4 Windows 10 PCs und DS918+/DS920+

[ds214se]

Hello zusammen!

Ich habe 4 Windows 10 PCs (inkl. Laptops) sowie eine DS918+ und eine DS920+. Letztere fungiert u.a. als Fileserver (Samba) und hat einen DNS, allerdings nicht den von Synology, sondern Pihole in einer VM. Die andere DS dient als Ausfall-Backup (ohne High Availability).

Meine Frage:
Wie könnte ich am besten zukünftig die Verwaltung der Nutzerdaten vereinfachen? Derzeit können sich 4 Nutzer an allen 4 Rechnern anmelden. Da ich Ordner wie "Dokumente", "Downloads" und "Desktop" für alle Nutzer auf Synology's Samba-Shares umgebogen habe (und Windows 10 Pro's Offline-Funktionalität nutze), klappt der Zugriff auf den ersten Blick bisher gut und schnell.

Mich stört aber, dass ich mir nicht sicher bin, was passiert, wenn ein Nutzer auf 2 Rechnern angemeldet ist und dieselbe Datei offen hat. Ich befürchte Daten-Inkonsistenzen o.ä. Es ist nicht kritisch, da nicht beruflich verwendet, aber dennoch möchte ich gerne besser verstehen, ob dadurch Probleme entstehen können und wie ich diese besser vermeiden kann.

Sollte ich z.B. den Ordner "Dokumente" für jeden der 5 Rechner separat auf der DS als Samba-Share anlegen und diese dann regelmäßig synchronisieren, oder nur einen Share für alle Rechner (jeweils pro Nutzer natürlich)?

Derzeit:
DS-Shares:
-PC1-User1-Dokumente
-PC1-User2-Dokumente
-PC1-User3-Dokumente
-PC1-User4-Dokumente
-PC2-User1-Dokumente
-PC2-User2-Dokumente
-PC2-User3-Dokumente
-PC2-User4-Dokumente
etc.

Oder besser so?
-User1-Dokumente
-User2-Dokumente
-User3-Dokumente
-User4-Dokumente

Ich bin kein IT-Experte, daher bitte ich um Nachsicht bzgl. meiner evtl. missverständlichen oder gar fehlerhaften Darstellung. Ich lerne gerne dazu.

Ist ein Synology Active Directory oder LDAP hier sinnvoll (oder übertrieben)? Ich möchte es nicht unnötig kompliziert machen und nicht Probleme bekommen, wenn ein AD ausfällt.

Habt Ihr sonst noch ein paar Anregungen, in welche Richtung ich schauen sollte bzgl. meines Setups?

Ganz herzlichen Dank für Eure Hinweise.

PS: Ich hoffe, dass meine Frage hier richtig ist, auch wenn ich damit nicht ausdrücken will, z.B. LDAP zu erwägen (falls das hier überhaupt Sinn macht). Mir ist leider nicht klar, wo sonst das Thema besser passt.

 

[Benares]

Der 2. Ansatz ist sicherlich der bessere, da die Dokumente ja wohl eher Benutzer-bezogen sind, unabhängig vom jeweiligen PC. Warum aktivierst du aber nicht einfach den Benutzer-Home-Dienst? Der macht doch im Grunde dasselbe.

Bei 4 Benutzern/4 PCs braucht man m.E. noch kein AD. Die Accounts auf 6 Geräten (incl. der DSen) gleich zu halten, sollte man auch noch so hinbekommen.

 

[AndiHeitzer]

Bei 4 Benutzern/4 PCs braucht man m.E. noch kein AD

So unpraktisch ist das nicht.
Ohne AD musst halt beim PW-Wechsel (oha, böse Tätigkeit) überall (PC1/PC2/.../NAS) einzeln hinlangen.
Eine Überlegung wäre das auf alle Fälle wert, genauso der Weg hin zum Benutzerhomeservice.

 

[stefan_lx]

wenn ein Benutzer an zwei PCs angemeldet ist und zufälligerweise ein Dokument schon über smb offen ist, sollte das eigentlich zu einer Fehlermeldung führen... Mit Syncs egal welcher Art wirst du dir an der Stelle eher Probleme einfangen... Das gilt auch für die Windows-Offline-Funktionalität.. oder auch besonders für die ...

