Büroumzug: Chance für Verbesserungen

Status
Für weitere Antworten geschlossen.

der_jan

Benutzer
Mitglied seit
28. Nov 2013
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Moin zusammen,

wir sind ein kleines Dienstleistungsbüro mit 4 Mitarbeitern und mir obliegt die Aufgabe, das NAS zu organisieren (kein IT-Experte, Schritt für Schritt eingearbeitet). Im Herbst steht bei uns ein Büroumzug mit Erweiterung auf 6 Arbeitsplätze an. Derzeit arbeiten wir auf einer DS 216 II+. Unsere Anwendungen sind schlicht:

  • Filestation
  • CloudStation (bzw. Drive)
  • Kalender
  • Adressbuch
  • Notestation
  • Chat

Im Moment verteilen wir alles über Powerline und FritzBox an die einzelnen Rechner. Der Umzug ist eine Gelegenheit, über die künftige Konfiguration nachzudenken. Wir haben bei uns folgende Begehrlichkeiten/Fragen entdeckt:

  • Wir nutzen im Moment für das E-Mail-Archiv einen einzelnen WIN-Rechner, um Mailstore laufen zu lassen. Gerne würden wir diesen Rechner in Rente schicken und stattdessen den Mailstore in einer virtualisierten Umgebung laufen lassen. Ist das z. B. auf einer aktuellen DS 218+ realistisch? Oder doch ein anderes Gerät hierfür?
  • Ich würde gerne das System grundsätzlich etwas beschleunigen. Meine Optimierungsideen hierzu ist Umstellung auf einen Gigabit-Switch und LAN-Verkabelung (weg mit PowerLine). Sind das die richtigen Stellschrauben, um das System "flüssiger" zu machen?
  • Gesetzt dem Fall, dass die 216 II+ nicht mehr zukunftssicher ist, in welche Richtung würde man schauen, weiterhin NAS oder doch RS-Systeme?

Ich freue mich über jeden Tipp!

Danke & Gruß von der Küste
Jan
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Ich würde gerne das System grundsätzlich etwas beschleunigen. Meine Optimierungsideen hierzu ist Umstellung auf einen Gigabit-Switch und LAN-Verkabelung (weg mit PowerLine). Sind das die richtigen Stellschrauben, um das System "flüssiger" zu machen?
Wenn die Möglichkeit besteht ein LAN-Kabel von allen PCs zum Switch, Router und NAS zu legen, ist dies dem SteckdosenLAN auf jeden Fall vorzuziehen.

Neues NAS:
Eure Anforderungen sind recht übersichtlich. Ich nehme an, dass die DS216+ das bisher klaglos geschafft hat, oder?
Die Frage nach einem Backup halte ich für viel wichtiger. Ist das bei euch geklärt? Wenn ja, wie sieht eure Backupstrategie im Groben aus?
Falls noch keine Backupstrategie vorhanden ist: Dann würde ich eine DS718+ in die engere Wahl ziehen und die DS216+ als Backupsystem nutzen. Die DS718+ kann auch virtuelle Maschinen bereitstellen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Ich würde auch zu einer 718+ raten, viel RAM rein, damit die VM auch vernünftig läuft.
Keine Frage ist die Notwendigkeit von Gigabit Switch mit LAN Verkabelung.
Wenn dort kein Netzwerk verlegt ist einfach mal prüfen ob man nicht mit einem einfachen 10er Loch in der Wand vorkonfektionierte LAN-Kabel (gibts in allen Längen) bis zum Ziel-PC verlegen kann. Nicht optimal aber zweckmässig.

Backup ist immer wichtig. Dafür kann wirklich die alte DS herhalten. Gibt sie den Geist auf eine externe HD anschaffen und direkt an der 718+ am eSATA Port betreiben für tägliche Backups.
Als Firma würde ich mich zudem von der Fritzbox verabschieden und einen vernünftigen Router an der Schnittstelle zum WAN betreiben! Was hängt ein wenig vom Provider ab.

