Aufbau eines OS X-Netzwerkes

[Rubashov]

Aufbau eines OS X-Netzwerkes

Im Rahmen einer öffentlichen Projektausschreibung haben wir (Verein) den Zuschlag erhalten. Der Zuschlag beinhaltet auch die Erstausstattung mit Arbeitsgeräten für mehrere Arbeitsplätze. Wie das nun leider in Deutschland einmal so ist – es gibt Geld für Materialien aber nicht für Personalkosten.
Deshalb müssen wir ein Netzwerk selber einrichten oder als Alternative nur mit unvernetzten Einzelplatzrechnern arbeiten und wild mit USB-Sticks und DVDs jonglieren. Aber wer will das schon.
Aufgrund der Ausschreibungsbedingungen liegt das Geld jetzt vor und muß auch jetzt ausgegeben werden. Leider ist derzeit aber noch unklar, wie sehr die aufzubauende Netzwerkinfrastruktur belastet wird durch:

• 
  Anzahl der Projektmitarbeiter zur gleichen Zeit

• 
  Umfang der generierten Daten

Diese Informationen entstehen erst im Laufe des Projektes. Gut wäre es daher, wenn man bedarfsabhängig skalieren und nachkaufen könnte, geht aber nicht, da das Geld en bloc als Einzelbeschaffungsmaßnahme ausgegeben werden muß. Ein Nachkauf durch Ersatz- und Ergänzungsbeschaffungen fällt durch Vorgaben des Geldgebers leider aus. Es ist zum Heulen.

D.h. es muß jetzt ein Netz konzipiert, beschafft und eingerichtet werden, bei welchem nur sehr schwer abgeschätzt werden kann wie es in den nächsten drei Jahren genutzt werden wird. Eine spätere Rekonfiguration ist nicht möglich bzw. nur im Rahmen der Hardware, welche jetzt beschafft wird.

Folgende Anforderungen sind bisher bekannt:



Zentrale Benutzerverwaltung mit „ single sign-on “,

d.h. die Benutzer sollen sich an allen Arbeitsplatzrechner mit ihrer Benutzerkennung anmelden können und ihnen sollen dort im Anschluß die üblichen Anwendungen zur Verfügung stehen
​

Zentrale Datenbevorratung,

d.h. alle Nutzer sollen von jedem Arbeitsplatz aus auf die für sie relevanten und freigegebenen Daten zugreifen können.
​

Aus diesen beiden Anforderungen ergibt sich zwangsläufig der Betrieb eines Fileservers sowie eines Verzeichnis-Servers. Ein NAS scheidet als Fileserver-Lösung aus.



Zentrales Backup

Die Nutzdaten sollen unter anderem deshalb zentral erfaßt und gehalten werden, um sie auch zusammengefaßt sichern zu können. Es sollen nicht die Client-Maschinen gesichert werden, sondern nur die Nutzdaten, unabhängig davon, wo und von wem sie erstellt wurden.
Dieses zentrale Backup schließt die Daten der mobilen Arbeitsplätze ein, woraus sich die Forderung nach Synchronisation der Nutzerverzeichnisse der mobilen Arbeitsplätze ergibt:
​

Mobile User Accounts,

mit automatischem Backup aller Nutzerdaten, sobald das Gerät lokal mit dem Netzwerk verbunden wird.
​

VPN-Services

da nicht alle Projektmitarbeiter im Projektbüro arbeiten werden, sondern einige der Arbeiten auch von zu Hause bzw. unterwegs erledigen wollen/können/müssen, soll diesen Mitarbeitern der Zugriff auf die Daten via VPN ermöglicht werden.
​

Ob via VPN oder direkt an das lokale Netzwerk angeschlossen, sollen alle Nutzer zusammen Zugriff auf einen gemeinsam genutzten



Gruppenkalender

haben, mit Hilfe dessen sie ihre Arbeit koordinieren können. Eine ideale Ergänzung zu einem Kalender wäre auch ein
​

gemeinsames Adreßbuch,

sofern es hier eine Lösung gibt, welche nicht auf einer Datenbank wie z.B. Filemaker basiert, sondern wenn möglich auf normalen Bordmitteln aufbaut.
​

Aufgrund einer bestehenden Affinität der Projektmitarbeiter zu Apple-Produkten sollen sowohl die Endgeräte als auch das Netzwerk auf Mac OS X (10.5) basieren.
Für die oben genannten Anforderungen soll ein OS X Server beschafft werden. Die Frage ist nur, auf welcher Hardware diese eine Lizenz laufen soll. Hierfür gibt es bislang zwei Szenarien und folgende Konfigurationen stehen zur Auswahl:

Variante I
Nx iMacs
1x Mac Mini + Display
1x Mac Pro als Server

Variante II
Nx iMacs
1x Mac Pro + Display
1x Mac Mini als Server


Zu diesem Setup bestehen noch einige offene Fragen:

1. 
   Verkraftet der Mini die Server-Funktion bei 4-8 Nutzern, davon 1-2 via VPN?

1. 
   Da auch das System auf einem RAID1 betrieben werden soll, scheidet die interne Platte des Mini als System-Partition aus. Statt dessen soll via Firewire ein TAURUS RAID an den Mini angeschlossen, der Server von der externen Platte gestartet und diese als Fileserver-Platte betrieben werden (2 Platten a 1TB im RAID1 mit 2 Partitionen, 1x System + 1x Daten). Ist das ein prinzipiell funktionsfähiger Ansatz?

