macOS Server – war’s das?

Ende Januar 2018 wurde es offiziell – macOS Server wird endgültig nicht mehr das sein, was es einmal war – eine Server-Lösung von Apple, die alles abdeckt, was man gemeinhin von einem Server-System erwarten kann. Der kalifornische Hersteller hat in einem Support-Artikel (https://support.apple.com/de-de/HT208312) das Ende einer Ära verkündet.

Eigentlich ist es das Ende des zweiten macOS Server-Lebens. Das erste kam mit dem Ende von Apples Xserve-Serverlinie (das letzte Modell war 2009 vorgestellt worden) und der Server Admin-Tools aus Mac OS X 10.6 Snow Leopard Server. 2011 läutete Apple eine neue Ära ein. Seit Mac OS X 10.7 Lion und iOS 5 läuft die Entwicklung von Apples Betriebssystemen* im Gleichschritt, erfolgen jährliche kostenlose Major-Updates jeweils zur gleichen Zeit im Herbst.

*macOS, iOS, tvOS, watchOS

Seit 2011 gab es kein separates Mac OS X Server-Betriebssystem mehr. Stattdessen setzt Apple mit der Server-App als “Add-On” zu macOS auf ein radikal anderes Konzept. Besonders zu Beginn der neuen Server-App-Ära war die eingeschränkte Funktionalität zum Vorgänger aus Mac OS X 10.6 frappierend. Dies verbesserte sich im Laufe der Jahre, Apple erweiterte die Server-App auf und unter der Oberfläche und ließ immer ein wenig Hoffnung, es könnte mit dem Server als Nischenprodukt immer so weitergehen.

Nun sind wir aktuell (Anfang Februar 2018) bei Server Version 5.5 angelangt und folgende Dienste haben uns allein seit Server 5.2 verlassen bzw. wurden versteckt oder ausgelagert:

  • Xcode Server (ist direkt in die Xcode-Entwicklungsumgebung gewandert)
  • FTP Server
  • iOS Filesharing
  • WebDAV-Filesharing (ist nur noch über ein Commandline-Tool administrierbar)
  • Filesharing (ist jetzt in den Systemeinstellungen – Freigaben von macOS zu finden)
  • Time Machine Server (ebenso)
  • Caching-Server (ebenso)
  • Software-Aktualisierung (ist noch über das Menü erreichbar, wird aber nicht mehr weiterentwickelt)

Mit einem weiteren Update der Server-App im kommenden Frühjahr 2018 werden die meisten anderen macOS Server-Dienste versteckt, solange sie auf einem bestehenden System nicht in Benutzung sind, und in zukünftigen Versionen sollen sie ganz fehlen.

Ist die Server-App tot?

Nein, ist sie nicht! Einer der meistgenutzten Dienste von Apples Server-System hat seinen Weg – ich hatte es oben schon erwähnt – ins normale macOS gefunden und ist somit nun für jedermann verfügbar: Dateifreigabe. Eigentlich hat es diese Funktion immer schon in macOS gegeben, allerdings konnten sich bis macOS Sierra maximal zehn Personen mit der Dateifreigabe eines Macs verbinden. Wer mehr gleichzeitige Verbindungen benötigte, musste den Server kaufen. Diese Beschränkung könnte künftig aufgehoben sein (obwohl ich in Apples Supportbereich dazu keine Information finden konnte).

Sehr schade ist allerdings das neue/alte Interface der Dateifreigaben, bei dem sehr viele Funktionen in den kleinen Raum der Systemeinstellung Freigabe gequetscht werden mussten. Das war in der Server-App besser gelöst. Immerhin, wer die Server-App installiert hat, kann sie auch weiterhin nutzen, um z.B. einen Überblick über komplexe Zugriffsrechte einzelner Freigaben zu behalten oder zu verändern.

Zum detaillierten Einstellen von Zugriffsrechten eignet sich die Server-App auch ohne vorhandenes Dateifreigabe-Kontrollfeld noch. Dazu wechselt man in der Übersicht der Server-App auf das Feld Speicher.

Ein weiteres praktisches Feature, das vor allem in größeren Arbeitsgruppen die immer noch wertvolle Internet-Bandbreite schonen hilft, ist Caching. Dieser Dienst kann nun ebenfalls auf jedem beliebigen Mac mit macOS High Sierra aktiviert werden und sorgt dafür, dass Inhalte wie Apple Software-Updates oder App-Downloads aus dem App Store zwischengelagert werden und so nur einmal heruntergeladen werden müssen. Alle weiteren Downloads derselben Inhalte werden dann vom Caching-Server bedient.

