Schule für knapp 400 Beteiligte - welche DS?

[NSFH]

Sie piept eigentlich nur im Notmodus, also kein Strom und die Verbraucher laufen auf Akku.
Gue USVs haben auch ein Testmodus, der die Akkus entlädt und vor dem Shutdown wieder auf Stromversorgung umschaltet.
Das Handbuch der USV sollte weiter helfen.

Wegen NT, wüsste nicht, dass man den Alarm ausschalten kann. Es sollen halt beide NT laufen wie es sich gehört.

Wegen Jitsi: Das habe ich getestet und scheidet auf Grund der hohen Bandbreitenanforderung und dem ätzemdem Ton Delay von 2-3 Sekunden auf dem Heimserver aus.
Es würde nur auf einem angemietetem Server in der Cloud problemlos laufen, wobei der Ton Delay ein grundsätzliches Problem ist.

 

[Synchrotron]

Zur USV: Vermutlich sollte sie erst mal ganz aufgeladen werden, bevor sie mit einem Verbraucher verbunden wird. Am besten mal in die Bedienungsanleitung schauen. Es kann sein, dass sie das ungestörte Aufladen benötigt, um das Batteriemanagement aufzusetzen.

Bei den Netzteilen denke ich, dass sie beide laufen sollten, und bei nur einem ein Notbetriebszustand erkannt wird. Sonst könnte eines ausfallen, und niemand würde es bemerken, bis auch das zweite aussteigt. Daher der Radau, obwohl auch 1 Netzteil rechnerisch reichen würde.

Jitsi: Es gibt Anbieter, die einen Jitsi-Server als Service bereit stellen, mit deutschem Serverstandort. Ich könnte mir vorstellen, dass man die dort erreichte Performance als Optimalzustand betrachten kann (optimale Einrichtung, Wartung und Netzanbindung). Sollte schon das klemmen, wird es mit einer eigenen Einrichtung nur schlechter. 2x 100MBit/s ist bei 400 Usern auch nicht gerade üppig - da dürfte es deutlich spürbar sein, wenn darüber 10 oder mehr Videostreams abgewickelt werden sollen. Ich würde das Thema VK-Server auf die Longlist setzen, wenn die Glasfaser da ist.

 

[NormalZeit]

Bei den Netzteilen denke ich, dass sie beide laufen sollten, und bei nur einem ein Notbetriebszustand erkannt wird. Sonst könnte eines ausfallen, und niemand würde es bemerken, bis auch das zweite aussteigt. Daher der Radau, obwohl auch 1 Netzteil rechnerisch reichen würde.

Kann ich so bestätigen, ist bei meiner RS2415rp+ auch der Fall.

 

[macuser]

Hallo, so ist es, beide Netzteile müssen angeschlossen sein, die USV ist jetzt auch still nach der ersten Vollladung. Leider sind die Einschubschienen zu kurz für den Serverschrank. Da muss ich mir noch etwas einfallen lassen. Eine Handwerkerkolonne nach der anderen arbeitet gerade unkoordiniert im Keller. Ich habe die RS in einem anderen Raum aufstellen müssen, d.h. LACP mit 2 Netzwerkkarten und Lancom Switch geht super. Im Keller schalte ich später alle 4 Netzwerkkarten.
Ein Leisetreter ist die RS nicht. Man sollte sie nicht in der Wohnstube unter dem TV aufstellen. Ansonsten ging das Einspielen der Einstellungen sowie Hyperback/Restore über USB einfach schnell, völlig ohne Panne. Wer übt schon im Vorfeld die Wiederherstellung eines Backups? Das war bisher noch nicht notwendig, deshalb schwang dezent etwas Angst mit.
Der Unterschied in der Performance ist grandios. Die DS715 kochte regelmäßig an die 100%, die RS langweilt sich und das ist gut so. Mal sehen, wie es nächste Woche wird, wenn alle 400 zugreifen.

Ich habe nur den SSD-Cache für Lesen aktiviert. Schreiben ist nicht so notwendig, die Möglichkeit, dass falsch auf dem Cache auf die Festplatten zurückgeschrieben wird und das RAID ruiniert, will ich ausschließen.

Vom Kostenvergleich nimmt sich die Anschaffung nicht viel im Verhältnis zu einer bezahlten Schulcloud. Ein gemieteter Server wäre unglaublich teurer aber hätte 10 GB Anbindung. Ich denke, dass die autarke Lösung eine bessere ist.