Auf dieser Konfiguration liegt derzeit die Präferenz, da dann der Mac Pro als Grafik-Station zur Verfügung stünde. Bei einer Verwendung als Server bliebe die teuer mitbezahlte Grafikkarte ungenutzt.

Zweiter Block offener Fragen:
Dreh’ und Angelpunkt der Investitionsentscheidung (für Mac OS X) ist das Backup via Time Machine: Kein Betrieb eines Bandlaufwerks mit spezieller Datensicherungssoftware, sondern direkter Zugriff auf die gesicherten und archivierten Daten aus einem File-Manager wie dem Finder heraus.
Hier ist die Investitionsentscheidung für das Archivmedium aber noch nicht gefallen.

Frage:
Lieber ein Drobo mit „RAID5“ oder TAURUS RAID mit RAID1?

(Drobo: http://www.drobo.com/drobolator/)
(TAURUS RAID: http://www.macpower.com.tw/products/hddmulti/taurus/pdd_raid)


Vorteil Drobo:
leicht skalierbar

Nachteil Drobo:
Wenn der Controller stirbt sind die Daten auf den Platten nicht mehr zu lesen, man muß erst einen neuen Drobo beschaffen, um die Daten auslesen zu können.

Vorteil TAURUS RAID:
Nach Versterben einer Platte oder des Controllers im Gehäuse sind die Platten / eine Platte weiterhin (durch direkten Anschluß) lesbar.

Nachteil TAURUS RAID:
Die Backup-Kapazität läßt sich nur sprungweise durch jeweils doppelten Festplattenkauf erweitern.


Vielen Dank für die Hilfe durch die Beantwortung der Fragen.


Nikolas

 

[Rastafari]

Verkraftet der Mini die Server-Funktion

Taugt dein iPod als OpenAir-Konzertbeschallung?
Oder dein Küchenherd für die VW Betriebskantine?

 

[Rubashov]

Taugt dein iPod als OpenAir-Konzertbeschallung?

Ja. Als Quelle.

Oder dein Küchenherd für die VW Betriebskantine?

Ja. Wenn auch nicht für alle Hungrigen. Aber kochen läßt sich mit dem Gerät auch dort.


[/Klugscheißer-Modus]


Der Server soll für Text-Daten als File-Server dienen. Kein Video-Schnitt, keine großen Graphikdaten. Deshalb bezweifele nicht nur ich, daß damit ein 2,0 GHz Intel Core 2 Duo mit 2GB RAM unterdimensioniert ist. Hier läuft noch ein PIII 500 als Server mit 4 Nutzern. Und der trödelt nur vor sich hin. Warum also soll ein sehr viel schnellerer Rechner nur weil er in einer Keksdose steckt diese Aufgabe nicht bewältigen können?

Wer Lamps-Out-Management braucht, der soll sich einen Xserve kaufen. Brauchen wir in unserem Szenario nicht. Was also spricht gegen den Mini außer Marketing und fehlendes Lamps-Out-Management? Fehlende Leistung sicherlich nicht.



Nikolas

 

[Rastafari]

Warum also soll ein sehr viel schnellerer Rechner nur weil er in einer Keksdose steckt diese Aufgabe nicht bewältigen können?

Weil die Keksdose mit einer sehr viel schwülstigeren Software zugeschissen wird und offenbar doch noch ein paar Aktionen mehr abwickeln soll als nur ein "bisschen Fileserving".
Oder hätte ich mir das lesen des Textes oben besser geschenkt?
Wenn du ein mal miterlebt hast, wie dröge schon ein Tiger Server auf einem Mini vor sich hin tut, würdest du das gar nicht erst fragen.
Ausserdem ist ein Server ohne zwei Netzwerkschnittstellen ohnehin nur ein Witz. Wie soll man so ein sicheres Gateway aufsetzen können?

 

[WDZaphod]

Der DROBO hat nur USB, das würde ich für einen Server NIE verwenden.
Nimm den MacPro (warum keinen xServe?), die Datenplatten via ZFS gepooled und fertig.
Das Taurus-Raid meldet sich leider nicht, wenn eine Platte abbrennt - daher müßte man das täglich manuell kontrollieren => suckt!