Die wesentlichen Dienste, die weiterhin in Apples Server erhalten bleiben, sind schließlich Open Directory und Profilmanager. Open Directory ist ein Verzeichnisdienst auf Open LDAP-Basis, der für die Authentifizierung von Benutzern verwendet wird, und ermöglicht durch die Unterstützung von Replica-Servern und Backups eine robuste Verwaltung sehr großer Benutzer- und Gruppendatenbestände (und war seit Mac OS X 10.3 Server das Herzstück des Apple Servers).

Profilmanager schließlich ist vermutlich letztlich der Grund, warum Apple seine Serverlinie nicht komplett aufgegeben hat. Die hauseigene Entwicklung eines Mobile Device Managements (für die zentrale Verwaltung von Macs und iOS-Geräten) ist Blaupause für alle professionellen MDM-Systeme auf dem Markt (zumindest diejenigen, die Macs und iPads/iPhones unterstützen) und ein Showcase für viele Verwaltungs-Funktionen, die mit jeder neuen Version von macOS und iOS hinzukommen.

Viele langjährige Fans der Apple-Server werfen dem Hersteller vor, die professionellen Anwender weiter vor den Kopf zu stoßen und sich nur noch für “Teens mit Tausend-Euro-Smartphones” zu interessieren. Ironischerweise ist das hier nicht zutreffend, denn Apple orientiert sich mit dieser Entwicklung besonders an den Interessen der großen Institutionen. Diese benötigen eine einfache und leistungsfähige Plattform, um Tausende Geräte fertig konfiguriert auszurollen und zentral zu verwalten. Hier hat Apple in den letzten fünf Jahren sehr große Fortschritte gemacht (ebenso wie die Verbreitung von Apple-Hardware im Business) – allerdings überlässt man auch dieses Feld letztlich großen externen Playern. Profilmanager als Teil der 20 € teuren Server-App ist letztlich nicht mehr als ein “Proof of Concept”, das seinen Zweck in kleinen Umgebungen mit 50 administrierten Geräten gut erfüllt.

Fazit

Die Zeit der All in One-Lösung ist vorbei. Wer seine Apple-Arbeitsgruppe mit einer zentralen Dateifreigabe ausstatten will, kann dafür weiterhin einen Mac mini mit angeschlossenem Speichersystem verwenden.

Wer eine Groupware für Mail, Kalender etc. benötigt, sucht sich einen passenden Cloud-Dienst oder holt sich eine Lösung wie Kerio Connect (die diese Aufgabe sowieso viel besser beherrscht, als es Apples Server je konnte).

Für Web- und Wiki-Dienste gibt es Hoster und Hunderte Open-Source-Projekte, mit denen man sich die fehlende Funktionalität zur Not selbst auf einem Mac zusammenbauen könnte.

Und für eine zentrale Verwaltung von Benutzern und ihre Apple-Geräte bleibt uns dann noch macOS Server erhalten – vorerst zumindest.

Jetzt Kontakt aufnehmen!

Mysteriöser Speicherplatzschwund auf dem Mac

Neulich bei einem Kunden: der Speicherplatz auf seinem Macbook Pro 13″ (Modell 2012, 1 TB SSD, macOS High Sierra) nahm ohne erkennbaren Grund stetig ab. Der Kunde hatte schon mit dem Ausmisten begonnen und alte Daten gelöscht, um Platz freizuschaufeln. Also wurde es höchste Zeit, den Rechner einmal unter die Lupe zu nehmen.

Eine Inspektion auf fehlerhaftes Verhalten förderte erst einmal nichts zutage, aber eine Analyse des Speicherplatzes ergab Erstaunliches. Meine Vermutung war, dass ein System-Logfile aufgebläht sein könnte, aber in den Systemverzeichnissen war alles normal. Stattdessen führte die Spur direkt ins Benutzer-Verzeichnis, und zwar genauer zu

~/Library/Containers/com.apple.mail/Data/Library/Logs/Mail

Das Macbook wurde im Target-Modus gestartet und seine SSD mit WhatSize* ausgelesen. Das Mail-Logverzeichnis des Benutzers war ganze 507 GB groß!