Schönes WE M

 

[NSFH]

In der Regel lassen sich die vertikalen Schienen im Serverrack verstellen. Dafür müssen nur alle Geräte raus.
Was mich mal interessieren würde (wenn du das testen kannst) inwieweit sich der reine Lesecache positiv auswirkt.
Ansonsten viel Erfolg bei der Inbetriebnahmne!

 

[macuser]

Hallo, ich wüsste gar nicht, wie ich das messen soll. Auf alle Fälle ist der Zugriff auf genutzte Ordner per SMB sehr schnell, das Aufrufen von Dokumenten im Drive geht sehr flott, das war vorher unglaublich träge.

Viele Grüße M

 

[whitbread]

Zum Thema Backup auf die 715+ bitte nochmal über Snapshot/Replikation nachdenken. Ist deutlich performanter als HB und Du kannst direkt einen Failover machen, falls die Haupt-NAS tatsächlich mal ausfällt oder auch zur Wartung, etc.

 

[NSFH]

Ein Failover wird gar nichts bringen, weil das System dann nahezu still steht.
Ich halte ein Ransomware sicheres Backupsystem mit Hyperbackup, welches im anderen Subnet und vom Switch getrennt als Direktverbindung installiert wird für sinnvoller!
Mit der RS hat er innerhalb von 3 Tagen einen neuen Server im Rack, ich glaube das ist zu verschmerzen.

 

[macuser]

Mittlerweile habe ich von Kollegen jede Menge Feedback. Keiner hat etwas von dem Wechsel mitbekommen, so muss das sein. Nur die Zugriffe und das Drive sind "auf einmal so schnell". Mittlerweile habe ich noch alle IP-Bereiche außerhalb Deutschlands gesperrt und nur lokale Adressbereiche der Schule zugelassen. Seit dem klopft auch keiner mehr am Port 22 an. Wenn jemand ins Ausland fährt, kann man einfach das entsprechende Land hinzufügen. Klasse in der Firewall gelöst.

Ich werde bezüglich Drive noch einiges strukturieren. Ursprünglich wollte ich für jede Klasse eine Gruppe einrichten, eventuell sind Team-Ordner die bessere Lösung? Momentan gibt es nur Admin, Verwaltung, Lehrer und Schüler mit verschiedenen Rechten. Die Schüler haben noch im Zusatzfeld ihres Accounts das Abgangsjahr, somit kann ich mit einem Rutsch alle jedes Jahr löschen. Ist es ungünstig, User verschiedenen Gruppen zu zuordnen, beispielsweise Gruppe Schüler und Gruppe Klasse_12?

Viele Grüße m

 

[whitbread]

Nix für Ungut - ich halte HB für einen absoluten Krampf, sichere dennoch auf eine Backup-NAS damit. Inwiefern man ein paar Tage auf seine Daten verzichten kann, muss jeder selber wissen, aber Snapshot & Replikation ist imho schon eine Bank und durch Snapshots genauso gefeit vor Ransomware wie HB. Dies gilt in beiden Fällen natürlich nur bei entsprechender Trennung der Netze.

 

[NSFH]

Sorry aber was verleitet dich du dieser Annahme? Snapshots sind keineswegs gegen Ransomware gefeit, weil sie im gleichen Server Inhaltsverzeichnis liegen wie die Nutzdaten. Das war es dann mit dem Schutz.
Würdest du dich mal mit den technischen Abläufen wie eine Infektion erfolgt beschäftigen würdest du nicht so falsche Infos streuen!

 

[NSFH]

@macuser: Du kannst einen Nutzer in verschiedenen Gruppen unterbringen. Musst das halt gut durchdenken, damit es nicht zu viele werden und damit zu kompliziert wird, wenn du neue Nutzer hinzufügst.
Was die Ordner angeht weiss ich nicht wie ihr arbeitet. Entweder hast du feste Klassenordner, wo jedes Jahr die Nutzer wechseln oder was sinnvoller wäre eine Gruppe "Klasse" und einen Ordner "Klasse" die für die gesamte Laufzeit in der Schule zusammen bleiben.
Dann musst du ausser bei Schülerwechseln von der ersten bis zur letzten Klasse nichts mehr verändern. Bei gleichnamigen Gruppen und Ordnernamen hast du auch gleich eine übersichtliche Struktur.

