De ce Synology DS923+ pentru o firmă

DS923+ este sweet spot-ul în gama Synology pentru firme cu 5–50 angajați. Are procesor AMD Ryzen R1600 (4 core, 8 thread), 4GB ECC DDR4 (extensibil la 32GB), 4 bay-uri, dual 1GbE (extensibil la 10GbE prin slot E10G22-T1-Mini) și – critic – suportă BTRFS cu snapshot-uri imutabile.

Pe scurt: rulează DSM 7.2+, are putere pentru Active Backup for Business, virtualizare ușoară prin Virtual Machine Manager și se descurcă cu zeci de utilizatori concurenți pe fileserver SMB.

💡 Dacă ai sub 5 utilizatori și buget restrâns, DS423+ este alternativa solidă (~150 EUR mai ieftin). Peste 50 utilizatori sau editare video grea, urcă la DS1522+ sau DS1823xs+.

Configurația de hardware recomandată

Discuri – nu economisi aici

  • Seagate IronWolf Pro 4TB sau 8TB – sweet spot preț/capacitate, garanție 5 ani, MTBF 1,2 milioane ore
  • WD Red Plus 4TB sau 8TB – alternativă echivalentă, CMR (nu SMR!)
  • Pentru bay-urile 3–4, folosește același model și capacitate ca în 1–2
  • NU folosi discuri normale de desktop (Barracuda, WD Blue) – nu sunt proiectate pentru 24/7

Memorie

4GB built-in e suficient pentru fileserver. Pentru Active Backup, VMM sau multe utilizatori concurenți, adaugă un modul Synology D4ECSO-2666-16G (16GB ECC). Total: 20GB. NU folosi RAM third-party fără ECC – pierzi avantajul DS923+.

SSD cache (opțional)

Pentru baze de date, hosturi VM sau fileserver mare cu acces aleator, adaugă 2× Synology SNV3410 400GB în sloturile NVMe M.2 din partea inferioară. Configurează ca read-write cache. Diferență vizibilă pentru bazele de date și VM-uri.

UPS – obligatoriu

APC Back-UPS BX950MI sau Eaton 5E 1100. Conectează prin USB la NAS și activează din DSM Control Panel → Hardware & Power → UPS „Enable UPS support". NAS-ul se va opri în siguranță la pană curent.

Setup inițial DSM 7.2 – pas cu pas

Pasul 1 · Conectare

Instalează discurile în bay-uri (nu trebuie deschis NAS-ul, sunt cu tray fără șuruburi). Conectează unul sau ambele porturi LAN la switch (recomandăm Link Aggregation 802.3ad pe ambele dacă switch-ul suportă). Pornește.

Pasul 2 · Find.synology.com

Din browser, accesează find.synology.com. Va descoperi NAS-ul automat. Apasă „Connect" → „Set up". Acceptă licența și permite descărcarea DSM 7.2+.

Pasul 3 · Cont administrator

Aici se fac multe greșeli. NU folosi „admin" ca username. Alege un nume non-evident (ex: isoft_sys). Parolă minim 20 caractere generată de password manager.

Pasul 4 · Update automat

Control Panel → Update & Restore → Settings → bifează „Automatically install latest DSM update". Pentru pachete: Package Center → Settings → Auto-update → „Important updates only".

Pasul 5 · QuickConnect / acces remote

Pentru firme mici, QuickConnect este simplu și sigur. Setează un ID firmă (ex: firmata-bv). NU expune portul 5001 direct la internet fără VPN.

Storage Pool și volum – BTRFS este obligatoriu

De ce BTRFS și nu ext4

BTRFS este filesystem-ul modern de pe Synology și aduce funcții critice pentru firmă:

  • Snapshot-uri instantanee și cu retenție (anti-ransomware)
  • Data checksumming – detectează bit rot
  • Compresie transparentă
  • Quota la nivel de share
  • Self-healing pe RAID 5/6/SHR cu redundanță

Singurul caz în care alegi ext4 e dacă rulezi anumite aplicații (rare) care nu suportă BTRFS. Pentru fileserver clasic de firmă: BTRFS, fără discuție.

