劉士銘 發表於 2018-8-18 20:49:36

[分享] Synology 進階應用:企業 AD 與 DNS 集中式整合管理 (上)

https://farm2.staticflickr.com/1831/44058715422_d3d95a0584_k.jpgSynology 與我的生活https://farm2.staticflickr.com/1865/44107753741_751fa62072_k.jpg
早在 2015 年時,勒索軟體的興起與資安意識的抬頭,我家中多了一台小夥伴,小兒輕巧的 Synology DS115 出現在我的生活中。Synology DS115 為我們家的備份問題及檔案存放提供不少解決方案,透過 DS File 我們可以從手機裡提放不同的檔案,重要的文件都可以直接透過手機瀏覽,Ds Photo 備份不同手機中的照片,Synology 的 NAS 產品中更有了不同的套件備份方案,能整機備份外也可以單獨備份特殊檔案。


https://farm2.staticflickr.com/1861/44107757451_cd6114c966_k.jpg
自動化電腦同步更不是問題,這不經讓我思考,是不是將如此方便的設備導入至工作環境應用,可以大大減少公司每月花費在維護、設定以及測試的時間。https://farm2.staticflickr.com/1844/30239564058_651550c424_h.jpg
NAS 已經不在只是「備份」那麼簡單https://farm2.staticflickr.com/1854/43389013174_1d4f8c6664_b.jpg 隨 DSM 6.1 的推出,現在 Synology 又多了更多款不同的套件程式,在家用設備當中,我使用了 Moments 來架設屬於我們自己的相簿平台,Audio Station、Media Server 豐富了居家娛樂, Docker 應用更為 NAS 添加了更多功能,如 Home Assistant 也是我們居家常用的功能,他讓 NAS 也能成為網關,透過手機端,控制居家設備易如反掌。
https://farm2.staticflickr.com/1880/29169762207_47a2e45e6e_b.jpg ▲ Synology 豐富的套件平台,從中央管理、系統服務、監控維護、備份、資訊安全能一機打理。
在公司當中 Mail Server 更取代了原本每年花費我們數百萬授權的 Microsoft Exchange Server,網路設備中的帳號與密碼驗證,更被 Synology NAS 的 Radius Server 取代,公司的 M.I.S 更不需為了避免一台虛擬機器的負載量過大而煩惱,Synology 可以一機掌握所有功能,也不用同以往使用某些服務一樣,需要先購買軟體,軟體也幾乎沒有備份功能,這又是一筆額外的開銷
https://farm2.staticflickr.com/1858/43389009474_0c8d3e0565_b.jpg ▲ Synology 打造了一機一條龍的特色,買機器送服務、套件。安裝套件更不用花費技術人員過多的時間,在設定、佈建時也不用進行除錯,後續的維護也節省的不少時間。
另一個問題就產生了,在各種不同的服務當中,需要各種登錄帳號,例如我們公司的 File Server 和 Mail Server、Radius Server、電腦登入 時的主機都份散在不同伺服器上,難道我要一台一台的建立系統帳號及密碼嗎,如果員工離職或調動部門,我們更需要花費大量的時間解決帳號問題,要是用這種方式,我們擁有30 台不同服務的伺服器要管理,一個員工異動就需要進行重複的動作 30 次,那麼網管人員就太辛苦了,更何況我們有多達 200 台不同地區的電腦要管理,更不可能一台一台安裝軟體、管理登入帳號,AD Server 就成了我們最好的選擇。
Synology 進階應用:企業 AD 與 DNS 集中式整合管理 (上篇)
上篇- 目錄:
[*]Synology 與我的生活
[*]Synology 進階應用:企業 AD 與 DNS 集中式整合管理

[*]Active Directory 介紹
[*]DNS 介紹




[*]AD Server 與 DNS Server 輕鬆部署安裝 GO

[*]資安四部曲: 給 AD 安全的家
[*]安裝輕鬆來,步驟不麻煩
[*]電腦 2 不設定,簡單連 AD
[*]NAS 不麻煩,AD 好上手




[*]Active Directory 可不只有這樣:更多功能

[*]帳號安全讓你把關,不怕使用者亂設定密碼:安全性原則
[*]掌握電腦狀況,清楚明瞭:使用者與電腦
[*]使用者設定,也能輕鬆解決!
[*]使用者有可以有家目錄,不用共用資料夾了!





