendmenü „Anschluss des externen Netzwerks“. 4 Klicken Sie auf „Sichern“ und anschließend auf „NAT starten“.

Schritt 10: Konfigurieren des VPN-Diensts 1 Wählen Sie im Programm „Server-Admin“ den Eintrag „VPN“ in der Dienstliste aus. 2 Klicken Sie auf „Einstellungen“. 3 Markieren Sie für Mac OS X 10.5-Computer, für Linux- oder UNIX-Workstations und für Windows XP-Computer die Option „L2TP über IPSec aktivieren“ (Layer Two Tunneling Protocol, Secure Internet Protocol). PPTP kann zwar auch verwendet werden, L2TP bietet jedoch eine höhere Sicherheit, da es über IPSec ausgeführt wird.

Kapitel 9 Beispielkonfiguration 225 4 Geben Sie eine erste und letzte IP-Adresse ein, um festzulegen, welche Adressen der VPN-Server den Clients zuordnen kann. Vermeiden Sie es, Adressen zu verwenden, die der DHCP-Server bereitstellt. Vermeiden Sie ebenfalls, Adressen zu verwenden, die Sie beim Aktivieren von PPTP angegeben haben. 5 Legen Sie den Schlüssel („Shared Secret“) fest, indem Sie eine Zeichenfolge in das entsprechende Feld eingeben, die nicht leicht zu erraten ist. Verwenden Sie beispielsweise Ziffern, Symbole, Groß- und Kleinschreibung in ungewöhnlichen Kombinationen. Es wird empfohlen, eine Zeichenfolge mit 8 bis 12 Zeichen zu verwenden. 6 Klicken Sie auf „PPTP“ (Point to Point Tunneling Protocol) und markieren Sie das Feld „PPTP aktivieren, wenn Mitarbeiter von Windows-Workstations auf das Intranet zugreifen müssen, die nicht unter Windows XP arbeiten, oder wenn Mac OS X Version 10.2- Computer von außerhalb des Büros verwendet werden sollen. Wenn Sie Unterstützung für ältere Windows-Clients bereitstellen wollen, die keine 128-Bit-PPTP-Unterstützung bieten, wählen Sie die Option „Neben 128-Bit-Schlüsseln auch 40-Bit-Schlüssel erlauben“ aus. 7 Geben Sie eine erste und letzte IP-Adresse ein, um festzulegen, welche Adressen der VPN-Server den Clients zuordnen kann. Vermeiden Sie es, Adressen zu verwenden, die der DHCP-Server bereitstellt. Vermeiden Sie ebenfalls, Adressen zu verwenden, die Sie beim Aktivieren von „L2TP über IPSec“ angegeben haben. 8 Klicken Sie auf „Sichern“ und anschließend auf „VPN starten“.

Schritt 11: Konfigurieren von Produktivitätsdiensten Die Infrastruktur, die Sie benötigen, um Datei-, Druck- und andere Dienste für die Produktivität einzurichten, ist jetzt verfügbar. Führen Sie die Anweisungen in den jeweiligen Administratorhandbüchern aus, die auf Seite 13 aufgelistet werden, um die gewünschten Dienste zu konfigurieren.

Viele Dienste, wie etwa der Apple-Dateidienst, erfordern nur einen minimalen Konfigu- rationsaufwand. Starten Sie diese Dienste einfach im Programm „Server-Admin“.

226 Kapitel 9 Beispielkonfiguration Schritt 12: Erstellen von Benutzer-Accounts und Benutzerordnern 1 Starten Sie den Arbeitsgruppenmanager. 2 Falls noch nicht geschehen, stellen Sie eine Verbindung zum Server her und melden Sie sich als der Administrator an, den Sie mithilfe des Assistenten definiert haben. Das Open Directory-Master-LDAP-Verzeichnis wird für die Bearbeitung verfügbar. Sie fügen für jeden Mitarbeiter einen Account in diesem Master-Verzeichnis hinzu. 3 Klicken Sie auf die Taste „Neuer Benutzer“. 4 Geben Sie die Benutzereinstellungen in den angezeigten Fensterbereichen ein.

Im Handbuch Benutzerverwaltung finden Sie Anleitungen zum Festlegen aller Attribute für Benutzer-Accounts, einschließlich Benutzerordner. Es beschreibt zudem, wie Benut- zer durch Einrichten von Gruppen-Accounts und Computerlisten verwaltet werden und wie Voreinstellungen festgelegt werden, mit denen die Arbeitsumgebungen für Macintosh-Clients angepasst werden.

Die Handbücher Benutzerverwaltung und Open Directory – Administration enthalten Informationen zum Anbieten von Support speziell für Benutzer von Windows- Workstations.

Schritt 13: Konfigurieren von Client-Computern Die folgenden Informationen sind für Mac OS X 10.5-Computer vorgesehen. 1 Konfigurieren Sie ggf. Mac OS X-Clients so, dass sie Informationen vom DHCP-Server abrufen können. Mac OS X 10.5-Computer sind für die Verwendung von DHCP konfiguriert, um IP- Adressen anzufordern und Informationen über ein LDAP-Verzeichnis vom DHCP-Server abzurufen. Nachdem Sie den DHCP-Dienst mit Informationen über ein LDAP-Verzeich- nis eingerichtet haben, werden diese Informationen an Mac OS X-Clients übergeben, wenn diese IP-Adressen vom DHCP-Server erhalten. Folgende Einstellungen sind bereits konfiguriert: Â Die Netzwerkeinstellungen sind für die Verwendung von DHCP konfiguriert. Zugriff auf diese Einstellungen erhalten Sie, wenn Sie die Systemeinstellungen öffnen und auf „Netzwerk“ klicken. Wählen Sie dann die interne Ethernetschnittstelle aus und wählen Sie die Option „DHCP mit manueller Adresse“ oder „DHCP“ aus dem Einblend- menü „Konfiguration“ aus. Â Die Suchrichtlinien des Computers sind für die automatische Konfiguration eingerichtet. Wenn Sie auf diese Einstellung zugreifen wollen, öffnen Sie das Programm „Verzeichnisdienste“ (in „/Programme/Dienstprogramme“) und melden Sie sich an. Wenn das Schlosssymbol geschlossen ist, klicken Sie auf das Symbol und identifizieren Sie sich als Administrator. Klicken Sie auf das Symbol „Suchpfad“ und dann auf „Identifizierung“. Wählen Sie „Automatisch“ aus dem Einblendmenü „Suchen“. Klicken Sie danach auf „Anwenden“.

Kapitel 9 Beispielkonfiguration 227 Â Die Verwendung von über DHCP bereitgestellten LDAP-Informationen ist aktiviert. Wenn Sie auf diese Einstellung zugreifen wollen, öffnen Sie das Programm „Verzeich- nisdienste“ und klicken Sie auf „Dienste“. Wenn das Schlosssymbol geschlossen ist, klicken Sie auf das Symbol und identifizieren Sie sich als Administrator. Wählen Sie „LDAPv3“ in der Liste der Dienste aus und klicken Sie dann auf „Bearbeiten“. Klicken Sie auf „Vom DHCP-Server gelieferte LDAP-Server verwenden“. Klicken Sie auf „OK“ und auf „Anwenden“. 2 Konfigurieren Sie Mac OS X-Clients so, dass diese den VPN-Server verwenden können. 3 Öffnen Sie das Programm „Server-Admin“ und klicken Sie in der Dienstliste auf „VPN“. 4 Klicken Sie auf „Einstellungen“ und dann auf „L2TP“. 5 Legen Sie die IP-Adressen sowie weitere Einstellungen fest. 6 Klicken Sie bei Bedarf auf „PPTP“ und legen Sie die IP-Adressen und weitere Einstellungen fest. 7 Klicken Sie auf „Sichern“.

228 Kapitel 9 Beispielkonfiguration Mac OS X Server –

Erweitertes Arbeitsblatt Anhang

Geben Sie Einstellungen für den Server in die nachfolgenden Tabellen ein:

Servername:

Objekt Beschreibung Ihre Angaben Identität des ent- Bei interaktiver Installation und Konfiguration fernten Servers für eines entfernten Servers im lokalen Teilnetzwerk Installation und einer der folgenden Werte für den Server: Konfiguration – IP-Adresse im IPv4-Format (000.000.000.000) – Hostname (ein.beispiel.com) – MAC-Adresse (00:03:93:71:26:52). Bei Installation und Konfiguration über die Befehlszeile oder in ferne Teilnetzwerke die IP-Adresse des Zielservers im IPv4-Format. Einstellung des Die ersten acht Ziffern der integrierten Hardware- Kennworts (für ferne seriennummer des Zielservers, aufgedruckt auf Installation und einem Etikett am Computer. Konfiguration) Bei älteren Computern ohne eine solche Num- mer verwenden Sie 12345678 als Kennwort. Typ der Installation Aktualisierung von der neusten Version 10.4 oder von Version 10.3.9, vollständige Installation ohne Formatierung der Festplatte oder Neuinstallation des Systems. Das Zielvolume (Partition) wird gelöscht, wenn Sie eine Neuinstallation des Systems durchführen. Zielvolume oder Name des Zielvolumes oder der Partition Partition (Volume) Volume-Format Ein Format für das Zielvolume. (wenn das Löschen In den meisten Fällen verwenden Sie hier das des Volumes in Ord- Format „Mac OS Extended (Journaled)“. nung ist) Sie können auch eines der Formate „Mac OS Extended“ oder „Mac SO Extended (Groß-/Klein- schreibung) verwenden.

229 Objekt Beschreibung Ihre Angaben Volume-Partition Geben Sie an, ob das Zielvolume partitioniert (wenn das Löschen werden soll. des Volumes in Ord- Die empfohlene Mindestgröße einer Zielvolume- nung ist) Partition beträgt 4 GB. RAID-Spiegelung Geben Sie an, ob die RAID-Spiegelung konfigu- (wenn das Löschen riert werden soll. Das zweite Volume wird dann des Volumes in Ord- automatisch verwendet, wenn das erste Volume nung ist und am Ziel- nicht verfügbar ist. server ein zweites Wenn das Zielvolume eine einzige Partition auf- physisches Laufwerk weist und das zweite physische Laufwerk eine vorhanden ist) Partition aufweist und keine Daten enthält, kön- nen Sie die RAID-Spiegelung nach der Installa- tion konfigurieren. Zur Vermeidung von Datenverlust sollte die RAID-Spiegelung jedoch so früh wie möglich konfiguriert werden. Verwenden Wenn Sie gesicherte Konfigurationsdaten zum gesicherter Konfigurieren dieses Servers verwenden möch- Konfigurationsdaten ten, geben Sie die Datei oder das Verzeichnis an, in der bzw. in dem sich die zu verwendenden Daten befinden. Sollte die Daten verschlüsselt sein, müssen Sie auch das Kennwort angeben. Wenn Sie Einstellungen in einer Datei oder einem Verzeichnis sichern möchten, gehen Sie anhand der Anweisungen in einer der nächsten beiden Tabellenzeilen vor.

230 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben Sichern von Konfigu- Benennen Sie die Datei gemäß einer folgenden rationsdaten in einer Optionen: Datei Â .plist (inkl. führen- der Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef.plist). Â .plist (z. B. 10.0.0.4.plist). Â .plist (z. B. meinserver.plist). Â .plist (die ersten acht Zeichen, z. B. ABCD1234.plist). Â .plist (z. B. meinserver.beispiel.com.plist). Â .plist (10.0.plist stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). Â generic.plist (eine Datei, die jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benötigen). Wenn Sie die Datei verschlüsseln, können Sie das Kennwort in einer Datei sichern, deren Benen- nung einer der oben beschriebenen Konventio- nen entspricht, nur muss die Erweiterung des Dateinamens dann „.pass“ anstatt „.plist“ lauten. Legen Sie die Dateien an einem Speicherort ab, an dem sie der oder die Zielserver finden können. Ein Server kann Dateien finden, wenn sie sich auf einem Volume befindet, das lokal unter: „/Volumes/*/Auto Server Setup“ aktiviert ist, wobei der Stern * für jedes Gerät steht, das unter „Volumes“ aktiviert wurde.

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 231 Objekt Beschreibung Ihre Angaben Sichern von Konfi- Navigieren Sie zu dem Verzeichnis, in dem Sie die gurationsdaten in Konfiguration sichern möchten, und benennen einem Verzeichnis Sie den Konfigurationseintrag entsprechend einer der folgenden Optionen: Â (inkl. führender Nullen, aber ohne Doppelpunkt, z. B. 0030654dbcef). Â (z. B. 10.0.0.4). Â (z. B. meinserver). Â (die ersten acht Zeichen, z. B. ABCD1234). Â (z. B. meinserver.beispiel.com). Â (10.0 stimmt z. B. mit 10.0.0.4 und 10.0.1.2 überein). Â generic.plist (ein Datensatz, den jeder Server erkennt, wird verwendet, um Server zu konfigurieren, die dieselben Konfigurationswerte benö- tigen). Wenn Sie die Datei verschlüsseln, können Sie das Kennwort in einer Datei sichern, deren Benen- nung einer der oben beschriebenen Konventio- nen entspricht, nur muss „.pass“ als Erweiterung des Dateinamens hinzugefügt werden. Legen Sie die Kennwortdatei an einen Speicherort, an dem sie die jeweiligen Zielserver finden können. Ein Server kann die Datei finden, wenn sie sich auf einem Volume befindet, das lokal unter: „/Volumes/*/Auto Server Setup“ aktiviert ist, wobei der Stern * für jedes Gerät steht, das unter „Volumes“ aktiviert wurde. Sprache Die für die Serververwaltung zu verwendende Sprache (Englisch, Japanisch, Französisch oder Deutsch). Die Wahl der Sprache hat Einfluss auf den Server hinsichtlich des Formats von Datum und Uhrzeit, des angezeigten Texts und der Standardcodierung, die vom AFP-Server verwendet wird. Tastaturbelegung Die Tastaturbelegung für die Serververwaltung.

