Detaillierte Informationen zum Zentralen File-Service

Inhaltsverzeichnis

    1. Leistungsumfang & Optionen für Home-Verzeichnisse 
      1. Zugriffsrechte, Größe und Dienstqualität des Speichers
    2. Leistungsumfang und Optionen für Gruppen-Laufwerke
      1. Größen und Limitierungen von Gruppenlaufwerken
        1. Kategorie Backup/Archiv (restic, rsync oder ähnlich)
        2. Kategorie Instituts-, Projekt- und Publikationsdaten 
        3. Kategorie Forschungsrohdaten
      2. Mögliche Einstellungen für Snaphots
      3. Zugang zu den Gruppenlaufwerken
      4. Verwendete Technologien zur Sicherung der Daten
        1. Sicherung der Daten durch Erasure-Coding
        2. Wiederherstellungsmöglichkeiten durch Snapshots
        3. Kopie der Daten an einem zweiten Standort
        4. Backup für den Katastrophenfall
    3. SVM bzw. Storage Virtual Machine, Virtuelle File-Server für Arbeitsgruppen zur Selbst-Administration
    4. Mitwirkungspflichten & Voraussetzungen
    5. Abrechnung / Kosten
    6. Datensicherheit / Datensicherung / Verschlüsselung
    7. SMB Protokoll einstellen
    8. Aktivierung des Protokolls SMB2, Deaktivierung von SMB1, (SMB1 wird ab Mitte Juli 2020 nicht mehr unterstützt)

Das ZIH stellt allen Angehörigen der TU Dresden zentralen Plattenspeicherplatz zur Verfügung. Ein Teil davon ist der zentrale Home-File-Service (Home-Verzeichnis bzw. Home-Laufwerk), in dem für alle registrierten Nutzer ein persönlicher Bereich reserviert ist. Zusätzlicher Speicherplatz kann in Form von Gruppen-Laufwerken für Einzelpersonen oder Arbeitsgruppen zur Verfügung gestellt werden.

Leistungsumfang & Optionen für Home-Verzeichnisse 

Das zentrale Home-Verzeichnis dient dem Eigentümer zur Aufbewahrung von Dateien, die Dritten nicht zugänglich gemacht werden sollen. Home-Verzeichnisse werden für alle Mitglieder der TU Dresden automatisch eingerichtet und nach Bestätigung  des „End User License Agreement“ (EULA) automatisch freigeschaltet. Änderungswünsche können per Ticket formuliert werden und werden je nach technischer Realisierbarkeit berücksichtigt.

Die Verfügbarkeit des Home-Verzeichnisses endet mit dem Ablauf bzw. der Sperrung des dazugehörenden Logins automatisch. Die Daten werden nach den Verfügbarkeitsregeln bis zu 26 Wochen aufbewahrt.

Die Ausnahme bildet ein Teilbereich (im Unterverzeichnis „public_html“) der als Speicherplatz für einen persönlichen WWW-Auftritt innerhalb des WWW-Dienstes der TU Dresden dient. Für den Inhalt des persönlichen WWW-Auftritts ist der Eigentümer der Dateien verantwortlich.

Zugriffsrechte, Größe und Dienstqualität des Speichers

Die Home-Verzeichnisse unterliegen Quoten, deren Obergrenzen nicht überschritten werden können. Sie betragen zurzeit 20 GB. Bei Mehrbedarf kann man über das Self-Service-Portal die Quote erhöhen. Die maximale Quota ist für Mitarbeiter auf 200 GB, bzw. für Studierende auf 50 GB festgelegt.

Die Zugriffsrechte für das Home-Verzeichnis werden nach der Linux-Regel „0701“ festgelegt.

  • Das Eigentümerlogin hat Vollzugriff
  • Die Eigentümergruppe hat keine Rechte
  • Das "Ausführungsrecht" für „Jeder“ ist notwendig, damit auf dem WWW-Server der persönliche WWW-Auftritt aufgerufen weden kann, ohne dass Dritte den Rest der Daten sehen können.

