[專題] Synology 進階應用:企業 AD 與 DNS 集中式整合管理 (上)

劉士銘 發表於 2018-8-18 21:21:45 [顯示全部樓層] 回覆獎勵 閱讀模式 0 12032
Synology 與我的生活
[size=15.078100204467773px]

[size=15.078100204467773px]早在 2015 年時,勒索軟體的興起與資安意識的抬頭,我家中多了一台小夥伴,小而輕巧的 Synology DS115 出現在我的生活中。Synology DS115 為我們家的備份問題及檔案存放提供不少解決方案,透過 DS File 我們可以從手機裡提放不同的檔案,重要的文件都可以直接透過手機瀏覽,Ds Photo 備份不同手機中的照片,Synology 的 NAS 產品中更有了不同的套件備份方案,能整機備份外也可以單獨備份特殊檔案。



[size=15.078100204467773px]

[size=15.078100204467773px]自動化電腦同步更不是問題,這不經讓我思考,是不是將如此方便的設備導入至工作環境應用,可以大大減少公司每月花費在維護、設定以及測試的時間。
NAS 已經不在只是「備份」那麼簡單
[size=15.078100204467773px]
[size=15.078100204467773px]隨 DSM 6.1 的推出,現在 Synology 又多了更多款不同的套件程式,在家用設備當中,我使用了 Moments 來架設屬於我們自己的相簿平台,Audio Station、Media Server 豐富了居家娛樂, Docker 應用更為 NAS 添加了更多功能,如 Home Assistant 也是我們居家常用的功能,他讓 NAS 也能成為網關,透過手機端,控制居家設備易如反掌。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ Synology 豐富的套件平台,從中央管理、系統服務、監控維護、備份、資訊安全能一機打理。

[size=15.078100204467773px]在公司當中 Mail Server 更取代了原本每年花費我們數百萬授權的 Microsoft Exchange Server,網路設備中的帳號與密碼驗證,更被 Synology NAS 的 Radius Server 取代,公司的 M.I.S 更不需為了避免一台虛擬機器的負載量過大而煩惱,Synology 可以一機掌握所有功能,也不用同以往使用某些服務一樣,需要先購買軟體,軟體也幾乎沒有備份功能,這又是一筆額外的開銷

[size=15.078100204467773px]
[size=15.078100204467773px]▲ Synology 打造了一機一條龍的特色,買機器送服務、套件。安裝套件更不用花費技術人員過多的時間,在設定、佈建時也不用進行除錯,後續的維護也節省的不少時間。

[size=15.078100204467773px]另一個問題就產生了,在各種不同的服務當中,需要各種登錄帳號,例如我們公司的 File Server 和 Mail Server、Radius Server、電腦登入 時的主機都份散在不同伺服器上,難道需要一台一台的建立系統帳號及密碼!如果員工離職或調動部門,我們更需要花費大量的時間解決帳號問題,要是用這種方式,我們擁有30 台不同服務的伺服器要管理,一個員工異動就需要進行重複的動作 30 次,那麼網管人員就太辛苦了,更何況我們有多達 200 台不同地區的電腦要管理,更不可能一台一台安裝軟體、管理登入帳號,AD Server 就成了我們最好的選擇。

Synology 進階應用:企業 AD 與 DNS 集中式整合管理 (上篇)
上篇- 目錄:
  • Synology 與我的生活
  • Synology 進階應用:企業 AD 與 DNS 集中式整合管理
    • Active Directory 介紹
    • DNS 介紹

  • AD Server 與 DNS Server 輕鬆部署安裝 GO
    • 資安四部曲: 給 AD 安全的家
    • 安裝輕鬆來,步驟不麻煩
    • 電腦 2 不設定,簡單連 AD
    • NAS 不麻煩,AD 好上手

  • Active Directory 可不只有這樣:更多功能
    • 帳號安全讓你把關,不怕使用者亂設定密碼:安全性原則
    • 掌握電腦狀況,清楚明瞭:使用者與電腦
    • 使用者設定,也能輕鬆解決!
    • 使用者有可以有家目錄,不用共用資料夾了!