RAID 5 vs SHR-1 – care e mai bun

Pentru firme recomandăm SHR-1 (Synology Hybrid RAID) dacă plănuiești să crești pe viitor cu discuri de capacități diferite. Pentru setup-uri fixe, RAID 5 standard e ok. Ambele oferă protecție la defectarea unui disc și pierd capacitate echivalentă cu un disc.

Cu 3× 4TB IronWolf în SHR-1 obții ~7,2TB utilizabili. Cu 4 discuri (în viitor): ~10,8TB.

⚠️ Nu folosi RAID 0 niciodată în firmă. Nu este redundanță – e doar viteză cu risc dublu de pierdere date.

Snapshot Replication – inima protecției anti-ransomware

Snapshot-urile imutabile (immutable / locked snapshots) sunt cea mai bună apărare împotriva ransomware. Chiar dacă un atacator ajunge admin pe DSM, nu poate șterge snapshot-urile blocate înainte de expirarea timestamp-ului.

Configurare snapshots pentru shared folders

  1. Instalează „Snapshot Replication" din Package Center
  2. Deschide aplicația → Snapshots → selectează shared folder
  3. Settings → Snapshot Schedule:
    • În fiecare oră (ore lucrătoare 8–18)
    • Retention: 24 ore × snapshot orar + 30 zile × snapshot zilnic + 12 luni × snapshot lunar
  4. Bifează „Make snapshot immutable" cu lock period (recomand 30 zile pentru zilnice)
  5. Bifează „Enable schedule" și salvează

Recuperare după ransomware

Dacă apare un incident, oprești accesul utilizatorilor, intri în Snapshot Replication, faci „Restore from latest clean snapshot" pe shared folder. Tipic, recuperarea durează minute, nu zile.

Securitate DSM – hardening obligatoriu

Security Advisor – rulează-l săptămânal

Control Panel → Security Advisor → Run Now. Va scana DSM și va raporta vulnerabilități. Bifează „Run scheduled scans" săptămânal.

Firewall

Control Panel → Security → Firewall → Edit Rules. Permite explicit doar:

  • SMB (139, 445) doar din LAN intern
  • DSM (5000, 5001) doar din LAN intern + VPN
  • Synology Drive (6690) prin VPN
  • Refuză tot restul

Auto Block și Account Protection

Control Panel → Security → Account → bifează Auto Block: 5 încercări eșuate în 5 minute → block 1 oră. Account Protection: la 3 încercări eșuate → temporar dezactivat cont. Asta blochează brute force atacks.

MFA obligatorie pentru toți utilizatorii

Control Panel → User & Group → Advanced → bifează „Enforce 2-step verification". Toți utilizatorii (inclusiv tu) vor trebui să-și configureze TOTP cu Google Authenticator / Authy / Microsoft Authenticator. Fără excepții.

HTTPS forțat

Control Panel → Network → DSM Settings → bifează „Automatically redirect HTTP connections to HTTPS". Folosește certificat Let's Encrypt (gratuit, integrat în DSM).

Dezactivează SSH/Telnet dacă nu îl folosești

Control Panel → Terminal & SNMP → Terminal → debifează tot. Dacă ai nevoie de SSH, lasă-l pe port non-standard și permis doar din IP-uri specifice.

Active Backup for Business – backup centralizat

Pachet gratuit Synology care înlocuiește licențe Veeam / Acronis pentru firme mici. Backup pentru: stații Windows/macOS, servere fizice, M365, Google Workspace, VMware / Hyper-V, fileservere.

