Frage zur sinnvollen NW-Konfig mit Syno

[herbafresh]

Hallo Foristi,
als Handwerksbetrieb mit insgesamt 12 MA und demnächst zweiten Standort, der digitalisieren muss, stellen wir uns folgende neu Konfig für unser neues Firmengebäude vor.
Wir wollen ein reines Apple Netzwerk betreiben, da ich bereits alles von Apple habe (Notebook, iPads, iPhones, Syno DS720+). Bisher haben die beiden Montageteams nur iPads mit LTE, mit denen über FaceTime telefoniert und gechatte wurde und wo die Kamera des iPads Baustellen-Details erfasst hatte. Der Rest ging alles mit Papier. Nur als Chef hatte ich die Syno bisher als TimeMachine-Speicher fürs Notebook genutzt und ab und zu mal die Fotos der iPads darüber gesichert.
Jetzt wird unser neues Firmengebäude erstellt und wir wollen dort auch Büroräume einrichten f. Innendienst und Sekretärin sowie temporäre Arbeitsplätze für Montageteams oder Vertreter. Das Ganze wird mittels Switchen und WLAN von Cisco Meraki umgesetzt.
Vom Router geht es zu einer Security-UTM-Box, die als VPN-Gateway und Firewall arbeiten soll und als zusätzliche Sicherheitskomponente einen DNS-Schutz mit Cisco Umbrella bereitstellen soll. Die Syno im Netzwerk soll eingebunden werden und Directory-Server, DNS und Synology Drive bereitstellen und im zweiten Schritt dann mal das papierlose Büro mittels paperless-ngx mittels Docker-Container bereitstellen.
Beim Studium der Synology-Doku steht, dass beim Erstellen des Directory-Servers auch ein DNS-Server mit erstellt wird, der die DNS-Auflösung macht. In anderen Threats hatte ich gelesen, dass man in der FritzBox als Router unter Netzwerk-DHCP den DNS-Server der Syno einträgt, damit die Anfragen vom Netzwerk über den DNS der Syno aufgelöst werden bzw. weiter zum Umbrella-DNS gehen, wenn nicht interne Domainnamen/IP-Adressen betroffen sind, die angefragt werden.
Der Directory-Server wird für MDM, VPN und Zugriff auf die Netzwerk-Ressourcen benötigt.
Der spätere zweite Standort soll dann auch eine Security-UTM-Box bekommen und dahinter ggf. einen kleinen Switch für WLAN-APs, 1-2 Notebooks/PCs, Drucker. Zugriff auf Syno, Synology Drive, Syno Calender und ggf. Paperless-ngx erfolgt dann mittels Site-to-Site-VPN. Zugriff ins Internet lokal, aber mittels Umbrella DNS Schutz auf der Security UTM Box.
So hatte ich mir das vorgestellt...
Seht Ihr das als problematisch an oder würde das so passen?

 

[Monacum]

Paperless-ngx für einen Handwerksbetrieb mit 12 Mitarbeitern finde ich ambitioniert.

 

[plang.pl]

Kann man alles so machen, denke ich. Solange nicht mehr Rechner gesichert werden sollen und die DS nur für Dokumente herhalten soll. Ansonsten geht der Speicher mit den 2 Bays vielleicht bald zur Neige. Directory Server und DNS brauchen nicht wirklich viel Leistung. paperless-ngx geht auch klar. Aber ich denke damit ist die 720+ raus. Denn ich würde Anwendungen und Pakete auf SSD laufen lassen. Und zusätzlich würde ich, gerade in Unternehmen, nicht auf ein RAID1 aus HDDs für die Daten verzichten. Du könntest zwar die nvme Plätze als Volume einrichten, aber nur mit Synology SSDs (oder 3rd Party via Script, davon würde ich im professionellen Umfeld aber die Finger lassen). Selbst dann wären die Erweiterungsmöglichkeiten gering und die 1GbE Ports ggfs schnell am Limit.
Was du auch bedenken muss:
-Backups (Offsite-Server oder Cloud zusätzlich zu externen Platten)
-USV für die DS

EDIT: @Monacum hat recht. Lieber etwas nutzen, was dafür ausgelegt ist und wo man auch professionellen Support hat.