下篇- 目錄:
[*]企業應用:Synology 減少了維護、建置所花費的成本與時間

[*]Active Directory: 解救 MIS 的時間
[*]Synology Active Directory: 優勢一點通:維護與建置優勢討論




[*]家庭應用:整合管理,從家下手

[*]家用電腦,安全隱私,一手掌握






Active Directory 是什麼Active Directory 是所謂的網路架構目錄,用集中於管理 Windows 電腦,他可以管理用戶、電腦、網路影印機、控制站、群組,我們通常簡稱叫做 AD 伺服器(AD Server)。
https://farm2.staticflickr.com/1894/42298204140_5c865d3bd5_b.jpg 圖片取自:Microsoft 官方文件說明資料庫
一個 AD 當中一定有這四個角色:
[*]Domain Controllers(DC)他是中央控制器
[*]Computers 也就是可以被中央控制的電腦
[*]Builtin 使用者帳號的群組
[*]Users 使用者帳號


https://farm2.staticflickr.com/1870/43389008974_a059a9bafb_b.jpg ▲ 夠過 DNS 連接主要控制站集中管理,這些電腦甚至是服務只要支援 AD Server 都可以使用主控制站集中管理使用者帳號和電腦功能。
DNS 搭建與 Active Directory 溝通的橋樑https://farm2.staticflickr.com/1899/43389009004_5ac83056c8_b.jpgDomain Name System 也就是我們常常聽到的 DNS,他負責將 IP 位置轉換為我們所看到的網址。Active Directory 與 DNS 擁有非常密切的關係,當一台電腦的 DNS 設定設定為主控制站的 IP 後,會自動將主控制站的 IP 位置轉換為所設定的網域(也就是 Active Directory),如此一來一台電腦與主控制站的橋樑就搭上了。
https://farm2.staticflickr.com/1885/44058682032_bf70449069_b.jpghttps://farm2.staticflickr.com/1873/44107734641_78b793f50f_b.jpg ▲ 在設定 DNS 的電腦中,DNS 透過外部網路(網際網路)或內部網路位置找到 AD 的位置和網址(域名)。
SYNOLOGY 誰能比我強:優勢與比較https://farm2.staticflickr.com/1874/44058680202_35f30004d6_b.jpg https://farm2.staticflickr.com/1842/44107730291_675326b8ab_b.jpg ▲ 就安裝來講,在設定完成後,Synology 可以直接透過套件中心,安裝 Active Directory Server 和 DNS Server,安裝完成後就可以直接開始設定了。
至於 Windows 或是 Linux 都需要一定的技術層面,Windows 在安裝後的除錯、事前準備都需要不段的修正才能安裝成功。Linux 更需要透過 Command Line (Terminal 終端機) 才可以完成安裝。
https://farm2.staticflickr.com/1812/29169752057_8acbd9e051_b.jpg▲ Windows 安裝會遇到需要排除錯誤的過程才能成功安裝。 圖片取自:Microsoft 官方文件說明資料庫
https://farm2.staticflickr.com/1840/29169751847_0c6db354bb_b.jpg▲ Linux 需要特殊指令才能進行安裝設定。圖為 Linux (Mac OS) 系統終端機
https://farm2.staticflickr.com/1885/44107725491_450d6c0951_b.jpg ▲做一張圖表給大家看,很清楚的 Synology 可以花費最少的時間在前置作業、安裝過程,後續維護上也沒有如此的複雜,也因為不需額外負擔軟體費用,只需要一台 NAS 輕鬆解決
在這部份,我就不多介紹 Windows 與 Linux 的軟體及安裝在做進階比較了。畢竟今天的主角是 NAS~~ 但相信各位可以從 NAS 的安裝到設定過程中知道,佈建一個集中管理式的網路架構系統是意想不到的簡單的。
AD Server 與 DNS Server 輕鬆安裝與部署 GO
安資訊資安一把罩,四部曲交給你!

