19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)
  • Q:
    Bijdrager
    deCube

    Lion server als OD-server

    Ik heb een aantal vragen inzake Lion server en z’n OD service. Ik zal de situatie als volgt uitleggen: wij hebben 4 vestigingen, op iedere vestiging staan een aantal iMac’s en MacBook’s met daarop Snow Leopard / Lion. Het gaat over alle vestigingen in totaal om 13 apparaten.

    Tevens draait er een Mac mini met Lion server in een datacentrum. Deze server fungeert op het moment als file-, mail- en OD-server. De clients loggen in op OD en dienen dan te syncen. Op zich gaat dat wel oké echter loop ik tegen wat problemen aan en daarom wil de boel wat gaan herstructureren.

    Allereerst, het syncen duurt soms onwijs lang, ik heb wat onboeiende dingen uitgeschakeld middels WGM (en PM, ik heb geen idee welke leidend is, het werkt zo maar ik snap niet welke van de twee ik nu dien te gebruiken). Ten tweede, het beheer is een nachtmerrie, af en toe krijgen ze het voor elkaar om printers te blokkeren of kunnen ze hun mail niet benaderen, vervolgens moet ik op en neer rijden om de boel te fixen. Alle updates moet ik ook afzonderlijk per computer doen.

    Wat ik dus eigenlijk zou willen is dat ik d.m.v. ARD gewoon alle computers kan updaten en overnemen vanaf mijn MBP. Ik denk dit te kunnen bereiken door het volgende op te zetten:

    – VPN verbinding naar de server (hoe? Lan-2-Lan op de modem? Softwarematig per iMac?);
    – Server deelt IP-adressen uit, ik kan dus via de server verbinding maken met iedere computer;
    – Updaten middels ARD of Netboot?

    Zit ik zo op de goede weg? Nog tips?

    Ik heb het boek: Mac OS X Lion Server For Dummies, verder gebruik ik internet voor informatie. Ga ik met het boek: “Os X Lion Server Essentials” nog iets leren?

    Waar maken jullie overigens het meest gebruik van, PM of WGM? Ik heb het gevoel dat ik met WGM meer kan instellen maar het zit met niet echt lekker dat PM is geïntroduceerd voor dit soort taken.

    Bijdrager
    Maurits

    Twee opmerkingen:
    1)PM bedoel je Profile Manager mee toch?
    Voor het managen van Mobile Accounts (want dat syncen hoort bij mobile accounts) zou ik toch WGM gebruiken omdat die meer opties heeft voor dit gedeelte.
    In het algemeen geld : het strengste beveiligings instelling wint. Maar met syncen is dat niet te voorzien en moet je zelf uitvinden welke instelling (WGM of PM) ‘wint’

    2)Het syncen kan lang duren, en is vooral afhankelijk van bandbreedte, en welke onderdelen van de homefolder je laat syncen.
    Dat ligt voor iedereen anders, omdat gebruikers verschillen.
    Ik ga ervan uit dat de iMac / macbooks meestal dezelfde gebruiker hebben (die gebruiker heeft een ‘eigen’ mac)

    Maar als je het syncen wil versnellen zou ik me kunnen voorstellen dat je hiervoor kiest: alleen syncen van Documents folder.
    Leg dit uit aan de gebruikers, zodat ze belangrijke dingen daar bewaren, en ‘onbelangrijke’ dingen als foto’s en muziek niet gesynced worden.

    Als de gebruikers niet een vaste computer hebben is het moeilijker omdat je meer mee moet nemen.
    Maar het uitsluiten van mail (je gebruikt toch imap of webmail) kan veel schelen.

    Dit document kan je op weg helpen voor veel voorkomende sync dingen:
    http://images.apple.com/education/docs/Apple-ClientManagementWhitePaper.pdf
    Het is niet voor Lion, maar bijna alles werkt (bij WGM) nog identiek.

    En remote beheer is handiger met ARD (mits je alle mac’s kan benaderen via LAN of VPN)

    Bijdrager
    deCube

    Bedankt voor je reactie, zoals je inderdaad al zegt, de meeste gebruikers hebben hun “eigen” computer. Is het ook mogelijk om naast de Documentne folder, bijv. instellingen van Safari / Mail mee te nemen?

    Overigens, het instellen van Mail.app dient ook per account op het OD handmatig te gebeuren, is dit te automatiseren?

    Nogmaals bedankt, ik vraag me echter nog steeds af of ik op de goede weg zit. Iemand?

    Bijdrager
    macpro

    Interessant draadje, dus ik ga mee lezen.
    Wat ik me wel afvraag is de beschikbare bandbreedte die je hebt in de vestigingen.
    En dan vooral de upload snelheid, want dat zal je bottleneck zijn bij het synchroniseren.