 

[herbafresh]

Warum? Darf ein Handwerksbetrieb seine Rechnungen, Lieferscheine, Baustellen-Rapports usw. nicht elektronisch ablegen?

 

[plang.pl]

Doch. Aber für deine Anzahl an User in einer Firmenumgebung ist paperless nicht primär entwickelt.

 

[herbafresh]

@plang.pl
Kann man die DS720+ nicht mit SSD als Cache ausstatten und bei Bedarf noch mit der DX517 erweitern?
Die beiden 1 GB Ethernet Ports der Syno kann man doch auch trunken. Der Switch unterstützt das auch. Wäre das nicht eine Alternative?
Die DS720+ ist gerade mal ein Jahr alt...die wollte ich erstmal weiter nutzen. Ein Wechsel auf DS723+ wegen 10 Gb Ethernet (da hab ich aber auch nur 2 Einschübe und mehr Einschübe über DX517) wäre dann eine Alternative, wenn die Power nicht reicht. Oder eine DS1522... Ich wollte erstmal mit der vorhandenen Syno anfangen..

 

[herbafresh]

Doch. Aber für deine Anzahl an User in einer Firmenumgebung ist paperless nicht primär entwickelt.

Es wird anfangs nur von mir und dann von der Sekretärin bedient. Andere Mitarbeiter bekommen höchstens Leserechte (je nach Aufgabe) auf die Datenbank.
Was wäre denn sonst die Empfehlung für eine Apple Only Umgebung? EcoDMS?

 

[Synchrotron]

Beim DMS würde ich prüfen, ob es den Anforderungen der Finanzverwaltung entspricht. Sonst braucht man zwei, oder klebt wegen Betriebsprüfung oder Unterlageneinreichung trotzdem noch am Papier.

Paperless ngx erfüllt diese Anforderungen m.w. nicht. Gängig ist da z.B. Eco DMS. Am besten mal den Steuerberater fragen.

Außerdem ein trojanersicheres und schnell wieder herzustellendes Backup !

 

[plang.pl]

Kann man die DS720+ nicht mit SSD als Cache ausstatten und bei Bedarf noch mit der DX517 erweitern?

Doch kann man alles machen. Bevor ich aber eine DX an die DS hänge, würde ich mir eine andere DS holen. Kostet nicht viel mehr.

 

[herbafresh]

Was du auch bedenken muss:
-Backups (Offsite-Server oder Cloud zusätzlich zu externen Platten)
-USV für die DS

Für Backups ist momentan eine 8TB USB Platte im Einsatz als offline-Backup und einzelne Syno-Ordner werden zusätzlich nachts auf ein Starto HiDrive mittels HyperBackup gesichert. Aber ein C2 Backup wäre natürlich auch machbar.
Als USV ist für den Router und die Syno ist eine APC BackUPS750 im Einsatz. Hat bisher gut funktioniert beim bisher einzigen Stromausfall. Piept nervtötend, aber somit ist sofort klar, dass die Zugriffe auf die DS eingestellt werden müssen und die Syno runtergefahren wird.

 

[Monacum]

Was wäre denn sonst die Empfehlung für eine Apple Only Umgebung? EcoDMS?

Apple hat mit einem Programm im Webbrowser nix zu tun.

Paperless ngx erfüllt diese Anforderungen m.w. nicht

Exakt.

 

[Synchrotron]

Für Backups ist momentan eine 8TB USB Platte im Einsatz als offline-Backup und einzelne Syno-Ordner werden zusätzlich nachts auf ein Starto HiDrive mittels HyperBackup gesichert. Aber ein C2 Backup wäre natürlich auch machbar.
Als USV ist für den Router und die Syno ist eine APC BackUPS750 im Einsatz. Hat bisher gut funktioniert beim bisher einzigen Stromausfall. Piept nervtötend, aber somit ist sofort klar, dass die Zugriffe auf die DS eingestellt werden müssen und die Syno runtergefahren wird.