想想今天 Synology NAS 是你的總部,我們總要把總部的外牆蓋的扎實些!在安裝 Synology AD Server 與 DNS Server 之前,先傳授給你資安四部曲,簡單四步驟,資安一把罩。☆ 前部曲:請先跟我這樣做https://farm2.staticflickr.com/1854/29169750247_b61c7e5a0c_b.jpg ▲ 先進入設定後,開啟右上角的進階模式,這樣,等下的設定過程中,你才能看見我們所操作的地方呦!
☆ 第一部曲:預設端口不在安全,別讓暴力破解盯上你:變更預設端口
由於 Synology 是目前主流 NAS 的公司,駭客要攻擊你的 NAS 最簡單的方式就是找到你的 IP 再去暴力的解出密碼,為了讓駭客找不到 NAS,把預設的端口改成其他的就是了。
https://farm2.staticflickr.com/1897/44058668732_f719b7c227_b.jpg ▲ 首先,先進入設定中的網路
https://farm2.staticflickr.com/1845/44107718061_f36a212d25_b.jpg ▲ 進入後由上方的標籤,切換至 DSM 設定當中,可以看到 DSM 端口處是預設的 HTTP: 5000 和 5001,你可以換成 5004/5005 或是 5010/5011。完成後按下下方的「確定」來套用。
☆ 第二部曲:猜到端口,我不怕!:變更封鎖設定
如果今天駭客展開殺機,用了自動化的方法查找你的端口,那麼不就沒辦法了嗎?答案是我可以封鎖你的 IP,安全性設定讓 NAS 可以封鎖亂猜我家門鑰匙的人,讓他永遠進不來。
https://farm2.staticflickr.com/1873/29169742717_f86218ff82_b.jpg▲ 首先,先進入設定中的安全性。https://farm2.staticflickr.com/1900/43200706265_39a1f6a3e3_b.jpg ▲ 再來,由上方的標籤切換至帳號當中,你可以開啟自動封鎖並讓登減少登入次數及記錄時間,當然越短越安全。完成後按下下方的「確定」來套用。
☆ 第三部曲:SSH/Telnet 不讓你去!:SSH/Telnet 功能的調整
Telnet 與 SSH 是可以夠過指令與最高權限控制 NAS 的一切功能,避免有心人士夠過外網登入,應該將它關閉,當然有些專業的網關仍然要使用這個功能,你可以透過內部防火牆隔絕。https://farm2.staticflickr.com/1882/29169731577_e66aecb45d_b.jpg▲ 首先,先進入設定中的終端機與 SNMP 中。
https://farm2.staticflickr.com/1884/44058658412_ba438f0286_b.jpg ▲ 你可以看到 Telnet 與 SSH 設定,預設是關閉的,為了避免駭客透過最高權限存取你的伺服器,建議如果不需要使用到 Telnet 與 SSH 就將它關閉。
☆ 第四部曲:系統更新,安全「跟心」,SYNOLOGY 罩你!:開啟自動更新
Synology 會定期修復系統漏洞,保持系統在最新更新中是最佳選擇。https://farm2.staticflickr.com/1900/44058655132_71c4b890fa_b.jpg▲ 首先,先進入設定中的更新和還原中。
https://farm2.staticflickr.com/1891/29169723487_c70c2d90ed_b.jpg ▲ 如果有更新能下載,一定要快快地把它更新到最新版本,沒有更新也建議你按下「更新設定」。
https://farm2.staticflickr.com/1867/29169720447_617a59b97d_b.jpg ▲ 自動安裝所有更新和設定,並開啟自動檢查,以保障你「總部」的安全。
初始設定!記得幫 NAS 加入固定 IP
如果今天有一個人一直搬家,你該怎麼找到他呢?相同的 DNS 找不到一直搬家的 NAS,所以給 NAS 一個固定 IP 吧!
https://farm2.staticflickr.com/1894/44058650022_6623fd4cda_b.jpg ▲ 首先,先進入設定中的網路,點擊網路卡來設定固態 IP。
https://farm2.staticflickr.com/1816/42298179600_703f2fb25a_b.jpg▲ 按下「手動設定網路配置」,IP 請你指定一個固定 IP 給 NAS,記得 DNS Server 一定要選個可靠點的,畢盡所有電腦外連 DNS 都是透過這組 DNS。大家可以參考以下的 DNS 進行設定,這都是我個人平常使用的 DNS。
