(2022.12.01更新)交大建築所自 2005 年開始使用 Windows Server 2003 管理微軟網域(Windows Domain)和網域帳號,供內部網路權限管理,包括網路列印、管理設備使用權限、以及網路資料夾。架設初期,各有一部 PDC 和 SDC 主機,也自行管理 DNS,還算小有規模。然而時光荏苒,由於正港網管黑手只有我一人、協助網管的學生年年交替且經驗不足、加上沒有資金升級新版 Windows Server(校方已經停止提供 Window Server 授權),到現在 2020 年了,仍仰賴古董級 Windows Server 2003 管理網域,曾歷經數次病毒入侵、主機或資料毀損導致系統重建,撐得很辛苦。
八月初(2020.08)的一次斷電,讓僅剩的老 PDC 伺服器停擺,發現是某任管理員沒有將伺服器接上UPS而是接市電,經過多次無預警斷電、通電的突波,導致電路板上的電容爆漿而死機,更慘的是網域設定完全沒有備份、把硬碟拔到其他同型主機也沒用,慘~慘~慘~只好正式宣告本單位 Windows Server 2003 壽終正寢、網域得重建。緊急將列印伺服器中帳戶餘額資料備份後,決定邁向 NAS as AD Server 時代(幸好已經研究過一段時間)。
然後,兩天內就完成重建、恢復運作了,如果了解目錄架構和角色的話,NAS 上的 AD Directory Server 設定起來蠻快的。
其實自 2016 年起,Synology DSM (DiskStation Manager) 便支援 SMB/CIFS 協定、可以當作 AD Server,也就是可以名正言順的用 NAS 取代 Windows Server!由於缺乏好的 Use Case 當設定參考,一直沒有下定決心轉換。幸好2020年初看到官方文件、以及網路上一些文章和 YouTube 教學,仔細研究設定和使用情境後,終於確定以 Synology NAS 當作 AD Server 的實用性。
- 詳細設定請參考 Synology Directory Server 管理手冊 for DSM 6.2 & Synology Directory Server 4.4
- 2022最新版 Synology Directory Server 管理手冊 for DSM 7.1 & Synology Directory Server 4.10
Synology Directory Server 4.10 (DSM 7) 相容性:
- 等同於 Windows Server 2008 R2
- Samba 版本 4.10
- 支援主要、次要網域控制站(Domain Controller; DC)
以及幾項限制:
- 只支援單一網域。
- 會自動開啟 SMB 簽章(SMB Signing),這會拖慢檔案傳輸的速度。如果介意的話,可以手動關閉伺服器端的簽章,當然關閉後也降低安全性,需自負安全風險。用戶端也可以關掉:
- macOS:手動增加一個設定檔 /etc/nsmb.conf,內容為:
[default]
signing_required=no
另一個網域上常見的 AD 問題是用戶漫遊設定檔(Roaming Profiles),為了避免拖慢使用者在電腦登入的速度,我傾向關閉漫遊設定檔,只用本機設定檔。關閉方法是:
- 在 RSAT 套件中,開啟群組原則管理套件(Group Policy Management)。
- 找到原則路徑 Computer Configuration\Administrative Templates\System\User Profiles。
- 勾選以下兩個選項 “Only allow local user profiles” 和 “Prevent Roaming Profile Changes from propagating to the server”,即可停用漫遊設定檔。
參考網路資源:
留言
張貼留言