下篇- 目錄:
  • 企業應用:Synology 減少了維護、建置所花費的成本與時間
    • Active Directory: 解救 MIS 的時間
    • Synology Active Directory: 優勢一點通:維護與建置優勢討論

  • 家庭應用:整合管理,從家下手
    • 家用電腦,安全隱私,一手掌握


Active Directory 是什麼
[size=15.078100204467773px]Active Directory 是所謂的網路架構目錄,用集中於管理 Windows 電腦,他可以管理用戶、電腦、網路影印機、控制站、群組,我們通常簡稱叫做 AD 伺服器(AD Server)。

[size=15.078100204467773px]
[size=15.078100204467773px]圖片取自:Microsoft 官方文件說明資料庫

[size=15.078100204467773px]一個 AD 當中一定有這四個角色:
  • Domain Controllers(DC)他是中央控制器
  • Computers 也就是可以被中央控制的電腦
  • Builtin 使用者帳號的群組
  • Users 使用者帳號

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 夠過 DNS 連接主要控制站集中管理,這些電腦甚至是服務只要支援 AD Server 都可以使用主控制站集中管理使用者帳號和電腦功能。

DNS 搭建與 Active Directory 溝通的橋樑
[size=15.078100204467773px]Domain Name System 也就是我們常常聽到的 DNS,他負責將 IP 位置轉換為我們所看到的網址。Active Directory 與 DNS 擁有非常密切的關係,當一台電腦的 DNS 設定設定為主控制站的 IP 後,會自動將主控制站的 IP 位置轉換為所設定的網域(也就是 Active Directory),如此一來一台電腦與主控制站的橋樑就搭上了。

[size=15.078100204467773px]
[size=15.078100204467773px]
[size=15.078100204467773px] ▲ 在設定 DNS 的電腦中,DNS 透過外部網路(網際網路)或內部網路位置找到 AD 的位置和網址(域名)。

SYNOLOGY 誰能比我強:優勢與比較
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 就安裝來講,在設定完成後,Synology 可以直接透過套件中心,安裝 Active Directory Server 和 DNS Server,安裝完成後就可以直接開始設定了。

[size=15.078100204467773px]至於 Windows 或是 Linux 都需要一定的技術層面,Windows 在安裝後的除錯、事前準備都需要不段的修正才能安裝成功。Linux 更需要透過 Command Line (Terminal 終端機) 才可以完成安裝。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ Windows 安裝會遇到需要排除錯誤的過程才能成功安裝。 圖片取自:Microsoft 官方文件說明資料庫

[size=15.078100204467773px]
[size=15.078100204467773px]▲ Linux 需要特殊指令才能進行安裝設定。圖為 Linux (Mac OS) 系統終端機

[size=15.078100204467773px]
[size=15.078100204467773px]▲做一張圖表給大家看,很清楚的 Synology 可以花費最少的時間在前置作業、安裝過程,後續維護上也沒有如此的複雜,也因為不需額外負擔軟體費用,只需要一台 NAS 輕鬆解決

[size=15.078100204467773px]在這部份,我就不多介紹 Windows 與 Linux 的軟體及安裝在做進階比較了。畢竟今天的主角是 NAS~~ 但相信各位可以從 NAS 的安裝到設定過程中知道,佈建一個集中管理式的網路架構系統是意想不到的簡單的。

AD Server 與 DNS Server 輕鬆安裝與部署 GO
安資訊資安一把罩,四部曲交給你!
[size=15.078100204467773px]想想今天 Synology NAS 是你的總部,我們總要把總部的外牆蓋的扎實些!在安裝 Synology AD Server 與 DNS Server 之前,先傳授給你資安四部曲,簡單四步驟,資安一把罩。
☆ 前部曲:請先跟我這樣做
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 先進入設定後,開啟右上角的進階模式,這樣,等下的設定過程中,你才能看見我們所操作的地方呦!