Und dann noch die Frage zur USV. Sowas ist unverzichtbar!
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.598
Punkte für Reaktionen
919
Punkte
174
Wenn es das Budget hergibt, rate ich gleich zu einer 918+ oder noch besser zu einer 1019+ (die ist deutlich leiser).
Die 1019+ kommt bereits mit 8 GB RAM (sollte für VM leicht reichen) und ist skalierbar – die 5 Bays müssen ja nicht gleich bestückt werden (obwohl ich dazu raten würde).
Das wäre eine updatemäßig „zukunftssichere“ Lösung.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.372
Punkte für Reaktionen
502
Punkte
214
Zunächst sind das hier alles gute Ratschläge. Auch das mit der DS918+ usw. ist wohlmeinend. Die Frage stellt sich zunächst nach den Anforderungen an einen Server:

- Anzahl User, okay 6
- Datenumfang, heute und voraussichtlich in den nächsten 4-5 Jahren,
- Bleibt es bei den APP´s wie oben beschrieben auch für die kommenden Jahre,

Wenn das klar scheint, kann über die Grösse einer DS diskutiert werden. Sobald eine VM ins Spiel kommt und das ist ebenso richtig angemerkt, ist RAM wichtig:

...........Habe eine 718+ auf 16 GB aufgerüstet, da ich eine Virtuelle Maschine (Ubuntu) mit einem speicherhungrigen Programm dort laufen habe. Sowie tägliche Zugriffe von c.a. 20 Usern. Die Aufrüstung auf 16 GB klappte vollkommen problemlos. Jetzt habe ich eine RAM-Auslastung von durchschnittlich 60 Prozent. Dazu die beiden LAN-Schnittstellen per Link-Aggregation verbunden..........

Ich würde versuchen, eine VM zu umgehen, der Resourcen wegen, nur wenns unbedingt sein muss, zudem dies auch zusätzlich administriert werden muss. Ich kenne nun Mailstore nicht, können jedoch die Daten gesichert werden mit Outlook oder Thunderbird, könnte auch auf zB. Kopano (K4S) umgestiegen werden, eine Groupware mit allem drum und dran und kostenlos. Damit könntest Du Dir Kalender, Adressbuch und teils Notestation sparen. Notestation ist dem Notizenbereich von Kopano etwas überlegen. Aber mit Kopano kannst Du Outlook im Exchangeausbau komplett abbilden (Mail, Kalender, Kontakte, Aufgaben, Notizen, Dateien, Webmeeting usw.).

Wenn Du ohnehin Kalender, Adressbuch und Notestation einsetzen möchtest, könnte es auch Mailserver mit Mailstation sein, aber das ist m.E. eine Krücke.

Ansonsten muss auch ich unterstreichen: Beschaffe eine 2. DS und mache die DS216II+ zum Backupserver, am besten räumlich getrennt, damit eine 1:1-Datenkonstellation hergestellt werden kann. Je nach Datenmenge ist die DS718+ eine erstklassige Wahl, die DS918+ oder DS1019+ ist jeweils mindestens genauso gut, aber erst erforderlich, bei höheren Datenmengen oder wenn für eine getrennte Datenhaltung auf einem Produktivsystem mehrere Volumes erforderlich werden.
 

der_jan

Benutzer
Mitglied seit
28. Nov 2013
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Moin zusammen,

vielen Dank für die hilfreichen Hinweise!

Alles klar, wir werden LAN und einen brauchbaren Switch einplanen (ggf. noch USV).

Das Thema Backup habe ich bereits adressiert, täglich werden die wichtigsten Ordner auf ein weiteres NAS an einem geographisch anderen Ort per Hyper backup gesichert.

Zurück zum künftigen NAS:

@peterhoffmann: Ja, im Grunde sind unsere Anforderungen schlicht und die 216 hat alles klaglos erledigt. Nur "flutscht" es eben nicht optimal, daher die Überlegung, hier den Umzug zu nutzen, ein NAS-Update zu realisieren.

@all: Ist die maximale Arbeitsspeicherkapazität von 8GB bei der DS1019+ nicht ein vorprogrammierter Flaschenhals?

Danke & Grüße
Der Jan
 

der_jan

Benutzer
Mitglied seit
28. Nov 2013
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Keine Frage ist die Notwendigkeit von Gigabit Switch mit LAN Verkabelung.
Wenn dort kein Netzwerk verlegt ist einfach mal prüfen ob man nicht mit einem einfachen 10er Loch in der Wand vorkonfektionierte LAN-Kabel (gibts in allen Längen) bis zum Ziel-PC verlegen kann. Nicht optimal aber zweckmässig.

Bei der Verkabelung der neuen Büroräume kann ich "mitreden". Wie würde die ideale Vernetzung aussehen? Jedes Netzwerkgerät (Rechner, Drucker, AP) bekommt per CAT6 eine direkte Verbindung zum Switch?