☆☆推薦 常用 中華電信 DNS -   168.95.1.1 或 168.95.192.1☆☆☆推薦 穩定 GOOGLE -   8.8.8.8 或 8.8.4.4
☆☆☆☆☆推薦 最新 CloudFare DNS -   1.1.1.1
設定完成就開始安裝囉!
安裝輕鬆來,步驟不麻煩!https://farm2.staticflickr.com/1892/42298177310_2c41133142_b.jpg 先來介紹下這兩款套件,AD Server 和 DNS Server 我們都可以透過套件中心取得,進入套件中心後尋找「Active Directory Server」以及「DNS Server」,並安裝兩款套件。
https://farm2.staticflickr.com/1831/43388978714_0b0218919f_b.jpg https://farm2.staticflickr.com/1849/43388978064_811eb139f1_b.jpg
這兩款套件根據官方資料 Active Directory Server 支援 2011 年後的 NAS 機種,DNS Server 則是可以支援到 2008 年的 NAS DS508 和 DS408 都可以使用,這兩款套件算是所有套件中入門機或是較舊款足以負荷的套件。https://farm2.staticflickr.com/1894/42298172020_e11b00efa9_b.jpg https://farm2.staticflickr.com/1845/43388976704_7acafc2d67_b.jpghttps://farm2.staticflickr.com/1844/44058635262_72361f6fd4_b.jpg ▲ 安裝完成後,先開啟 Active Directory Server 進行初始設定,按下「下一步」
https://farm2.staticflickr.com/1897/43388974384_9afe1ecbbd_b.jpg ▲ 在網域名稱的部分,輸入一個網域,也可以使用 DDNS 來設定,如果是在內部網域使用的話,一個隨意的域名來設定也可以,但建議企業在設定域名時要使用確切的、真實的域名,避免造成後續維護上的困難。最後再輸入管理密碼後,按下「下一步」。
https://farm2.staticflickr.com/1856/42298165720_daab13e91f_b.jpg ▲ 需要一段時間建立網域及控制站
https://farm2.staticflickr.com/1846/44058630682_2f133f8481_b.jpg ▲安裝完成後,剛剛所設定的網域名稱和網域都顯示在控制台上了,如此一來你的「總部」就安裝完成了。
建立 Windows 主控式登入
新增使用者帳號。https://farm2.staticflickr.com/1885/43200680565_a3ca5497bf_b.jpg ▲ 選擇 Active Directory Server 中右側的「使用者 & 電腦」,在內容空白處右鍵選擇新增,並選「使用者帳號」。
https://farm2.staticflickr.com/1874/44107695091_8d6bb015e1_b.jpg ▲ 填入帳號、密碼,下方四個選項可以依照個人喜好開啟,基本上在公司內部建立 Active Directory Server 我不會對下方做任何設定,按下「下一步」。
https://farm2.staticflickr.com/1834/44058627072_1e416cfa85_b.jpg ▲ Domain User 是 Domain 中的最小單位,一般使用者就為 Domain User,他也是權限最小的預設選項,如果要增加更高的權限,在去勾選其他的項目,不然都維持預設選項。
https://farm2.staticflickr.com/1883/44107693991_b6fa51667d_b.jpg ▲ 最後按下「套用」,就完成設定了。
https://farm2.staticflickr.com/1842/44058625052_d3ca18e33b_b.jpg ▲ 我在使用步驟多設定幾個帳號,所以我們已經擁有了「Tim」 和「Peter」這兩個帳號。電腦設定二步驟,輕鬆連上控制站https://farm2.staticflickr.com/1852/30239489398_6b6f5d4098_b.jpg ▲ 現在要為電腦設定固定 IP 以及 DNS,先至右下角電腦圖示右鍵按下「開啟網路公用中心」,選擇連線選單中的「乙太網路」選項。