 

[macuser]

Ich wollte TeamOrdner für jede Klasse erstellen. Da werden aber die Kollegen und die meisten Schüler Probleme bekommen und durcheinander sein... Die Vorgehensweise ist seit Jahren von zu Hause und von privaten Geräten über Filezilla alles zu schieben, Dateiformate sind auch vorgegeben.. alles Open Source. In jedem Raum ist ein PC am Whiteboard oder TV montiert, dort können L&S sich per SMB einloggen und kommen so an ihre Daten. Ein Lehrer-Schüler-Share-Ordner gibt es auch, wo sich sämtliche Lehrer eigene Unterordner erstellt haben.

Ich würde gerne die Collaboration-Tools vom Fileserver getrennt behandeln. Für den Office-Kram ist das sehr schön für das Zusammenarbeiten an Dokumenten. Wir haben jedoch noch andere Dateiformate (Shotcut, Musescore, Latex, Scribus....). Sonst hätte ich mit Nextcloud hantieren können. Der in der Synology Drive KOnsole aktivierte Team-Ordner erscheint leider in Filezilla. Für uns logisch, für die Allgemeinheit verwirrend. Zu vermitteln, dass nur Synology Office in Zusammenarbeit funktioniert ist schwierig. Gibt es eine Möglichkeit, die Teamordner für den Fileserver zu sperren. Dann wären die Teamordner als Klassenordner zu realisieren. Dann wäre das logisch getrennt.

Wenn das so nicht funktioniert, werde ich doch Klassengruppen erstellen in einem folgenden Format: 10a2023 Klasse und Abgangsjahr. So brauch ich jedes Jahr nur den Gruppennamen anpassen. Berechtigung nur home, der Rest wird in der Gruppe Schueler festgelegt.

Grüße M

 

[NSFH]

Unterschiedliche Systeme/Ordner kannst du nur durch verschiedene Teamnamen (Gruppen) auseinander halten. Anders lässt sich die ACL nicht nutzen.

 

[macuser]

Ich habe mich doch gegen die Teamordner entschieden. Ich hoffe nur, dass ich bei den Ordnerberechtigungen keinen Fehler mache. Beispielsweise:

alle Schüler in der Benutzergruppe "Schueler" - dort lege ich die Ordnerberechtigungen fest
Schüler in die Jahrgangsgruppen - Berechtigungen ohne Haken

ist das korrekt so?

 

[NSFH]

Verstehe ich nicht so ganz.

Wenn alle Schüler in einer Gruppe Schueler sind haben alle die gleichen Rechte.
Wenn jetzt zusätzlich eine Teilmengen der Schüler in Gruppen aufgeteilt werden kannst du an beliebiger Stelle in der Verzeichnisstruktur die Vererbung unterbrechen. Bis zu dieser Stelle kommen alle. Ab hier würden dann neue Rechte für Untergruppen von Schüler greifen.
Wenn du bei Anlage der Freigabe auch einen Haken gesetzt hast, dass unberechtigte Verzeichniss nicht angezeigt werden sollen sehen die Gruppen auch nur ihre Verzeichnisse und sonst nichts.

 

[macuser]

Hallo, alle Schüler sollen die gleichen Rechte haben, deshalb lege ich dort die Berechtigungen für die Ordner fest. Die Klassengruppen sind nur dafür gedacht, dass mit einem Schwung Dateienfreigabe für eine Klasse erfolgen kann.

 

[NSFH]

Ok, dann richtest du eine Freigabe "Schüler" ein und gibst der Gruppe Schueler darauf das Zugriffsrecht.
In der weiteren Ordnerstruktur kannst du dann an beliebiger Stelle unterbrechen und spezielle Berechtigungen für spezielle Untergruppen erstellen.
Praktisch dabei, wenn du die Namen der Untergruppen veränderst musst du in der Ordnerstruktur nichts anpassen, das passt dann automatisch wieder.

 

[macuser]

Genau, so mache ich das.

 

[macuser]

Eine kurze Frage bezüglich "Externer Zugriff". das Menü kommt mir doch ein bisschen unsinnig vor. Den DDNS-Anbieter trägt man doch eigentlich im Router ein. Die Auflösung Domain in lokale IP findet doch auch im Router mittels Eintrag in DNS/Stationsnamen statt. Eigentlich ist das Menü überflüssig?

Grüße M