    ARD kun je heel goed gebruiken voor het installeren van software op afstand. En het kost tegenwoordig geen drol meer. Installeer dan wel een extra versie op de mini en stel die in als taakserver.
    Dan kun je installatie opdrachten naar die mini sturen en die zorgt dan weer dat alle andere Macs hun updates krijgen.

    Een VPN opzetten kun je eenvoudig met Lion Server. Je moet dan wel wat instellen op de firewall.
    Hierbij maak ik wel de aanname dat je alle vestigingen in ieder geval met de server in het datacenter hebt verbonden en dus vanaf het datacenter alle Macs direct kunt benaderen.

    Bijdrager
    deCube

    Ik ben de bandbreedte bij alle vestigingen zo hoog mogelijk aan het proberen te krijgen. Helaas gaat dit niet altijd even makkelijk.

    Een kabelaansluiting haalt maximaal de volgende waardes 120/10, terwijl (betaalbaar) ADSL maximaal 40/3 haalt. Een kabelmodem met VPN functionaliteit heb ik nog niet gevonden. Ik zit denk ik dus vast aan 40/3, tenzij ik over ga naar SDSL, maar ik vind dat eigenlijk niet te betalen.

    Als VPN server zat ik aan iVPN te denken aangezien de native functionaliteit volgens velen niet echt (meer) voldoet.

    Zodra ik op alle vestigingen VPN draaiend heb, moet de mini dan ook de IP-adressen uit delen?

    Bijdrager
    Maurits

    Ik herlees je eerste vraag, en zie snow leopard/lion staan. Profiles werken alleen op Lion, dus als je ook snow leopard clients wil managen stel ik voor alleen WGM te gebruiken.

    Ik vraag me af waarom je de homefolder laat syncen in deze netwerk setup van 4 vestigingen.
    Het systeem van mobile users met een sync home folder is vooral ontworpen voor omgevingen als scholen waar alle studenten een zaal met iMac’s lenen, en de iMac’s gigabit naar de server hebben.
    Het principe van een mobile user (zonder sync) is bedoeld om reizende macbooks toch te kunnen beheren (lees beperken).

    Voor storingen oplossen kan ik Apple Remote Desktop (ARD) aanraden.
    Je kan dat doen door op elke mac een (verborgen) gebruiken te maken die volledig toegang heeft, en waarvan alleen de helpdesk het wachtwoord weet. Binnen ARD kan een installer pkg maken die zo’n ‘hidden admin user’ aanmaakt, maar er zijn meer oplossingen.
    Via ARD kan je het scherm overnemen, scripts draaien, pkg installeren, enzovoorts.

    Wat mij niet duidelijk is hoe de vestigingen verbinding maken met de server.
    Je kan VPN per mac gebruiken (meeste typen zitten standaard in het OS), maar je zou ook per vestiging een kastje (jouw adsl router of een site-to-site VPN kastje als b.v. de Netgear FVS318G) een VPN met de server kunnen laten opbouwen. Voordeel is dat niet elke mac die VPN verbinding hoeft te maken/verbreken. Nadeel zou (afhankelijk van opties) kunnen zijn dat internet verkeer (eventueel) via de VPN en de centrale server het internet op gaat, en dus trager kan zijn.
    Slimme routing tabellen en interne DNS kiezen is het beste, maar dat ik hier op het forum niet snel uit te leggen.

    Voordeel van het kastje dat VPN maakt is dat je ook vanaf elke plek in het netwerk ook direct vanuit ARD de clients kan vinden (over de ‘vaste’ VPN verbinding). Wellicht niet via Browse.. maar wel als jij (als admin..) de ip adressen weet van de clients. Als elke client VPN opbouwt zal je een Mac niet remote kunnen managen met ARD als er geen gebruiker ingelogd is.

    Maar hoe je het netwerk ook inricht, waarom wil je de homefolder syncen? Het werkt vaak met vele kleine irritante foutmeldingen, gebruikers moeten uitloggen (en niet in slaap zetten..), etc.
    Je kan misschien ook iedereen leren alle belangrijke bestanden op een centrale file server te zetten?
    syncen levert wel vrijheid op, maar is geen backup (ik heb een volle home folder na een foute sync helemaal terug naar standaard gezien…)

    Bijdrager
    macpro

    Als je iVPN gaat gebruiken ga je elke Mac afzonderlijk benaderen via een aparte VPN verbinding. Dat kan wel, maar dan mis je een hoop mogelijkheden die ARD je kan bieden. Daarom ook mijn vraag hoe de vestigingen gekoppeld zijn aan de server die in een datacenter staat. Want als je op de server het VPN gedeelte aan kunt zetten en dan van daar af naar de vestigingen kunt gaan heb je in 1 keer een totaalbeeld van alle Macs.

