Äpfel im RZ

von Thomas Joos

Mittlerweile hat Apple die Probleme von macOS Server mit macOS Monterey beseitigt, sodass die Servervariante mit dem aktuellen Betriebssystem einsetzbar ist. Obwohl dabei immer mehr Funktionen des Servers direkt in macOS integriert oder gestrichen werden, bringt macOS Server dennoch für geringe Kosten nützliche Features mit – etwa um ein Mobile Device Management aufzusetzen. Wir zeigen in diesem Beitrag die Möglichkeiten des Servers und wie Sie ihn einrichten und betreiben.

Der Fokus von macOS Server liegt mittlerweile komplett auf der Verwaltung von Geräten und Speichermedien, auf denen ein Betriebssystem von Apple zum Einsatz kommt. Für das Mobile Device Management (MDM) ist macOS Server ebenfalls ein gangbarer Weg, aber kein Muss. Denn es gibt auch zahlreiche andere MDM-Systeme, die den Einsatz von Apple-Geräten in Windows-Netzwerken ermöglichen. Da die Lizenzkosten von mac-OS Server aber relativ gering sind, kann sich dies in kleinen Infrastrukturen lohnen. Die Funktionen von macOS Server setzen Erfahrung beim Umgang mit Richtlinien, Profilen und der Anbindung von Apple-Geräten an ein MDM-System voraus. Die verschiedenen Aufgaben laufen über eine einfach zu bedienende Verwaltungsoberfläche von macOS Server ab. Die wichtigste Funktion ist der Profilmanager-Dienst. Dieser ermöglicht es, Macs, iPhones oder iPads zu verwalten und Konfigurationsprofile auf den Geräten zu verteilen.

Der Server benötigt keinen eigenen Monitor, da die Verwaltung von einem Linux- oder Windows-Client über das Netzwerk erfolgen kann. Dazu steht eine eigene Software und zusätzlich noch die Bildschirmfreigabe in macOS zur Verfügung. Oder Sie nutzen einfach einen kostenlosen VNC-Viewer, der auf die Bildschirmfreigabe von macOS zugreifen kann.

Kompatibilität beachten

Die aktuelle Version von macOS Server ist 5.12.x. Ab dieser benötigt macOS Server als Betriebssystem mindestens macOS 12 (Monterey). Wenn auf einem Mac bereits macOS Server installiert ist, müssen Sie den Server auf macOS 5.12.x und macOS auf Version 12.x aktualisieren. Ältere macOS-Server-Versionen wie 5.11.1 sind nicht kompatibel mit macOS 12.x. Setzen Sie noch eine ältere Version ein, müssen Sie auf die Vorgänger von macOS 12.x setzen. Allerdings bietet Apple die Aktualisierung kostenlos an, sodass beim Einsatz des Profildienst-Managers eine Aktualisierung durchaus sinnvoll ist.

In Version 5.12 ist die Xsan-Verwaltung (Speichernetz- und Cluster-Dateisystem) nicht mehr Bestandteil des Servers. Wir behandeln dieses Thema daher nicht in diesem Beitrag. Wer bereits eine Lizenz des Servers hat, darf über den App-Store kostenlos zu 5.12 aktualisieren, ansonsten kostet das Update auf die neue Version 20 Euro. Benutzerlizenzen sind nicht notwendig. Sie sollten in regelmäßigen Abständen im App-Store unter "Updates" überprüfen, ob eine neue Version von macOS Server vorliegt und diese manuell installieren, denn automatisch erfolgt dies nicht. Allerdings erscheinen Updates eher selten und erweitern im Grunde genommen nie die Funktion des Servers, sind aber für die Sicherheit wichtig.

Server-App installieren

Generell kann jeder Mac mit macOS ab Version 12 ein Server sein, sofern er über mindestens 8 GByte Arbeitsspeicher und 10 GByte freien Speicherplatz verfügt. Aktualisieren Sie im Rahmen dieses Vorgangs den Mac zu macOS 12 und danach einen bereits vorhandenen macOS Server zur Version 5.12.1, erscheint die Meldung, dass die Server-App ersetzt wird. Bei diesem Vorgang bleiben allerdings die vorhandenen Einstellungen von macOS Server erhalten und auch alle Daten. Der Installationsassistent ersetzt nur die Konfiguration. Dennoch ist eine vorherige Sicherung des kompletten Macs anzuraten.