https://farm2.staticflickr.com/1833/44058622682_284e1ddd38_b.jpg ▲ 選擇內容,跳出頁面中選擇「網際網路通訊協第 4 版」,按下「內容」,進入後,先將 IP 位置、遮罩、閘道設定為固態的,主要 DNS設定則是 NAS 的 IP,這樣電腦才有辦法與 AD 連線。完成後按下「確定」。
電腦最終回,加入網域。https://farm2.staticflickr.com/1855/30239485068_9a2236dfe6_b.jpg ▲ 進入「本機」,空白處按下右鍵,選擇「內容」
https://farm2.staticflickr.com/1815/44058619162_e91322b40a_b.jpg ▲ 在「電腦名稱」旁選擇「變更設定」,再次選擇跳出視窗的「變更」。
https://farm2.staticflickr.com/1886/30239482218_f4ebc75e01_b.jpg ▲ 在「網域」處輸入 NAS 中剛剛設定 AD 的網域,我就輸入設定的 ELOGY.CN ,按下確定後會提示你輸入剛剛設定的管理密碼,完成輸入後按下確定。
https://farm2.staticflickr.com/1891/30239480268_9e11c8867a_b.jpg ▲ 需要稍待一段時間,這是後不是當機,千萬不要強制關閉視窗喔!完成加入後會有提示訊息,按下「確定」,並重新開機。
https://farm2.staticflickr.com/1835/42298156940_8e4d55819a_b.jpg ▲ 重開機後,按下左下角的「其他使用者」,你可以看到「登入到」已經轉變為 NAS 的網域控制站了,就可以以網域控制站的身份登入。電腦的帳號密碼則是剛剛設定的帳號與密碼。
https://farm2.staticflickr.com/1818/44107685901_02e0a0e963_b.jpg ▲ 登入後,可以發現,已經是透過不同使用者登入。
我有一卡車 NAS,我不想做一堆帳號,我要集中帳號管理!
竟然電腦都可以,NAS 一定也行,今天如果我把 Mail NAS 和 File Server 分開,我一樣可以減少多製作一份使用者帳號的時間。 今天就以 Docker DSM 來示範第二台 DSM 的功能。
https://farm2.staticflickr.com/1881/42298154590_cf3c8dc531_b.jpg 這台 DDSM 的 IP 是 172.21.85.104,所以,先登入第二台或是你的第 N 台 NAS。
https://farm2.staticflickr.com/1898/43388965874_2efd59f0ff_b.jpg ▲ 進入設定,記得先開啟進階模式,選擇「網域/LDAP」
https://farm2.staticflickr.com/1897/43388965034_0e0bbe00ee_b.jpg ▲ 今天我們是要加入屬於 Windows 的網域系統,所以在上方頁面選擇「網域」,並將「加入網域」打勾。 在網域填入欄位填上剛剛設定的網址,DNS 伺服器則是NAS 網域控制站(總部)的 IP。之後選擇下方「網域選項」。
https://farm2.staticflickr.com/1849/42298152410_c68d41c0be_b.jpg ▲ 「網域使用者登入時,使 DDSM 與 NTP 伺服器對時」這樣可以保持 NAS 網域控制站(總部)的時間與加入網域的 NAS(分部)相同,避免出現時間差造成無法連線,這點建議打勾。「以 NT4 相容模式取得使用者/群組清單」可以增加兩台 NAS 中讀取使用者群組的相容性。
https://farm2.staticflickr.com/1815/43388963044_8db08b53fa_b.jpg ▲ 按下「下一步」後,輸入網域管理者帳號、管理者密碼,並按下「下一步」。
https://farm2.staticflickr.com/1839/43200663305_f5c40f012b_b.jpg ▲ 這裡主要提示被併入網域控制站後 NAS 將會被總部管理,按下「確定」。
https://farm2.staticflickr.com/1886/43388960724_e65742886f_b.jpg ▲ 最後一步會進行一些檢查,基本上沒有太大的問題系統就會讓你按下「完成」,最後一步驟也就輕鬆完成了。