232 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben Seriennummer Die Seriennummer Ihrer Kopie von Mac OS X Server. Sie benötigen eine neue Seriennummer für Mac OS X Server 10.5. Das Format ist xsvr-999-999-x-xxx-xxx-xxx-xxx- xxx-xxx-x. Dabei steht x für einen Buchstaben und 9 für jeweils eine Ziffer. Das erste Element (xsvr) und das vierte Element (x) müssen jeweils Klein- buchstaben sein. Sofern Sie keine Standortlizenz besitzen, benöti- gen Sie für jeden Server eine eindeutige Serien- nummer. Die Seriennummer der Serversoftware ist auf den Materialien aufgedruckt, die zusammen mit dem Serversoftwarepaket bereitgestellt werden. Wenn Sie eine Standortlizenz haben, müssen Sie die registrierte Angaben für Eigentümername und Organisation exakt so eingeben wie von Ihrem Apple-Repräsentanten vorgegeben. Wenn Sie einen Server mithilfe einer generischen Konfigurationsdatei bzw. eines generischen Ver- zeichniseintrags konfigurieren und die Serien- nummer des Servers nicht für den Standort lizenziert ist, müssen Sie nach der Konfiguration die Seriennummer des Servers eingeben. Dazu verwenden Sie das Programm „Server-Admin“. Vollständiger Name Ein vollständiger Name darf maximal 255 Byte des Administrators lang sein. Die Anzahl der Zeichen reicht von 255 (wird gelegentlich römischen Zeichen bis hin zu 85 3-Byte-Zeichen. auch als langer oder Der Name darf Leerzeichen enthalten. echter Name Er darf nicht mit einem vordefinierten Benutzer- bezeichnet) namen identisch sein, z. B. „Systemadministrator“. Beim Namen wird im Anmeldefenster zwischen Groß- und Kleinschreibung unterschieden, jedoch nicht beim Zugriff auf Dateiserver. Kurzname des Ein Kurzname kann bis zu 255 lateinische Zeichen Administrators umfassen, ist in der Regel aber nicht länger als acht Zeichen. Verwenden Sie hierfür nur a-z, A- Z, 0- 9, _ (Unter- streichungszeichen) oder - (Bindestrich). Vermeiden Sie Kurznamen, die Apple den vordefinierten Benutzern zuweist, z. B. „root“.

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 233 Objekt Beschreibung Ihre Angaben Kennwort des Admi- Dieser Wert unterschiedet zwischen Groß- und nistrators Kleinschreibung und muss mindestens 4 Zeichen umfassen. Er stellt auch das Kennwort für den root-Benutzer dar. Wenn Sie diesen Wert hier eintragen, achten Sie besonders auf eine sichere Aufbewahrung dieses Arbeitsblatts. Verwenden Sie nach der Konfiguration den Arbeitsgruppenmanager, um das Kennwort für diesen Account zu ändern. Hostname Sie können diesen Namen nicht während der Ser- verkonfiguration angeben. Der Serverassistent legt den Hostnamen unter „/etc/hostconfig“ auf AUTOMATIC fest. Diese Einstellung bewirkt, dass der Hostname des Servers der erste Name in der folgenden Liste ist, der als „wahr“ identifiziert wird: – Der vom DHCP- oder BootP-Server für die primäre IP-Adresse bereitgestellte Name – Der erste Name, der von einer RLU-DNS-Abfrage (Adresse-zu-Name) für die primäre IP-Adresse zurückgemeldet wird – Der lokale Hostname – Der Name „localhost“ Computername Der AppleTalk-Name und der für SLP/DA verwendete Standardname. Geben Sie einen Namen mit maximal 63 Zeichen ein, aber ohne die Zeichen =, : oder @. Das Programm „Netzwerkbrowser“ im Finder verwendet SMB zum Finden von Computern, die Windows-File-Sharing bereitstellen. Leerzeichen werden aus einem Computernamen gelöscht, der für die Verwendung mit SMB vorgesehen ist. Dieser Namen darf auch nur maximal 15 Zeichen lang sein und weder Sonderzeichen noch Interpunktionszeichen enthalten. Lokaler Hostname Der Name, der einen Computer in einem lokalen Teilnetzwerk bezeichnet. Er darf Kleinbuchstaben, Ziffern und/oder Schräg- striche enthalten (letztere aber nicht an den Enden). Der Name endet mit „.local“ und muss im lokalen Teilnetzwerk eindeutig sein. Daten für Netzwerk- Ihr Server besitzt einen integrierten Ethernetan- Verwenden Sie die Tabelle schnittstellen schluss und ggf. einen zusätzlichen integrierten weiter unten in diesem oder nachträglich hinzugefügten Ethernetan- Arbeitsblatt, um die schluss. Tragen Sie die Informationen für jeden Daten jedes Anschlusses Anschluss ein, den Sie aktivieren möchten. einzutragen.

234 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben Verzeichnisnutzung Wählen Sie eine Option: – Eigenständiger Server (verwenden Sie hierfür nur das lokale Verzeichnis). – Verbunden mit einem Verzeichnissystem (über- nehmen Sie Informationen aus einem freigegebenen Verzeichnis eines anderen Servers). Bei Auswahl dieser Option verwenden Sie eine der nächsten vier Zeilen in dieser Tabelle zur Angabe, wie der Server die Verbindung zu dem Verzeich- nis herstellt. – Open Directory-Master (zur Bereitstellung von Verzeichnisinformationen für andere Computer). Wenn Sie diese Option auswählen, verwenden Sie die Zeile für „Verwenden von Open Directory- Master“. – Keine Änderung (nur bei Aktualisierungen). Verwenden von Das zu verwendende Verzeichnis wird von einem „Gemäß Angabe DHCP-Server identifiziert, der zur Angabe der durch DHCP-Server“ Adresse und des Suchbereichs eines LDAP- Servers (DHCP-Option 95) konfiguriert wurde. Verwenden von Das zu verwendende Verzeichnis ist ein LDAP- „Open Directory- Verzeichnis, das durch einen DHCP-Server oder Server“ durch Angabe einer IP-Adresse oder eines Domain-Namens für den LDAP-Server identifiziert wird. Verwenden von Die zu verwendenden Verzeichnisse werden mit „Anderer Verzeich- dem Programm „Verzeichnisdienste“ konfiguriert, nisserver“ nachdem Sie die Konfiguration des Servers abgeschlossen haben. Verwenden von Hier können Sie optional angeben, dass ein „Open Directory- Windows-PDC (Primary Domain Controller) auf Master“ dem Server aktiviert werden soll. Geben Sie einen Windows-Computernamen und einen Domänen- Namen für den Server an. Der Computername und der Domänen-Name dürfen die Zeichen a-z, A-Z, 0-9 und - (Bindestrich), aber weder Punkt noch Leerzeichen enthalten, und er darf nicht nur aus Zahlen bestehen. Stellen Sie die Konfiguration des bereitzustellen- den Verzeichnisses mithilfe des Programms „Server-Admin“ fertig, nachdem Sie die Server- konfiguration abgeschlossen haben.

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 235 Objekt Beschreibung Ihre Angaben Zeitzone Wählen Sie die Zeitzone, die der Server verwenden soll. Netzwerkzeit Geben Sie optional einen Zeitserver an, den der Server verwenden soll. Apple empfiehlt, die Serveruhr durch Synchro- nisieren mit einem Zeitserver stets genau zu halten.

Die Konfigurationseinstellungen für den folgenden Anschluss werden in der folgenden Tabelle dargestellt:

Anschlussname: Ethernet (integriert)

Objekt Beschreibung Ihre Angaben Gerätename Ein UNIX-Name für den Anschluss im Format enx. Dabei en0 beginnt x mit 0. In Ihrem Hardwarehandbuch finden Sie den Wert für x zu dem Anschluss, den Sie beschreiben. Der Wert en0 bezeichnet stets einen integrierten Ethernetanschluss. Ethernetadresse Die MAC-Adresse (Media Access Control) des Anschlus- ses (00:00:00:00:00:00). Dieser Wert ist normalerweise auf einem Aufkleber an der Serverhardware aufgedruckt. Sie können aber auch das Programm „Apple System Profiler“ oder ein Befehlszeilenprogramm wie „networksetup“ aus- führen, um diesen Wert festzustellen. TCP/IP und Geben Sie an, ob Sie den Anschluss für TCP/IP und/oder AppleTalk AppleTalk aktivieren möchten. Sie können einen Anschluss mit dem Internet verbinden, indem Sie TCP/IP aktivieren und den gleichen oder einen anderen Anschluss für AppleTalk verwenden. Aktivieren Sie nicht mehr als einen Anschluss für AppleTalk. Reihenfolge der Wenn Sie mehrere Anschlüsse aktivieren, geben Sie die Anschlüsse Reihenfolge an, in der beim Versuch, eine Verbindung zu einem Netzwerk herzustellen, der Zugriff auf diese Anschlüsse erfolgen soll. Der gesamte nicht lokale Netz- werkverkehr verwendet den ersten aktiven Anschluss. TCP/IP- Verwenden Sie eine der nächsten vier Optionen in Einstellungen dieser Tabelle.

236 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben Manuell Geben Sie die folgenden Einstellungen an, um TCP/IP- Einstellungen manuell zu konfigurieren: – IP-Adresse (000.000.000.000). Eine eindeutige statische Adresse. – Teilnetzmaske (000.000.000.000). Dient zum Auffinden des Teilnetzwerks in dem lokalen Netzwerk, in dem sich der Server befindet. Diese Maske wird verwendet, um die netzwerkbezogenen Teil der Serveradresse abzuleiten. Der übrige Teil gibt den Servercomputer in diesem Netzwerk an. – Router (000.000.000.000), der das Teilnetzwerk unter- stützt, auf dem sich der Server befindet. Der Router ist der Computer im lokalen Teilnetzwerk, an den E-Mails gesendet werden, wenn sich die Ziel-IP-Adresse nicht im lokalen Teilnetzwerk befindet. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an angefügt werden sollen, wenn Sie diese nicht vollstän- dig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen. DHCP mit manu- Geben Sie die folgenden Einstellungen an, wenn Sie eller IP-Adresse einen DHCP-Server verwenden möchten, um eine statische IP-Adresse und wahlweise noch weitere Einstellun- gen für den Anschluss zuzuweisen. Stellen Sie sicher, dass der DHCP-Server konfiguriert und der DHCP-Dienst aktiv ist, wenn Sie die Serverkonfigura- tion starten: – IP-Adresse (000.000.000.000). Eine eindeutige statische Adresse. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen.

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 237 Objekt Beschreibung Ihre Angaben DHCP Geben Sie die folgenden Einstellungen an, wenn Sie verwenden einen DHCP-Server verwenden möchten, um eine dynamische IP-Adresse und wahlweise noch weitere Einstel- lungen für den Anschluss zuzuweisen. Stellen Sie sicher, dass der DHCP-Server konfiguriert und der DHCP-Dienst aktiv ist, wenn Sie die Serverkonfiguration starten: – DHCP-Client-ID (optional). Eine Zeichenfolge, die nützlich zum Erkennen eines Anschlusses ist, wenn sich dessen IP-Adresse ändert. Geben Sie keine DHCP-Client- ID an, wenn Sie den Serverassistenten zum fernen Kon- figurieren des Servers verwenden. Verwenden Sie stattdessen nach Abschluss der Konfiguration die Systemein- stellung „Netzwerk“ des Servers, um eine DHCP-Client-ID zu definieren. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen. BootP Geben Sie die folgenden Einstellungen an, wenn Sie verwenden einen Bootstrap-Protokollserver verwenden möchten, um dem identifizierten Anschluss eine IP-Adresse zuzuweisen. Bei BootP wird einer bestimmten Netzwerkschnittstelle die gleiche IP-Adresse zugewiesen. Diese Methode wird in erster Linie bei Computern verwendet, die über ein NetBoot-Image gestartet werden: – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten Domain-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen.

238 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben IPv6 Zum Konfigurieren der IPv6-Adressierung für den Anschluss wählen Sie „Automatisch“ oder „Manuell“. Wählen Sie „Automatisch“, wenn der Server automatisch eine IPv6-Adresse für den Anschluss generieren soll. Wählen Sie „Manuell“, um IPv6-Einstellungen anzugeben: – IPv6-Adresse. Wird generell im Format „0000:0000:0000:0000:0000:0000:0000:0000“ angegeben. – Router. Die IPv6-Adresse des Routers auf dem lokalen Teilnetzwerk. – Präfixlänge. Die Anzahl signifikanter Bits in der Teilnetz- maske, die zum Identifizieren des Netzwerks verwendet werden. Ethernet- Wenn Sie die Etherneteinstellungen für diesen Anschluss einstellungen automatisch konfigurieren möchten, wählen Sie „Automatisch“. Wählen Sie „Manuell“ zum Angeben von Einstellungen, wenn spezifische Voraussetzungen für das Netzwerk vorliegen, mit dem der Server verbunden ist. Inkorrekte Etherneteinstellungen können die Netzwerkleistung beeinträchtigen oder einen Anschluss sogar ganz unbrauchbar machen: – Geschwindigkeit. Die maximale Ethernetgeschwindig- keit (in Bit pro Sekunde) für Übertragungen an diesem Anschluss. Wählen Sie eine der folgenden Optionen Automatisch, 10BASE-T/UTP, 100BASE-TX, 1000BASE-TX. – Duplex. Damit wird festgelegt, ob Eingangs- und Aus- gangspakete gleichzeitig (vollduplex) oder im Wechsel (halbduplex) übertragen werden. – Maximale Paketgröße für die Übertragung (MTU). Das größte Paket, das der Port sendet oder empfängt, angegeben in Byte. Die Erhöhung der Paketgröße steigert den Durchsatz, allerdings müssen die Geräte, die diese Pakete empfangen (Switches, Router usw.) die betreffende Paketgröße auch unterstützen. Wählen Sie eine der folgenden Optionen: Standard (1500), Jumbo (9000), oder Angepasst (geben Sie einen Wert von 72 bis 1500 ein).