Erfolgt die angesprochene Meldung nicht, kaufen Sie im ersten Schritt die App für macOS Server im App-Store und installieren Sie danach macOS 12.x. Starten Sie dann die App "Server" und über "Fortfahren" beginnt die grundlegende Einrichtung. Dazu bestätigen Sie die Lizenzbedingungen und geben das Admin-Kennwort für mac-OS ein. Nun richtet der Assistent den Server ein. Starten Sie zur Sicherheit anschließend den Mac neu. Nun öffnen Sie die Server-App, die Ihnen eine Verwaltungsoberfläche liefert und mit der Sie die einzelnen Serverdienste verwalten.

Dazu melden Sie sich zunächst am macOS Server an. Über den Menüpunkt "Übersicht" stellen Sie sicher, dass der jeweilige Status bei "Hostname", "Computername" und "Internet" grün ist. Das zeigt an, dass der Server generell funktioniert. Überprüfen Sie, ob bei "Version" die aktuelle Version 12.x von macOS zu sehen ist und mindestens die Version 5.12.1 bei "Server" angezeigt wird. Bei "Netzwerkanschlüsse" finden Sie die IP-Adresse des Servers, über die die Anbindung der Geräte und auch die Verwaltung des Servers erfolgt.

Klicken Sie nach der Installation auf "Warnungen". Hier sollte das Feld leer sein. Wenn nicht, lösen Sie die Probleme an dieser Stelle. Bei "Protokolle" sollten ebenfalls keine Fehler zu sehen sein. Diese Bereiche können Sie später auch zum Troubleshooting und zur Überwachung des Servers verwenden. Bei "Statistik" sehen Sie die aktuelle Auslastung des Servers. Sie können unten im Fenster auch von "Prozessorauslastung" zu "Speicherauslastung", "Speichernutzung" und "Netzwerkverkehr" wechseln. Dadurch erhalten Sie einen umfassenden Überblick über den Mac und dessen Auslastung.

Durch einen Klick auf "Benutzer" ist das Administrator-Konto zu sehen. Dem Konto muss an dieser Stelle der Typ "Administrator" zugewiesen sein. Per Doppelklick öffnen sich die Einstellungen des Benutzerkontos. Zuvor sollten Sie aber bei "Passwortrichtlinie bearbeiten" in den Optionen die Sicherheit der Kennwörter für die Benutzerkonten steuern. Im Fenster "Passwortrichtlinien für Verzeichnisknoten" legen Sie fest, wie die Kennwörter der Benutzer konfiguriert sein müssen, damit sie auf Ressourcen des Servers zugreifen dürfen.

Mit dem Plus-Zeichen unten links legen Sie ein neues Benutzerkonto an. Füllen Sie die Felder aus und definieren Sie, ob der neue Benutzer auch das Recht erhalten soll, den Server zu verwalten. Dazu setzen Sie die Option "diesen Server verwalten". Der Benutzer kann danach auch mit der Server-App über das Netzwerk auf den Server zugreifen und sich am Mac und der Weboberfläche des Profilmanagers anmelden.

macOS Server remote verwalten

Sie sind in der Lage, mit der Server-App über das Netzwerk auf den Server zuzugreifen – zum Beispiel von einem anderen Mac aus. Starten Sie dazu die App "Server" auf dem Rechner mit macOS Server und melden Sie sich am lokalen macOS Server an. Klicken Sie nach dem Start der Verwaltungsoberfläche links auf den Namen des Computers.

In der Mitte des Fensters finden Sie in der Verwaltungs-App die "Einstellungen". Hier aktivieren Sie bei "Entfernter Zugriff" die Option "Server-App auf entferntem Mac verwenden". Schalten Sie alternativ "Apple Remote Desktop" und "SSH aktivieren" ein, gelingt der Fernzugriff auch mit einem VNC-Viewer oder über das Terminal mit SSH. In der Befehlszeile von Windows und Linux können Sie mit ssh <IP-Adresse> auch eine Remoteverbindung zum Terminal aufbauen. Melden Sie sich dazu mit dem Admin-Kennwort an.