Home-Verzeichnisse sind hochverfügbar und mit allen, in der Regel ausreichenden, Maßnahmen vor Ausfall bzw. Datenverlust geschützt. Sie werden asynchron zum zweiten IT-Standort gespiegelt und mit Backup und Snapshots vor versehentlichem Löschen von Daten geschützt. Der Wiederherstellbarkeitszeitraum beträgt 26 Wochen.

 Zugang zu den Home-Verzeichnissen

  • SSH-Verbindung zum zentralen Login-Server (login.zih.tu-dresden.de).
    • Nach dem Login findet man sein Home-Verzeichnis im Pfad "/home/loginname".
  • Windows-Nutzer im Campusnetz können ihr Home-Verzeichnis direkt im Dateiexplorer mit eigenem Laufwerksbuchstaben einbinden.
    • Auswahl "Netzlaufwerke verbinden..."
      • Auswahl eines freien Laufwerksbuchstabens
      • Ordner: "\\vs-home.zih.tu-dresden.de\loginname"
      • ankreuzen von "Verbindung mit anderen Anmeldeinformationen herstellen."
      • "Fertig stellen" anklicken
        • Die Authentifizierung erfolgt mit der Domäne „dom“, dem ZIH-Loginnamen und dem dazugehörenden Passwort, ähnlich wie folgt:
          • Benutzerinformation:  dom\loginname
          • Passwort: zih-passwort
  • Mac-Nutzer können es mit dem „Finder“ einbinden.
  • SFTP-Verbindung zum zentralen SFTP-Server mit einer geeigneten Anwendung:
  • Verbinden mit dem WWW-Bereich im Home-Verzeichnis
    • In einem Web-Browser wird folgende Adresse angegeben:
      • https://wwwpub.zih.tu-dresden.de/~loginname

Leistungsumfang und Optionen für Gruppen-Laufwerke

Gruppen-Laufwerke wurden entwickelt, um es Arbeitsgruppen zu ermöglichen, Daten zentral zu speichern. Gruppen-Laufwerke können im Self-Service-Portal beantragt werden. Antragssteller und Ansprechpartner müssen festangestellte Mitarbeiter der TU Dresden sein. Hinweise zur Antragsstellung finden Sie in den FAQ unter Ausfüllhinweise für das Antragsformular.

Alle Gruppenlaufwerke unterliegen einer Laufzeit, die im Selfservice-Portal eingesehen werden kann.  Eine Verlängerung der Laufzeit auf maximal 3 weitere Jahre kann über das Self-Service-Portal erfolgen.

Ca. 3 Monate nach Ablauf der Laufzeit wird der Status des Gruppenlaufwerks auf  "nichtverlängert" gesetzt. Nach weiteren 3 Monaten wird es gesperrt. Nach weiteren 6 Monaten werden die Daten nicht verlängerter Gruppenlaufwerke gepackt und archiviert. Eingestellte Zugriffsrechte werden nicht übernommen, so dass danach nur noch der zuständige Leiter die Daten zurückerhalten kann.

Größen und Limitierungen von Gruppenlaufwerken

Die verwendeten Technologien bedingen, dass die Gruppenlaufwerke nicht in unbegrenztem Umfang bereit gestellt werden. Damit die Daten an einen zweiten Standort gespiegelt werden können oder damit ein Backup zur Verfügung gestellt werden, dürfen gewisse Größen nicht überschritten werden. Daher werden die Gruppenlaufwerke in drei verschiedene Kategorien aufgeteilt. Bei der Beantragung muss eine Kategorie gewählt werden, ein Wechsel zwischen Kategorien ist möglich unter Berücksichtigung der sich ergebenden Änderungen bei Snapshots und dem Backup.

Kategorie Backup/Archiv (restic, rsync oder ähnlich)

Nutzung als Ziel für das eigene Backup oder zur Ablage von Daten, die an anderer Stelle noch einmal gehalten werden.

  • kein Spiegel an den zweiten Standort
  • kein Snapshot
  • kein Backup
  • bis maximal 2 TB Daten und 2.000.000 Dateien

Kategorie Instituts-, Projekt- und Publikationsdaten 

Nutzung für Institute und Projekte für wichtige Daten.