 

[Rubashov]

Drobo vs. Taurus

Der DROBO hat nur USB, das würde ich für einen Server NIE verwenden.
Nimm den MacPro (warum keinen xServe?), die Datenplatten via ZFS gepooled und fertig.
Das Taurus-Raid meldet sich leider nicht, wenn eine Platte abbrennt - daher müßte man das täglich manuell kontrollieren => suckt!

Wir haben keinen Platz fuer einen 19"-Schrank => deshalb kein Xserve. Der Server muss unter / neben einen Tisch passen. Ausserdem unterscheidet sich der Xserve vom Mac Pro nur durch das Lamps-Out-Management, die Graphikkarte und die kleineren und deshalb lauteren Luefter. Ok, man kann noch ein zweites Netzteil in den Xserve einbauen, aber diese Art von Ausfallsicherheit brauchen wir nicht.

Dass der Drobo nur einen USB-Anschluss hat ist bekannt. In den letzten Monaten haben wir aber ausreichend Erfahrung mit Time Machine sammeln koennen, um festzustellen, dass diese Schnittstelle nicht der Flaschenhals bei einer Datensicherung via Time Machine ist. Der Drobo soll ausschliesslich fuer die Datensicherung und Archivierung eingesetzt werden. Dabei ist bei den erwarteteten Datenmenge die USB-Schnittstelle ausreichend.

Kann OS X 10.5 mittlerweile ZFS schreiben? Ich bin bisher davon ausgegangen, dass zur Zeit nur Lese-Zugriffe moeglich sind.

Sollte das TAURUS-Gehaeuse wirklich keine Alarmfunktion bei Verlust einer Platte besitzen, so scheidet das Geraet fuer die geplante Datensicherung natuerlich aus. Gibt es vergleichbare Geraete, welche empfohlen werden koennen?


Nikolas

 

[drlecter]

Eine Frage ist hier wie teuer darf da sein. Eine Alternative währe vielleicht auch das:
http://www.raidsonic.de/de/pages/products/soho-raid.php?we_objectID=4955

Wie viele Arbeitsplätze sollen versorgt werden und wie willst du das Netzwerk aufbauen?
Wie ist die Anbindung nach Außen? Du willst eine VPN Einwahl haben. Bekommen die User Notebooks? Hast du nur einen normalen DSL Zugang?

 

[Sawtooth]

Sollte das TAURUS-Gehaeuse wirklich keine Alarmfunktion bei Verlust einer Platte besitzen, so scheidet das Geraet fuer die geplante Datensicherung natuerlich aus. Gibt es vergleichbare Geraete, welche empfohlen werden koennen?

Vielleicht schaust Du Dir mal diese Seite von RaidSonic an.

Die angebotenen Systeme verfügen über die beim TAURUS-Gehäuse fehlende Alarmfunktion, lassen sich unabhängig vom BS über die Taster an der Front konfigurieren und zeigen (je nach Gerät) ihren Betriebszustand über ein LC-Display an.



MfG, Peter

 

[WDZaphod]

Wir haben keinen Platz fuer einen 19"-Schrank => deshalb kein Xserve. Der Server muss unter / neben einen Tisch passen.

Man kann 19"-Server durchaus auch senkrecht stellen, da sind 3 Xserve schmaler als ein PC-Tower. Man braucht nur ein kleines 3HE-Gehäuse...

Ausserdem unterscheidet sich der Xserve vom Mac Pro nur durch das Lamps-Out-Management, die Graphikkarte und die kleineren und deshalb lauteren Luefter. Ok, man kann noch ein zweites Netzteil in den Xserve einbauen, aber diese Art von Ausfallsicherheit brauchen wir nicht.

LightsOut ist halt mal genial, zumindest aus Adminsicht

Der Drobo soll ausschliesslich fuer die Datensicherung und Archivierung eingesetzt werden. Dabei ist bei den erwarteteten Datenmenge die USB-Schnittstelle ausreichend.

Gut, wenns rein für DaSi ist, dann gehts ja. Was spricht gegen ein Firewire-JBOD? Wenn Kapazität fehlt, einfach ein Gehäuse drangesteckt :-D

Kann OS X 10.5 mittlerweile ZFS schreiben? Ich bin bisher davon ausgegangen, dass zur Zeit nur Lese-Zugriffe moeglich sind.