Eine kurze Recherche im Internet ergab des Rätsels Lösung: In der Mail-App gibt es ein Dialogfeld zum Überprüfen der Verbindung und Kommunikation mit den Mailservern. Dieses findet man im Menü Fenster -> Verbindung prüfen. In diesem Dialogfeld kann man einen Haken setzen, der Protokoll für Verbindungskativität heißt. Ist dieser gesetzt, wird fortan die gesamte Kommunikation der Postfächer mit dem Mailserver in besagtes Log geschrieben. Hat man mehrere Postfächer und ein großes E-Mailaufkommen, kann man quasi dabei zuschauen, wie der Speicherplatz auf dem Mac schmilzt.

Die einfache Lösung lautet also: In Mail das Menü Fenster -> Verbindung prüfen öffnen und den Haken bei Protokoll für Verbindungsaktivität entfernen.

*Für die Analyse des Speicherplatzes kam WhatSize zum Einsatz. Diese Mac-Anwendung leistet mir schon seit vielen Jahren treue Dienste und hat einen optionalen Administrator-Mode, mit dem sie auch ansonsten geschützte Systembereiche analysieren kann. Sie ist in einer (nicht ganz aktuellen) Gratis-Version im Mac App Store verfügbar. Die neueste Version gibt es aber nur auf der Webseite des Entwicklers.

Canon Pixma G2500 Einrichtung und Test

Zum Jahreswechsel stand im Home Office mal wieder ein neuer Drucker an. In den letzten Jahren hatte ich aufgrund des unregelmäßigen, aber vielseitigen Druckvolumens auf die Multifunktions-Tintenstrahler von Canon gesetzt, aber die hohen Kosten für Ersatzpatronen sowie deren häufiger Ersatz hatten mich nach einer anderen Lösung suchen lassen. Da ich ab und zu gerne mal auf Fotopapier ausdrucke, kam aber eigentlich keine Alternative zur Tinte in Frage.

In den letzten Jahren ist neuer Schwung in den Markt gekommen. Epson hat die EcoTank-Serie mit großen Tintentanks und entsprechender Reichweite vorgestellt, HP hat mit den superschnellen Pagewide-Druckern ein interessantes Produkt für etwas höhere Druckvolumen vorgestellt – ebenfalls mit großen Tintentanks.

Und seit neuestem mischt nun auch Canon in dem Bereich mit und hat mit der Pixma G-Serie eine Reihe von Druckern und Multifunktionsgeräten vorgestellt, deren primäres Ziel in niedrigen Druckkosten besteht.

Viel mehr ist es im Fall von Canon auch nicht. Die Drucker/Kopierer sind im Grunde recht simpel konstruierte Consumer-Geräte, die mit großen Tintentanks ausgestattet wurden. Das soll im Falle meines neuen G-2500 für ca. 6.000 bis 7.000 Drucke reichen. Sehr erfreulich: Eine Nachfüll-Flasche kostet selbst von Canon nur 10 € pro Farbe (bzw. 14 € für Schwarz, das aber mit 135 ml Inhalt auch fast die doppelte Menge Tinte beinhaltet (C, M, Y jeweils 70 ml).

Diesen Luxus erkauft man sich mit dem höheren Gerätepreis, im Falle des G-2500 müssen 249,- € (brutto) berappt werden. Ein vergleichbares Gerät mit Tintenpatronen würde im Handel kaum mehr als 100,- € kosten, denn die Ausstattung des Geräts ist auf das Nötigste beschränkt:

  • 4 Tintentanks (Pigment-Schwarz, Cyan, Magenta, Gelb)
  • Druckgeschwindigkeit 5-9 ISO-Seiten/Minute
  • Randloser Druck möglich
  • Nur ein Papiereinzug auf der Rückseite
  • Kein Duplexdruck
  • USB-Anschluss
  • Kein Ethernet/LAN/Fax

Mir egal, das Teil kann Drucken, Scannen und Kopieren und funktioniert am Mac, die Druckqualität ist wie gewohnt einwandfrei. Ein nettes Energiespar-Feature: nach einer Zeit der Inaktivität (kann im Druckertreiber eingestellt werden) schaltet sich der Drucker aus. Sendet man dann einen Druckauftrag los, schaltet sich das Gerät automatisch wieder ein.

Netzwerk- und Airprint-Fähigkeiten bleiben übrigens den teureren Modellen Pixma G-3500 und 4500 vorbehalten, die beiden kleineren Modelle verfügen ausschließlich über einen USB-Port zur Kommunikation. Detaillierte technische Infos zu den Modellen der Pixma G-Serie können Sie hier bei Canon nachlesen.