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 239 Die Konfigurationseinstellungen für den folgenden Anschluss werden in der folgenden Tabelle dargestellt:

Anschlussname:

Objekt Beschreibung Ihre Angaben Gerätename Ein UNIX-Name für den Anschluss im Format enx. Dabei beginnt x mit 0. In Ihrem Hardwarehandbuch finden Sie den Wert für x zu dem Anschluss, den Sie beschreiben. Der Wert en0 bezeichnet stets einen integrierten Ethernetanschluss. Ethernetadresse Die MAC-Adresse (Media Access Control) des Anschlus- ses (00:00:00:00:00:00). Dieser Wert ist normalerweise auf einem Aufkleber an der Serverhardware aufgedruckt. Sie können aber auch das Programm „Apple System Profiler“ oder ein Befehlszeilenprogramm wie „networksetup“ ausführen, um diesen Wert festzustellen. TCP/IP und Geben Sie an, ob Sie den Anschluss für TCP/IP und/oder AppleTalk AppleTalk aktivieren möchten. Sie können einen Anschluss mit dem Internet verbinden, indem Sie TCP/IP aktivieren und den gleichen oder einen anderen Anschluss für AppleTalk verwenden. Aktivieren Sie nicht mehr als einen Anschluss für Apple- Talk. Reihenfolge der Wenn Sie mehrere Anschlüsse aktivieren, geben Sie die Anschlüsse Reihenfolge an, in der beim Versuch, eine Verbindung zu einem Netzwerk herzustellen, der Zugriff auf diese Anschlüsse erfolgen soll. Der gesamte nicht lokale Netz- werkverkehr verwendet den ersten aktiven Anschluss. TCP/IP- Verwenden Sie eine der nächsten vier Optionen in dieser Einstellungen Tabelle.

240 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben Manuell Geben Sie die folgenden Einstellungen an, um TCP/IP- Einstellungen manuell zu konfigurieren: – IP-Adresse (000.000.000.000). Eine eindeutige statische Adresse. – Teilnetzmaske (000.000.000.000). Dient zum Auffinden des Teilnetzwerks in dem lokalen Netzwerk, in dem sich der Server befindet. Diese Maske wird verwendet, um die netzwerkbezogenen Teil der Serveradresse abzuleiten. Der übrige Teil gibt den Servercomputer in diesem Netzwerk an. – Router (000.000.000.000), der das Teilnetzwerk unter- stützt, auf dem sich der Server befindet. Der Router ist der Computer im lokalen Teilnetzwerk, an den E-Mails gesendet werden, wenn sich die Ziel-IP-Adresse nicht im lokalen Teilnetzwerk befindet. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen. DHCP mit manu- Geben Sie die folgenden Einstellungen an, wenn Sie eller IP-Adresse einen DHCP-Server verwenden möchten, um eine statische IP-Adresse und wahlweise noch weitere Einstellun- gen für den Anschluss zuzuweisen. Stellen Sie sicher, dass der DHCP-Server konfiguriert und der DHCP-Dienst aktiv ist, wenn Sie die S erverkonfiguration starten: – IP-Adresse (000.000.000.000). Eine eindeutige statische Adresse. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen.

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 241 Objekt Beschreibung Ihre Angaben DHCP Geben Sie die folgenden Einstellungen an, wenn Sie verwenden einen DHCP-Server verwenden möchten, um eine dynamische IP-Adresse und wahlweise noch weitere Einstel- lungen für den Anschluss zuzuweisen. Stellen Sie sicher, dass der DHCP-Server konfiguriert und der DHCP-Dienst aktiv ist, wenn Sie die Serverkonfiguration starten: – DHCP-Client-ID (optional). Eine Zeichenfolge, die nützlich zum Erkennen eines Anschlusses ist, wenn sich dessen IP-Adresse ändert. Geben Sie keine DHCP-Client- ID an, wenn Sie den Serverassistenten zum fernen Kon- figurieren des Servers verwenden. Verwenden Sie stattdessen nach Abschluss der Konfiguration die Systemein- stellung „Netzwerk“ des Servers, um eine DHCP-Client-ID definieren. – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten DNS-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen. BootP Geben Sie die folgenden Einstellungen an, wenn Sie verwenden einen Bootstrap-Protokollserver verwenden möchten, um dem identifizierten Anschluss eine IP-Adresse zuzuweisen. Bei BootP wird einer bestimmten Netzwerkschnittstelle stellt die gleiche IP-Adresse zugewiesen. Diese Methode wird in erster Linie bei Computern verwendet, die über ein NetBoot Image gestartet werden: – DNS-Server (000.000.000.000), der zum Konvertieren von IP-Adressen zu qualifizierten Domain-Namen (und umgekehrt) für den Anschluss verwendet wird. – Such-Domains (optional). Namen, die automatisch an Internetadressen angefügt werden sollen, wenn Sie diese nicht vollständig (qualifiziert) angeben. Wenn Sie z. B. „campus.univ.edu“ als Such-Domain angeben, können Sie „server1“ in das Finder-Dialogfenster „Mit Server verbinden“ eingeben, um die Verbindung zu server1.campus.univ.edu herzustellen.

242 Anhang Mac OS X Server – Erweitertes Arbeitsblatt Objekt Beschreibung Ihre Angaben IPv6 Zum Konfigurieren der IPv6-Adressierung für den Anschluss wählen Sie „Automatisch“ oder „Manuell“. Wählen Sie „Automatisch“, wenn der Server automatisch eine IPv6-Adresse für den Anschluss generieren soll. Wählen Sie „Manuell“, um IPv6-Einstellungen anzugeben: – IPv6-Adresse. Wird generell im Format „0000:0000:0000:0000:0000:0000:0000:0000“ angegeben. – Router. Die IPv6-Adresse des Routers auf dem lokalen Teilnetzwerk. – Präfixlänge. Die Anzahl signifikanter Bits in der Teilnetz- maske, die zum Identifizieren des Netzwerks verwendet werden. Etherneteinstel- Wenn Sie die Etherneteinstellungen für diesen Anschluss lungen automatisch konfigurieren möchten, wählen Sie „Automatisch“. Wählen Sie „Manuell“ zum Angeben von Einstellungen, wenn spezifische Voraussetzungen für das Netzwerk vorliegen, mit dem der Server verbunden ist. Inkorrekte Etherneteinstellungen können die Netzwerkleistung beeinträchtigen oder einen Anschluss sogar ganz unbrauchbar machen: – Geschwindigkeit. Die maximale Ethernetgeschwindig- keit (in Bit pro Sekunde) für Übertragungen an diesem Anschluss. Wählen Sie eine der folgenden Optionen: Automatisch, 10BASE-T/UTP, 100BASE-TX, 1000BASE-TX. – Duplex. Damit wird festgelegt, ob Eingangs- und Aus- gangspakete gleichzeitig (vollduplex) oder im Wechsel (halbduplex) übertragen werden. – Maximale Paketgröße für die Übertragung (MTU). Das größte Paket, das der Port sendet oder empfängt, angegeben in Byte. Die Erhöhung der Paketgröße steigert den Durchsatz, allerdings müssen die Geräte, die diese Pakete empfangen (Switches, Router usw.) die betreffende Paketgröße auch unterstützen. Wählen Sie eine der folgenden Optionen: Standard (1500), Jumbo (9000), oder Angepasst (geben Sie einen Wert von 72 bis 1500 ein).

Anhang Mac OS X Server – Erweitertes Arbeitsblatt 243

Glossar Glossar

Administrator Ein Benutzer mit Verwaltungsrechten für einen Server oder eine Ver- zeichnis-Domain. Administratoren sind grundsätzlich Mitglieder der vordefinierten „admin“-Gruppe.

Administratorcomputer Ein Mac OS X-Computer, auf dem die Programme für die Serververwaltung von der CD „Mac OS X Server-Admin“ installiert wurden.

AFP Apple Filing Protocol. Ein von AFS (Apple File Service) zur Freigabe von Dateien und Netzwerkdiensten verwendetes Client/Server-Protokoll. AFP verwendet TCP/IP und andere Protokolle zur Unterstützung der Kommunikation zwischen Computern in einem Netzwerk.

Aktivieren Bezeichnet den Prozess, durch den ein entferntes Verzeichnis oder Volume für den Zugriff auf einem lokalen System verfügbar gemacht wird. In Xsan wird auf diese Weise ein Xsan-Volume – wie ein lokales Volume – auf dem Schreibtisch eines Clients angezeigt.

Aktivierungspunkt Eine Zeichenfolge, die beim Streaming zur Kennzeichnung eines Live-Streams verwendet wird. Dabei kann es sich um einen weitergeleiteten Film- Stream, um einen nicht weitergeleiteten Film-Stream oder um einen MP3-Stream handeln. Aktivierungspunkte zur Kennzeichnung von Live-Film-Streams haben immer die Erweiterung „.sdp“.

Alphanumerisch Zeichenfolgen, die sich aus Buchstaben, Zahlen und Interpunktions- zeichen (z. B. „_“ und „?“) zusammensetzen.

Anmelden Das Starten einer Sitzung mit einem Computer (häufig durch Identifizie- rung als Benutzer mit einem Account auf dem Computer), damit auf Dienste oder Dateien zugegriffen werden kann. Beachten Sie, dass sich das Anmelden vom Herstel- len einer Verbindung unterscheidet. Bei Letzterem geht es lediglich um das Aufbauen einer Verbindung zum Computer.

Anwendungsserver Software, die die Ausführung und Verwaltung anderer Pro- gramme, meist Webprogramme, ermöglicht, auf die über einen Webbrowser zugegriffen wird. Die verwalteten Anwendungen befinden sich auf dem selben Computer auf dem der Anwendungsserver ausgeführt wird.

245 Apache Ein Open Source-HTTP-Server, der in Mac OS X Server integriert ist. Ausführ- liche Informationen zu Apache finden Sie im Internet unter: www.apache.org.

Arbeitsgruppe Eine Gruppe von Benutzern, für die Sie Einstellungen und Zugriffs- rechte definieren. Alle Einstellungen, die Sie für eine Gruppe definieren, werden in deren Gruppen-Account gespeichert.

Autorisierung Das Verfahren, mit dem ein Server festlegt, ob ein Benutzer Zugriff auf eine bestimmte Ressource erhält und welche Berechtigungsebenen dem Benutzer zugewiesen werden. In der Regel erfolgt die Autorisierung erst, nachdem durch die Identifikationsüberprüfung die Identität des Benutzers bestätigt wurde. So wird beispielsweise einem identifizierten Benutzer vom Dateidienst die Berechtigung zum uneingeschränkten Zugriff auf die eigenen Ordner und Dateien erteilt.

Bandbreite Die Kapazität einer Netzwerkverbindung in Bit oder Byte pro Sekunde zur Übertragung von Daten.

Befehlszeile Der Text, den Sie in eine Shell-Eingabeaufforderung eingeben, wenn Sie ein Befehlszeilenfenster verwenden.

Befehlszeilenfenster Eine Möglichkeit, mit dem Computer zu interagieren (z. B. Pro- gramme auszuführen oder Zugriffsrechte für Dateisysteme zu ändern), indem Sie Text- befehle in eine Shell-Eingabeaufforderung eingeben. Vgl. auch Shell.

Benutzername Der Langname eines Benutzers, manchmal als „realer“ Name des Benut- zers bezeichnet. Vgl. auch Kurzname.

Benutzerordner Ein Ordner zur persönlichen Verwendung. Unter Mac OS X wird der Benutzerordner zum Speichern von Systemeinstellungen und verwalteten Benutzerein- stellungen für Mac OS X-Benutzer verwendet. Auch Benutzerverzeichnis genannt.

Benutzerverzeichnis Vgl. Benutzerordner.

BIND Berkeley Internet Name Domain. Das zum Lieferumfang von Mac OS X Server gehörende Programm, das DNS implementiert. Das Programm wird auch als Daemon bezeichnet oder bei Ausführung des Programms benannt.

Blog Eine Webseite mit chronologisch geordneten Einträgen. Wird häufig als eine Art elektronisches Tagebuch bzw. ein elektronisches Rundschreiben verwendet.

Bonjour Ein von Apple entwickeltes Protokoll zur automatischen Erkennung von Com- putern, Geräten und Diensten in IP-Netzwerken. Dieses von Apple „Bonjour“ (zuvor „Rendezvous“) genannte, vereinbarte Internetstandardprotokoll wird gelegentlich auch als „ZeroConf“ oder „Multicast DNS“ bezeichnet. Weitere Informationen finden Sie unter: www.apple.com oder www.zeroconf.org. Zur Verwendung dieses Protokolls im Zusam- menhang mit Mac OS X Server finden Sie unter Lokaler Hostname.

246 Glossar Boot-ROM Von einem Computer in der Anfangsphase des Systemstarts verwendete Anweisungen unterer Ebene.

BSD Berkeley Software Distribution. UNIX Version, auf der die Mac OS X Software basiert.

Cache Ein Speicherbereich oder Festplattenbereich, der häufig verwendete Daten speichert, um die Verarbeitungsgeschwindigkeit zu erhöhen. Der Lese-Cache enthält Daten für den Fall, dass ein Client sie benötigt. Ein Schreib-Cache enthält von einem Client geschriebene Daten, bis sie auf einem Volume gespeichert werden können.

Client Ein Computer (oder ein Benutzer eines Computers), der Daten oder Dienste von einem anderen Computer oder Server anfordert.