Es gibt auf der Apple-Seite eine Datei zum freischalten. Hat zwar offiziell Betastatus, sieht aber bisher GUUUT aus :-D

 

[Rubashov]

Raid

Eine Frage ist hier wie teuer darf da sein. Eine Alternative währe vielleicht auch das:
http://www.raidsonic.de/de/pages/products/soho-raid.php?we_objectID=4955

Das Geraet faellt preislich aus dem Rahmen. Der Dreh- und Angelpunkt bei Backup-Loesungen ist ja immer der Gegensatz zwischen groesstmoeglicher Sicherheit und Kosten. Fuer das Backup der Daten der Arbeitsgruppe reicht im Prinzip eine einfache Loesung, ohne Hochverfuegbarkeit des Backups. Es reicht, dass ein Backup existiert, und wenn dieses 1-2 Tage alt ist, dann ist das ausreichend. Die anfallenden Daten sind nicht so teuer in der Erstellung.

Wie viele Arbeitsplätze sollen versorgt werden und wie willst du das Netzwerk aufbauen?

Es sind bei dem derzeitigen Stand der Planungen zwei Vollzeitarbeitsplaetze mit je einer stationaeren Maschine und 2 Halbtagsarbeitsplaetze, welche sich eine weitere stationaere Maschine teilen.
Hinzu kommt ein Vollzeitarbeitsplatz mit einem mobilen Geraet und nur zeitweiliger Praesenz im lokalen Netzwerk.
Spaeter kommen vielleicht noch 2 oder 3 stationaere und 2 oder 3 mobile Geraete hinzu. Dies entscheidet sich aber fruehestens in einem Jahr.

Wie ist die Anbindung nach Außen?

Die Anbindung erfolgt ueber einen 34MBit-Anschluss des DFN nach aussen und wird nach innen ueber 155MBit-Backbones eines DFN-Mitgliedes realisiert. Der Verein ist Einlieger bei einer Forschungseinrichtung. Die Hoehe des potentiellen Datendurchsatzes stellt fuer das Arbeitsszenario keine praktische Beschraenkung dar.

Du willst eine VPN Einwahl haben. Bekommen die User Notebooks? Hast du nur einen normalen DSL Zugang?

Ein Arbeitsplatz wird von Anfang an mit einem Notebook ausgestattet. Dieser Anwender hat auch die hoechste Prioritaet bei der Realisierung eines VPN-Zugangs auf die Arbeitsdaten innerhalb des Arbeitsgruppennetzes. Die anderen Nutzer sollen bei Bedarf auch via VPN auf die Daten zugreifen koennen.
Perspektivisch kommen 2-3 mobile Arbeitsplaetze hinzu, welche dann auch bei Bedarf via VPN Zugriff auf die Daten bekommen sollen. Die Anzahl der gleichzeitigen VPN-Verbindungen duerfte nach derzeitigen Schaetzungen jedoch die Zahl 5 nicht ueberschreiten. Der Regelfall wird eine kurzfristige VPN-Verbindung pro Tag sein. D.h. der VPN-Zugang ist eine Ausnahme, kein Regelfall. Es wird keine Terminal-Sitzungen via VPN geben.


Deshalb ist meiner Meinung nach auch die Anforderung an die Server-Hardware nicht allzu hoch anzusetzen.

Die neu generierten Nutzdaten pro Tag sollten bei einem Blick auf die bislang vorliegenden Daten keine 10Mbyte pro Tag umfassen. Das Datenvolumen ist sehr ueberschaubar, weshalb auch die Leistungsfaehigkeit des Netzes und des File-Servers nicht so hoch sein muss.

Das Gleiche trifft auf den Datendurchsatz der Backup-Loesung zu.

Bei dem Aufbau des Netzes geht es in erster Linie um die Struktur, nicht dessen absolute Leistungsfaehigkeit. D.h. zentrale Datenbevorratung und -sicherung sollen moeglich, die dafuer eingesetzte Technik muss aber nicht besonders leistungsfaehig sein.

Das ist derzeit unsere Anforderung, welche uns bei der technischen Antwort noch einige Kopfzerbrechen bereitet.


Nikolas

 

[Rubashov]

Zfs

Man kann 19"-Server durchaus auch senkrecht stellen, da sind 3 Xserve schmaler als ein PC-Tower. Man braucht nur ein kleines 3HE-Gehäuse...

Das ist ja alles schoen und gut - ein Xserve ist als Server dennoch lauter als ein Mac Pro oder Mac Mini. Da wir derzeit leider nicht ueber einen separaten Raum fuer die Rechentechnik verfuegen, macht dies dann schon einen wesentlichen Unterschied. Das unterschwellige Rauschen eines Server-Luefters kann bei 8h Arbeitszeit am Platz schon ganz schoen nerven.

LightsOut ist halt mal genial, zumindest aus Adminsicht

Bei Geraeten die irgendwo im RZ stehen kann ich dies nachvollziehen. Dies ist aber nicht unser Szenario. Wir brauchen keine Hochverfuegbarkeit. Wenn das Geraet stehenbleibt, dann kann trotzdem fuer eine begrenzte Zeit weitergearbeitet werden, auch ohne Zugriff auf die Daten. Dies erlaubt eine einfache Umorganisation der taeglichen Arbeitsaufgaben.