Für die Remoteverwaltung von macOS Server installieren Sie die Server-App auf dem Gerät, mit dem Sie Ihren Server in Zukunft verwalten wollen. Sie müssen die App dazu nicht neu kaufen, jedoch mit dem gleichen Apple-Konto arbeiten. Wählen Sie beim Starten der App die Option "Anderer Mac" und geben Sie die Verbindungs- und Anmeldedaten ein. Aus diesem Grund ist es wichtig, dass die Namensauflösung und Zeitkonfiguration im Netzwerk richtig gesetzt sind, damit die Anmeldungen über das Netzwerk funktionieren.

Profilmanager einsetzen

Bei "Profilmanager" sollten in der Server-App nach der Installation des Servers keine Fehler erscheinen. Der Dienst zum Verwalten von Profilen für Apple-Geräte ist zunächst inaktiv und sie können ihn jederzeit nach der Installation einrichten. Zunächst sollte aber sichergestellt sein, dass der Server fehlerfrei funktioniert. Für die Verwendung von macOS Server als MDM-System für Apple-Geräte müssen Sie den Profilmanager in der Verwaltungsoberfläche einrichten. Im Rahmen dieser Aktion können Sie den Server auch gleich bei Apple registrieren. Danach binden Sie die Geräte an den Server an. Dazu steht auch eine Weboberfläche zur Verfügung, die Sie von den Endgeräten aus verwenden. Zusätzlich können Sie als Admin über den Browser Einstellungen und Sicherheitsoptionen vorgeben. Hier ist also die Konsole des Servers ebenfalls nicht notwendig.

Darüber hinaus nehmen Sie in den Einstellungen des macOS Servers bei "Profilmanager" eine Anbindung an Apple School Manager und Apple Business Manager vor. Diese Optionen stehen vor allem für Unternehmen zur Verfügung, die mit einer großen Anzahl an Apple-Geräten arbeiten.

Für die Einrichtung des Profilmanagers starten Sie die Server-App und klicken auf "Profilmanager" bei "Dienste". Klicken Sie oben rechts bei "Aus" auf den Schalter, startet ein Einrichtungsassistent für den Profilmanager. Geben Sie auf der nächsten Seite den Namen der Organisation und die Kontakt-E-Mail-Adresse ein. Bestätigen Sie die Daten und wählen Sie auf der nächsten Seite das Zertifikat für die Umgebung aus.

Melden Sie sich danach am Push-Benachrichtigungsdienst von Apple mit der Apple-ID an und bestätigen Sie die Meldungen dazu. Nun schließen Sie den Assistenten ab. Sie erhalten eine E-Mail vom "Apple Push Notification Service". Außerdem ist der Status des Profilmanager-Dienstes jetzt grün und Sie können sich an dessen Verwaltung machen.

Sie binden Apple-Geräte über den Webbrowser und die URL "https://<IP-Adresse oder Name>/mydevices" an den Profilmanager an. Dazu ist eine Anmeldung am Dienst notwendig. Den Service selbst können Sie ebenfalls über das Netzwerk verwalten, auch ohne die Server-App. Dazu rufen Sie die Webseite des Diensts auf und klicken unten auf "Beim Profilmanager anmelden".

Benutzerverwaltung und AD-Anbindung

Mit macOS Server ist eine Verwaltung von Benutzerkonten im Netzwerk möglich – auf Basis von Open Directory sowie mit dem Active Directory. Allerdings ist zur Verwendung des Profildienst-Managers eine Anbindung an das AD nicht zwingend notwendig. Meistens kommt die AD-Anbindung in Frage, wenn auf dem Server noch spezielle Freigaben für AD-Benutzer zur Verfügung gestellt werden sollen oder sich Benutzer mit AD-Konten mit dem Mac verbinden. Viele Funktionen des macOS Servers hat Apple mittlerweile direkt in macOS integriert, etwa Datei- und Caching-Server. Diese arbeiten wiederum mit macOS Server zusammen und ist der Server Mitglied in einem Active Directory, vereinfacht das die Authentifizierung deutlich.

Unter "Benutzer" und "Gruppen" legen Sie lokale Benutzerkonten auf dem Server an und vergeben Berechtigungen – zum Beispiel für Freigaben. Über den Menüpunkt "Verzeichnisdienste" bei "Werkzeuge" nehmen Sie eine Anbindung des Servers an andere Verzeichnisdienste vor, zum Beispiel an das Active Directory. Dadurch wird aber nicht nur die macOS-Serverkomponente, sondern gleich der ganze Server in das AD integriert.