☆ 第一部曲:預設端口不在安全,別讓暴力破解盯上你:變更預設端口
[size=15.078100204467773px]由於 Synology 是目前主流 NAS 的公司,駭客要攻擊你的 NAS 最簡單的方式就是找到你的 IP 再去暴力的解出密碼,為了讓駭客找不到 NAS,把預設的端口改成其他的就是了。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 首先,先進入設定中的網路

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 進入後由上方的標籤,切換至 DSM 設定當中,可以看到 DSM 端口處是預設的 HTTP: 5000 和 5001,你可以換成 5004/5005 或是 5010/5011。完成後按下下方的「確定」來套用。

☆ 第二部曲:猜到端口,我不怕!:變更封鎖設定
[size=15.078100204467773px]如果今天駭客展開殺機,用了自動化的方法查找你的端口,那麼不就沒辦法了嗎?答案是我可以封鎖你的 IP,安全性設定讓 NAS 可以封鎖亂猜我家門鑰匙的人,讓他永遠進不來。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 首先,先進入設定中的安全性。
[size=15.078100204467773px]▲ 再來,由上方的標籤切換至帳號當中,你可以開啟自動封鎖並讓登減少登入次數及記錄時間,當然越短越安全。完成後按下下方的「確定」來套用。

第三部曲:SSH/Telnet 不讓你去!:SSH/Telnet 功能的調整
[size=15.078100204467773px]Telnet 與 SSH 是可以夠過指令與最高權限控制 NAS 的一切功能,避免有心人士夠過外網登入,應該將它關閉,當然有些專業的網關仍然要使用這個功能,你可以透過內部防火牆隔絕。
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 首先,先進入設定中的終端機與 SNMP 中。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 你可以看到 Telnet 與 SSH 設定,預設是關閉的,為了避免駭客透過最高權限存取你的伺服器,建議如果不需要使用到 Telnet 與 SSH 就將它關閉。

第四部曲:系統更新,安全「跟心」,SYNOLOGY 罩你!:開啟自動更新
[size=15.078100204467773px]Synology 會定期修復系統漏洞,保持系統在最新更新中是最佳選擇。
[size=15.078100204467773px]▲ 首先,先進入設定中的更新和還原中。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 如果有更新能下載,一定要快快地把它更新到最新版本,沒有更新也建議你按下「更新設定」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 自動安裝所有更新和設定,並開啟自動檢查,以保障你「總部」的安全。

初始設定!記得幫 NAS 加入固定 IP
[size=15.078100204467773px]如果今天有一個人一直搬家,你該怎麼找到他呢?相同的 DNS 找不到一直搬家的 NAS,所以給 NAS 一個固定 IP 吧!

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 首先,先進入設定中的網路,點擊網路卡來設定固態 IP。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 按下「手動設定網路配置」,IP 請你指定一個固定 IP 給 NAS,記得 DNS Server 一定要選個可靠點的,畢盡所有電腦外連 DNS 都是透過這組 DNS。大家可以參考以下的 DNS 進行設定,這都是我個人平常使用的 DNS。

[size=15.078100204467773px]☆☆推薦 常用 中華電信 DNS -   168.95.1.1 或 168.95.192.1
[size=15.078100204467773px]☆☆☆推薦 穩定 GOOGLE -   8.8.8.8 或 8.8.4.4

[size=15.078100204467773px]☆☆☆☆☆推薦 最新 CloudFare DNS -   1.1.1.1

[size=15.078100204467773px]設定完成就開始安裝囉!