Gut, wenns rein für DaSi ist, dann gehts ja. Was spricht gegen ein Firewire-JBOD? Wenn Kapazität fehlt, einfach ein Gehäuse drangesteckt :-D

Ich habe bislang keine Erfahrung mit JBOD-Loesungen und kann deshalb nicht abschaetzen, wie leicht diese zu administrieren sind.

Unser Hauptproblem bei dem gesamten Konzept ist, dass wir ein autonomes Netzwerk aufbauen und betreiben muessen, welches weitgehend wartungsfrei ueber die naechsten 3 Jahre kommt. Die Expertise fuer die laufende Administration des Netzwerkes liegt bei den Nutzern einfach nicht vor und fuer eine professionelle Betreuung der Technik steht leider keine Finanzierung zur Verfuegung. Technik darf angeschafft werden, nur deren Wartung darf nichts kosten. Willkommen in Deutschland.

Eine der Zielgroessen des Konzeptes ist es daher, das Netz so einfach wie moeglich zu halten, um kein Experten- und Insiderwissen zu benoetigen, um im Fall eines Falles auf einen Ausfall von Komponenten innerhalb von 1-2 Tagen angemessen reagieren zu koennen.

Es gibt auf der Apple-Seite eine Datei zum freischalten. Hat zwar offiziell Betastatus, sieht aber bisher GUUUT aus :-D

Wenn es erst Beta-Status hat, dann lasse ich fuer Backup-Zwecke lieber meine Finger davon.
Das Backup muss darueber hinaus DAU-sicher funktionieren. Deshalb ist Time Machine derzeit auch die beste Loesung fuer uns, weil im Falle eines Ausfalls notfalls auch mittels direkten Navigierens in der Verzeichnisstruktur des Backups eine Datei wiederhergestellt werden kann, ohne dass hierfuer eine spezielle Backup-Software mit speziellem Handlung-Wissen zum Einsazu kommt.

Das gesamte Konzept von ZFS und ZFS-Pools liegt derzeit jedoch ausserhalb des Wissens und des Verstaendnisses der Nutzer des Netzwerkes. Im Falle eines Ausfalls ist ihnen deshalb mit dieser Technik nicht geholfen.


Nikolas

 

[Rubashov]

RAID-Gehaeuse

Vielleicht schaust Du Dir mal diese Seite von RaidSonic an.

Die angebotenen Systeme verfügen über die beim TAURUS-Gehäuse fehlende Alarmfunktion, lassen sich unabhängig vom BS über die Taster an der Front konfigurieren und zeigen (je nach Gerät) ihren Betriebszustand über ein LC-Display an.

Vielen Dank fuer den Tip. Schaue ich mir genauer an. Ich fuerchte jedoch, dass die Geraete zum einen preislich fuer uns aus dem Rahmen fallen und zum anderen den Betrieb identischer Festplatten fuer den Betrieb verlangen. Der Ausfall einer Platte setzt fuer ein erfolgreiches Wiederherstellen des RAID-Verbundes dann den Einsatz einer identischen Festplatte voraus. Eine einfache Erweiterung der Kapazitaet ist dann in der Regel auch nicht moeglich.

Aber ich schaue es mir einmal an, vielleicht ist ja etwas dabei.


Nikolas

 

[Rubashov]

Mac Mini als Server

Weil die Keksdose mit einer sehr viel schwülstigeren Software zugeschissen wird und offenbar doch noch ein paar Aktionen mehr abwickeln soll als nur ein "bisschen Fileserving".

Interessante Ausdrucksform...

Wenn du ein mal miterlebt hast, wie dröge schon ein Tiger Server auf einem Mini vor sich hin tut, würdest du das gar nicht erst fragen.

Eben. Wenn ich haette, dann wuerde ich nicht fragen. Wenn ich aber gefragt habe, was laesst sich dann daraus schliessen. Genau.

Ausserdem ist ein Server ohne zwei Netzwerkschnittstellen ohnehin nur ein Witz. Wie soll man so ein sicheres Gateway aufsetzen können?

Wer einen Fileserver als Gateway benutzt, macht sich wohl eher laecherlich als jemand, der einen Fileserver mit nur einer Netzwerkschnittstelle betreibt.

Warum sollte bei dem beschriebenen Szenario der Fileserver als Gateway betrieben werden?