Nimm deine Besser-So-Variante, weil das die "richtige" Variante ist.. jeder Benutzer greift immer auf die gleichen Dateien zu, egal von welchem PC....
Ob du das jetzt mit user-homes oder mit einem "Gemeinsamen Ordner" für diesen einen Benutzer machst, ist dann eine andere Frage... ich würde aber die Benutzer-Homes aktivieren...

Wenn die PCs im Netz sind, hast du direkten Zugriff auf die Daten, ohne Gefahr zu laufen, dass ein Sync die Daten zerwürfelt...
Wenn die Notebooks auch richtig offline genutzt werden, würde ich dann aber Drive vorziehen, weil da erkennbar ist, wenn mal ein Sync zu Konflikten geführt hat (da entstehen Dubletten mit _conflict_ im Namen), bei Windows merkst du es nicht unbedingt...

Ein AD ist natürlich praktisch, aber für 4 Personen...? Vielleicht doch zu viel des Guten...

Stefan

 

[ds214se]

Danke Euch - ich werde das alles testen.

In der Tat hatte ich bereits "conflict" Dateien seitens des Syno-Syncs.

Was genau ist der Vorteil der Syno User Hones? Sind die nicht unabhängig von den Windows-Nutzern?

Neben der Nutzung User-eigener Dateien/ Dokumente und der Austausch-Möglichkeit von Dateien unter den Usern interessiert mich außerdem, wie ich am leichtesten für alle 4 User auf allen Geräten dieselben Programme und Einstellungen vorhalte. Hilft hier Synology? Eben z.B. ein AD?

In Windows nutze ich bereits die Synchronisierung der Einstellungen und auch OneDrive. Ob letzteres mit der Syno-Synchro kollidiert, weiß ich nicht, aber die Syno-Synchro entferne ich lieber und mache es wie unter "Besser so" beschrieben.

Nochmals danke!

 

[AndiHeitzer]

Ungetestet, weil nicht vorhanden:
- AD einrichten
- Die entsprechenden vier User anlegen
- Bei jedem User ein Roaming-Profile einrichten.

IMHO sind im Roaming-Profile die benutzerbezogenen Einstellungen der Software enthalten.
Die Installation allerdings müsste jeweils auf dem PC selber durchgeführt werden.
Das sowas per Policy machbar ist, weiß ich, hab das aber noch nie praktiziert.
Übrigens würdest Du Windows in der PRO-Edition benötigen, wenn es ein AD geben wird.
Die HOME-Edition kann das nämlich nicht.

 

[Adama]

Wenn AD würd ich die User-Homes gemäß AD-Techniken einrichten und nicht die Homes-Funktion der Syno nehmen. So hab' ich es auch bei mir gemacht.
Roaming-Profile ist keine gute Idee. Ein Benutzerprofil kann verdammt groß werden. Das sag' ich nur viel Spaß beim An- und Abmelden. Dann werden die jedes Mal synchronisiert. Das macht so gut wie keiner mehr.

 

[ds214se]

Mit Roaming-Profile meint Ihr das, was standardmäßig (ohne AD) dort zu finden ist?
C:\Users\<user>\AppData\Roaming

Bei einem meiner 4 Nutzer sind dort knapp 2 GB drin.

Ein Problem bzgl. Synology AD habe ich noch: Es wird zwingend ein DNS auf der DS installiert, obwohl ich dort unter einer VM bereits einen Pihole mit Unbound laufen habe. Ich weiß, dass das jetzt etwas OT wird, aber weiß jemand von Euch, ob man einen Syno DNS so einrichten kann, dass er dann upstream zum Pihole geht? Also so:

Client fragt nach IP => Syno DS DNS => Syno VM Pihole/Unbound => und wieder zurück

PS und BTT:
Es gibt ja auch das Syno LDAP-Paket. Verstehe ich es richtig, dass in meinem geschilderten Fall (wenn überhaupt) eher Syno Directory Server in Betracht kommt?