安裝輕鬆來,步驟不麻煩!
[size=15.078100204467773px]
[size=15.078100204467773px]先來介紹下這兩款套件,AD Server 和 DNS Server 我們都可以透過套件中心取得,進入套件中心後尋找「Active Directory Server」以及「DNS Server」,並安裝兩款套件。

[size=15.078100204467773px]

[size=15.078100204467773px]這兩款套件根據官方資料 Active Directory Server 支援 2011 年後的 NAS 機種,DNS Server 則是可以支援到 2008 年的 NAS DS508 和 DS408 都可以使用,這兩款套件算是所有套件中入門機或是較舊款足以負荷的套件。
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 安裝完成後,先開啟 Active Directory Server 進行初始設定,按下「下一步」

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 在網域名稱的部分,輸入一個網域,也可以使用 DDNS 來設定,如果是在內部網域使用的話,一個隨意的域名來設定也可以,但建議企業在設定域名時要使用確切的、真實的域名,避免造成後續維護上的困難。最後再輸入管理密碼後,按下「下一步」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 需要一段時間建立網域及控制站

[size=15.078100204467773px]
[size=15.078100204467773px]▲安裝完成後,剛剛所設定的網域名稱和網域都顯示在控制台上了,如此一來你的「總部」就安裝完成了。

建立 Windows 主控式登入
新增使用者帳號。
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 選擇 Active Directory Server 中右側的「使用者 & 電腦」,在內容空白處右鍵選擇新增,並選「使用者帳號」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 填入帳號、密碼,下方四個選項可以依照個人喜好開啟,基本上在公司內部建立 Active Directory Server 我不會對下方做任何設定,按下「下一步」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ Domain User 是 Domain 中的最小單位,一般使用者就為 Domain User,他也是權限最小的預設選項,如果要增加更高的權限,在去勾選其他的項目,不然都維持預設選項。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 最後按下「套用」,就完成設定了。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 我在使用步驟多設定幾個帳號,所以我們已經擁有了「Tim」 和「Peter」這兩個帳號。
電腦設定二步驟,輕鬆連上控制站
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 現在要為電腦設定固定 IP 以及 DNS,先至右下角電腦圖示右鍵按下「開啟網路公用中心」,選擇連線選單中的「乙太網路」選項。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 選擇內容,跳出頁面中選擇「網際網路通訊協第 4 版」,按下「內容」,進入後,先將 IP 位置、遮罩、閘道設定為固態的,主要 DNS設定則是 NAS 的 IP,這樣電腦才有辦法與 AD 連線。完成後按下「確定」。

電腦最終回,加入網域。
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 進入「本機」,空白處按下右鍵,選擇「內容」

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 在「電腦名稱」旁選擇「變更設定」,再次選擇跳出視窗的「變更」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 在「網域」處輸入 NAS 中剛剛設定 AD 的網域,我就輸入設定的 ELOGY.CN ,按下確定後會提示你輸入剛剛設定的管理密碼,完成輸入後按下確定。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 需要稍待一段時間,這是後不是當機,千萬不要強制關閉視窗喔!完成加入後會有提示訊息,按下「確定」,並重新開機。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 重開機後,按下左下角的「其他使用者」,你可以看到「登入到」已經轉變為 NAS 的網域控制站了,就可以以網域控制站的身份登入。電腦的帳號密碼則是剛剛設定的帳號與密碼。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 登入後,可以發現,已經是透過不同使用者登入。

我有一卡車 NAS,我不想做一堆帳號,我要集中帳號管理!
[size=15.078100204467773px]竟然電腦都可以,NAS 一定也行,今天如果我把 Mail NAS 和 File Server 分開,我一樣可以減少多製作一份使用者帳號的時間。 今天就以 Docker DSM 來示範第二台 DSM 的功能。

[size=15.078100204467773px]
[size=15.078100204467773px]這台 DDSM 的 IP 是 172.21.85.104,所以,先登入第二台或是你的第 N 台 NAS。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 進入設定,記得先開啟進階模式,選擇「網域/LDAP」