Backup stații Windows

  1. Active Backup → Devices → Windows PC / Server → Add Device
  2. Instalează agentul pe stații
  3. Set Schedule: zilnic la 23:00, retention 30 zile + lunar 12 luni
  4. Choose what to back up: Entire device (recomand pentru bare-metal recovery)
  5. Activează compresie + deduplicare (default ON)

Backup Microsoft 365

  1. Active Backup → Microsoft 365 → Create Task
  2. Autorizează cu cont Global Admin M365
  3. Bifează: Exchange Online, OneDrive, SharePoint, Teams
  4. Schedule: zilnic + retention 365 zile
  5. Aceasta este copia ta proprie – M365 backup nativ nu există!

💡 Active Backup for Business e gratuit fără limită utilizatori. O singură licență „pe NAS" – fără costuri lunare. Pentru firme mici, economie de mii de RON/an față de soluții comerciale.

Synology Drive – sincronizare fișiere ca pe Dropbox

Synology Drive Server (gratuit, în Package Center) îți oferă funcționalitate Dropbox/OneDrive – dar cu fișierele pe NAS-ul tău. Sincronizare automată, versioning, fișiere offline, partajare cu linkuri.

  1. Instalează Synology Drive Server din Package Center
  2. Creează un Team Folder pentru fiecare departament
  3. Pe stațiile utilizatorilor, instalează Synology Drive Client
  4. Configurează sincronizare bidirectională cu Team Folders
  5. Browser-based access prin drive.firmata.ro (cu reverse proxy)

Monitoring și mentenanță periodică

Synology nu e „set and forget". Verificări lunare obligatorii:

  • Security Advisor – rulat și remediat
  • Storage Manager → SMART tests – verifică starea discurilor
  • Backup Verification – test restaurare pe un fișier random
  • Update DSM aplicat (sau verificat că auto-update a rulat)
  • Log Center – review evenimente neobișnuite
  • UPS test – simulează pană curent

💡 Pentru clienții iSoft Consulting facem aceste verificări lunar și livrăm raport. Contractul de mentenanță NAS Synology începe de la 300 RON/lună pentru firme cu un singur DS923+.

Costul total al unei soluții complete

ComponentăCost tipic 2026
Synology DS923+900 EUR (4500 RON)
3× Seagate IronWolf 4TB450 EUR (2250 RON)
Modul RAM 16GB ECC Synology200 EUR (1000 RON)
UPS APC Back-UPS120 EUR (600 RON)
Implementare + configurare800–1500 RON one-time
Total inițial~9000–9700 RON
Mentenanță lunară (opțional)300–500 RON/lună

Pentru comparație: 15 utilizatori pe Google Workspace Business Standard cu 2TB/user = 2700 RON/lună = 32.400 RON/an. NAS-ul se amortizează în 3–4 luni.

Greșeli comune la setup Synology DS923+ în firmă

  1. RAID 0 „pentru viteză" – pierde toate datele dacă un disc cedează
  2. Discuri SMR în loc de CMR – performanță praf la RAID
  3. Fără UPS – pană curent → corupere date posibilă
  4. Admin cu parolă slabă – brute force în câteva ore
  5. Expunere directă pe internet – fără VPN sau QuickConnect
  6. Fără snapshots – ransomware câștigă
  7. Fără MFA – credențiale scurse = NAS compromis
  8. Fără backup off-site – incendiu/furt → pierdere totală
  9. Volum ext4 în loc de BTRFS – pierzi snapshots și self-healing
  10. SSH activat fără motiv – atack surface crescut inutil

Concluzie

Synology DS923+ corect configurat este una dintre cele mai bune investiții IT pentru o firmă mică sau mijlocie. Combinația DSM 7 + BTRFS + Snapshot Replication imutabile + Active Backup oferă protecție de nivel enterprise la un cost rezonabil.

Dacă vrei să configurăm noi NAS-ul Synology pentru firma ta din Brașov sau remote oriunde în România, hai să vorbim. Livrăm, configurăm și migrăm datele tale, cu garanție de funcționare.

Synology DS923+ Synology DSM NAS firmă BTRFS snapshots imutabile Active Backup anti-ransomware