Computerliste Eine Reihe von Computern, für die verwaltete Einstellungen in einer Liste definiert sind, und die bestimmten Benutzern und Gruppen zur Verfügung stehen. Ein Computer kann jeweils zu nur einer Computerliste gehören. Computerlisten werden Mac OS X Server 10.4 (oder älter) erstellt.

Computername Der Standardname, der für Registrierungen der Dienste SLP und SMB verwendet wird. Der Netzwerkbrowser im Finder verwendet SLP zum Finden von Com- putern, die Personal File-Sharing und Windows File-Sharing anbieten. Es kann so konfiguriert werden, dass es Teilnetzwerke überbrückt, je nach den Einstellungen des Netzwerk-Routers. Wenn Sie Personal File-Sharing aktivieren, sehen die Benutzer den Computernamen im Dialogfenster „Mit Server verbinden“ im Finder. Zuerst lautet dieser nach dem ersten erstellten Benutzer z. B. „s Computer“ (also z. B. „Pauls Com- puter“). Der Name kann aber beliebig geändert werden. Der Computername wird beim Suchen nach Netzwerkdateiservern, die Bluetooth-Entdeckung, Apple Remote Desktop- Clients und andere Netzwerkressourcen verwendet, die Computer anhand des Compu- ternamens (und nicht anhand der Netzwerkadresse) identifizieren. Der Computername bildet auch die Basis für den standardmäßigen lokalen Hostnamen.

CUPS Common UNIX Printing System. Eine plattformübergreifende Druckfunktiona- lität auf der Basis des Internet Printing Protocol (IPP). Die Druckinfrastruktur von Mac OS X, das zugrunde liegendes Drucksystem und der Druckdienst von Mac OS X Server basieren jeweils auf CUPS. Weitere Informationen zu diesem Thema finden Sie unter www.cups.org.

Daemon Ein Programm, das im Hintergrund abläuft und wichtige Systemdienste zur Verfügung stellt, wie z. B. die Verarbeitung von eingehenden E-Mails oder die Bearbei- tung von Anfragen aus dem Netzwerk.

Dateiserver Ein Computer, der den Clients Dateien bereitstellt. Ein Dateiserver kann ein Computer für allgemeine Zwecke sein, der zusätzliche Programme bereitstellt, oder ein Computer, der nur Dateien bereitstellt.

Glossar 247 Dateisystem Eine Schema für die Datenspeicherung auf Massenspeichergeräten, das es Programmen erlaubt, Dateien zu lesen und zu schreiben, ohne weitere Details kennen zu müssen.

DHCP Dynamic Host Configuration Protocol. Ein Protokoll für die dynamische Vertei- lung von IP-Adressen an Client-Computer. Bei jedem Starten eines Client-Computers sucht das Protokoll nach einem DHCP-Server und fordert eine IP-Adresse von diesem Server an. Der DHCP-Server sucht nach einer verfügbaren IP-Adresse und sendet sie zusammen mit einer Lease-Dauer – der Zeitspanne, während der der Client-Computer die Adresse nutzen darf – an den Client-Computer.

DHCP-Lease-Dauer Vgl. Lease-Dauer.

Digitale Signatur Eine elektronische Signatur, mit der die Identität des Senders einer Nachricht überprüft werden kann.

DNS Domain Name System. Eine verteilte Datenbank, die IP-Adressen Domain-Namen zuordnet. Auf einem DNS-Server, auch als Name-Server bezeichnet, wird eine Liste von Namen und zugehörigen IP-Adressen geführt.

DNS-Domain Ein eindeutiger Name eines Computers, der im Domain Name System zum Übersetzen von IP-Adressen und Namen verwendet wird. Auch als Domain-Name bezeichnet.

DNS-Name Ein eindeutiger Name eines Computers, der im Domain Name System zum Übersetzen von IP-Adressen und Namen verwendet wird. Auch als Domain-Name bezeichnet.

Domain Teil des Domain-Namens eines Computers im Internet. Er enthält nicht die Domain-Bezeichnung der obersten Ebene (z. B. .com, .net, .us, .uk). Der Domain-Name „www.beispiel.com“ setzt sich zusammen aus der Subdomain oder dem Hostnamen „www,“ der Domain „beispiel“ und der Domain höchster Ebene „com“.

Domain Name Vgl. DNS-Name.

Domain Name System Vgl. DNS.

DSL Digital Subscriber Line. Eine Technologie, die über die Telefonleitung einen Internetzugang mit hoher Bandbreite für die Datenübertragung bereitstellt.

Durchsatz Die Rate, mit der ein Computer Daten verarbeiten kann.

Dynamic Host Configuration Protocol Vgl. DHCP.

Dynamische IP-Adresse Eine IP-Adresse, die für einen begrenzten Zeitraum (bzw. bis sie vom Client-Computer nicht mehr benötigt wird) zugeordnet wird.

248 Glossar Ebene Ein Mechanismus zur Vergabe von Prioritäten für die Spuren in einem Film oder für die Überlappung von Sprites. Wenn QuickTime einen Film abspielt, werden die Bilder des Films entsprechend ihrer Ebene angezeigt. Bilder mit niedrigeren Ebenen- nummern werden ganz oben angezeigt. Bilder mit höheren Ebenennummern werden u. U. von Bildern mit niedrigeren Nummern verdeckt.

EFI Extensible Firmware Interface. Software, die automatisch ausgeführt wird, wenn ein Macintosh-Computer mit Intel-Prozessor erstmals gestartet wird. Die Software bestimmt die Hardwarekonfiguration der Computer und startet die Systemssoftware.

Eigenständiger Server Ein Server, der Dienste in einem Netzwerk bereitstellt, jedoch keine Verzeichnisdienste von einem anderen Server erhält oder diese anderen Com- putern bietet.

Eintrag Eine spezielle Kategorie von Einträgen wie beispielsweise Benutzer, Computer und aktivierte Volumes. Eine Verzeichnis-Domain kann beliebig viele Einträge eines bestimmten Eintragstyps enthalten.

Entschlüsselung Der Empfang verschlüsselter Daten unter Verwendung spezieller Zusatzinformationen. Vgl. auch Verschlüsselung.

Ethernet Eine gängige Technologie für lokale Netzwerke, bei der Daten in Form von Paketen mit Protokollen wie TCP/IP übertragen werden.

Ethernet-ID Vgl. MAC-Adresse.

Export Im Netzwerkdateisystem (NFS) eine Möglichkeit einen Ordner gemeinsam mit Clients in einem Netzwerk zu nutzen.

Failover In Xsan der automatische Vorgang, durch den ein Ersatz-Metadaten-Controller zum aktiven Metadaten-Controller wird, wenn der primäre Controller ausfällt.

Fast Ethernet Eine Gruppe von Ethernetstandards, in der Daten mit 100 MBit/Sek. (Megabit pro Sekunde) übertragen werden.

Festplatte Ein mehrfach beschreibbares Massenspeichergerät. Vgl. auch Festplattenlaufwerk.

Festplattenlaufwerk Ein Gerät, das eine Festplatte enthält und Daten auf diese Fest- platte schreibt oder von ihr liest.

Filter Eine Auswahlmethode zur Steuerung des Zugriffs auf einen Server. Ein Filter umfasst eine IP-Adresse und eine Teilnetzmaske sowie in manchen Fällen eine Port- Nummer und einen Zugriffstyp. IP-Adresse und Teilnetzmaske legen den IP-Adress- bereich fest, für den der Filter gelten soll.

Glossar 249 Firewall Software, mit der auf Ihrem Server ausgeführten Netzwerkprogramme geschützt werden. Der in der Mac OS X-Server-Software enthaltene IP-Firewall-Dienst überprüft eingehende IP-Pakete und weist sie zurück oder akzeptiert sie anhand der von Ihnen erstellten Filter.

FireWire Eine Hardwaretechnologie für das Austauschen von Daten mithilfe von Peripheriegeräten, die durch den IEEE-Standard 1394 definiert sind.

Formatieren Allgemein das Vorbereiten eines Volumes für die Verwendung durch ein bestimmtes Dateisystem.

FTP (File Transfer Protocol.) Ein Protokoll, das Computern das Übertragen von Dateien über ein Netzwerk ermöglicht. FTP-Clients mit einem beliebigen Betriebssystem, das FTP unterstützt, können in Abhängigkeit von den jeweiligen Zugriffsrechten eine Verbindung zu Ihrem Dateiserver herstellen und Dateien laden. Die meisten Internet- browser und eine Reihe von Freeware-Programmen können für den Zugriff auf einen FTP-Server genutzt werden.

Gastbenutzer Ein Benutzer, der sich ohne Benutzername oder Kennwort bei Ihrem Server anmelden kann.

Gastcomputer Ein Computer, für den kein Computer-Account vorhanden ist.

Gateway Ein Netzwerkknoten, der ein Netzwerk mit einem anderen verbindet. Oft bezeichnet dies einen Computer, der ein privates lokales Netzwerk mit einem öffent- lichen Weitverkehrsnetzwerk (WAN) verbindet, mit oder ohne NAT (Network Address Translation). Ein Router ist eine Sonderform des Gateway, das zusammengehörige Netzwerksegmente miteinander verbindet.

GB Gigabyte. 1,073,741,824 (230) Byte.

Gespiegeltes RAID-System Bezeichnet ein Volume-Array, das RAID 1 oder Spiegeln verwendet.

Gigabit-Ethernet Eine Gruppe von Ethernetstandards, in der Daten mit 1 GBit/Sek. (Gigabit pro Sekunde) übertragen werden. Abkürzung: GBE.

Gigabyte Vgl. GB.

Gruppe Mehrere Benutzer oder Geräte mit ähnlichen Anforderungen. Die Untertei- lung in Gruppen vereinfacht die Verwaltung gemeinsamer Ressourcen.

Gruppenordner Ein Ordner zum Verwalten von Dokumenten und Programmen der Gruppenmitglieder sowie zum Austausch von Informationen zwischen Gruppenmitgliedern.

Hochverfügbarkeit Die Fähigkeit eines Systems, seine Funktionalitäten kontinuierlich (unterbrechungsfrei) bereitzustellen.

250 Glossar Host Eine andere Bezeichnung für einen Server.

Hostname Ein eindeutiger Name für einen Computer, der früher auch UNIX-Hostname genannt wurde.

HTML Hypertext Markup Language. Die Gruppe von Symbolen oder Codes, die in eine Datei eingefügt werden, damit diese auf einer Webbrowser-Seite angezeigt werden kann. Dieser Code weist den Webbrowser an, wie die Wörter und Bilder einer Webseite dem Benutzer angezeigt werden sollen.

HTTP Hypertext Transfer Protocol. Das Client/Server-Protokoll für das World Wide Web. Mit HTTP kann ein Webbrowser auf einen Webserver zugreifen und Hypermedia-Doku- mente anfordern, die mit HTML erstellt wurden.

Hypertext Markup Language Vgl. HTML.

Hypertext Transfer Protocol Vgl. HTTP.

IANA Internet Assigned Numbers Authority. Eine Organisation, die für das Zuweisen von IP-Adressen und Protokollparametern und das Verwalten von Domain-Namen zuständig ist.

ICMP Internet Control Message Protocol. Ein Protokoll für die Steuerung von Nachrich- ten und Fehlermeldungen, das zwischen Host-Servern und Gateways eingesetzt wird. Beispielsweise verwenden einige Internetsoftwareprogramme ICMP zum Senden eines Pakets zwischen zwei Hosts, um die für den Hin- und Rückweg benötigte Zeit zu ermitteln und Probleme im Netzwerk zu erkennen.

Identifizierung Der Prozess, bei dem die Identität des Benutzers verifiziert wird (meist durch Prüfung eines Benutzernamens und eines Kennworts). In der Regel erfolgt zuerst die Identifikationsüberprüfung, bevor in einem separaten Autorisierungsprozess anhand der Zugriffsrechte eines Benutzers eine bestimmte Ressource freigegeben wird. So erteilt beispielsweise der Dateidienst einem Benutzer, dessen Identifikations- überprüfung erfolgreich abgeschlossen wurde, alle Zugriffsrechte für dessen Ordner und Dateien.

Identitätszertifikat Vgl. Zertifikat.

IGMP Internet Group Management Protocol. Ein von Hosts und Routern zum Senden von Paketen an Hosts, die teilnehmen wollen, verwendetes Internetprotokoll. Der gesamte Prozess wird als Multicasting bezeichnet. QuickTime Streaming Server (QTSS) verwendet ebenso Multicast-Adressierung wie Service Location Protocol (SLP).

Image Vgl. Image-Datei.

Glossar 251 Image-Datei Eine Datei, die nach dem Öffnen ein Symbol auf einem Mac OS-Schreib- tisch angelegt, das wie ein Volume aussieht und sich auch so verhält. Mit NetBoot kön- nen Client-Computer von einer serverbasierten Image-Datei aus, die Systemsoftware enthält, über das Netzwerk gestartet werden. Image-Dateien haben als Dateierweite- rung entweder „.img“ oder „.dmg“. Diese beiden Image-Formate sind sich recht ähnlich und werden durch das gleiche Symbol im Finder dargestellt. Das Format „.dmg“ kann nicht auf Computern mit Mac OS 9 verwendet werden.

Image-Datei für Paketinstallation Eine Datei für die Installation von Paketen. Mithilfe von NetBoot können Client-Computer im Netzwerk gestartet werden. Zum Installieren von Software wird diese Image-Datei verwendet. Im Gegensatz zu Image-Dateien für Blockkopien können Sie hier dieselbe Image-Datei für verschiedene Hardwarekonfigu- rationen verwenden.

Installationspaket Ein Dateipaket mit der Dateierweiterung .pkg. Ein Installationspa- ket enthält Ressourcen für das Installieren eines Programms, einschließlich Dateiarchiv, „Bitte lesen“- und Lizenzdokumente und Installationsskripts.