https://farm2.staticflickr.com/1813/44107679251_46f3873b97_b.jpg https://farm2.staticflickr.com/1836/30239461798_314c89920a_b.jpg ▲ 接著試試看用「Tim」 和「Peter」(你剛剛設定的帳號)都可以成功登入 NAS,同時也可以看到「Tim」 和「Peter」都是屬於 ELOGY.CN 網域控制站管理的。
如此一來 Windows 和 NAS 的整合式管理都完成囉!現在不論你有幾台 NAS 和電腦,你只要將所有的 NAS 和電腦加入網域控制站(總部),就可以使用總部建立的帳號密碼登入所有裝置呦!是不是很方便呢~
https://farm2.staticflickr.com/1831/43200655155_0c7c5dfaf3_b.jpg一覽 Synology Active Directory Server 的更多配置
☆ 帳號安全讓你把關,不怕使用者亂設定密碼:安全性原則https://farm2.staticflickr.com/1842/43200654695_db814912cd_b.jpg ▲ 當你進入 Active Directory 的程式後,按下「網域規則」,你可以在此設定密碼設地的長短原則、密碼可否重複、到期日,以及電腦休眠鎖定的時間。公司和家庭帳號安全由你把關。
☆ 掌握電腦狀況,清楚明瞭:使用者與電腦https://farm2.staticflickr.com/1864/43200652145_5e09364e58_b.jpg ▲ 進入 Active Directory 的程式後,按下「使用者&電腦」,可以看到所有的使用者(Users)、網域控制站(Domain Controllers)、電腦(Computers)。
☆ 使用者設定,也能輕鬆解決!https://farm2.staticflickr.com/1876/43200651165_e55c6dd276_b.jpg ▲ 選擇 使用者(Users),並對想設定的用戶點兩下,即可進入設定。
https://farm2.staticflickr.com/1891/43200649465_16a4bdae2c_b.jpg ▲ 可以設定登入時段,這樣就可以讓小孩晚上不要偷爬起來玩電腦了!
https://farm2.staticflickr.com/1868/44058589062_01efa3c8db_b.jpg ▲ 也可以在「登入到..」按鈕,限制某些使用者登入到指定的電腦。
https://farm2.staticflickr.com/1876/43200647925_138619a5b4_b.jpg ▲ 上方欄選擇「一般」,這根本可以當員工資料庫了!有些郵件伺服器可以支援讀取這裡的資訊,如此一來,他就像個萬能通訊錄唷!
https://farm2.staticflickr.com/1878/30239449478_b6d9a62538_b.jpg ▲ 上方欄選擇「設定檔」,所謂的設定檔就是用戶在 Windows 桌面上或是你的個人設定,這部分不建議做更動,免得到時候出錯,使用者就會無法登入到電腦或 NAS 裡。
https://farm2.staticflickr.com/1855/43200646065_b6df92d80a_b.jpg ▲ 上方欄選擇「群組」,可以變更剛剛有設定的群組。
☆ 使用者有可以有家目錄,不用共用資料夾了!https://farm2.staticflickr.com/1884/43200644255_619c512670_b.jpg ▲ 在加入主控制站的 NAS(注意呦!是不是總部,是分部)的設定找到「網域/LDAP」,上方欄選擇「網域使用者」,「家目錄」按鈕,並勾選「啟用網域使用者家目錄帳號」,按下「確定」。
https://farm2.staticflickr.com/1895/44058583522_bbf14045b7_b.jpg ▲ 登登~出現家目錄啦!是不是很簡單呢!
我們喘口氣!
接下來,重頭戲開始囉。多虧 Synology 的出現,我們的網管工程師不用在加班修理 Windows Sever 上的 Active Directory Server 發生的錯誤了(灑花)~讓我們繼續看下去!
Synology 進階應用:企業 AD 與 DNS 實作案例 (下)
頁: [1]
查看完整版本: [分享] Synology 進階應用:企業 AD 與 DNS 集中式整合管理 (上)