  • Spiegel an den zweiten Standort
  • Snapshots verfügbar je nach Einstellung, Voreinstellung ist S2 (s. u.)
  • Backup einmal pro Woche
  • bis maximal 5 TB Daten und 5.000.000 Dateien

Kategorie Forschungsrohdaten

Nutzung als Speicher für Rohdaten von Foschungsprojekten.

  • Spiegel an den zweiten Standort
  • Snapshots verfügbar je nach Einstellung, Voreinstellung ist S3 (s. u.)
  • kein Backup
  • bis maximal 50 TB Daten und 10.000.000 Dateien

Mögliche Einstellungen für Snaphots

  • S0: es werden keine Snapshots erstellt
  • S1: von 8-16 Uhr an Arbeitstagen jeweils ein Snapshot pro Stunde, diese werden zwei Tage aufgehoben; ein Snapshot pro Tag für zwei weitere Tage; 6 weitere Snapshot für sechs weitere Wochen
  • S2: von 8-16 Uhr alle 4 Stunden ein Snapshot, diese werden zwei Tage aufgehoben; ein Snapshot pro Tag für 12 weitere Tage; 13 Snapshots jeweils pro Woche; 6 weitere Snapshots pro Monat
  • S3: für 2 Tage ein Snapshot pro Tag; 12 weitere 1x pro Woche
  • S4: einmal pro Woche für 12 Wochen

Zugang zu den Gruppenlaufwerken

Als Zugriffsprotokolle werden CIFS/SMB, NFS3, NFS4 und SSH angeboten. Blockbasierte Geräte (iSCSI) werden nicht unterstützt.

  • Mit einem SFTP-Programm, z. B. FileZilla, wird eine SFTP-Verbindung zum Daten-Gateway aufgebaut:
    • sftp sftpg.zih.tu-dresden.de
    • Nach Authentifizierung mit Loginname+Passwort und eventuell notwendiger Angabe eines Portes (22), wird man mit dem Home-Verzeichnis verbunden und kann zu allen anderen Verzeichnissen navigieren.
      • Der Pfad eines Gruppen-Laufwerkes ist in der Regel "/glw/glwname/"
  • Einbindung als NFS-Laufwerk auf einem Instituts-Server.
  • Verbindung per CIFS/Samba analog zu den Home-Verzeichnissen aus Windows
    • \\vs-grpNN.zih.tu-dresden.de\glwname
    • Die Authentifizierung erfolgt mit der Domäne „dom“, dem ZIH-Loginnamen und dem dazugehörenden Passwort ähnlich wie folgt:
      • Benutzerinformation:  dom\loginname
      • Passwort: ZIH-Passwort
  • Gruppen-Laufwerke stehen an den zentralen Login-Servern nicht zur Verfügung. Man kann jedoch von dort Kopieraktionen auf dem Daten-Gateway initiieren.

Anonymes FTP / Datenaustausch ohne Authentifizierung wird nicht unterstützt.

Die Zugriffsrechte werden entweder nach Linux-Regeln (UNIX) oder Windows-Regeln (NTFS) definiert.

Die Starteinstellung mit Linux-Regeln ist „2770“:

  • Das Eigentümerlogin hat Vollzugriff
  • Die Eigentümergruppe hat Vollzugriff
  • Die Eigentümergruppe wird in der Regel weitervererbt (setgid bit)
    • Achtung: Rechte für neuangelegte Dateien und Verzeichnisse werden anhand der Umask des jeweiligen Nutzers gesetzt
  • Die ZIH-Admins haben nur auf dem Daten-Gateway Root-Zugriff (Vollzugriff)
  • Alle anderen haben keinen Zugriff

Zugriffsrechte mit NTFS-Regeln werden direkt an den Dateien definiert. Dazu steht im ZIH ein Terminalserver bereit. Man geht wie folgt vor

  • Aufbau einer Remotedesktop-Verbindung zum TS „domts3.zih.tu-dresden.de“
  • Einhängen des Gruppen-Laufwerkes, Auswahl "Netzlaufwerke verbinden..."
    • Laufwerksbuchstaben auswählen
    • Ordner: "\\vs-grpXX.zih.tu-dresden.de\glwname eintragen"
    • ankreuzen von "Verbindung mit anderen Anmeldeinformationen herstellen."
    • "Fertig stellen" anklicken
      • Benutzerinformationen eintragen
        • dom\loginname
        • ZIH-Passwort

Die Starteinstellung mit NTFS-Regeln ist:

  • Es gelten die Regeln der Windows-Domäne „dom“
  • Die Domänen-Admins (ZIH) haben Vollzugriff mit Weitervererbung
    • Für Backup und eventuelle Wartungsarbeiten
  • Die genannten Admins bei der Antragsstellung haben Vollzugriff mit Weitervererbung
    • Für administrative Zwecke
  • Jeder“ hat Lese+Ausführungs-Zugriff auf das Hauptverzeichnis ohne Weitervererbung
    • Dies kann nur gelöscht werden, wenn kein Zugriff über einen SFTP-Server erfolgen darf.

Verwendete Technologien zur Sicherung der Daten

Sicherung der Daten durch Erasure-Coding

Alle Daten sind immer so auf mehrere Datenspeicher verteilt, dass ein Ausfall von einer oder zwei Datenspeichern nicht zu einem Datenverlust führt.

Wiederherstellungsmöglichkeiten durch Snapshots

Ein Snapshot ist ein durch den Nutzer lesbarer älterer Zustand der gespeicherten Dateien und Ordner. In der Regel sind diese zugreifbar unter Windows über den Zugriff auf "vorherige Versionen" von Dateien. Unter Linux gibt es ein Unterverzeichnis ".snapshot", das in jedem Verzeichnis versteckt vorhanden sind. Mac OS X findet man die Snapshotverzeichnisse unter "~snapshot".

Alle Snapshots sind schreibgeschützt und bieten deshalb auch Schutz vor versehentlicher bzw. absichtlicher (Viren, Trojaner) Manipulation der Daten. Ein Störprogramm kann zwar das aktuelle Original von Daten zerstören, hat jedoch keinen Schreibzugriff auf die Snapshots.

Snapshots stehen in unterschiedlicher Menge zur Verfügung. Die Anwender müssen einen Anwendungsfall für Snapshots wählen. Die Daten, die in den Snapshots gespeichert sind, zählen zu der Quote des Gruppenlaufwerkes.

Kopie der Daten an einem zweiten Standort

Für die Vorbeugung für einen Ausfall des kompletten Primär-Standorts (LZR) werden Teile der Daten zu einem zweiten Standort gespiegelt.

Backup für den Katastrophenfall

Für einen Katastrophenfall werden die Daten wöchentlich auf einer zweiten Technologie gesichert. Dies erlaubt es bei einem Fehler, zumindest einen maximal eine Woche alten Stand wieder herzustellen.

SVM bzw. Storage Virtual Machine, Virtuelle File-Server für Arbeitsgruppen zur Selbst-Administration

Arbeitsgruppen mit eigenem Benutzermanagement, z. B. eigener Windows-Subdomäne, können virtuelle File-Server (SVM) mit darin befindlichen Gruppen-Laufwerken beantragen. Diese werden in die eigene Domäne eingebunden. Sie müssen von deren Administratoren selbst für den Backup-Service angemeldet werden.

Mitwirkungspflichten & Voraussetzungen

Zugriff auf die zentralen Laufwerke per CIFS/Samba erfolgt mit einem ZIH-Benutzer-Login aus dem Campusnetz. Von außerhalb muss eine VPN-Verbindung aufgebaut werden. Eine verschlüsselte Verbindung, ohne VPN-Gateway, ist über den zentralen Daten-Gateway möglich. Hier werden die Dienste SSHFS, SCP und SFTP unterstützt.

Voraussetzungen: ZIH-Benutzer-Login, Hardware (PC), Zugang Internet/Campusnetz

Mitwirkungspflichten:
Benutzungsregeln und Vorschriften (alle Dokumente)
Merkblatt zur Nutzung von IT Ressourcen
Benutzungsinformationen für Studierende
Benutzungsinformationen für andere Angehörige der TUD

Abrechnung / Kosten

Für Angehörige der TU Dresden fallen keine Kosten an.