Internet Eine Gruppe miteinander verbundener Computernetzwerke, die über ein gemeinsames Protokoll (TCP/IP) miteinander kommunizieren. Das Internet ist das weltweit größte öffentlich zugängliche System miteinander verbundener Computernetzwerke.

Intranet Ein Netzwerk von Computern, das von und für die internen Benutzer einer Organisation betrieben wird. Der Zugriff beschränkt sich üblicherweise auf die Mit- glieder der betreffenden Organisation. Oft bezeichnet der Begriff eine Website der Organisation, auf die nur innerhalb der Organisation zugegriffen werden kann. Intra- nets verwenden die gleichen Netzwerktechnologien wie das Internet (TCP/IP), und manchmal stellen sie auch die Verbindung zwischen älteren Informationssystemen und modernen Netzwerktechnologien her.

IP Internet Protocol. Auch unter der Abkürzung IPv4 bekannt. Eine bei TCP (Transmission Control Protocol) zum Senden von Daten zwischen Computern über ein lokales Netzwerk oder das Internet verwendete Methode. IP stellt Daten- pakete zu und TCP verwaltet sie.

IP-Adresse Eine eindeutige numerische Adresse zur Identifizierung eines Computers im Internet.

IP-Teilnetzwerk Teil eines IP-Netzwerks. Dabei kann es sich um ein physisch unab- hängiges Netzwerksegment handeln, das sich eine Netzwerkadresse mit anderen Teilen des Netzwerks teilt. Wird durch eine Teilnetzwerknummer gekennzeichnet.

IPP Internet Printing Protocol. Ein Client-Server-Protokoll zum Drucken via Internet. Die Druck-Infrastruktur von Mac OS X und der darauf aufbauende Druckdienst von Mac OS X Server unterstützen IPP.

252 Glossar IPSec Eine Sicherheitsergänzung zu IP. Dabei handelt es sich um ein Protokoll, das für Datenübertragungssicherheit in L2TP VPN-Verbindungen sorgt. IPSec arbeitet auf Netz- werkebene und schützt und identifiziert IP-Pakete zwischen beteiligten IPSec-Knoten.

IPv4 Vgl. IP.

IPv6 Internet Protocol Version 6. Das Kommunikationsprotokoll der nächsten Genera- tion, das IP (auch bekannt als IPv4) ersetzen wird. Mit IPv6 ist es möglich, eine größere Anzahl an Netzwerkadressen zu verwenden und die durch das Routing verursachte Auslastung des Internets zu reduzieren.

Jeder Jeder Benutzer, der sich bei einem Dateiserver anmelden kann: ein registrierter Benutzer oder Gast, ein anonymer FTP-Benutzer oder ein Besucher einer Website.

Journaldaten In Xsan Daten über Dateisystemübertragungen auf einem Xsan-Volume.

KB Kilobyte. 1,024 (210) Byte.

KDC Kerberos Key Distribution Center. Ein vertrauenswürdiger Server, der Kerberos- Tickets ausgibt.

Kennwort Eine alphanumerische Zeichenfolge, mit der die Identität eines Benutzers bestätigt oder der Zugriff auf Dateien oder Dienste genehmigt wird.

Kennwortrichtlinie Eine Reihe von Regeln, mit denen der Aufbau und die Gültigkeit des Kennworts eines Benutzers gesteuert wird.

Kerberos Ein sicheres System zur Netzwerkidentifikationsüberprüfung. Kerberos arbeitet mit Tikkets, die für einen bestimmten Benutzer, Server und Zeitpunkt vergeben werden. Nachdem ein Benutzer identifiziert ist, kann er auf weitere Dienste zugreifen und muss dabei für Dienste, die für die Verwendung von Kerberos konfiguriert wurden, nicht erneut ein Kennwort eingeben. (In diesem Fall wird dann von einer Gesamtauthentifizierung gesprochen.) Mac OS X Server verwendet Kerberos v5.

Kerberos Key Distribution Center Vgl. KDC.

Kerberos Realm Die Domain für die Identifikationsüberprüfung, die die Benutzer und Dienste umfasst, die beim gleichen Kerberos Server registriert sind. Die registrierten Benutzer und Dienste verlassen sich auf den Kerberos-Server beim Überprüfen der jeweiligen Identität.

Kilobyte Vgl. KB.

Klartext Unverschlüsselte Daten.

Klartext Unverschlüsselter Text.

Glossar 253 Kurzname Ein abgekürzter Name für einen Benutzer. Der Kurzname wird von Mac OS X für Privatordner, Identifizierung und E-Mail-Adressen verwendet.

L2TP Layer Two Tunnelling Protocol. Ein Netzwerktransportprotokoll für VPN-Verbin- dungen. Dabei handelt es sich im Grunde genommen um eine Kombination aus L2F von Cisco und PPTP. L2TP selbst ist kein Verschlüsselungsprotokoll und verwendet daher IPSec für die Paketverschlüsselung.

LAN Local Area Network. Ein lokales Netzwerk innerhalb einer Einrichtung.Gegenstück zum Weitverkehrsnetzwerk (Wide Area Network, WAN), über das geografisch voneinander getrennte Einrichtungen miteinander verbunden werden.

Langname Die lange Form eines Benutzer- oder Gruppennamens. Vgl. auch Benutzername.

Lastenverteilung Der Prozess der Verteilung von Anforderungen der Client-Computer nach Netzwerkdiensten über mehrere Server zur Optimierung der Gesamtleistung.

LDAP Lightweight Directory Access Protocol. Ein standardmäßiges Client/Server-Proto- koll für den Zugriff auf eine Verzeichnis-Domain.

Lease-Dauer Eine begrenzte Zeitspanne, während der zugewiesene IP-Adressen gültig sind. Durch das Verwenden einer kurzen Lease-Dauer kann DHCP IP-Adressen in Netz- werken zuweisen, in denen mehr Computer als verfügbare IP-Adressen existieren.

Lightweight Directory Access Protocol Vgl. LDAP.

Link Eine aktive physische Verbindung (elektrisch oder optisch) zwischen zwei Knoten in einem Netzwerk.

Local Area Network Vgl. LAN.

Lokale Domain Eine Verzeichnis-Domain, auf die nur von dem Computer aus zugegriffen werden kann, auf dem sie sich befindet.

Lokale Verzeichnis-Domain Ein Verzeichnis mit Informationen für die Identifizierung, Zugriffsrechte und andere administrative Daten, auf das nur auf dem Computer zugegriffen werden kann, auf dem sich das Verzeichnis befindet. Von anderen Computern im Netzwerk kann auf die lokale Verzeichnis-Domain nicht zugegriffen werden.

Lokaler Benutzerordner Ein Benutzerordner, der sich auf einem Volume des Compu- ters befindet, bei dem sich ein Benutzer angemeldet hat. Sofern Sie sich nicht über SSH bei dem Computer angemeldet haben, ist der Zugriff auf diesen Ordner nur über eine direkte Anmeldung bei dem Computer möglich, auf dem sich der betreffende Benut- zerordner befindet.

254 Glossar Lokaler Hostname Ein Name, der einen Computer in einem lokalen Teilnetzwerk bezeichnet. Er kann ohne globales DNS-System dazu verwendet werden, Namen zu IP-Adressen aufzulösen. Er enthält Kleinbuchstaben, Zahlen oder Bindestriche (aber nicht als letztes Zeichen) und endet mit „.local“ (Beispiel: bills-computer.local). Der Standardname wird zwar vom Computernamen abgeleitet, ein Benutzer kann jedoch diesen Namen im Bereich „Sharing“ der Systemeinstellungen selbst festlegen. Er kann problemlos geändert und überall als DNS-Name oder qualifizierter Domain-Name verwendet werden. Er kann nur im gleichen Teilnetzwerk aufgelöst werden, zu dem der ihn verwendende Computer gehört.

Lokales Benutzerverzeichnis Vgl. Lokaler Benutzerordner.

LPR Line Printer Remote. Ein Standardprotokoll zum Drucken über TCP/IP.

MAC Media Access Control. Vgl. MAC-Adresse.

Mac OS X Die neuste Version des Apple-Betriebssystems. Mac OS X verbindet die Zuverlässigkeit von UNIX mit der Benutzerfreundlichkeit des Macintosh.

Mac OS X Server Eine leistungsfähige Serverplattform; bietet Macintosh-, Windows-, UNIX- und Linux-Clients sofortige Unterstützung, stellt eine ganze Reihe skalierbarer Arbeitsgruppen- und Netzwerkdienste und leistungsstarke Programme für die Fern- verwaltung zur Verfügung.

MAC-Adresse Media Access Control-Adresse. Eine Hardwareadresse, die jeden Knoten in einem Netzwerk eindeutig identifiziert. Bei AirPort-Geräten wird die MAC-Adresse als „AirPort-ID“ bezeichnet.

Master-Zone Die DNS-Zonen-Einträge, die auf einem primären DNS-Server geführt werden. Eine Master-Zone wird über Zonen-Transfers zu Slave-Zonen auf sekundären DNS-Servern vervielfältigt.

MB Megabyte. 1.048.576 (220) Byte.

Media Access Control Vgl. MAC-Adresse.

Megabyte Vgl. MB.

MS-CHAP Microsoft Challenge Handshake Authentication Protocol. Die standardmä- ßige Windows-Identifizierung für VPN. Bei dieser Methode werden Kennwörter bei ihrer Übertragung über das Netzwerk verschlüsselt und in verschlüsselter Form auf dem Ser- ver gespeichert. APOP bietet gute Sicherheit bei der Netzwerkübertragung. MS-CHAP ist eine proprietäre Version von CHAP.

MySQL Eine Verwaltungswerkzeug für relationale Open Source-Datenbanken, das häufig von Webservern genutzt wird.

Glossar 255 Name-Server Ein Server in einem Netzwerk, der DNS-Dienste bereitstellt, führt eine Liste mit Namen und die IP-Adressen, die den jeweiligen Namen zugeordnet sind. Vgl. auch DNS, WINS.

NAT Network Address Translation. Eine Methode zum Verbinden mehrere Computer mit dem Internet (oder jedem beliebigen anderen IP-Netzwerk) über eine IP-Adresse. NAT konvertiert die IP-Adressen, die Sie für Computer in Ihrem privaten, internen Netz- werk vergeben haben, in eine gültige IP-Adresse für die Internetkommunikation.

Network File System Vgl. NFS.

Network Time Protocol Vgl. NTP.

Netzwerkinstallation Der Prozess des Installierens von Systemen und Software auf Mac OS X Client-Computern über das Netzwerk. Die Softwareinstallation kann unter Aufsicht eines Administrators oder völlig ohne Benutzereingriff stattfinden.

Netzwerkschnittstelle Die Hardwareverbindung Ihres Computers zu einem Netzwerk. Dazu gehören (u. a.) Ethernetverbindungen, AirPort-Karten sowie FireWire-Verbindungen.

NFS (Network File System.) Ein Client-Server-Protokoll, das das Internet Protocol (IP) verwendet, damit die Benutzer auch von entfernten Standorten so auf Dateien zugreifen können, als würden sich diese auf ihren lokalen Systemen befinden. NFS exportiert freigegebene Volumes basierend auf der IP-Adresse und nicht basierend auf Benutzer- name und Kennwort an Computer.

NTP Network Time Protocol. Ein Netzwerkprotokoll, das dazu verwendet wird, die Uhren von Computern in einem Netzwerk mit einer Referenzuhr zu synchronisieren. Mit NTP wird also sichergestellt, dass alle Computer in einem Netzwerk dieselbe Zeit anzeigen.

Öffentlicher Schlüssel (Public Key) Einer von zwei asymmetrischen Schlüsseln, die in einem PKI-Sicherheitssystem verwendet werden. Der öffentliche Schlüssel wird an andere miteinander kommunizierende Geräte weitergegeben. Er dient der Verschlüsse- lung von Nachrichten, die nur vom Eigentümer des jeweiligen privaten Schlüssels ent- schlüsselt werden können. Außerdem kann damit die Signatur einer Nachricht über- prüft werden, die von einem entsprechenden privaten Schlüssel stammt.

Offline Bezieht sich auf Daten, die nicht sofort verfügbar sind, oder auf ein Gerät, das zwar physisch angeschlossen ist, jedoch nicht verwendet werden kann.

Online Bezieht sich auf Daten, Geräte oder Netzwerkverbindungen, die sofort verwendet werden können.

256 Glossar Open Directory Die Verzeichnisdienst-Architektur von Apple, über die von Verzeichnis- Domains, die LDAP, Active Directory-Protokolle oder BSD-Konfigurationsdateien und Netzwerkdienste verwenden, auf Berechtigungsinformationen zu Benutzern und Netz- werkressourcen zugegriffen werden kann.

Open Directory-Master Ein Server, der einen LDAP-Verzeichnisdienst, Kerberos-Identi- fizierungsdienst und Open Directory-Kennwortserver bereitstellt.

Open Source Eine Bezeichnung für die gemeinschaftliche Entwicklung von Software über das Internet. Das Grundprinzip besteht darin, so viele Personen wie möglich am Schreiben und Debugging von Code zu beteiligen, indem der Quellcode veröffentlicht und die Bildung einer großen Gruppe von Entwicklern gefördert wird, die Änderungen und Erweiterungen einreichen.

Optische Speichermedien Zu den optischen Speichermedien gehören beispielsweise CDs und DVDs.

Partition Eine Teilmenge der Kapazität eines physischen oder logischen Volumes. Parti- tionen bestehen aus zusammenhängenden Blöcken auf dem Volume.

PHP PHP Hypertext Preprocessor (ursprünglich Personal Home Page). Eine in HTML eingebettete Skript-Sprache, die zum Erstellen dynamischer Webseiten verwendet wird.