Das macOS-Betriebssystem ermöglicht jedoch nicht den umfassenden Zugriff auf Arbeitsstationen, wie es Windows-PCs ermöglichen. Gruppenrichtlinien, Skripte, Monitoring oder Fernsteuerung sind nicht so einfach zu implementieren. Es ist aber durchaus sinnvoll, einen Mac in das AD zu integrieren, um den Anwendern Zugriff auf Ressourcen zu ermöglichen und die Authentifizierung zu vereinfachen. Außerdem lassen sich dann Freigaben auf Windows-Servern einfacher anbinden, die wiederum die verschiedenen Dienste auf dem Server nutzen können.

Die Verknüpfung mit dem AD erfolgt in den ersten Schritten nicht in der macOS-Server-App, sondern in den Systemeinstellungen von macOS. Die Verzeichnisdienst-App in macOS bindet das Gerät an das Active Directory – zusammen mit macOS Server. Auch die Integration in Arbeitsgruppen ist problemlos möglich. Steht keine AD-Domäne zur Verfügung, ist es also für den Server kein Problem, seine Dienste in Windows-Arbeitsgruppen zu verrichten. Es besteht auch die Möglichkeit, ein eigenes Benutzerprofil in macOS zu erstellen, mit dem sich ein Administrator am Active Directory anmelden kann.

Allerdings ist die AD-Integration von macOS auch in der Version 12.x nicht sehr benutzerfreundlich gelöst. Um auf Drucker, Freigaben und andere Ressourcen zuzugreifen, ist es nicht unbedingt notwendig den Mac in das AD zu integrieren.

DNS-Namensauflösung überprüfen

Vor der Integration in das Active Directory müssen Sie zunächst in den Netzwerkeinstellungen auf dem Mac sicherstellen, dass der eingetragene DNS-Server in der Lage ist, das AD zu erreichen. Das ist auch für den Server sinnvoll, denn die Namensauflösung und die Verbindung zum Internet spielen eine wichtige Rolle, zum Beispiel zum Verteilen von Profilen für die angebundenen Apple-Geräte. Die Einstellungen dazu sind auf der Registerkarte "DNS" in den Netzwerkeinstellungen zu finden, wenn Sie auf "Weitere Optionen" klicken. Bei "Such-Domains" können Sie auch gleich den FQDN der AD-Domäne eintragen, um den Zugriff auf Servern zu erleichtern.

Um das zu testen, prüfen Sie mit nslookup <FQDN der Domäne> die Namensauflösung zum Active Directory beziehungsweise Internet. Wenn die Namensauflösung richtig konfiguriert ist, sollten im Terminal die einzelnen Domänencontroller mit ihren IP-Adressen auftauchen.

Im nächsten Schritt prüfen Sie, ob die Zeit auf dem Mac und dem Domänencontroller identisch ist. Mehr als fünf Minuten Abweichung wird das Active Directory nicht tolerieren. Generell ist es sinnvoll, dass alle verwendeten Geräte möglichst eine identische Zeit verwenden, das erleichtert auch die Verteilung von Profilen und die Überwachung des Servers.

Active Directory anbinden

Die letzten Schritte der Integration des AD sind in macOS relativ verschachtelt. Die wichtigsten Einstellungen sind bei "Benutzer & Gruppen" in den Systemeinstellungen zu finden. Über "Anmeldeoptionen" fügen Sie bei "Netzwerkaccount-Server" mit "Verbinden" und "Verzeichnisdienste öffnen" den Dienst "Active Directory" hinzu. Das gleiche Fenster erscheint auch bei der Verwaltung von macOS Server, wenn Sie bei "Werkzeuge" die Option "Verzeichnisdienste" auswählen.