 

[Adama]

Mit Roaming-Profile meint Ihr das, was standardmäßig (ohne AD) dort zu finden ist?
C:\Users\<user>\AppData\Roaming

Das ist schon ein wenig mehr. Es ist eher so, dass bei AD Roaming Profiles u.a. die Verzeichnisse Local und LocalLow ausgelassen werden, alles andere immer auf den Server synchronsiert wird. Ich bin aber nicht sicher, wie das inzwischen bei W10 aussieht.

Roaming Profiles auf dem Server ist schon ein sehr spezielles Thema. Heutzutage nimmt man eher Ordnerumleitung (Folder Redirection)...

 

[stefan_lx]

ja, genau dieses Verzeichnis ist gemeint.. von den 2GB würden dann die geänderten Daten beim An- und Abmelden hin- und her-kopiert... bist du auf zwei PCs angemeldet, "gewinnt" das Profil, das zuletzt abgemeldet wird...

dem Syno-DNS kannst du so sagen, bei wem er sich die DNS-Infos holt...

Stefan

 

[blurrrr]

Ganz ehrlich... (und vor allem im privaten Bereich)... verzichte bloss auf die Roaming-Profiles, das wird Dir nur Unglück und jede Menge Arbeit bringen. (Profile gehen auch mal kaputt... ein riesen Spass für die ganze Familie und "Du" wirst der <piep> vom Dienst sein, der a) den Ärger abkriegt und b) den Mist wieder aufräumen darf ?).

obwohl ich dort unter einer VM bereits einen Pihole mit Unbound laufen habe. Ich weiß, dass das jetzt etwas OT wird, aber weiß jemand von Euch, ob man einen Syno DNS so einrichten kann, dass er dann upstream zum Pihole geht

....ja... ne... fällt mir jetzt irgendwie nix mehr zu ein... (ist nicht so, als wolle/könnte ich was dazu sagen), aber... ne... einfach nur ne... ?

Ach doch, komm - weil es so "kurz ist: "RTFM!" ? Und ich höre JETZT schon das Geheule, weil im piHole nur noch die IP der Syno auftauchen wird....
Wobei... ja gut, ne komm, dat will ich auch keinem zumuten... haben die Leute hier einfach nicht verdient... wir kürzen das jetzt einfach mal ab:

Deine Idee ist zwar "nett", aber "unsinnig", denn: Die Reihenfolge ist "verkehrt"

Erstmal guckste Dir mal dieses Bild hier an: https://de.wikipedia.org/wiki/Domain_Name_System#/media/Datei:Dns-abfrage.svg

So, daran solltest Du jetzt schon sehen, warum im piHole dann nur noch Anfragen von der Syno auftauchen. Insofern ist das also einfach nur Blödsinn (ausser Dich juckt das nicht). Insofern wäre es wesentlich besser, wenn Du:

Via DHCP weiterhin den piHole als Resolver/Cache benutzt und (nur!) für die neue interne Domain auf die Syno mit dem DNS und dem AD/LDAP verweist (Forwarding/Weiterleitung). Somit werden die Anfragen - gerichtet an die festgelegte Domain - einfach direkt an den dafür definierten DNS-Server geschickt.

Grob gesprochen sieht das dann ungefähr so aus:

pi-Hole -> "*" -> Router -> Internet
\-> example.local -> Syno

Das wäre noch immer die eleganteste Lösung und die Client-IPs beim piHole bleiben auch weiterhin erhalten. Allerdings das Thema Reverse-DNS (sofern das in der Kombi überhaupt zum tragen kommt bei der Syno, k.A.) damit auch noch nicht abgehandelt, da bräuchte es dann noch zumindestens eine entsprechende Reverse-Zone

 

[ds214se]

Nein, schon gut! Das Problem mit den IPs bzw. nicht aufgelösten lokalen Clients kenne ich bereits. Und es würde mich in der Tat jucken. Öhm, ich habe es versehentlich verdreht dargestellt, sorry. ? Danke Euch allen!

 

[ds214se]

... Via DHCP weiterhin den piHole als Resolver/Cache benutzt ...

In meiner Fritzbox ist unter Heimnetz/Netzwerk/IPv4-Adressen nach wie vor der DHCP-Server aktiviert und unter Lokaler DNS-Server die IP des Pi-Hole eingetragen (also wie gehabt).