Physisches Volume Ein tatsächliches, mechanisches Volume. .

Point to Point Tunneling Protocol Vgl. PPTP.

Port Eine Art virtueller „Briefkasten“. Ein Server erkennt anhand der Port-Nummern, welches Programm Datenpakete empfangen soll. Firewalls erkennen anhand der Port- Nummern, ob Datenpakete über ein lokales Netzwerk transportiert werden dürfen. „Port“ bezieht sich gewöhnlich entweder auf TCP oder UDP.

Port-Name Eine eindeutige Bezeichnung für einen Fibre Channel-Anschluss (Port).

POSIX Portable Operating System Interface für UNIX. Eine Gruppe offener System- standards auf UNIX-Grundlage, mit der Programme in eine einzelne Zielumgebung geschrieben werden können, in der sie auf verschiedenen Systemen unverändert ausgeführt werden können.

PPTP Point to Point Tunneling Protocol. Ein Netzwerktransportprotokoll für VPN-Ver- bindungen. Dabei handelt es sich um das Standard-VPN-Protokoll unter Windows. Bei diesem Protokoll wird das vom Benutzer definierte Kennwort dazu verwendet, einen Codierungsschlüssel zu erzeugen.

Glossar 257 Privater Schlüssel Einer von zwei asymmetrischen Schlüsseln, die in einem PKI-Sicher- heitssystem verwendet werden. Der private Schlüssel wird nicht weitergegeben und wird gewöhnlich vom Eigentümer mit einem Kennwort verschlüsselt. Eine Nachricht oder ein Zertifikat kann damit digital signiert und die Authentizität bestätigt werden. Der private Schlüssel kann Nachrichten entschlüsseln, die mit dem zugehörigen öffent- lichen Schlüssel verschlüsselt wurden, und Nachrichten verschlüsseln, die nur mit dem privaten Schlüssel entschlüsselt werden können.

Protokoll Eine Gruppe von Regeln, über die festgelegt wird, in welcher Form Daten zwischen zwei Programmen ausgetauscht werden müssen.

Prozess Ein Programm, das bereits ausgeführt wird und dem ein Teil des Arbeitsspei- chers zugewiesen wurde.

Public-Key-Infrastruktur Eine sichere Methode zum Austauschen von Daten über ein unsicheres öffentliches Netzwerk wie das Internet mithilfe der Public-Key- Kryptographie.

Public-Key-Kryptographie Eine Methode für die Verschlüsselung von Daten, die ein Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel verwendet. Diese Schlüssel werden von einer Zertifizierungsinstanz ausgegeben. Mit einem der Schlüssel werden Nachrichten verschlüsselt, mit dem anderen entschlüsselt.

Public-Key-Zertifikat Vgl. Zertifikat.

Punkt-zu-Punkt Eine von drei Topologien, die von der Fibre Channel-Technologie verwendet werden, um Knoten miteinander zu verbinden. Die Punkt-zu-Punkt-Topologie besteht aus einer einzigen Verbindung zwischen zwei Knoten.

QTSS Publisher Ein Apple-Programm (im Lieferumfang von Mac OS X Server) für die Verwaltung von QuickTime-Medien und Wiedergabelisten sowie für die Vorbereitung von Medien für das Streaming und Laden.

RADIUS Remote Authentication Dial-In User Service.

RADIUS-Server Ein Computer im Netzwerk, der eine zentralisierte Datenbank mit Informationen zur Identifizierung für Computer im Netzwerk bereitstellt.

RAID Redundant Array of Independent (oder Inexpensive) Disks. Eine Gruppierung mehrerer physischer Festplatten zu einem Festplatten-Array, das entweder High-Speed- Zugriff auf gesicherte Daten bietet, oder Daten spiegelt, sodass diese im Fall eines Festplattenausfalls wiederhergestellt werden können, oder beides. Das RAID-Array wird dem Speichersystem als eine einzelne logische Speichereinheit präsentiert. Vgl. auch RAID-Array.

258 Glossar RAID 0 Ein RAID-Schema, in dem Daten gleichmäßig über ein Laufwerks-Array verteilt werden. RAID 0 erhöht die Geschwindigkeit der Datenübertragung, bietet jedoch keine Datensicherheit.

RAID 0+1 Eine Kombination von RAID 0 und RAID 1. Dieses RAID-Schema wird durch Verteilen (Striping) von Daten über mehrere Paare gespiegelter Laufwerke erstellt.

RAID 1 Ein RAID-Schema, das ein Paar gespiegelter Laufwerke mit identischen Kopien der gleichen Daten erstellt. Es sorgt für eine hohe Datenverfügbarkeit.

RAID 5 Ein RAID-Schema, das Daten und Paritätsinformationen jeweils blockweise über ein Laufwerks-Array verteilt. Die Laufwerke funktionieren dabei unabhängig voneinander. Dies ermöglicht eine maximale Leseleistung beim Zugriff auf große Dateien.

RAID-Array Eine Gruppe physischer Volumes, die durch ein RAID-Schema verwaltet und geschützt und von RAID-Hardware oder -Software als ein einziges logisches Volume präsentiert werden. In Xsan erscheinen RAID-Arrays als LUNs, die zu Speicher- pools zusammengefasst werden.

RAID-Reihe Vgl. RAID-Array.

Realm Allgemeiner, in vielen Programmen verwendeter Begriff. Vgl. WebDAV-Bereich, Kerberos Realm.

Rekursion Der Prozess zur vollständigen Auflösung von Domain-Namen in IP-Adres- sen. Bei einer rekursionsfreien DNS-Abfrage wird zur Adressauflösung Bezug auf andere DNS-Server genommen. Benutzerprogramme sind hinsichtlich der Durchführung dieser Funktion grundsätzlich vom DNS-Server abhängig, andere DNS-Server hingegen müssen keine rekursive Abfrage ausführen. root Ein Account auf einem System, dem kein Schutz oder keine Einschränkungen zugewiesen wurden. Systemadministratoren können mit diesem Account Änderungen an der Systemkonfiguration vornehmen.

SACL Service Access Control List. Ermöglicht die Angabe, welche Benutzer und Grup- pen Zugriff auf bestimmte Dienste haben.

Samba Open Source-Software, die Datei- und Druckdienste sowie Dienste für die Identifizierung, Namensauflösung und Navigation zu Netzwerkdiensten von Windows- Clients mithilfe des SMB-Protokoll bereitstellt.

Schema Die Sammlung von Attributen und Datensatztypen oder Klassen, die eine Kopie für die Informationen in einer Verzeichnis-Domain enthalten.

Secure Sockets Layer Vgl. SSL.

Server Ein Computer, der für andere Computer oder Netzwerkgeräte Dienste bereitstellt (wie Dateidienst, Mail-Dienst oder Webdienst).

Glossar 259 Server Message Block Vgl. SMB.

Shared Secret (gemeinsamer Schlüssel) Ein für jeden Knoten einer L2TP VPN-Verbin- dung definierter Wert, der als Eingabe für den Codierungsschlüssel in Bezug auf Iden- tifizierung und Datentransportverbindungen dient.

Shell Ein Programm, das andere Programme ausführt. Sie können über eine Shell mit dem Computer interagieren, indem Sie in einer Shell-Eingabeaufforderung Befehle eingeben. Vgl. auch Befehlszeilenfenster.

Sichern Das Erstellen einer Datensicherung.

Sicherung Eine Sammlung von Daten, die zum Zweck der Wiederherstellung der Originaldaten gespeichert wird, falls die ursprünglichen Daten verloren gehen oder unzugänglich sind.

Slave-Zone Die DNS-Zoneneinträge, die auf einem sekundären DNS-Server geführt werden. Eine Slave-Zone erhält ihre Daten über Zonen-Transfers von der Master-Zone auf dem primären DNS-Server.

SLP DA Service Location Protocol Directory Agent. Ein Protokoll, das die in einem Netz- werk verfügbaren Dienste registriert und den Benutzern einfachen Zugriff auf diese Dienste ermöglicht. Wenn zum Netzwerk ein Dienst hinzugefügt wird, registriert sich der Dienst mithilfe von SLP im Netzwerk. SLP DA nutzt ein zentrales Repository für registrierte Netzwerkdienste.

SMB Server Message Block: Ein Protokoll, das Client-Computern den Zugriff auf Dateien und Netzwerkdienste ermöglicht. Es kann über TCP/IP, das Internet und andere Netzwerkprotokolle genutzt werden. SMB-Dienste verwenden SMB zur Bereitstellung des Zugriffs auf Server, Drucker und andere Netzwerkressourcen.

SMTP Simple Mail Transfer Protocol. Ein Protokoll zum Senden und Übertragen von E-Mails. Da es nur in begrenztem Umfang eingehende Meldungen in eine Warteliste stellen kann, wird SMTP normalerweise nur zum Senden von Mail verwendet, während POP oder IMAP zum Empfangen von Mail verwendet wird.

SNMP Simple Network Management Protocol. Eine Gruppe von Standardprotokollen zur Verwaltung und Überwachung plattformübergreifender Netzwerkgeräte.

Spiegeln Das Schreiben identischer Datenkopien auf zwei Laufwerke. Eine Spiegelung schützt Daten im Falle eines Volume-Ausfalls und stellt die einfachste Möglichkeit dar, eine Datenredundanz zu erzielen.

Spotlight Eine leistungsstarke Suchfunktion, die Ihre Dokumente, Bilder, Filme, PDF- Dateien, E-Mails, Kalenderereignisse und Systemeinstellungen durchsucht. Durchsucht werden Textinhalt, Dateiname oder zugehörige Informationen.

260 Glossar SSL (Secure Sockets Layer.) Ein Internetprotokoll, das das Senden verschlüsselter authentifizierter Informationen über das Internet ermöglicht. Neuere Versionen von SSL sind unter der Bezeichnung TLS (Transport Level Security) bekannt.

Standard Die Aktion, die automatisch von einem Programm ausgeführt wird, wenn der Benutzer keine andere Auswahl trifft.

Statische IP-Adresse Eine IP-Adresse, die einem Computer oder Gerät einmal zugeordnet und nicht mehr geändert wird.

Stripe (Streifen) Eine Partition eines Laufwerks in einem RAID-Array.

Striping (Verwenden einheitenübergreifender Volumes) Das Verteilen von Daten auf nebeneinander angeordnete Stripes in einem RAID-Array oder LUN.

Subdomain Gelegentlich auch als Hostname bezeichnet. Teil des Domain-Namens eines Computers im Internet. Er enthält nicht die Domain oder die Domain-Bezeich- nung der obersten Ebene (TLD) (z. B. .com, .net, .us, .uk). Der Domain-Name „www.beispiel.com“ setzt sich zusammen aus der Subdomain „www“, der Domain „beispiel“ und der Domain der obersten Ebene „com“.

Suchbeginn Ein Name, der angibt, wo die Suche nach Informationen in einer Hierar- chie mit Einträgen in einem LDAP-Verzeichnis beginnt.

Suchpfad Eine Liste von Verzeichnis-Domains, die von einem Mac OS X-Computer, der Konfigurationsinformationen benötigt, durchsucht werden. Bezeichnet auch die Rei- henfolge, in der Domains durchsucht werden. Wird manchmal als Suchpfad bezeichnet.

Suchrichtlinie Vgl. Suchpfad.

System-Image-Dienstprogramm Ein Dienstprogramm, das mit der Mac OS X Server- Software bereitgestellt wird, mit dem Sie Image-Dateien für NetBoot und NetInstall Dienste erstellen können. Image-Dateien können das Mac OS X-Betriebssystem, Pro- gramme oder beides enthalten.

TB Terabyte. 1.099.511.627.776 (240) Byte.

TCP Transmission Control Protocol. Eine Methode, die mit dem Internet Protokoll (IP) zum Senden von Daten in Form von Meldungseinheiten zwischen Computern über das Internet genutzt wird. IP ist für die Zustellung der Daten zuständig, während TCP für die Verwaltung der einzelnen Dateneinheiten (der so genannten Pakete) zuständig ist, auf die eine Meldung zur effizienten Weiterleitung durch das Internet aufgeteilt wird.

Teilnetzmaske Eine in IP-Netzwerken verwendete Zahl zur Angabe, bei welchem Teil einer IP-Adresse es sich um die Netzwerkzahl handelt.

Glossar 261 Teilnetzwerk Eine Gruppierung von Client-Computern im selben Netzwerk, die nach Standort (beispielsweise Etagen eines Gebäudes) oder nach Nutzung (beispielsweise alle Schüler der 8. Klasse) strukturiert sind. Die Verwendung von Teilnetzwerken vereinfacht die Verwaltung. Vgl. auch IP-Teilnetzwerk.

Terabyte Vgl. TB.

Tunneling Eine Technologie, die das Senden von Daten eines Netzwerkprotokolls unter Verwendung des Formats eines anderen Protokolls ermöglicht.

Umstellen (Migrieren) Das Übertragen vorhandener Informationen, z. B. Benutzer- und Gruppen-Accounts und Benutzerdaten, von einem Server oder Netzwerk an einen anderen Server oder ein anderes Netzwerk, der bzw. das mit einer anderen Software verwaltet wird.

Unterverzeichnis Ein Verzeichnis innerhalb eines Verzeichnisses.

URL Uniform Resource Locator. Die Adresse eines Computers, einer Datei oder Ressource, auf die in einem lokalen Netzwerk oder im Internet zugegriffen werden kann. Die URL-Adresse setzt sich zusammen aus dem Namen des Protokolls, das für den Zugriff auf die Ressource benötigt wird, einem Domain-Namen, der einen bestimmten Computer im Internet identifiziert, und einer hierarchischen Beschreibung des Dateispeicherorts auf dem Computer.

Verbindungsbündelung (Verbindungsaggregation) Das Konfigurieren mehrerer Netzwerkverbindungen als logische Verbindung zur Steigerung der Kapazität und Verfügbarkeit von Netzwerkverbindungen. Bei der Verbindungsbündelung wird allen Anschlüssen die gleiche ID zugewiesen. Beim Multipathing behalten alle Anschlüsse ihre eigenen Adressen.

Verschlüsselung Der Prozess, Daten so zu codieren, dass sie ohne spezielle Zusatzin- formationen nicht lesbar sind. Wird gewöhnlich für die Kommunikation von geheimem und vertraulichem Inhalt eingesetzt. Vgl. auch Entschlüsselung.

Verwaltete Einstellungen System- oder Programmeinstellungen, die von einem Admi- nistrator verwaltet werden. Mithilfe des Arbeitsgruppenmanagers können Administra- toren die Werte bestimmter Systemeinstellungen für verwaltete Mac OS X Clients festlegen.

Verwaltetes Netzwerk Die Objekte, die auf verwaltete Clients zugreifen dürfen, wenn auf das Netzwerksymbol in einem Finder-Fenster geklickt wird. Administratoren steuern diese Einstellungen mithilfe des Arbeitsgruppenmanagers. Wird auch als „Netzwerkdar- stellung“ bezeichnet.

262 Glossar Verzeichnis-Domain Eine spezialisierte Datenbank, in der Berechtigungsinformatio- nen über Benutzer und Netzwerkressourcen gespeichert werden, die von der System- software und den Programmen benötigt werden. Die Datenbank ist für die gleichzeitige Bearbeitung zahlreicher Anfragen sowie das schnelle Suchen und Abrufen von Informationen optimiert. Wird auch als Verzeichnisknoten oder einfach als Verzeichnis bezeichnet.

Verzeichnisdienste Dienste, die der Systemsoftware und Programmen einheitlichen Zugriff auf Verzeichnis-Domains und andere Informationsquellen zu Benutzern und Ressourcen ermöglichen.

Verzeichnisknoten Vgl. Verzeichnis-Domain.

Virtual Private Network Vgl. VPN.

Volume Ein auf dem Client-Computer aktivierbarer Speicherbereich, der sich aus der Sicht des Clients wie eine lokale Festplatte, Festplattenpartition oder ein Netzwerkord- ner verhält. In Xsan besteht ein Volume aus einem oder mehreren Speicherpools. .

VPN Virtual Private Network. Ein Netzwerk, das Verschlüsselung und andere Technolo- gien nutzt, um eine geschützte Kommunikation über ein öffentliches Netzwerk – übli- cherweise das Internet – zu gewährleisten. VPNs sind im Allgemeinen preisgünstiger als reale private Netzwerke, die private Leitungen nutzen, sind aber darauf angewiesen, dass bei beiden Kommunikationsteilnehmern das gleiche Verschlüsselungssystem vorhanden ist. Die Verschlüsselung kann von Firewall Software oder von Routern vorgenommen werden.

WAN Wide Area Network. Ein Netzwerk, über das geografisch voneinander getrennte Einrichtungen miteinander verbunden werden; Gegenstück zu einem LAN (Local Area Network, lokales Netzwerk) innerhalb einer Einrichtung. Die WAN-Schnittstelle ist gewöhnlich direkt mit dem Internet verbunden.

WebDAV (Web-based Distributed Authoring and Versioning.) Eine Live-Authoring- Umgebung, in der Client-Benutzer Webseiten abrufen, Änderungen daran vornehmen und sie wieder zurückstellen können, während die Website aktiv ist.

WebDAV-Bereich Bereich (Realm) einer Website, normalerweise ein Ordner oder Ver- zeichnis, der/das für den Zugriff durch WebDAV-Benutzer und -Gruppen definiert ist.

Weblog Vgl. Blog.

Weblog-Dienst Der Mac OS X Server-Dienst, der Benutzern und Gruppen das sichere Erstellen und Verwenden von Blogs ermöglicht. Der Weblog-Dienst verwendet die Open Directory-Identifizierung zum Überprüfen der Identität von Autoren und Lesern der Blogs. Wenn auf den Weblog-Dienst über eine Website zugegriffen wird, die SSL ausführen kann, verwendet der Dienst die SSL-Verschlüsselung, um den Zugriff auf Blogs zusätzlich zu sichern.

Glossar 263 Weiterleitungszone Die DNS-Zone, die zwar keine eigenen Datensätze enthält, dafür aber DNS-Abfragen an eine andere Zone weiterleitet.

Wide Area Network (Weitverkehrsnetzwerk) Vgl. WAN.

Wiki Eine Website, über die Benutzer Seiten gemeinsam bearbeiten und einfach mit einem Webbrowser auf vorherige Seiten zugreifen können.

WINS Windows Internet Naming Service. Ein Dienst zur Namensauflösung, der von Windows Computern zum Abgleichen von Client-Namen und IP-Adressen genutzt wird. Ein WINS-Server kann sich im lokalen Netzwerk oder extern im Internet befinden.

Zertifikat Manchmal auch „Identitätszertifikat“ oder „Public-Key-Zertifikat“ genannt. Eine Datei in einem bestimmten Format (Mac OS X Server verwendet das X.509-Format), die Folgendes enthält: den öffentlichen Schlüssel aus einem öffentlich-privaten Schlüssel- paar, die Identitätsdaten des Benutzers wie Name und Kontaktinformationen sowie die digitale Signatur einer Zertifizierungsinstanz oder des Benutzers des Schlüssels.

Zertifizierungsinstanz Eine Instanz, die digitale Zertifikate ausstellt und verwaltet, um eine sichere Übertragung von Daten in einem öffentlichen Netzwerk zu gewährleisten. Vgl. auch Zertifikat, Öffentlicher Schlüssels.

Zertifizierungsstelle Vgl. Zertifizierungsinstanz.

Zonen-Transfer Methode zur Vervielfältigung von Zonen-Daten zwischen DNS-Servern mit entsprechender Berechtigung. Slave-DNS-Server verwenden die Zonen-Transfers, um ihre Daten von den Master-Servern abzurufen.

Zugriffsberechtigungen Einstellungen, die festlegen, auf welche Weise Benutzer auf gemeinsam genutzte Objekte in einem Dateisystem zugreifen dürfen. Sie können vier verschiedene Arten von Zugriffsberechtigungen für ein Netzwerkvolume, einen Ordner oder eine Datei zuweisen: Lese-/Schreibzugriff, Nur-Lese-Zugriff, Nur-Schreib-Zugriff und Kein Zugriff. Vgl. auch Zugriffsrechte.

Zugriffsrechte Das Recht zum Zugriff auf eingeschränkt zugängliche Bereiche eines Systems oder zum Ausführen bestimmter Aufgaben (z. B. Verwaltungsaufgaben) im System.

Zwei-Faktor-Authentifizierung Eine Identifizierung durch eine Kombination zweier unabhängiger Faktoren: etwas, das Sie kennen (etwa ein Kennwort), etwas, das Sie haben (etwa eine Smart Card) oder etwas, das Sie sind (etwa ein biometrischer Faktor). Diese Form der Identifizierung ist sicherer als die Identifizierung mit nur einem Faktor, meist einem Kennwort.

264 Glossar Index Index

A installieren der Serversoftware 115 Accounts. Vgl. Benutzer-Accounts, löschen von Volumes 109 Arbeitsgruppenmanager partitionieren von Festplatten 104 ACLs (Zugriffssteuerungslisten) 61, 82 Serververwaltung 54 Administrator 81, 83, 175, 176 Wiederherstellungsprogramme 40 Administratorcomputer 90, 161, 162 Zugriffsrechte 176 Adressen. Vgl. IP-Adressen Benachrichtigungssystem 51, 169, 185, 206, 212 AFP (Apple Filing Protocol), Protokoll 23, 216 Vgl. auch Protokolle Aktualisieren Benutzer gesicherte Konfigurationsdaten 135 administrativer Zugriff für 81 vs. Migrieren 26, 30 Benutzerordner 28, 168 von älteren Serverversionen 26, 30 Festplattenspeicher, Zuteilungen 28 von Mac OS X 119 Gruppen 173, 176, 178, 179 Anforderungen identifizieren 63, 65, 80, 124 Betriebsumgebung 191 Programm „Verzeichnis“ 48 Hardware 33 verwalten 178, 179 Infrastruktur 31, 32 Windows 29, 63 Anmeldung, identifizieren 78, 80 Zertifikate 68 Anschlüsse Zugriffsrechte 176 Ethernet 122 Zugriffssteuerung 169, 173 Apple Remote Desktop (ARD) 55, 168, 216 Vgl. auch Clients, Benutzer-Accounts, Arbeitsgruppenkonfigurationstyp 18 Arbeitsgruppenmanager Arbeitsgruppenmanager Benutzer-Accounts Accounts verwalten 178 Gruppe 180 anpassen 48, 183 Identifizierung 65 Identifizierung 178 Kennwörter 63 öffnen 46, 178 Konfiguration 152 Überblick 46, 47 mobil 168 Verwaltung, Übersicht 177 verwaltete Einstellungen 180 ARD. Vgl. Apple Remote Desktop Verwaltung 178, 179 asr Programm 40, 96 Vgl. auch Benutzer Autorisierung 63 Benutzerordner 28, 168 Vgl. auch Identifizierung Berechtigungen Arten 61 B Dateien 61 Ordner 61 Backups Berkeley Software Distribution. Vgl. BSD Erweiterte Konfiguration 20 Betriebsumgebung, Anforderungen 191 Befehlszeilenprogramme Broadcasting-Konfiguration 156 Daemon-Steuerung 200 BSD (Berkeley Software Distribution) 24 Datensicherungsprogramme 40 Festplattenspeicher überwachen 204

265 C Dienste Certificate Signing Request. Vgl. CSR anzeigen 169, 171 changeip, Befehlszeilenprogramm 34 Einstellungen Chat-Dienst exportieren 172 Vgl. iChat-Dienst importieren 172 Client-Computer und NetBoot 29 Konfiguration 150, 151, 152, 153, 154, 155, 156, Clients 157, 183 Client-seitige Protokollierung 216 planen für die Verteilung 28 Gruppen-Accounts 180 Sicherheit 78, 82 NetBoot 29 Verwaltung 183 Zertifikate 76 Zugriffssteuerung 169, 173 Vgl. auch Benutzer Vgl. auch bestimmte Dienste Computer, Administrator 90, 161, 162 Diensteinstellungen exportieren 172 Computerlisten 178, 179, 180 Digitale Signatur 174 Computername 123, 168 diskspacemonitor, Befehl 205 Computer-zu-Computer-Netzwerk 194 diskutil Befehlszeilenprogramm 104, 107, 109 Computer-zu-Switch-Netzwerk 194 ditto, Programm 40 Computer-zu-Switch-Paar-Netzwerk 195 DMZ, Netzwerk 59 CSR (Certificate Signing Request) 69, 70, 71, 74 DNS (Domain Name System), Dienst 32, 91 Dokumentation 13, 15, 16 D Domain Name System. Vgl. DNS Domain, Verzeichnis 22, 91 Daemons, Überblick 199, 200 Vgl. auch Open Directory Darwin (Kernbetriebssystem) 24 Domains, Verzeichnis 125, 126, 182 Dateidienste 152 Druckdienst 153 Dateien , Befehl 204 Datensicherung 34, 39, 184 du DVDs, Installation 94 Konfiguration 214 Dynamic Host Configuration Protocol. Vgl. DHCP Konfigurationsdaten 134, 135, 137, 141, 142 Shared Secret 67 Sicherheit 61, 62 E Speicher, Überlegungen 29 Echtzeit-Überwachung 201 vollständige Kopien auf Dateiebene 37 Eigenständiger Server 124, 126 Dateiserver 21, 23, 216 Einführung in Mac OS X Server 17, 18 Dateisysteme Einstellungen 180 auswählen 101 E-Mail Datensicherung 40 Vgl. Mail-Dienst Konfigurationsdaten 139 emond, Daemon 213 Vgl. auch Volumes Entfernte Server Datensicherungen Apple Remote Desktop 55, 168, 216 Befehlszeilenprogramme 40 identifizieren 110 Medientypen 39 Konfiguration 127, 129, 131 planen 37 Zugriff 93 Richtlinien, Überlegungen 34, 39 Ethereal, Sniffer-Programm 206 Rotationsschema 38 Ethernet 60, 122, 196 Typen 36 Überprüfung 39 F wichtige Dateien 184 Fehlerbeseitigung für den Serverbetrieb 149, 150 Datum & Uhrzeit, Einstellungen 169 Ferne Server Detailansicht 182 Installieren von oder auf 90, 93, 110, 113 df, Befehl 204 Festplatten DHCP-Dienst (Dynamic Host Configuration Kontingente 28 Protocol) 32, 91, 126 Partitionen 95, 103, 104, 106, 108 Dienst für die Softwareaktualisierung 120, 155 spiegeln 105 Dienst für System-Image-Dateien 155 überwachen 204 Verwaltung über Befehlszeile 204 Vgl. auch RAID

266 Index Festplatten-Dienstprogramm 62, 103, 106, 108 Installation File Transfer Protocol. Vgl. FTP Administratorcomputer 90 File-Sharing 152, 175 aktualisieren 119, 120 FileVault 62 Befehlszeilen-Methode 115 Firewall-Dienst 58, 59, 91, 185 Fernzugriff 90, 93, 110, 113 FTP-Dienst (File Transfer Protocol) 24 Hostname ändern 170 identifizieren von Servern 110 G Image-Dateien 29, 52, 96, 99, 100 Gateway-Systemassistent 183 Infrastrukturanforderungen 31, 32 Gemeinsam genutzte Verzeichnis-Domain 22, 124 Integrationsstrategie 31 Gesamtauthentifizierung 65 interaktiv 111, 113, 115 Growl, Programm 216 Konfiguration verschieben 122 Gruppen 165, 166, 173, 176, 178, 179 mehrere Server 118 Gruppen-Accounts 180 Netzwerkdienste, Konfiguration 91 Planung 25, 26, 27, 28, 30 H sammeln von Informationen 90 Hardwareanforderungen 33 Serverinstallations-DVD 91 Hardwarevoraussetzungen 17, 89, 90, 106 Serversoftware 92, 115 HFS+J-Volume 101 Systemanforderungen 90 HFSX-Volume 102 Systemstart für 92, 94, 95, 99 Hilfe verwenden 12 Systemvoraussetzungen 89 Hostname Überblick 87 ändern 170 Verzeichnis-Verbindungen 91 lokal 123, 168 Volume, Vorbereitung 101, 103, 104, 105, 106, 107, 108 I von älteren OS-Versionen 26, 30 iCal-Dienst 157, 184 Installer Programm 115, 119 iChat-Dienst 21, 157, 184 IP-Adressen Identifizierung Firewalls 91 Arbeitsgruppenmanager 178 Server Benutzer 63, 65, 80, 124 ändern 34, 169 eigenständiger Server 126 Ferninstallation 93, 110 Gesamtauthentifizierung 65 in verschiedenen Teilnetzen 128 kennwortbasiertes SSH 78, 79, 80 Übersicht 24 Kennwörter 63, 85, 110 Zugriffsbeschränkung 58 Kerberos 22, 64, 65, 127 IPv6-Adressierung 24 MS-CHAPv2 124 Open Directory 63 J RADIUS 21, 23, 64, 184 Journaling, Dateisystem 101 SASL 63 Schlüsselbunddienste 184 K Server-Admin 42, 43, 69, 163 Kalenderdienst. Vgl. iCal-Dienst TLS 60 KDC (Kerberos Key Distribution Center). Vgl. Kerberos Überblick 63 Kennwortbasierte Identifizierung 78, 79, 80 Vgl. auch Zertifikate Kennwörter 63, 85, 110 Identitätszertifikate. Vgl. auch Zertifikate Kerberos 22, 64, 65, 127 Image. Vgl. Image-Dateien, NetBoot, NetInstall Konfiguration Image-Dateien Arbeitsblatt 229 installieren mit 29, 52, 96, 99, 100 Arten 121, 170 verschlüsseln 62 automatisch 133, 140, 141, 142, 145 Importieren Beispielkonfiguration 217 Diensteinstellungen 172 Dateien für Server bereitstellen 139, 140 Zertifikate 75 DHCP 91, 126 Infrastrukturanforderungen 31, 32 Dienste 150, 151, 152, 153, 154, 155, 156, 157, 183 Inkrementelle Datensicherung 37 eigenständiger Server 124

Index 267 Einführung 18, 121 N Einstellungen, Überblick 123 Nagios, Programm 216 entfernter Server 127, 129, 131 NAT (Network Address Translation) 185 erweitert 20, 21, 126 NetBoot-Dienst 29, 52, 99 Ethernet 122 NetInstall 52, 100 Fehlerbeseitigung 149, 150 Network Address Translation. Vgl. NAT Identifizierung 63 Network File System. Vgl. NFS interaktiv 127, 128, 129, 131 Network Time Protocol. Vgl. NTP Konfigurationsdaten sichern 134, 135, 137, 138, Netzwerkdienste 139, 141, 142, 145 DHCP 32, 91, 126 mit Netzwerk verbinden 122, 194, 195 DNS 32, 91 Open Directory 123, 124, 125, 126, 140, 145, 151 Installation 91 Protokolle 150 Konfiguration 155 Serverinfrastruktur 32 NAT 185 Servertypen 18 Netzwerk-Zeitserver 169 SSL 174 NTP 168 Stapelkonfiguration für mehrere Server 131 Planung 32 Status überprüfen 149, 150 VLAN 59 Verbindungsbündelung 196 VPN 127 verschieben 122 Vgl. auch IP-Adressen Verzeichnisverbindung 125, 126 Netzwerke Konsole 204 Ethernet 60, 122, 196 Sicherheit 58, 59, 60, 61 L Überwachungsprogramme 205, 209, 210, 211 LACP (Link Aggregation Control Protocol) 193 Umgebung für die Installation 88 Lastenverteilung 198 Verbindung bei Server-Erstkonfiguration 122 Laufwerke. Vgl. Speichermedien Verbindungskonfigurationen 122, 194, 195 launchctl, Programm 200 Netzwerkschnittstellen 168 launchd-Daemon 40, 200 Netzwerkvolumes 61, 175 LDAP-Dienst (Lightweight Directory Access Netzwerk-Zeitserver 169 Protocol) 22 Neustart, automatischer 190 LDAPv3-Server 64 NFS (Network File System) 24 Lokale Verzeichnis-Domain NTP (Network Time Protocol) 168 eigenständiger Server 126 O M Open Directory Mac OS X Identifizierung 63 aktualisieren von 119 Konfiguration 123, 124, 125, 126, 140, 145, 151 Installation, Überlegungen 90 Protokolle 215 Verwaltung 161, 183 SACLs 82 Mac OS X Server Übersicht 21 Integrationsstrategie 31 Open Directory-Master 91 Konfiguration 124 Open Directory-Replik 64, 127, 191 Systemvoraussetzungen 17 Open Source-Module UNIX 24 Kerberos 22, 64, 65, 127 unterstützte Standards 22 OpenLDAP 22 Verwaltungsprogramme 41 OpenSSL 60 Vgl. auch Konfiguration, Installation PHP 187 MAC-Adressen (Media Access Control) 60, 110 Vgl. auch Open Directory Mail-Dienst 21, 23, 155, 184, 185 OpenLDAP 22 Medien, Streaming. Vgl. Streaming-Medien OpenSSL 60 Migration 26, 30 Ordner 28, 61, 168 Mobilcomputer 168 Mobile Benutzer-Accounts 168 MS-CHAPv2-Identifizierung 124 MySQL-Dienst 187

268 Index P entfernen 164 PackageMaker 52 Fehlerbeseitigung 149, 150 Pakete, Daten, Filtern 58 grundlegende Einstellungen 123, 167 Papierkorb sicher entleeren 63 Gruppen 165, 166 Partitionen, Festplatte 95, 103, 104, 106, 108 hinzufügen 164 PHP-Konfigurationsdateien 187 Infrastrukturanforderungen 31, 32 Physische Infrastrukturanforderungen 31 Lastenverteilung 198 PKI (Public Key Infrastructure) 60, 66 Seriennummern für 94 Podcast-Produzent 156 Standortwechsel, Überlegungen 33 Portable Operating System Interface. Vgl. auch POSIX Start 92, 99 Ports Statusüberwachung 201, 202, 203, 204, 205, Liste 160 206, 207 Status 160 Verwaltungsprogramme 41, 42, 54, 159, 162 TCP 78 Zeit 168, 169 POSIX (Portable Operating System Interface) 61 Zuverlässigkeit, Werkzeuge 188, 189, 190, 191, Privater Schlüssel 66, 68 192, 193, 196, 197 PropertyListEditor 52 Vgl. auch Konfiguration, Installation Protokolle Server Message Block-Protokoll. Vgl. SMB Dateidienst 23, 216 Server-Admin Fehlerbeseitigung, Konfiguration 150 anpassen 44 Netzwerkdienst 32, 91, 126, 168, 169 Benachrichtigungssystem 206 Übersicht 23 Dienstverwaltung 172 überwachen 204, 212, 213, 214, 215, 216 Identifizierung 42, 43, 69, 163 Webdienste 187 öffnen 42, 43, 69, 163 Public Key Infrastructure. Vgl. PKI Serverstatus 207 Public-Key-Kryptographie 78 System-Imaging 52 Überblick 11, 69 Q Übersicht 42, 43 Verwaltungsprogramm 163, 164 QuickTime Streaming Server (QTSS) 21, 53, 185 Zertifikate 69, 174 R Zugriffssteuerung 173 Serverassistent 45, 113, 122, 127 RADIUS (Remote Authentication Dial-In User Serverdaten archivieren 36, 40 Service) 21, 23, 64, 184 Servermonitor, Programm 51, 203 RAID (Redundant Array of Independent Disks) 29, Serverstatus, Dashboard-Widget 202 105, 106, 107 Shared Secret, Dateien 67 RAID-Admin, Programm 203 Sicherheit Replikation 64, 127, 191 Administrator 81 root-Zertifikat 72 Autorisierung 63 rsync, Programm 40 bewährte Maßnahmen 83 Datei 61, 62 S Dienstebene 82 SACLs (Zugriffssteuerungslisten für Dienste) 82 Einstellungen 174 SASL (Simple Authentication and Security Layer) 63 Firewall-Dienst 58, 59, 91, 185 Schlüsselbunddienste 184 Installation 92 Schlüsselbundverwaltung, Dienstprogramm 72 Netzwerk 58, 59, 60, 61 Schnappschüsse, Daten 37 physisch 57 Secure Shell. Vgl. SSH SASL 63 Secure Sockets Layer. Vgl. SSL SSH 78, 79, 80, 93, 94, 168, 184 Secure VM 62 SSL 60, 66, 67, 69, 174 Selbstsignierte Zertifikate 68, 71, 76 TLS 60 Seriennummer, Server 94 Überblick 57 Server Vgl. auch Zugriff, Identifizierung, Zertifikate, SSL Arbeitsblatt für Konfiguration 229 Sicherungskopien Beispielkonfiguration 217 Serverkonfigurationsdaten 138, 139 eigenständig 124, 126 Simple Network Management Protocol. Vgl. SNMP

Index 269 slapd, Daemon 215 Vollständige Image-Datei, Datensicherungstyp 36 SMB-Protokoll (Server Message Block) 23 Vollständige Kopien auf Dateiebene 37 SNMP (Simple Network Management Protocol) Volumes Definition 24 Befehlszeilenverwaltung von 104, 109 Einstellungen 168 Datensicherung 40 Überwachungswerkzeug 209, 210, 211 Installationsvorbereitung 101, 103, 104, 105, 106, snmpd, Daemon 210 107, 108 Spiegeln von Festplatten 105 Konfigurationsdaten 139 SPoFs (Single Points of Failure) 188 löschen 108, 109 srm, UNIX-Dienstprogramm 63 Partitionierung 103, 104 SSH (Secure Shell Host) 78, 79, 80, 93, 94, 168, 184 RAID 105, 106 SSL (Secure Sockets Layer) 60, 66, 67, 69, 174 Start 92, 99 Standardkonfigurationstyp 18 unterstützte 101, 102 Streaming-Medien 21, 29, 53, 156, 185 Voraussetzungen syslog, Konfigurationsdatei 214 Hardware 17, 89, 90, 106 syslogd, Daemon 212 Software 89, 91 System-Image-Dienstprogramm 52 Vorlagen 180 VPN (Virtual Private Network) 127 T TCP (Transmission Control Protocol) 58, 78 W tcpdump, Befehl 205 Webdienste 20, 21, 154, 187 Teilnetze 122, 128 Weblog Dienst 188 Time Machine 40 WebObjects-Anwendungsserver 156 TLS-Prorokoll (Transport Layer Security) 60 Webtechnologien 23 Transmission Control Protocol. Vgl. TCP Wiederherstellung, Daten 34, 38 Wikis 188 U Windows NT 30 Überwachen, Berechtigungsstufe 176 Windows-Benutzer 29, 63 UDP (User Datagram Protocol) 58 UNIX 24 X User Datagram Protocol. Vgl. UDP Xgrid 2-Dienst 21, 184 USV (unterbrechungsfreie Stromversorgung) 189, Xgrid-Admin 54 190 Xsan 20 Xserve V Hardwareinstallation, Anweisungen 90 Verbindungsbündelung 192, 193, 194, 195, 196, 197 Servermonitor 51 Verlaufsdaten, Sammlung 201 Serverzuverlässigkeit 189, 190 Verschlüsselung 60, 61, 62, 66, 139 VLAN-Unterstützung 59 Vgl. auch SSL Verteiltes RAID-Array 105 Z Verwalten, Berechtigungsstufe 175 Zeitserver 168, 169 Verwaltete Einstellungen, definieren 180 Zertifikate Verzeichnis, Übersicht 48, 49 anfordern 70 Verzeichnisdienste 50 bearbeiten 76 automatische Konfiguration 137, 140, 145 Dienste 78 erweiterte Konfiguration 126 erneuern 77 Planen 28 erstellen 71, 72, 74 Protokolle 215 Identitäten 68 Verzeichnis-Domain 22, 91, 125, 126, 182 importieren 75 Vgl. auch Open Directory löschen 77 Verzeichnisse. Vgl. Verzeichnisdienste, Domain, öffentliche Schlüssel 66 Ordner private Schlüssel 66 Virtual Private Network. Vgl. VPN root 72 VLAN (Virtual Local Area Network) 59 selbstsigniert 68, 71, 76 VNC (Virtual Network Computing) 89, 93, 115, 118 Server-Admin 69, 174

270 Index Überblick 66, 67 ACLs 61, 82 verwalten 76 Benutzer 169, 173 vorbereiten 70 Einschränkungen für IP-Adressen 58 Zertifikatmanager 69, 75 Ferninstallation 93 Zertifizierungsinstanz LDAP 22 an Clients weitergeben 76 SACLs 82 Einführung 67 Schlüsselbundverwaltung, Dienstprogramm 72 erstellen 72 Zugriffsrechte Überblick 68 Administrator 81, 175, 176 Zertifikate SACL 82 anfordern 69, 70, 71, 74 Zugriffssteuerungslisten. Vgl. SACLs Zertifikate erstellen 74 Zusammgefasste Laufwerke 105 Zugriff Zuteilungen, Festplattenspeicher 28

Index 271