C2 ist oft nicht gut für ein schnelles Restore, je nach Organisation. Flaschenhals ist der Internet-Zugriff. Als Offsite-Backup gut, aber ein lokales Backup ist einfach schneller, solange es nicht „mit abbrennt“.

Hyperbackup ist nicht Trojaner-Sicher. Wichtig ist dabei, dass die Zugangsdaten NICHT auf dem Client liegen, der gesichert wird. Das ist bei HyperBackup nicht der Fall.

Mit Bordmitteln leistet das ActiveBackupforBusiness. Dazu muss die sichernde DS eine + (oder einige Play) mit BTRFS sein. Denkbar wäre z.b. in deiner Ausgangssituation, eine neue 1522+ als aktive DS anzuschaffen, und die vorhandene 720+ neu als Backup-DS aufzusetzen.

Ich habe mich irgendwie in die 1522+ verliebt, seit ich sie selbst nutze. Tolle Mischung aus Leistung zu einem akzeptablen Preis. Wenn man die Ausstattung bereinigt, kostet sie nicht viel mehr als eine 923+. Für mich ist sie im SoHo-Bereich derzeit der „Sweet Spot“ der Geräte.

 

[herbafresh]

Beim DMS würde ich prüfen, ob es den Anforderungen der Finanzverwaltung entspricht. Sonst braucht man zwei, oder klebt wegen Betriebsprüfung oder Unterlageneinreichung trotzdem noch am Papier.

Paperless ngx erfüllt diese Anforderungen m.w. nicht. Gängig ist da z.B. Eco DMS. Am besten mal den Steuerberater fragen.

Außerdem ein trojanersicheres und schnell wieder herzustellendes Backup !

Okay, habe mir jetzt mal EcoDMS angeschaut. Ich denke, dass wird es werden. Ist ja GdPdU/GoBD kompatibel (StB hat genickt) und an die Oberfläche gewöhnt man sich...

 

[herbafresh]

Werde trotzdem erstmal mit der DS720+ anfangen. Wenn es von der Performance her nicht stabil und schnell genug ist, werde ich den Schritt in Richtung einer DS1522 gehen und dort dann auch SSDs vorsehen.

 

[maxblank]

Was hat der Directory-Server für Aufgaben in der Apple-Umgebung?

 

[herbafresh]

Der Directory-Server soll nur die Benutzerberechtigungen für MDM sowie für die Netzwerkzugriffe bereitstellen. Daten werden auch DNS-Security-Software Umbrella gesynct.

 

[maxblank]

Dann achte dort bitte unbedingt auf die Kompatibilität.

https://www.synology.com/de-de/dsm/7.2/software_spec/synology_directory_server

 

[herbafresh]

Hm, Danke für den Link. Wo siehst Du da mögliche Probleme? Ich lese da das meiste zu Windows Umgebungen....
Die max. Zahlen an Usern und Gruppen werden wir wohl nicht erreichen.
"Unterstützt nur eine Domain"..wäre auch hier ausreichend.

 

[maxblank]

Ich kann mir vorstellen, dass zum Beispiel die eingesetzte MDM oder Cisco mit VPN / Meraki / Umbrella eine bestimmte Mindest-Domänenfunktionsebene voraussetzt.
Falls die nur über LDAP(s) zugreift, sollte es keine Rolle spielen.

 

[herbafresh]

Ich kann mir vorstellen, dass zum Beispiel die eingesetzte MDM eine bestimmte Mindest-Domänenfunktionsebene voraussetzt.
Falls die nur über LDAP(s) zugreift, sollte es keine Rolle spielen.

Das MDM benötigt nur den Zugriff auf die User-Informationen vom LDAP. Man könnte die Benutzerinformationen auch alle manuell im MDM einpflegen, aber wozu, wenn das der LDAP-Server auch bereitstellen kann.