Erste Eindrücke

Ich beschreibe die Ersteinrichtung des Pixma G2500 in einem Video und demonstriere die Druck- und Kopiergeschwindigkeit des Systems.
Derzeit ist das Modell in Deutschland ausschließlich über Canons eigenem Online-Shop zu beziehen.

Langzeiterfahrungen

„Reichweite“ des Druckers

Mittlerweile sind ca. 20 Monate vergangen, seit ich den kleinen Multifunktionsdrucker mit den großen Tanks in Betrieb genommen habe. Ich habe in dieser Zeit ca. 1.200 Drucke und Kopien produziert, was einem Schnitt von 2 Ausdrucken pro Tag entspricht. Damit bin ich vermutlich in der typischen Anwendergruppe für so ein Gerät – hier mal eine Seite, da mal 5 Seiten, dann wieder ein paar Tage lang gar nichts.

Der Drucker ist so eingestellt, dass er sich nach einiger Zeit der Inaktivität von selbst ausschaltet. Kommt ein Druckauftrag, so schaltet er sich automatisch wieder ein und legt nach kurzer Initialisierung los.

Dennoch werden wir die beworbenen 6.000 Seiten mit einer Tankfüllung wohl nicht erreichen, denn die Tanks sind nur noch etwa zur Hälfte gefüllt. Allerdings bleibt festzuhalten, dass ein Farbausdruck mit diesen Geräten trotzdem noch äußerst kostengünstig ist. Der Marktpreis für einen Satz Canon Originaltinte liegt bei ca. 35,- €. Selbst, wenn ich damit anstatt 6.000 nur 2.500 Drucke weit komme, liegt der Preis für eine Farbseite bei 1,5 Cent (Anschaffungskosten nicht eingerechnet).

Nie wieder eingetrocknete Tinte?

Meine Hoffnung, dass Probleme mit Streifenbildung und partiell fehlender Farbe auf dem Ausdruck komplett der Vergangenheit angehören, hat sich leider nicht ganz bestätigt. Auch mit meinem Pixma G2500 kam es (einige wenige Male) vor, dass ein Druckkopf etwas eingetrocknet war und z.B. kein Magenta gedruckt hat. Mit den Reinigungswerkzeugen des Druckertreibers war dies aber immer lösbar.

Probleme und Lösungen

Im Sommer 2019 streikte der Pixma G2500 plötzlich und zeigte “Fehler 5200” und kurz darauf “Fehler 5B00” an. Alle Versuche, das Problem selbst zu beheben, von Reinigungsdurchläufen über manuelle Reinigung der Transportwalzen bis hin zu Drucker-Reset und Firmware-Update schlugen fehl. Am Ende kontaktierte ich den Canon-Support, der einen defekten Druckkopf diagnostizierte und diesen auf Kulanz austauschte. Dafür auf jeden Fall ein fettes “Daumen hoch” und Dankeschön! Ein Drucker sollte einfach nicht nach weniger als zwei Jahren kaputtgehen.

Fazit und Empfehlung

Canon hat mit der Pixma G-Serie ein interessantes Produkt auf den Markt gebracht, das durch große Tintentanks deutlich geringere Druckkosten verspricht und außerdem hilft, Verpackungsmüll zu reduzieren. Das ist sehr löblich und weist den Weg in die Zukunft für Consumer-Tintenstrahldrucker. 

Auf der anderen Seite sind die Anschaffungskosten deutlich höher als bei vergleichbaren Modellen mit teuren Tintenpatronen. Hier macht Canon die Geräte der G-Serie unnötig teurer, denn Verarbeitung und Materialanmutung rechtfertigen den Mehrpreis von gut und gerne 100 € nicht. Das kann sich natürlich schnell relativieren, wenn man jeden Tag 10 oder 20 Seiten mit einem solchen Gerät druckt. Für den normalen Hausgebrauch mit den typischen 0-3 Seiten pro Tag (wie bei mir) sieht die Rechnung nicht so eindeutig aus. Ein defekter Druckkopf, der schon auftritt, bevor die Tintentanks einmal nachgefüllt wurden, kann den Spaß am vermeintlichen „Langzeit-Schnäppchen“ schnell beenden.