Danke & Gruß
Jan
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Nur "flutscht" es eben nicht optimal, daher die Überlegung, hier den Umzug zu nutzen, ein NAS-Update zu realisieren.
"flutscht" ist sehr subjektiv. Was "flutscht" denn nicht?
Falls es an der Verbindung (PC <=> NAS) liegt, sollte sich das mit der Umstellung auf LAN-Kabel auf ca. 110MB/s steigern, sowie die Reaktionszeit pfeilschnell werden.

Ist die maximale Arbeitsspeicherkapazität von 8GB bei der DS1019+ nicht ein vorprogrammierter Flaschenhals?
8GB sind ja schon recht ordentlich, aber auf Wunsch geht da auf jeden Fall mehr:
https://www.synology-forum.de/showthread.html?102269-DS-1019-jetzt-auf-20GB-RAM-aufgerüstet
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.372
Punkte für Reaktionen
502
Punkte
214
........Arbeitsspeicherkapazität von 8GB bei der DS1019+ ........

In dieser Liga und mit VM-Überlegungen sind klar 16 GB angesagt, da andere APPs auch Bedarf haben. Aber wie gesagt, VM sollte eine Lösung sein, weil es wirklich nicht anders geht.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.372
Punkte für Reaktionen
502
Punkte
214

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Da 4 bzw. 6 Mitarbeiter bei euch arbeiten, habe ich mal ein paar andere Gedanken und Fragen:

  • Kann beim Defekt des NAS überhaupt jemand weiterarbeiten?
    1. Wenn nein, wie viel Tage kann die Firma verkraften, dass 6 Mitarbeiter nichts tun können?
    2. Wenn nein, wie viel Tage können Kunden warten?
    3. Wenn nein, wie lange wird der Austausch dauern bzw. gibt es dafür einen Plan B?
    4. Was kostet der Ausfall am Ende?
  • Was ist, wenn euer NAS bei einem Einbruch gestohlen wird?
    1. Wie schnell hat man Ersatz bzw. eine Möglichkeit weiterarbeiten zu können?
    2. Was ist mit dem Daten, die der Dieb hat? Wäre dieser Datengau tödlich für die Firma, wenn die Daten öffentlich oder gar zur Konkurrenz gelangen?
  • Was ist bei einem Brand oder Wasserschaden im Büro?
    1. Liegt ein vollständiges Backup extern vor?
    2. Können die Mitarbeiter für wenige Tage von zu Hause aus arbeiten bis eine Notlösung gefunden ist?
 

der_jan

Benutzer
Mitglied seit
28. Nov 2013
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Die Fragen zur Informationssicherheit sind berechtigt.

Ich denke, wir haben die Szenarien Defekt und Wasser durch das externe Backup adressiert. Beim Risikobereich Einbruch sehe ich zwei Handlungsfelder. Der räumliche Einbruch mit Entwendung des NAS kann ich m.V.n nur mit Sicherungsmaßnahmen vor Ort entgegenwirken (verstärkte Tür, verschlossener Schrank, Überwachung). Die Strategie für digitalen Einbruch: Zugriff auf NAS nur lokal oder per VPN erreichbar, 2-Faktor-Authentifizierung, Verschlüsselung. Welche wesentlichen Punkte sollte ich hinzufügen?

Grüße
Jan
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Die Verschlüsselung hilft auch gegen den räumlichen Einbruch. Sollte dieser erfolgreich sein, hat der Dieb nur Datenbrei (wenn man es richtig macht).
Die Verschlüsselung selber bringt keine spürbare Geschwindigkeitseinbußen bei deiner DS216+, sowie den Nachfolgemodellen aus der Plus-Serie.

Ich hatte oben vergessen zu schreiben, dass meine Fragen für dich waren, da du dir selber dazu die Antworten geben musst und auch nur kannst. Einfach die einzelnen Szenarien für sich selber durchspielen und schauen, wo es endet, ob man damit glücklich ist oder es Verbesserungen gibt.

Nichts ist schlimmer und kostspieliger, wenn die Firma für Tage ausfällt, weil alles an einem Gerät hängt und man keinen PlanB hat.
 

der_jan

Benutzer
Mitglied seit
28. Nov 2013
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo Peter,

was ist aus deiner Sicht eine "richtig gemachte Verschlüsselung"?

