[專題] Synology 進階應用：企業 AD 與 DNS 集中式整合管理 (上)

[peter6055]

Synology 與我的生活

早在 2015 年時，勒索軟體的興起與資安意識的抬頭，我家中多了一台小夥伴，小兒輕巧的 Synology DS115 出現在我的生活中。Synology DS115 為我們家的備份問題及檔案存放提供不少解決方案，透過 DS File 我們可以從手機裡提放不同的檔案，重要的文件都可以直接透過手機瀏覽，Ds Photo 備份不同手機中的照片，Synology 的 NAS 產品中更有了不同的套件備份方案，能整機備份外也可以單獨備份特殊檔案。

自動化電腦同步更不是問題，這不經讓我思考，是不是將如此方便的設備導入至工作環境應用，可以大大減少公司每月花費在維護、設定以及測試的時間。

NAS 已經不在只是「備份」那麼簡單

隨 DSM 6.1 的推出，現在 Synology 又多了更多款不同的套件程式，在家用設備當中，我使用了 Moments 來架設屬於我們自己的相簿平台，Audio Station、Media Server 豐富了居家娛樂， Docker 應用更為 NAS 添加了更多功能，如 Home Assistant 也是我們居家常用的功能，他讓 NAS 也能成為網關，透過手機端，控制居家設備易如反掌。

▲ Synology 豐富的套件平台，從中央管理、系統服務、監控維護、備份、資訊安全能一機打理。



在公司當中 Mail Server 更取代了原本每年花費我們數百萬授權的 Microsoft Exchange Server，網路設備中的帳號與密碼驗證，更被 Synology NAS 的 Radius Server 取代，公司的 M.I.S 更不需為了避免一台虛擬機器的負載量過大而煩惱，Synology 可以一機掌握所有功能，也不用同以往使用某些服務一樣，需要先購買軟體，軟體也幾乎沒有備份功能，這又是一筆額外的開銷

▲ Synology 打造了一機一條龍的特色，買機器送服務、套件。安裝套件更不用花費技術人員過多的時間，在設定、佈建時也不用進行除錯，後續的維護也節省的不少時間。



另一個問題就產生了，在各種不同的服務當中，需要各種登錄帳號，例如我們公司的 File Server 和 Mail Server、Radius Server、電腦登入 時的主機都份散在不同伺服器上，難道我要一台一台的建立系統帳號及密碼嗎，如果員工離職或調動部門，我們更需要花費大量的時間解決帳號問題，要是用這種方式，我們擁有30 台不同服務的伺服器要管理，一個員工異動就需要進行重複的動作 30 次，那麼網管人員就太辛苦了，更何況我們有多達 200 台不同地區的電腦要管理，更不可能一台一台安裝軟體、管理登入帳號，AD Server 就成了我們最好的選擇。



Synology 進階應用：企業 AD 與 DNS 集中式整合管理 （上篇）


上篇- 目錄：

• Synology 與我的生活
• Synology 進階應用：企業 AD 與 DNS 集中式整合管理
  • Active Directory 介紹
  • DNS 介紹
  
  
  
  
  
  
  
• AD Server 與 DNS Server 輕鬆部署安裝 GO
  • 資安四部曲: 給 AD 安全的家
  • 安裝輕鬆來，步驟不麻煩
  • 電腦 2 不設定，簡單連 AD
  • NAS 不麻煩，AD 好上手
  
  
  
  
  
  
  
• Active Directory 可不只有這樣：更多功能
  • 帳號安全讓你把關，不怕使用者亂設定密碼：安全性原則
  • 掌握電腦狀況，清楚明瞭：使用者與電腦
  • 使用者設定，也能輕鬆解決！
  • 使用者有可以有家目錄，不用共用資料夾了！
  
  
  
  

下篇- 目錄：

• 企業應用：Synology 減少了維護、建置所花費的成本與時間
  • Active Directory: 解救 MIS 的時間
  • Synology Active Directory: 優勢一點通：維護與建置優勢討論
  
  
  
  
  
  
  
• 家庭應用：整合管理，從家下手
  • 家用電腦，安全隱私，一手掌握
  
  
  
  
  
  

Active Directory 是什麼
Active Directory 是所謂的網路架構目錄，用集中於管理 Windows 電腦，他可以管理用戶、電腦、網路影印機、控制站、群組，我們通常簡稱叫做 AD 伺服器（AD Server）。

圖片取自：Microsoft 官方文件說明資料庫



一個 AD 當中一定有這四個角色：

• Domain Controllers（DC）他是中央控制器
• Computers 也就是可以被中央控制的電腦
• Builtin 使用者帳號的群組
• Users 使用者帳號

▲ 夠過 DNS 連接主要控制站集中管理，這些電腦甚至是服務只要支援 AD Server 都可以使用主控制站集中管理使用者帳號和電腦功能。



DNS 搭建與 Active Directory 溝通的橋樑

Domain Name System 也就是我們常常聽到的 DNS，他負責將 IP 位置轉換為我們所看到的網址。Active Directory 與 DNS 擁有非常密切的關係，當一台電腦的 DNS 設定設定為主控制站的 IP 後，會自動將主控制站的 IP 位置轉換為所設定的網域（也就是 Active Directory），如此一來一台電腦與主控制站的橋樑就搭上了。

▲ 在設定 DNS 的電腦中，DNS 透過外部網路（網際網路）或內部網路位置找到 AD 的位置和網址（域名）。



SYNOLOGY 誰能比我強：優勢與比較

▲ 就安裝來講，在設定完成後，Synology 可以直接透過套件中心，安裝 Active Directory Server 和 DNS Server，安裝完成後就可以直接開始設定了。



至於 Windows 或是 Linux 都需要一定的技術層面，Windows 在安裝後的除錯、事前準備都需要不段的修正才能安裝成功。Linux 更需要透過 Command Line (Terminal 終端機) 才可以完成安裝。

▲ Windows 安裝會遇到需要排除錯誤的過程才能成功安裝。 圖片取自：Microsoft 官方文件說明資料庫

▲ Linux 需要特殊指令才能進行安裝設定。圖為 Linux (Mac OS) 系統終端機

▲做一張圖表給大家看，很清楚的 Synology 可以花費最少的時間在前置作業、安裝過程，後續維護上也沒有如此的複雜，也因為不需額外負擔軟體費用，只需要一台 NAS 輕鬆解決



在這部份，我就不多介紹 Windows 與 Linux 的軟體及安裝在做進階比較了。畢竟今天的主角是 NAS～～ 但相信各位可以從 NAS 的安裝到設定過程中知道，佈建一個集中管理式的網路架構系統是意想不到的簡單的。



AD Server 與 DNS Server 輕鬆安裝與部署 GO


安資訊資安一把罩，四部曲交給你！


想想今天 Synology NAS 是你的總部，我們總要把總部的外牆蓋的扎實些！在安裝 Synology AD Server 與 DNS Server 之前，先傳授給你資安四部曲，簡單四步驟，資安一把罩。


☆ 前部曲：請先跟我這樣做

▲ 先進入設定後，開啟右上角的進階模式，這樣，等下的設定過程中，你才能看見我們所操作的地方呦！



☆ 第一部曲：預設端口不在安全，別讓暴力破解盯上你：變更預設端口


由於 Synology 是目前主流 NAS 的公司，駭客要攻擊你的 NAS 最簡單的方式就是找到你的 IP 再去暴力的解出密碼，為了讓駭客找不到 NAS，把預設的端口改成其他的就是了。

▲ 首先，先進入設定中的網路

▲ 進入後由上方的標籤，切換至 DSM 設定當中，可以看到 DSM 端口處是預設的 HTTP: 5000 和 5001，你可以換成 5004/5005 或是 5010/5011。完成後按下下方的「確定」來套用。



☆ 第二部曲：猜到端口，我不怕！：變更封鎖設定


如果今天駭客展開殺機，用了自動化的方法查找你的端口，那麼不就沒辦法了嗎？答案是我可以封鎖你的 IP，安全性設定讓 NAS 可以封鎖亂猜我家門鑰匙的人，讓他永遠進不來。

▲ 首先，先進入設定中的安全性。

▲ 再來，由上方的標籤切換至帳號當中，你可以開啟自動封鎖並讓登減少登入次數及記錄時間，當然越短越安全。完成後按下下方的「確定」來套用。



☆ 第三部曲：SSH/Telnet 不讓你去！：SSH/Telnet 功能的調整


Telnet 與 SSH 是可以夠過指令與最高權限控制 NAS 的一切功能，避免有心人士夠過外網登入，應該將它關閉，當然有些專業的網關仍然要使用這個功能，你可以透過內部防火牆隔絕。

▲ 首先，先進入設定中的終端機與 SNMP 中。

▲ 你可以看到 Telnet 與 SSH 設定，預設是關閉的，為了避免駭客透過最高權限存取你的伺服器，建議如果不需要使用到 Telnet 與 SSH 就將它關閉。



☆ 第四部曲：系統更新，安全「跟心」，SYNOLOGY 罩你！：開啟自動更新


Synology 會定期修復系統漏洞，保持系統在最新更新中是最佳選擇。

▲ 首先，先進入設定中的更新和還原中。

▲ 如果有更新能下載，一定要快快地把它更新到最新版本，沒有更新也建議你按下「更新設定」。

▲ 自動安裝所有更新和設定，並開啟自動檢查，以保障你「總部」的安全。



初始設定！記得幫 NAS 加入固定 IP


如果今天有一個人一直搬家，你該怎麼找到他呢？相同的 DNS 找不到一直搬家的 NAS，所以給 NAS 一個固定 IP 吧！

▲ 首先，先進入設定中的網路，點擊網路卡來設定固態 IP。

▲ 按下「手動設定網路配置」，IP 請你指定一個固定 IP 給 NAS，記得 DNS Server 一定要選個可靠點的，畢盡所有電腦外連 DNS 都是透過這組 DNS。大家可以參考以下的 DNS 進行設定，這都是我個人平常使用的 DNS。



☆☆推薦 常用 中華電信 DNS - 168.95.1.1 或 168.95.192.1

☆☆☆推薦 穩定 GOOGLE - 8.8.8.8 或 8.8.4.4



☆☆☆☆☆推薦 最新 CloudFare DNS - 1.1.1.1



設定完成就開始安裝囉！



安裝輕鬆來，步驟不麻煩！

先來介紹下這兩款套件，AD Server 和 DNS Server 我們都可以透過套件中心取得，進入套件中心後尋找「Active Directory Server」以及「DNS Server」，並安裝兩款套件。

這兩款套件根據官方資料 Active Directory Server 支援 2011 年後的 NAS 機種，DNS Server 則是可以支援到 2008 年的 NAS DS508 和 DS408 都可以使用，這兩款套件算是所有套件中入門機或是較舊款足以負荷的套件。

▲ 安裝完成後，先開啟 Active Directory Server 進行初始設定，按下「下一步」

▲ 在網域名稱的部分，輸入一個網域，也可以使用 DDNS 來設定，如果是在內部網域使用的話，一個隨意的域名來設定也可以，但建議企業在設定域名時要使用確切的、真實的域名，避免造成後續維護上的困難。最後再輸入管理密碼後，按下「下一步」。

▲ 需要一段時間建立網域及控制站

▲安裝完成後，剛剛所設定的網域名稱和網域都顯示在控制台上了，如此一來你的「總部」就安裝完成了。



建立 Windows 主控式登入


新增使用者帳號。

▲ 選擇 Active Directory Server 中右側的「使用者 & 電腦」，在內容空白處右鍵選擇新增，並選「使用者帳號」。

▲ 填入帳號、密碼，下方四個選項可以依照個人喜好開啟，基本上在公司內部建立 Active Directory Server 我不會對下方做任何設定，按下「下一步」。

▲ Domain User 是 Domain 中的最小單位，一般使用者就為 Domain User，他也是權限最小的預設選項，如果要增加更高的權限，在去勾選其他的項目，不然都維持預設選項。

▲ 最後按下「套用」，就完成設定了。

▲ 我在使用步驟多設定幾個帳號，所以我們已經擁有了「Tim」 和「Peter」這兩個帳號。


電腦設定二步驟，輕鬆連上控制站

▲ 現在要為電腦設定固定 IP 以及 DNS，先至右下角電腦圖示右鍵按下「開啟網路公用中心」，選擇連線選單中的「乙太網路」選項。

▲ 選擇內容，跳出頁面中選擇「網際網路通訊協第 4 版」，按下「內容」，進入後，先將 IP 位置、遮罩、閘道設定為固態的，主要 DNS設定則是 NAS 的 IP，這樣電腦才有辦法與 AD 連線。完成後按下「確定」。



電腦最終回，加入網域。

▲ 進入「本機」，空白處按下右鍵，選擇「內容」

▲ 在「電腦名稱」旁選擇「變更設定」，再次選擇跳出視窗的「變更」。

▲ 在「網域」處輸入 NAS 中剛剛設定 AD 的網域，我就輸入設定的 ELOGY.CN ，按下確定後會提示你輸入剛剛設定的管理密碼，完成輸入後按下確定。

▲ 需要稍待一段時間，這是後不是當機，千萬不要強制關閉視窗喔！完成加入後會有提示訊息，按下「確定」，並重新開機。

▲ 重開機後，按下左下角的「其他使用者」，你可以看到「登入到」已經轉變為 NAS 的網域控制站了，就可以以網域控制站的身份登入。電腦的帳號密碼則是剛剛設定的帳號與密碼。

▲ 登入後，可以發現，已經是透過不同使用者登入。



我有一卡車 NAS，我不想做一堆帳號，我要集中帳號管理！


竟然電腦都可以，NAS 一定也行，今天如果我把 Mail NAS 和 File Server 分開，我一樣可以減少多製作一份使用者帳號的時間。 今天就以 Docker DSM 來示範第二台 DSM 的功能。

這台 DDSM 的 IP 是 172.21.85.104，所以，先登入第二台或是你的第 N 台 NAS。

▲ 進入設定，記得先開啟進階模式，選擇「網域/LDAP」

▲ 今天我們是要加入屬於 Windows 的網域系統，所以在上方頁面選擇「網域」，並將「加入網域」打勾。 在網域填入欄位填上剛剛設定的網址，DNS 伺服器則是NAS 網域控制站（總部）的 IP。之後選擇下方「網域選項」。

▲ 「網域使用者登入時，使 DDSM 與 NTP 伺服器對時」這樣可以保持 NAS 網域控制站（總部）的時間與加入網域的 NAS（分部）相同，避免出現時間差造成無法連線，這點建議打勾。「以 NT4 相容模式取得使用者/群組清單」可以增加兩台 NAS 中讀取使用者群組的相容性。

▲ 按下「下一步」後，輸入網域管理者帳號、管理者密碼，並按下「下一步」。

▲ 這裡主要提示被併入網域控制站後 NAS 將會被總部管理，按下「確定」。

▲ 最後一步會進行一些檢查，基本上沒有太大的問題系統就會讓你按下「完成」，最後一步驟也就輕鬆完成了。

▲ 接著試試看用「Tim」 和「Peter」（你剛剛設定的帳號）都可以成功登入 NAS，同時也可以看到「Tim」 和「Peter」都是屬於 ELOGY.CN 網域控制站管理的。



如此一來 Windows 和 NAS 的整合式管理都完成囉！現在不論你有幾台 NAS 和電腦，你只要將所有的 NAS 和電腦加入網域控制站（總部），就可以使用總部建立的帳號密碼登入所有裝置呦！是不是很方便呢～

一覽 Synology Active Directory Server 的更多配置


☆ 帳號安全讓你把關，不怕使用者亂設定密碼：安全性原則

▲ 當你進入 Active Directory 的程式後，按下「網域規則」，你可以在此設定密碼設地的長短原則、密碼可否重複、到期日，以及電腦休眠鎖定的時間。公司和家庭帳號安全由你把關。



☆ 掌握電腦狀況，清楚明瞭：使用者與電腦

▲ 進入 Active Directory 的程式後，按下「使用者＆電腦」，可以看到所有的使用者（Users）、網域控制站（Domain Controllers）、電腦（Computers）。



☆ 使用者設定，也能輕鬆解決！

▲ 選擇 使用者（Users），並對想設定的用戶點兩下，即可進入設定。

▲ 可以設定登入時段，這樣就可以讓小孩晚上不要偷爬起來玩電腦了！

▲ 也可以在「登入到..」按鈕，限制某些使用者登入到指定的電腦。

▲ 上方欄選擇「一般」，這根本可以當員工資料庫了！有些郵件伺服器可以支援讀取這裡的資訊，如此一來，他就像個萬能通訊錄唷！

▲ 上方欄選擇「設定檔」，所謂的設定檔就是用戶在 Windows 桌面上或是你的個人設定，這部分不建議做更動，免得到時候出錯，使用者就會無法登入到電腦或 NAS 裡。

▲ 上方欄選擇「群組」，可以變更剛剛有設定的群組。



☆ 使用者有可以有家目錄，不用共用資料夾了！

▲ 在加入主控制站的 NAS（注意呦！是不是總部，是分部）的設定找到「網域/LDAP」，上方欄選擇「網域使用者」，「家目錄」按鈕，並勾選「啟用網域使用者家目錄帳號」，按下「確定」。

▲ 登登～出現家目錄啦！是不是很簡單呢！



我們喘口氣！



接下來，重頭戲開始囉。多虧 Synology 的出現，我們的網管工程師不用在加班修理 Windows Sever 上的 Active Directory Server 發生的錯誤了（灑花）～讓我們繼續看下去！



Synology 進階應用：企業 AD 與 DNS 實作案例 (下)