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 今天我們是要加入屬於 Windows 的網域系統,所以在上方頁面選擇「網域」,並將「加入網域」打勾。 在網域填入欄位填上剛剛設定的網址,DNS 伺服器則是NAS 網域控制站(總部)的 IP。之後選擇下方「網域選項」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 「網域使用者登入時,使 DDSM 與 NTP 伺服器對時」這樣可以保持 NAS 網域控制站(總部)的時間與加入網域的 NAS(分部)相同,避免出現時間差造成無法連線,這點建議打勾。「以 NT4 相容模式取得使用者/群組清單」可以增加兩台 NAS 中讀取使用者群組的相容性。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 按下「下一步」後,輸入網域管理者帳號、管理者密碼,並按下「下一步」。

[size=15.078100204467773px]
[size=15.078100204467773px] ▲ 這裡主要提示被併入網域控制站後 NAS 將會被總部管理,按下「確定」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 最後一步會進行一些檢查,基本上沒有太大的問題系統就會讓你按下「完成」,最後一步驟也就輕鬆完成了。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 接著試試看用「Tim」 和「Peter」(你剛剛設定的帳號)都可以成功登入 NAS,同時也可以看到「Tim」 和「Peter」都是屬於 ELOGY.CN 網域控制站管理的。

[size=15.078100204467773px]如此一來 Windows 和 NAS 的整合式管理都完成囉!現在不論你有幾台 NAS 和電腦,你只要將所有的 NAS 和電腦加入網域控制站(總部),就可以使用總部建立的帳號密碼登入所有裝置呦!是不是很方便呢~

[size=15.078100204467773px]
一覽 Synology Active Directory Server 的更多配置
帳號安全讓你把關,不怕使用者亂設定密碼:安全性原則
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 當你進入 Active Directory 的程式後,按下「網域規則」,你可以在此設定密碼設地的長短原則、密碼可否重複、到期日,以及電腦休眠鎖定的時間。公司和家庭帳號安全由你把關。

掌握電腦狀況,清楚明瞭:使用者與電腦
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 進入 Active Directory 的程式後,按下「使用者&電腦」,可以看到所有的使用者(Users)、網域控制站(Domain Controllers)、電腦(Computers)。

使用者設定,也能輕鬆解決!
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 選擇 使用者(Users),並對想設定的用戶點兩下,即可進入設定。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 可以設定登入時段,這樣就可以讓小孩晚上不要偷爬起來玩電腦了!

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 也可以在「登入到..」按鈕,限制某些使用者登入到指定的電腦。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 上方欄選擇「一般」,這根本可以當員工資料庫了!有些郵件伺服器可以支援讀取這裡的資訊,如此一來,他就像個萬能通訊錄唷!

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 上方欄選擇「設定檔」,所謂的設定檔就是用戶在 Windows 桌面上或是你的個人設定,這部分不建議做更動,免得到時候出錯,使用者就會無法登入到電腦或 NAS 裡。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 上方欄選擇「群組」,可以變更剛剛有設定的群組。

使用者有可以有家目錄,不用共用資料夾了!
[size=15.078100204467773px]
[size=15.078100204467773px]▲ 在加入主控制站的 NAS(注意呦!是不是總部,是分部)的設定找到「網域/LDAP」,上方欄選擇「網域使用者」,「家目錄」按鈕,並勾選「啟用網域使用者家目錄帳號」,按下「確定」。

[size=15.078100204467773px]
[size=15.078100204467773px]▲ 登登~出現家目錄啦!是不是很簡單呢!

[size=15.078100204467773px]我們喘口氣!

[size=15.078100204467773px]接下來,重頭戲開始囉。多虧 Synology 的出現,我們的網管工程師不用在加班修理 Windows Sever 上的 Active Directory Server 發生的錯誤了(灑花)~讓我們繼續看下去!

[size=15.078100204467773px]Synology 進階應用:企業 AD 與 DNS 實作案例 (下)
本帖最後由 劉士銘 於 2018-8-19 09:03 編輯

暫無任何回文,期待你打破沉寂

你需要登入後才可以回覆 登入 | 註冊會員

本版積分規則