    En ik sluit me aan bij het bovenstaande v.w.b. het syncen van accounts. Functioneel is het misschien wat je wilt, maar je infrastructuur is er niet geschikt voor. Moeten die 4 vestigingen elkaars bestanden kunnen zien/bewerken? Of kun je ook volstaan met 1 mini server per vestiging? Lijkt een duurdere oplossing, maar dan hoef je niet zo zwaar te investeren in bandbreedte.

    Bijdrager
    deCube

    Bedankt voor jullie reacties.

    Het syncen van de homefolder is eigenlijk voortgekomen uit het idee dat de gebruiker zijn eigen “domein” op de server heeft. Ik begrijp dat het misschien slimmer is om dit stop te zetten, in de praktijk maakt men weinig gebruik van hun eigen folder. Wat ik dan niet begrijp is hoe de instellingen van bijv. Mail.app of Safari per gebruiker opgeslagen blijven.

    Op dit moment hebben alle gebruikers een mobile account, er is in WGM maar 1 computer ingesteld, de “guest” computer. Ook is er nog niets van een VPN tunnel aanwezig. Gebruikers loggen dus in op OD en dan wordt alles gesynchroniseerd alvorens ze kunnen werken. Afhankelijk van hoe oud de versie van homefolder op de computer is duurt het syncen soms erg lang.

    Wat ik nu (lees: in de toekomst) wil, en bevestigd krijg uit jullie reacties, is het volgende:

    – Mac mini in datacentrum, draait o.a. VPN;
    – Iedere vestiging krijgt een VPN-router welke middels IPSec over L2TP een lan-2-lan verbinding heeft met de server;
    – Iedere Mac krijgt binnen het VPN netwerk een eigen IP-adres waarmee ik met ARD kan verbinden.

    Wat ik echter nog niet begrijp:

    – Hoe stel ik de Macs verder in?
    – Blijven de gebruikers gewoon via OD inloggen?
    – Loopt het verkeer dat niet bedoeld is voor de server (bijv. gewoon internetten of Skypen) via de server? Zo ja, dat kost belachelijk, en onnodig, veel dataverkeer.

    @macpro, de centrale fileserver is het hart van het bedrijf, hierop staat alles en alle gebruikers moeten hierop kunnen werken.
    @mjsanders, je hebt gelijk, het syncen geeft af en toe wat frustraties, dit zou graag anders moeten.

    V.w.b. de VPN-router, je hebt het over de Netgear FVS318G, op zich is dat geen dure router voor wat het biedt maar als ik een snelle verbinding(120/10) heb is het dan niet zonde om daar maar 25Mbps van te benutten? Ik zat zelf te denken aan, het veel duurdere, QNO QVF7303. Deze heeft ook meerdere WAN-poorten waarmee ik later wellicht meerdere verbindingen kan bundelen.

    Al met al een leuke discussie, ik hoop dat jullie mij kunnen helpen om tot een goedwerkende structuur te komen!:)

    EDIT: Overigens, de reden dat ik iVPN wil gebruiken is omdat in Lion de GUI voor het opzetten van een VPN server er uit is gesloopt.

    Bijdrager
    macpro

    Snelle reactie: De VPN server kun je in Lion Server instellen via Server.app.

    Bijdrager
    deCube
    Bijdrager
    iep

    Je kunt ook eens kijken naar welke mogelijkheden je hebt wat internetverbinding betreft. Je kunt de vpn ook op een dsl verbinding laten doen of op een glasvezel lijn. Het is geen echte vpn maar lijkt er in ieder geval wel op en het wordt ook vaak als een vpn in de markt gezet. Dit is een beter plan dan zo’n vpn connectie omdat het minder overhead (lees: het is sneller) en problemen oplevert (echte vpn’s kunnen nogal lastig zijn). Een vpn zal door de overhead in dit geval het probleem wat je nu al hebt met de trage sync alleen nog meer erger maken. De bandbreedte die je nodig hebt is simpelweg te mager. Als je dan toch al een snelle verbinding neer gaat leggen kun je meteen alles op elkaar laten aansluiten en er zodoende 1 groot netwerk van maken.

    Ik denk dat overal een aparte Mac mini met Lion Server neerzetten uiteindelijk veel goedkoper zal zijn. Je kunt in dat geval wel spelen met master-slave machines wat OD betreft. Je zou dan de machine in het DC als master instellen en de machines op locatie als slave. Op die manier kun je ook de nodige dingen afvangen waardoor je performance toeneemt en het centrale karakter van het netwerk wat je op dit moment hebt behouden blijft.

    Bijdrager
    deCube

    Bedankt voor je reactie iep.:smile:

    De vestigingen draaien nu allemaal zo’n beetje op een 2Mbit-4Mbit verbinding. Als daar een 40(ADSL)-120(kabel) Mbit verbinding down en respectievelijk 3-10Mbit up verbinding voor in de plaats komt zullen ze dat toch zeker wel merken?