... und (nur!) für die neue interne Domain auf die Syno mit dem DNS und dem AD/LDAP verweist (Forwarding/Weiterleitung). Somit werden die Anfragen - gerichtet an die festgelegte Domain - einfach direkt an den dafür definierten DNS-Server geschickt. ...

Hier stehe ich auf dem Schlauch. Wo mache ich das?

 

[blurrrr]

Kann ich Dir nicht sagen, ich benutze Dinge wie den piHole nicht. Ich kann Dir nur sagen, dass es eine domain-abhängige Weiterleitung an einen anderen DNS-Server ist.

Ich hab für Dich trotzdem mal Google bemüht:

- https://discourse.pi-hole.net/t/more-than-one-conditional-forwarding-entry-in-the-gui/11359/10
- https://discourse.pi-hole.net/t/how-to-forward-specific-domain-to-specific-upstream-server/4051

 

[ds214se]

Dort bin ich gerade unterwegs! Danke, danke!
Ich bin wirklich nicht faul, selber zu suchen und mir Neues anzueignen, aber hier haperte es bei mir schon an der Kenntnis der Terminologie (ich wusste nicht so richtig, nach was ich suchen muss - dank Dir jetzt schon .

 

[blurrrr]

Kein Problem, alles gut - wenn man nicht weiss, was man suchen soll, wird es auch ein bisschen schwierig mit der Suche an sich ? Allerdings könnte man erstmal stumpf so suchen, wie man es selbst ausdrücken, damit ggf. auf die korrekten Begrifflichkeiten stossen und damit dann weiter machen (so mach ich das jedenfalls immer, wenn ich da nicht weiter komme und simma ma ehrlich... das Internet heutzutage ist ja schon eeeeeeecht zugemüllt ?)

 

[ds214se]

Ja, das macht die Suche manchmal etwas langwieriger.


Die Synchro war übrigens wohl wirklich keine gute Idee. Jedenfalls steht in zeitlichem Zusammenhang mit deren Ausführung dieses Systemereignis der Diskstation:

Ereignis: Datenbank /volume1/protocols/SYNOSYLOGDB__LOCALARCH.DB des Protokoll-Centers ist beschädigt...
...
Wenden Sie sich zwecks Unterstützung an den Synology-Kundendienst.

So finde ich dort u.a.:

SYNOSYSLOGDB__LOCALARCH.DB
SYNOSYSLOGDB__LOCALARCH.DB.corrupt
SYNOSYSLOGDB__LOCALARCH.DB-shm
SYNOSYSLOGDB__LOCALARCH.DB-wal
SYNOSYSLOGDB__LOCALARCH_xxxxxx_Conflict_yyyyyy_Conflict.DB-shm

 

[stefan_lx]

der Sync an sich war nicht die nicht gute Idee, eher die Idee eine Datenbank zu synchonisieren bzw. das Verzeichnis für Drive zu aktivieren...
Es gibt manche Dateien, die sich nie - egal wie - im laufenden Betrieb (vernünftig) sychronisieren lassen... dazu gehören Datenbanken, so wie in deinem Fall die Datenbank vom Syslog oder auch eine mariadb, eine Outlook-pst (die Drive von Haus aus nicht zulässt), ...

Stefan

 

[ds214se]

Ich wüsste nicht, wann/wo ich eine DB zum Syncen angegeben habe oder ein "Verzeichnis für Drive zu aktivieren".
Wie kann ich das Problem denn nun selbst lösen?

 

[ds214se]

Die Ursache der Sync-Konflikte - vor allem, wieso eine DB betroffen sein soll - habe ich zwar nicht gefunden, aber Synology Directory Service nebst Synology DNS und weiterhin korrektem Pi-Hole scheinen korrekt zu laufen.

Hier etwas OT, aber trotzdem (falls jemand drüberstolpert) - siehe auch dort:
Auf Pi-Hole /etc/dnsmasq.d/99-custom.conf mit folgendem Inhalt angelegt und dnsmasq neu gestartet:

server=/178.168.192.in-addr.arpa/192.168.178.11
server=/syno.local/192.168.178.11

192.168.178.11 ist die IP meiner Diskstation
178.168.192 die reverse Darstellung des Subnetzes
syno.local meine Domäne