Danach erfolgt die Eingabe des Domänennamens und die Authentifizierung an der Domäne. Bei der Anbindung öffnet sich das Fenster, das anzeigt, in welcher Organisationseinheit das Computerkonto integriert werden soll. Bei "Optionen einblenden" nehmen Sie weitere Einstellungen vor. Hier ist es zum Beispiel möglich, via "Administration" einen Domänencontroller zu hinterlegen, der von diesem Mac standardmäßig genutzt werden soll. Hier lässt sich zudem die Option "Mobilen Account bei Anmeldung erstellen" aktivieren. Das ermöglicht anschließend das Anmelden mit einem neuen Benutzerkonto am Mac und damit die Anmeldung am AD. Ist dies erfolgreich, finden Sie einen entsprechenden Hinweis bei "Netzwerkaccount-Server". In den Einstellungen der AD-Anbindung legen Sie optional bei "Optionen einblenden" über "Pfade" fest, welche IDs und AD-Attribute einem Mac zugeordnet werden sollen.

Wichtig sind die Einstellungen bei "Administration", über die Sie definieren, welche AD-Gruppen das Recht erhalten, auf dem Mac Einstellungen zu ändern. An dieser Stelle haben Sie die Wahl zwischen den vorhandenen Gruppen "Domain-Administratoren" und "Unternehmens-Administratoren" oder Sie tragen eigene ein [1]. Nach der erfolgreichen Verbindung können Sie Benutzerkonten aus dem angebundenen Verzeichnis den Zugriff auf Ressourcen des Servers gewähren. Diese Einstellungen sind auf der Seite "Einräumen des Zugriffs von Benutzern von anderem Server in macOS Server" zu finden.

Ressourcen ohne Domänenbeitritt

Um auf Freigaben oder anderen Ressourcen im AD zuzugreifen, ist es nicht unbedingt notwendig, den Computer in die AD-Domäne aufzunehmen. Die Konfiguration der Domäne als Arbeitsgruppenname kann aber dennoch sinnvoll sein, da so die Anzeige der Geräte im Netzwerkbereich des Finders einfacher ist.

Über "Gehe zu / Mit Server verbinden" bauen Sie eine Verbindung mit Ressourcen auf, die per AD authentifiziert werden. Anschließend geben Sie im Fenster den Namen des Servers oder dessen IP-Adresse an. Arbeiten Sie mit dem Namen, muss sichergestellt sein, dass in den Netzwerkeinstellungen ein DNS-Server eingetragen ist, der Servernamen im AD auflösen kann. Ist die Ressource wie etwa eine Freigabe durch das Active Directory gesichert, muss natürlich eine Anmeldung mit einem Domänenbenutzer erfolgen, der berechtigt ist.

Microsoft Endpoint Manager und macOS

Unternehmen, die mehrere Macs und andere Apple-Geräte in ein Microsoft-Netzwerk einbinden, können auch den Weg über Endpoint Manager gehen. Zwar hat diese Anbindung nichts damit zu tun, wie Anwender auf Freigaben und Drucker im AD zugreifen, mit Endpoint Manager lassen sich aber Verwaltungsaufgaben von macOS durchführen. Endpoint Manager bietet zum Beispiel Unterstützung für Skripte und eine Funktion zur Verwaltung des Lebenszyklus von Apps – das geht mit mac-OS Server nicht. Endpoint Manager unterstützt in diesem Bereich auch Apples "Shared iPad for Business"-Funktionalität. Das ist zum Beispiel sinnvoll, wenn Anwender über iPads wie auch in macOS auf Azure-Active-Directory-Konten zugreifen sollen. Dadurch erhalten die Benutzer zwei getrennte Bereiche auf dem Gerät: einen für die Arbeit und einen für alles andere.

Fazit

Apple hat macOS Server mittlerweile auf wenige Funktionen beschränkt, die in Zukunft vermutlich ebenfalls entweder in die Cloud oder direkt in macOS wandern. So besteht der Server im Grunde genommen nur noch aus einem kleinen MDM-System, Dies ist allerdings durchaus dazu geeignet, Apple-Geräte zu verwalten. Verbunden mit dem sehr geringen Preis des Servers kann es sich durch-

macOS Server auf Monterey betreiben

Äpfel im RZ

Kompatibilität beachten

Kompatibilität beachten

Server-App installieren

macOS Server remote verwalten

Profilmanager einsetzen

Benutzerverwaltung und AD-Anbindung

DNS-Namensauflösung überprüfen

Active Directory anbinden

Ressourcen ohne Domänenbeitritt

Microsoft Endpoint Manager und macOS

Fazit