Nikolas

 

[drlecter]

Die Anforderungen stehen ja. Das Problem was ich hier sehe ist, das es wohl noch gar nicht klar definiert ist, wie viele Arbeitsplätze usw. Mac Mini als Server sollte reichen. Das Raid war auch eher nicht als Backup Lösung, sondern für den Betrieb gedacht. Als Backuplösung, kannst du auch einfach FW Platten nehmen.
Weiterhin steht sich bei dieser Anbindung die Frage wie das Netz gesichert sein sollte.
Du musst mal versuchen eine genaue Übersicht über die Anzahl der Rechner zu schaffen und versuchen etwas für die Zukunft zu planen. Noch ist z.B. nicht vorgesehen das die Leute lange über VPN arbeiten sollen. Ich mein damit nicht Terminalsessions, sondern einfach der Zugriff auf die Daten. Vielleicht käme hier eine kleinere Netscreen VPN Lösung in Frage (oder ähnliches halt) Diese beinhaltet dann auch direkt eine Firewall und der Server muss nicht als GW fungieren.

 

[Rubashov]

Netzwerk

Die Anforderungen stehen ja. Das Problem was ich hier sehe ist, das es wohl noch gar nicht klar definiert ist, wie viele Arbeitsplätze usw.

Fuer das erste Jahr der Projektlaufzeit ist es klar. 2 VZ + 2x1/2 HT + 1 mAP = 4 Arbeitsplaetze

Spaeter vielleicht mehr. Wieviel mehr weiss aber keiner, das entscheidet sich erst im Laufe des Projektes. Die Pessimisten sagen es bleibt wie es ist (vier Arbeitsplaetze), die Optimisten sehen 10 Vollzeitarbeitsplaetze im 3. Jahr. Irgendwo dazwischen wird es wohl dann sein. Ich tendiere mit meiner Einschaetzung aufgrund entsprechender Erfahrung zu einem Mittwert: 6-7 Arbeitsplaetze, davon aber nicht alle lokal im Netzwerk, sondern aus dem Home-Office angebunden.

Der Fluch des Projektes liegt wie gesagt eben darin, jetzt abschaetzen zu muessen was nach 1-2 Jahren gebraucht werden wird und es jetzt auch anzuschaffen. Eine Fehleinschaetzung hat dann gravierende Folgen.

Mac Mini als Server sollte reichen. Das Raid war auch eher nicht als Backup Lösung, sondern für den Betrieb gedacht.

Weil der Mini keinen Platz fuer eine zweite Platte hat, dachte ich, dass man ein ganz einfach gestricktes RAID 1 via FW400 angeschlossen mit einer System- und davon getrennt Daten-Partition betreiben kann.

Zusaetzlich ist ein anderes RAID als Ressource fuer das Backup via Time Machine an das Geraet angeschlossen. Hierfuer bevorzuge ich derzeit einen Drobo.

Als Backuplösung, kannst du auch einfach FW Platten nehmen.

Das ist eben die Frage. Eine einzelne FW-Platte moechte ich fuer das Backup nicht nehmen. Es sollte schon als RAID ausgefuehrt sein (1 oder 5). Wenn dann eine Platte stirbt, dann ist nicht das komplette Backup-Archiv hinueber.

Daraus resultierte eben die grundsaetzliche Frage, ob man besser ein sehr einfaches RAID 1 - Gehaeuse, welches nur als Controller fungiert oder ein Drobo anschafft. Die Vor- und Nachteile der einen als auch der anderen Loesung hatte ich in meinen Ursprungsposting gegenuebergestellt.

Weiterhin steht sich bei dieser Anbindung die Frage wie das Netz gesichert sein sollte.

Das Netz stellt ueber einen Router die Verbindung zum Institutsnetzwerk her. In unserer naiven Vorstellung reicht hierfuer eine Airport Extreme Basisstation.

Du musst mal versuchen eine genaue Übersicht über die Anzahl der Rechner zu schaffen und versuchen etwas für die Zukunft zu planen. Noch ist z.B. nicht vorgesehen das die Leute lange über VPN arbeiten sollen.

Das ist das leidige Henne-Ei-Problem. Wenn eine funktionstuechtige VPN-Loesung existiert, werden sicherlich mehr AN diese auch von zu Hause aus benutzen wollen. Dann koennen sie im "home office" auf die Kinder aufpassen und offiziell auch arbeiten. Ich persoenlich halte von dieser Loesung nicht sehr viel, deshalb wuerde ich sie auch nicht sehr leistungsfaehig ausbauen wollen.

Es laesst sich ausrechnen, wie stark die VPN-Loesung genutzt werden kann (soll):

1 AP muss immer lokal besetzt sein.
dies koennen nicht die Halbtagskraefte sein.

D.h. bei den in der Anfangsphase 4 AP koennen maximal 2 als externe VPN-Nutzer auftreten.

Sollte die Anzahl der Arbeitsplaetze steigen, so entsteht der Bedarf fuer die VPN-Nutzung bestenfalls in der Hoehe der zusaetzlichen Arbeitsplatze => also max. 5 VPN-Nutzer, wenn zu den jetzigen 4 AP noch 3 AP hinzukommen.