Hinzu kommt, dass Canon leider mit dem ersten Upgrade der Baureihe ab Sommer 2018 die Treiber für macOS eingestellt hat. Somit lässt sich die Canon Pixma G-Reihe nur noch unter Windows und Linux installieren. Immerhin beherrschen die Geräte ab dem Pixma G-35xx AirPrint, so dass man von Mac, iPhone und iPad zumindest rudimentär drucken kann.

Wer trotzdem unbedingt einen Canon Pixma-Drucker der G-Reihe am Mac betreiben möchte, wird übrigens bei der deutschen Firma Zedonet fündig, die mit Printfab einen kostenpflichtigen Druckertreiber im Angebot haben.

Frohes Neues Jahr 2018

Schwere Sicherheitslücke in macOS High Sierra – und Fix

Schwere Sicherheitslücke in macOS High Sierra – und Fix
Suche nach Verzeichnisdiensten

Am 28. und 29.11.2017 geisterte es durch alle Medien: Apple hat sich einen riesigen Schnitzer in seinem aktuellsten Betriebssystem macOS High Sierra erlaubt, der bis dato auch noch in den aktuellsten Beta-Versionen von macOS 10.13.2 vorhanden ist: Personen mit physischem Zugriff auf einen Mac können sich offenbar vollen Administrator-Zugriff auf das System verschaffen.

Alles, was man tun muss, ist in einem Authentifizierungs-Dialog “root” als Benutzer einzutragen und das Passwort-Feld leerzulassen. Teilweise muss man zwei oder drei Mal auf OK klicken, bevor sich das Schloss plötzlich öffnet und man vollen Zugriff auf das System hat.

Die Lösung

Ohne jetzt darüber zu spekulieren, wie so etwas möglich sein konnte, will ich hier die Lösung skizzieren. Zwei Dinge sind zu tun:

  1. root-Passwort ändern
  2. root-Benutzer aktiviert lassen und keinesfalls deaktivieren!

root ist ein Administrator-Account, der auf allen Unix-Systemen, zu denen macOS ja nun auch gehört, vorhanden ist. root hat die weitreichendsten Systemrechte und darf (fast) alles. Standardmäßig ist dieser Benutzer auf macOS deaktiviert. Der hier entdeckte Bug zeichnet sich also dadurch aus, dass root von Apples Entwicklern aktiviert wurde und obendrein kein Passwort hinterlegt ist. Damit sind von der Lücke diejenigen User nicht betroffen, die ihren root-User schon mit Passwort aktiviert hatten.

root-Passwort ändern

Es gibt verschiedene Möglichkeiten, dies zu tun. Da wir Mac-User lieber mit “Klickibunti” arbeiten, also ungern kryptische Befehle ins Terminal hacken, präsentiere ich hier eine relativ anwenderfreundliche Methode.

Programm “Verzeichnisdienste” öffnen

Dieses Programm ist in den Tiefen von macOS versteckt. Entweder man kann es öffnen, indem man danach per Spotlight sucht,

oder man öffnet ein Finder-Fenster und navigiert in den Ordner System/Library/CoreServices/Applications.


Um hier Änderungen vornehmen zu können, muss man unten links auf das Schloss klicken, um sich als Administrator zu authentifizieren. Wir können uns ja mal den Spaß machen und als Benutzer root eintragen und das Passwortfeld leer lassen. Sollten Sie von der Lücke betroffen sein, müsste Ihnen diese Kombination jetzt Einlass gewähren.
Als Nächstes rufen Sie das Bearbeiten-Menü aus und wählen root-Passwort ändern.

Es öffnet sich ein Dialogfenster. Geben Sie ein sicheres Passwort ein (es muss zwei Mal eingetragen werden). Fertig, die Sicherheitslücke ist damit gestopft. Schließen Sie die Verzeichnisdienste wieder.

Wichtiger Hinweis

Kommen Sie nicht auf die Idee, den root-Benutzer zu deaktivieren (diese Option ist Ihnen vielleicht im Bearbeiten-Menü der Verzeichnisdienste aufgefallen)! Wenn Sie das tun, wird die Lücke wieder geöffnet, denn das root-Passwort wird damit zurückgesetzt und man kann sich wieder ohne Passwort Zugriff verschaffen!

Shame on you Apple!

Update

Mittlerweile hat Apple das dringend erforderliche Software-Update nachgeschoben. Es sollte dringend über die App-Store-App – Updates installiert werden. Für das Update ist kein Neustart erforderlich.

Top