    Waar kan ik zo’n VPN-verbinding vinden, welke provider?

    Op iedere vestiging een Mac mini plaatsen kan ook maar hoe zit dat met het centrale bestandssysteem? Deze moet natuurlijk ook constant in sync blijven.

    EDIT: ik heb nog eens wat onderzoek gedaan naar een goede VPN router en de Cisco RV220W is redelijk positief uit de bus gekomen. Volgens SNB heeft deze router een IPsec throughput van rond de 40Mbps, wat netjes aansluit bij een ADSL verbinding. Is dit een acceptabele snelheid voor mijn doeleinden?

    Bijdrager
    Goodheart

    Wat ze in dat artikel in smalbusinesstechtips bedoelen is dat Lion Server slechte ondersteuning biedt voor het PPTP protocol. Dat is opzettelijk, omdat Apple terecht vindt dat het L2TP VPN protocol veel veiliger is. Dat kun je instellen door een enkele schakelaar in server.app op aan te zetten en je clients via L2TP te laten verbinden. Dat kan heel simpel via netwerkvoorkeuren. Dat scheelt weer investeringen in hardware plus de bijbehorende instellingsproblemen.

    Bijdrager
    iep

    @deCube: iedere fatsoenlijke zakelijke isp biedt dat soort dingen wel aan. Een van de grotere zijn KPN en XS4ALL. Wellicht dat je ook eens met een partij die specifiek Mac beheer doet een en ander kunt overleggen. Een aantal APRs en AASPs doen dit.

    Bijdrager
    deCube

    @Goodheart, ik las naast mijn bril geloof ik, ben niet van plan om via PPTP te verbinden.

    @iep, ik ga eens zoeken, bedankt!

    Bijdrager
    deCube

    Ik wil dit topic graag nieuw leven inblazen omdat ik een beetje gek begin te worden van de kleine problemen die zich op beginnen te stapelen.

    Ik ben bereid de boel radicaal om te gaan gooien en evt. een extra server plaatsen / huidige server verhuizen. Van de vier locaties is er één afgevallen en is er één “standalone”, waardoor er dus nog maar 2 locaties overblijven om bestanden / OD / mail te delen.

    Wat is in dit geval de best practice? Het gebruik van mobile sync brengt erg veel irritatie bij de gebruikers met zich mee omdat ze soms een uur moeten wachten tot hun account volledig is gesynct. Voor zover ik weet is alles in WGM goed afgesteld maar ik krijg het gevoel dat PM roet in het eten gooit, niet erg transparant van Apple.

    Is de situatie die ik als volgt schets best practice?

    locatie 1, OD-master-, file- en mailserver
    locatie 2, OD-slave, VPN verbinding naar locatie 1 voor betere bandbreedte

    Voordelen
    – Geen mobile sync meer;
    – Beheer via ARD.
    Nadelen
    – locatie 1 behoeft een vast IP-adres;
    – langzamere bestandsbeheer op locatie 2.

    Ik zit even met de handen in het haar, kan iemand mij op weg helpen?

    Bijdrager
    iep

    Heb je al eens naar het netwerk gekeken? Over wat voor soort links loopt die sync?

    Bijdrager
    deCube

    Bedoel je intern? Intern draait alles op een 100Mbps netwerk, naar de buitenwereld helaas nog steeds op slechts 2Mb/2Mb verbinding vanwege de wat trage reactie van Ziggo.

    Thuis draait alles op 120Mb/10Mb en dat gaat op zich redelijk, ik zit echter met accounts van ~4GB en dan duurt het soms alsnog 40-60 minuten.

    De server draait op 1Gbps met ~120Gbps connectiviteit.

    Ben er vandaag achter gekomen dat de Mail dir syncen ook niet één van de slimste dingen is.

    Bijdrager
    iep

    Die 100 Mbit zou nog kunnen maar als ze van buitenaf ook willen gaan syncen of er gesynct moet worden naar een andere OS X Server over die internetverbinding dan is het niet zo raar dat het tot irritaties leidt. Aan de andere kant…dingen als roaming profiles en syncs worden vaak als irritant gezien omdat men er op moet wachten. Dat heeft te maken met de grootte van het profiel en die is bij velen nogal erg groot. Een paar cd’s op je desktop zetten en je bent zomaar een minuut of 10 bezig met inloggen.

    Ik zou dan ook wat beter gaan kijken naar de toepassing van deze dingen en hoe je data zou willen opslaan. Probeer te analyseren wat er bij zo’n sync gebeurd en kijk wat je kunt schrappen aan te synchroniseren items.

19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.