Fuer mehr wuerde ich die Konstellation auch nicht ausbauen. Je mehr AN im "Home-Office" arbeiten, desto schwieriger wird aus der Erfahrung die Arbeitskoordination und umso schlechter die Arbeitsergebnisse. Die VPN-Nutzung sollte deshalb eher die Ausnahme, als der Regelfall sein.

Ich mein damit nicht Terminalsessions, sondern einfach der Zugriff auf die Daten. Vielleicht käme hier eine kleinere Netscreen VPN Lösung in Frage (oder ähnliches halt) Diese beinhaltet dann auch direkt eine Firewall und der Server muss nicht als GW fungieren.

Bisher bin ich davon ausgegangen, dass via Port-Forwarding auf dem Router ein VPN auf den Server hergestellt werden kann. Der Server muesste dann nicht als "echtes" Gateway fungieren, da die eingehenden Verbindungen gleich bei ihm auf der Maschine bleiben.

So wie ich dedizierte VPN-Loesungen verstanden habe, werden diese auch hinter Routern / Firewalls betrieben und stellen nur eine spezialisierte Ausgliederung eines Dienstes dar, welchen man auch (bei geringer Belastung) auf einem Server zusammen mit anderen Funktionalitaeten laufen lassen koennte.

Da wir ja nur eine sehr kleine Arbeitsgruppe sein werden, sollten alle gewuenschten Dienste ueber einen Server abdeckbar sein. Es fragt sich nur, wie leistungsfaehig dieser sein muss.


Nikolas

 

[Patrick]

Nimm 2 mac mini mit RAM bis zum Anschlag und hänge über FW schnelle externe Platten dran. Den 2. mac mini als fail over (und selbst den könnte man sich sparen, wenn einer der AP identisch ausgestattet ist), das gesparte Geld würde ich in eine vernünftige Backup-Lösung investieren und die heisst sicherlich nicht Festplatte oder RAID. Beides kann leicht und unwiederbringlich kaputt gehen, bei einer vernünftigen Backup-Strategie auf Band habe ich max. den Verlust von 1 Tag Arbeit. Ansonsten dürfte sich der mac mini bei den gestellten Aufgaben die meiste Zeit langweilen. Einziges Manko ist vielleicht eine fehlende, weitere Netzwerkschnittstelle, aber 1 GBit sollte eigentlich für 2-4 User locker ausreichen.

Wenn der VPN-Zugang über das RZ erfolgt, ist Dein Server dahingehend eh' aussen vor, GW etc sind somit uninteressant und haben da (wie Du schon richtig sagtest) nichts verloren.

 

[drlecter]

Die Infos bringen einen doch schon weiter.
VPN: Wenn ihr zu einem Institutsnetzwerk die Verbindung aufbaut dann reicht ein normaler Router. Frage ist hier, in wie weit ihr die Infrastruktur nutzen könnt. Wenn die euch einen IP-Bereich geben und ihr auch auf die VPN Lösung (meistens existiert schon eine Lösung) zugreifen könnt, dann brauchst du noch nicht einmal den Server damit belasten. Die Frage der Anbindung würde ich einmal vorher klären.
Server:
Für diese Größenordnung solltest du mit dem Mini auskommen. Den Mini, wie oben erwähnt, mit max. RAM Ausbau und gut ist. Er braucht ja auch nicht als GW zu fungieren, wenn die Anbindung über einen normalen Router geht.
RAID: Hier solltest du dir überlegen wie du die Daten ablegen willst. Du kannst zwecks Ausfallsicherheit dir ein 4Plattensystem auf Raid 5 Basis für die Daten anschaffen und die Backups (wenn diese auf einem Raid abgelegt werden sollen) auf einem RAID 1 ablegen. Das "Backup" kannst du per cron Jobs jede Nacht durchführen. Per Script kannst du dann Dateien umkopieren und ggf. komprimieren.
Da du eine Übersicht über die APs hast, kannst du nun mal eine erste Rechnung aufstellen wie das mit den Kosten nun ist und was evtl. für den Server und Router noch übrig bleibt. Frage ist auch was du noch an Netzequipment brauchst oder ob hier schon alles zur Verfügung steht (Verkabelung etc.)