Grüße
Jan
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
schon witzige Ratschläge hier.
Wenn IT in einer Firma eingesetzt wird gibt es eine Menge Dinge zu beachten. Wenn man selbst die trivialen Fragen nach Backup oder Einbruchsicherheit nicht beantworten kann sollte man sich beim BSI mal schlau lesen und/oder dann doch einen Fachmann mit der Installation beauftragen.
Alleine die Literatur des BSI zu diesem Thema erübrigt hier im Forum weitere Fragen. Sollte dann noch die DSGVO eine Rolle spielen kommt man um Notfallpläne und IT-Sicherheitsdokumente erst gar nicht drum herum, egal wie klein eine Firma ist.

Was Verschlüsselung angeht, da muss man wissen, dass nur noch 160 Zeichen für den Dateinamen zur Verfügung stehen, und dass die Verschlüsselung Zugriffe langsamer macht, insbesondere dann, wenn mehrere Personen auf gleiche Dateien zugreifen.
Man muss auch nur etwas verschlüsseln was verschlüsselungswürdig ist.

@TE: Das Schlüsselwort für die zukünftige Nw-Verkabelung heisst Sternverkabelung. In der Mitte des Sterns sitzt der Router.
Wenn ihr über Nutzung VPN nachdenkt SoHo Router gleich vergessen und etwas mehr Geld für einen echten VPN-Router in die Hand nehmen.
Dann am besten auch einen ohne integriertes Modem. Das Modem als Schnittstelle zum Provider ist beliebig austauschbar, der Router dahinter aber nicht.
Preis- Leistungssieger für VPN Router ist Draytek. Mit den Geräten mache ich nur gute Erfahrungen. Nimmst du auch den Switch und evtl WLAN Geräte von der gleichen Firma kannst du alles zentral administrieren und wichtig per Firewall umfangreich absichern.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
aus deiner Sicht eine "richtig gemachte Verschlüsselung"?
Eine die den Gegner daran hindert an die Daten zu kommen. ;)

Mal im Ernst: Es gibt im DSM eine Funktion einen gemeinsamen Ordner zu verschlüsseln. Eine tolle Funktion mit sehr wenig Einschränkung (Dateinamenlänge), perfekt und sicher für die allgemeine Anwendung. Beim Neustart vom Gerät muss für die Ordner im DSM das PW eingegeben werden und dann stehen die Daten den jeweiligen Benutzern zur Verfügung. Das funktioniert solange bis man wieder mal neustartet. Ein Neustart kommt ja selten vor, also grundsätzlich kein Problem. Da ist es gut, wenn man eine USV dran hat um kurze Stromausfälle abzufangen und somit diese Prozedur der PW-Eingabe zu umgehen.

Es gibt aber auch die Möglichkeit den Schlüssel im DSM abzulegen und beim Neustart werden die Ordner automatisch entschlüsselt bereitgestellt. Das ist sehr bequem, aber auch gefährlich (z.B bei Diebstahl). Mit dieser Funktion wäre das also "falsch gemacht".
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Wieso ist das automatische Einhängen bei Diebstahl ein Problem?
Du irrst, wenn du meinst du kannst die DS per Reset zurücksetzen und dann ein neues Admin Passwort eingeben. Damit hast du KEINEN Zugriff auf die verschlüsselten Ordner. In diesem Fall benötigst du zusätzlich das Pw oder den Key.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Wieso ist das automatische Einhängen bei Diebstahl ein Problem?

Wenn der gemeinsame Ordner verschlüsselt und automatisch gemountet wird, stehen zwischen dem Angreifer und den Daten nur die Zugriffsrechte eines Benutzers, ein anfälliges Protokoll und die laufende Hardware. Es gibt also mehrere Angriffsmöglichkeiten und mehrere Ebenen auf denen man agieren kann.

Wenn aber der gemeinsame Ordner verschlüsselt und nicht gemountet ist, steht zwischen dem Angreifer und den Daten die Verschlüsselung. Mit langem Passwort kann sich der Angreifer ein paar Jahrhunderte vergnügen.
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@der_jan
Eine Alternative habe ich vergessen. Das DSM hat inzwischen einen Schlüsselmanager. Da lässt sich wie früher der Schlüssel für die Verschlüsselung auf der Systempartition hinterlegen, aber er unterstützt auch ein externes Speichermedium (z.B. USB-Stick). Beim Einschalten und Neustart vom NAS muss also der USB-Stick eingesteckt werden um die Ordner zu entschlüsseln. Nach dem Start kann er wieder abgezogen werden.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Du sprichst von Diebstahl. Das Gerät ist aus, der Dieb aktiviert es und dann?
Jetzt erklär mir mal wie dein Scenario da greifen soll. Ohne Passwort geht da gar nichts.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat