需求:
中小企业自建服务器,管理员工账号,都需要用到域控(Active Directory),但是用Windows Server系统来建立域控,配置项目多,参数复杂。让很多不是太懂IT或者没有专门IT人员的创业公司非常头疼。群晖的synology directory server很好的解决了这一痛点。当然,本篇文章不是要重复如何设置synology directory server。毕竟这些教材在网上有很多。
本篇的主要内容是将如何将异地的两个NAS进行VPN连接,并加入同一个AD域控,让分支机构的员工电脑也和总公司的电脑进行同步的账号管理。
拓扑图如下:
步骤
第一,建立主域控
具体可以参考群晖的教程:【如何使用 Synology Active Directory Server 轻松管理账号信息】 https://www.bilibili.com/video/BV1aW411W7mT/?share_source=copy_web&vd_source=1fe71914d15ebbef9892f4ae77d4379f
我已经在公司总部建立了一个主域控和一个辅助域控。
域控建立好后,将需要加入域的PC,员工账号等后续工作不赘述。
第二,公司总部NAS安装VPN Server,建立VPN通道,以便分公司NAS连入总公司网络。
由于VPN Server在国内已经不能直接下载,需要自行到群晖国际站去下载。
选用OpenVPN相对来说稳定一些,也是目前用下来比较好用的一种VPN方式。
按图设置好后,导出配置文件
配置文件需要做一些修改,用编辑器打开,我用的VS Code。
将“YOUR_SERVER_IP”更换成公司总部的IP地址,或者填写DDNS的域名也可以。我这里用的是公司总部的DDNS域名。
第三,配置文件导入分公司NAS
进入分公司的NAS,找到网络-新增网络连接-创建VPN配置文件
找到OpenVPN
下一步进入详细配置页面
配置文件名称:随意,能自己识别就可以
用户名称:注意,是公司总部NAS的用户名称,而不是分公司的NAS用户名称。
密码:跟用户名称对应的密码
导入VPN文件:刚刚经过修改的VPNConfig.ovpn文件,如果没修改,连接就会失败。
下一步,
只选择第三项,
第一项勾选上以后,分公司NAS会采用总公司的网管为默认网管,造成DDNS解析绑定错乱,你会发现用总公司的域名会跳转到分公司的地址上。
第二项勾选上以后,分公司在加入域控时,会发生错误。提示让联系群晖技术支持。因为这个坑,我联系了群晖技术好几天,他们也没有给出具体的办法。就告诉我无法对于VPN类的应用进行技术支持。无能为力。
完成。
此时,在网络中会出现新增的配置。
点击连接,直到成功,右侧出现IP地址,表示此时,已经连上了公司总部的VPN Server。
第四,分公司NAS配置synology directory server
以上三步已经将总公司和分公司的NAS连起来了。剩下的工作就是配置AD域控。
咨询群晖技术支持的意见是,让我把分公司作为从域控制器加入总公司的域控中。但是,我始终没有成功。后来一想,分公司也不需要对域进行配置和操作,就是员工账号的管控。所以,我认为还是作为只读域控制器会比较好一些。
配置:
填写指定目标域信息
这里也有闭坑指南:
域名:公司总部的域名
DNS服务器:VPN Server这个网段中,域控制器的IP地址。我这里就是10.8.0.1
账号:注意,格式是域名\账号,具有加入域控制器权限的账号。例如域名:ABC.local,账号是admin,那么这里就是ABC\admin
密码:跟用户名称对应的密码
我填写的实际信息:
下一步,即可进入NAS加入的过程
如果出现报错,如以下:则需要重新检查配置
如果全部通过,点击加入域
如果开始走进度条,那么成功的可能性就会很大。有时候也会出现错误提示。
进度条走完,回到synolgoy directory server界面,即可发现,RODC已经成功出现在列表中。
第五,确认域信息同步
回到控制面板,找到域/LDAP
查看域的信息,确认是否已经联机成功。
找到域用户信息栏,查看公司总部的域信息是否已经同步过来
至此,两台NAS异地组网,并加入域控就完成了。剩下的账户操作及组策略每个公司都不同。就不献丑了。