 

[macmonnem]

mac mini als server ?!

hallo
habe im büro nen mac mini als fileserver, timemachine server, ical server und ichat server laufen.
netzwerk und dhcp u.ä. läuft über 2 airport extremes. der eine stellt n 5hgz der andere b/g zur verfügung.

es gibt gut 10 client rechner, darunter maxdata windowskisten die nach und nach abrauchen *freu* und jede durch n mac mini ersetzt werden. dann eininge macbook und macmini user. und noch einige xp laptops. hauptsächlich werden textdokumente geshared, aber auch etwas grafik oder indesign.

der mac mini, 3 monate alt, 2gb ram macht den serverjob bisher sehr gut, ebenso die beiden airport extremes, die von leopard server auf dem mac mini automatisch konfiguriert werden. für timemachine hängt eine als spiegelraid konfigurierte fw festplatte mit 500gb (2x500gb) dran. als weiteres backup läuft tsm, tivoli storage manager, was vom rechenzentrum bereigt gestellt wird. also kann gerne die burg abbrennen, damit kann 4 wochen rückwärts jeder tag beliebig hergestellt werden.

 

[DarthVader007]

hallo
also ich denk mir von der Leistung her packt, das der mini locker, aber ist nicht die ganze Hardware eig. Laptophardware, also mehr auf 8h Betrieb am Tag ausgelegt als auf 24h Betrieb? Der Mini is klein leise und billig, theoretisch kannst dir einen als Reserve kaufen.

 

[Rubashov]

Die Infos bringen einen doch schon weiter.
VPN: Wenn ihr zu einem Institutsnetzwerk die Verbindung aufbaut dann reicht ein normaler Router. Frage ist hier, in wie weit ihr die Infrastruktur nutzen könnt. Wenn die euch einen IP-Bereich geben und ihr auch auf die VPN Lösung (meistens existiert schon eine Lösung) zugreifen könnt, dann brauchst du noch nicht einmal den Server damit belasten. Die Frage der Anbindung würde ich einmal vorher klären.
Server:
Für diese Größenordnung solltest du mit dem Mini auskommen. Den Mini, wie oben erwähnt, mit max. RAM Ausbau und gut ist. Er braucht ja auch nicht als GW zu fungieren, wenn die Anbindung über einen normalen Router geht.
RAID: Hier solltest du dir überlegen wie du die Daten ablegen willst. Du kannst zwecks Ausfallsicherheit dir ein 4Plattensystem auf Raid 5 Basis für die Daten anschaffen und die Backups (wenn diese auf einem Raid abgelegt werden sollen) auf einem RAID 1 ablegen. Das "Backup" kannst du per cron Jobs jede Nacht durchführen. Per Script kannst du dann Dateien umkopieren und ggf. komprimieren.
Da du eine Übersicht über die APs hast, kannst du nun mal eine erste Rechnung aufstellen wie das mit den Kosten nun ist und was evtl. für den Server und Router noch übrig bleibt. Frage ist auch was du noch an Netzequipment brauchst oder ob hier schon alles zur Verfügung steht (Verkabelung etc.)

Nach einigen Gesprächen mit den IT-Fachleuten des Instituts sieht das Szenario jetzt wie folgt aus:

Wir bekommen ein eigenes Teilnetz innerhalb der Einrichtung in Form eines VLANs. Den Router/Switch für die Einrichtung und Anbindung stellt das Institut zur Verfügung.

Da das Institut derzeit noch keine eigene VPN-Infrastruktur betreibt, würde die unsererseits benötigte VPN-Anbindung durch ein einfaches Port-Forwarding auf ein von uns zu benennendes Gerät erfolgen.

Hierfür würde ich gerne einen separaten VPN-Router (vorzugsweise den Netgear FVS336G) einsetzen wollen.
Da sich zur Zeit stark abzeichnet, anstatt eines MacPro einen MacMini als Server einzusetzen, möchte ich für die VPN-Funktionaliät lieber ein dediziertes Gerät verwenden als alles auf einer Maschine (dem MacMini) zu realisieren. Dies erscheint mir zum einen sicherer und zum anderen auch einfacher zu handhaben.

Gibt es hierzu grundsätzliche Bedenken/Einwände/Anmerkungen?


Für die Nutzdaten sollte ein einfaches RAID1 ausreichen.
Für das Backup sollte ein einfaches RAID1 ausreichen, Backup via TimeMachine. Zusätzlich - das ist aber noch eine Verhandlungssache - ein tägliches Backup auf einen Backup-Server des Instituts, welches dann dort die Daten zusätzlich auf Band sichert.

Was genau ist der relative Sicherheitsgewinn bei Einsatz eines RAID5 gegenüber eines RAID1 bei den Nutzdaten? Wenn eine Platte ausfällt, dann ist bei einem weiteren Ausfall das Datenbestand doch auch hinüber (es sei denn man benutzt ein RAID5+spare).
Sollte ein RAID1 durch unmittelbaren Ausfall _beider_ Platten sterben, dann steht doch immer noch das Backup zur Verfügung. Was genau bringt also ein RAID5 gegenüber einem RAID1 - außer dem höheren Materialeinsatz, dem höheren Stromverbrauch und dem größeren Aufwand bei der Einrichtung und Betreuung?


Danke.



Nikolas