Datensicherheit / Datensicherung / Verschlüsselung

  • Die Generierung von Snapshots ist grundsätzlich voreingestellt.
  • Die Änderung der Snapshot-Regeln sind nicht für einzelne Home-Verzeichnisse bzw. Gruppen-Laufwerke möglich, die in Sammelcontainern untergebracht sind.
  • Alle hier genannten Daten sind in die Backup-Sicherung des ZIH eingebunden. Für Restore vom Band wird die Hilfe der ZIH-Admins benötigt.
  • Professionelle Backups eigener Systeme in die Home-Verzeichnisse bzw. Gruppen-Laufwerke sind nicht erwünscht, da die entstehenden Daten von den internen Organisationsregeln des Speichersystems nicht effektiv behandelt werden können.
  • Es gibt dafür einen gesonderten zentralen Backup-Dienst. Bei Backups handelt es sich in der Regel um sich ständig ändernde Daten, so dass sich zum Beispiel pro 10 GB regelmäßiger Sicherung in einem halben Jahr bis zu 260 GB Daten ansammeln können.
    • Eine Sicherheitskopie eigener Daten, ohne Verwendung eines professionellen Backupalgorithmus ist in der Regel zulässig.
  • Verbindungen per SSH (scp, sftp) erfolgen verschlüsselt.
  • CIFS-Verbindungen sind unverschlüsselt, solange man nicht das Protokoll SMB3 erzwingt.
  • Die Daten auf den Festplatten der File-Server sind verschlüsselt, da alle mit der Option der Selbstverschlüsselung ausgestattet sind. Beim Zugriff werden sie jedoch wieder entschlüsselt an das Übertragungsprotokoll übergeben.
  • Für die Verschlüsselung von Verzeichnissen bzw. Dateien müssen geeignete Programme benutzt werden. (z. B. BoxCryptor)

SMB Protokoll einstellen

Für Verbindungen mit den zentralen Laufwerken, wird mit Windows das Protokoll Server Message Block (SMB) verwendet. Im Linux-Umfeld spricht man von Common Internet File System (CIFS). Es wird auch häufig Samba genannt, was jedoch lediglich ein Software Projekt ist, das sich auf dieses Protokoll stützt.

Es gibt folgende Versionen des SMB-Protokolls, mit ihren jeweiligen Eigenarten.

  • SMB 1.0
    • wurde mit Windows 2000 eigeführt
    • ist unsicher und wird bei uns nicht mehr unterstützt
  • SMB 2.0
    • seit Windows XP verfügbar
    • verbesserte Version, unterstützt Weitverkehrsnetze (WAN)
    • SMB 1.0 wurde aus kompatibiliätsgründen weiter zugelassen
  • SMB 2.1
    • seit Windows 7 verfügbar
  • SMB 3.0
    • seit Windows 8 verfügbar
    • Außerdem wurde eine Ende zu Ende Verschlüsselung eingeführt.
    • Dieses Protokoll empfehlen wir für verschlüsselte Datenübertrageung, z. B. bei Sicherheitsstufe hoch.
  • SMB 3.0.2
    • seit Windows 8.1 verfügbar
  • SMB 3.1.1
    • seit Windows 10 verfügbar

Aktivierung des Protokolls SMB2, Deaktivierung von SMB1, (SMB1 wird ab Mitte Juli 2020 nicht mehr unterstützt)

Aktivierung von SMB 2.0 unter Windows als Client-Computer

1. Öffnen Sie eine Eingabeaufforderung als Administrator.

2. Führen Sie folgende Befehle aus:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

3. Starten Sie den Computer neu.

Deaktivierung von SMB 1.0 unter Windows als Client-Computer

1. Öffnen Sie eine Eingabeaufforderung als Administrator.

2. Führen Sie folgende Befehle aus:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

3. Starten Sie den Computer neu.

Check der Einstellung

1. Öffnen Sie eine Eingabeaufforderung als Administrator.

2. Führen Sie folgenden Befehl aus:

sc.exe qc lanmanworkstation

Zu dieser Seite

ZIH Web
Letzte Änderung: 19.09.2024