Instrukcja obsługi Jak dołączyć urządzenie QNAP NAS do domeny Microsoft Active Directory (AD)?

„Łatwe zarządzanie kontem NAS przy użyciu AD"​


Wprowadzenie
Active Directory® to katalog Microsoft używany w środowiskach Windows do centralnego przechowywania, udostępniania i zarządzania informacjami oraz zasobami w sieci. Jest to hierarchiczne centrum danych, które centralnie przechowuje informacje o użytkownikach, grupach użytkowników i komputerach na potrzeby bezpiecznego zarządzania dostępem.

Zalety dołączania urządzenia QNAP NAS do usługi Active Directory:

  1. Wygodna konfiguracja kont: Po dołączeniu urządzenia NAS do usługi Active Directory wszystkie konta użytkowników serwera AD zostaną automatycznie zaimportowane do urządzenia NAS. Użytkownicy AD mogą używać tej samej nazwy użytkownika i hasła do logowania się do urządzenia NAS. Oszczędza to czas i wysiłek menedżera serwera, który nie musi tworzyć kont użytkowników na urządzeniu NAS pojedynczo.
  2. Efektywna kontrola dostępu: Urządzenie NAS umożliwia menedżerowi serwera konfigurowanie praw dostępu (tylko do odczytu, odczyt/zapis lub odmowa dostępu) do sieciowych folderów udostępnionych.

ADServer_01.png


ADServer_02.jpg


  • Wymagania wstępne
  • Karta Opcje zaawansowane
  • Weryfikacja ustawień
  • Odświeżanie list użytkowników domeny i grup użytkowników w interfejsie internetowym
  • Uwaga dotycząca systemu Windows 7

Wymagania wstępne​


Aby dołączyć urządzenie Turbo NAS do usługi Active Directory z systemem Windows Server 2008 R2, należy zaktualizować oprogramowanie sprzętowe urządzenia NAS do wersji V3.2.0 lub nowszej.
Wykonaj poniższe kroki, aby dołączyć urządzenie Turbo NAS do usługi Active Directory (Windows Server 2008).

Zaloguj się do urządzenia NAS jako administrator. Przejdź do opcji „Ustawienia systemowe" > „Ustawienia ogólne" > „Czas". Ustaw datę i godzinę urządzenia NAS, które muszą być zgodne z czasem serwera AD. Maksymalna dozwolona różnica czasu wynosi 5 minut.

ADServer_03.png


Następnie ustaw adres IP podstawowego serwera DNS jako adres IP serwera Active Directory zawierającego usługę DNS. MUSI to być adres IP serwera DNS używanego dla usługi Active Directory. Jeśli korzystasz z zewnętrznego serwera DNS, nie będziesz w stanie dołączyć do domeny.

ADServer_04.png


a. Jest to „Nazwa NetBIOS domeny".

ADServer_05.jpg


a. Jest to „Nazwa serwera AD".
b. Jest to „Nazwa domeny".

ADServer_06.jpg


Uwagi: Powyższy przykład dotyczy systemu Windows Server 2008. W przypadku systemu Windows Server 2003 sprawdź „Nazwę serwera AD" na poniższym obrazie.

a. Na serwerach Windows 2003 nazwą serwera AD jest „node1", NIE „node1.qnap-test.com".
b. „Nazwa domeny" pozostaje taka sama.

ADServer_07.jpg


Przejdź do opcji „Ustawienia uprawnień" > „Zabezpieczenia domeny" > „Uwierzytelnianie Active Directory" > „Konfiguracja ręczna". Wprowadź informacje o domenie AD.

  1. Konfiguracja czasu i informacji DNS.
  2. Sprawdzenie nazwy serwera AD i nazwy domeny.
  3. Dołączanie do usługi Active Directory.

ADServer_08.png


ADServer_09.png


uwaga
  • Jeśli nie udało się dołączyć do domeny AD, sprawdź sekcję „Konfiguracja czasu i informacji DNS":
    • Sprawdź różnicę czasu między urządzeniem NAS a kontrolerem domeny.
    • Sprawdź, czy serwer DNS urządzenia NAS jest taki sam jak serwer DNS kontrolera domeny. MUSI to być serwer DNS domeny. Jeśli korzystasz z zewnętrznego serwera DNS, nie będziesz w stanie dołączyć do domeny.
  • Obsługiwane są tylko domeny z dwukierunkowym zaufaniem przechodnim.



Karta Opcje zaawansowane​


Przejdź do opcji „Usługa sieciowa" > „Win/Mac/NFS" > „Sieć Microsoft" > „Członek domeny AD" > „Opcje zaawansowane".

ADServer_10.png


ADServer_11.png


Obsługa WINS:
Należy pamiętać, że w większości przypadków wprowadzanie ustawień serwera WINS nie jest konieczne. W środowisku Active Directory zaleca się używanie czystego rozpoznawania nazw DNS.

(1) Dostęp do udziałów Windows: domenanazwaużytkownika
(2) FTP: domena + nazwa użytkownika
(3) Menedżer plików WWW: domena + nazwa użytkownika
(4) AFP: domena + nazwa użytkownika

Na przykład, aby uzyskać dostęp do folderu udostępnionego za pomocą Menedżera plików WWW przy użyciu konta użytkownika domeny, należy uwierzytelnić się przy użyciu formatu domena + nazwa użytkownika, jeśli ta opcja nie jest włączona.
Jeśli ta opcja jest włączona, wszystkie usługi będą używać tego samego formatu nazwy użytkownika.

(1) Udziały Windows: domenanazwaużytkownika
(2) FTP: domenanazwaużytkownika
(3) Menedżer plików WWW: domenanazwaużytkownika
(4) AFP: domenanazwaużytkownika

Na przykład, aby uzyskać dostęp do folderu udostępnionego za pomocą Menedżera plików WWW przy użyciu konta użytkownika domeny, należy uwierzytelnić się przy użyciu formatu domenanazwaużytkownika, jeśli ta opcja jest włączona.

  1. Włącz serwer WINS: Tę opcję należy aktywować tylko wtedy, gdy w sieci nie ma serwera WINS, a niektóre komputery znajdują się w innej podsieci. W takim przypadku należy skonfigurować wszystkie komputery tak, aby korzystały z tego serwera WINS. Należy pamiętać, że w sieci może znajdować się tylko jeden serwer WINS. Wszyscy klienci muszą być skonfigurowani do korzystania z tego samego serwera WINS. Jeśli nie masz pewności co do ustawienia, nie włączaj tej opcji.
  2. Użyj określonego serwera WINS: Tę opcję należy aktywować tylko wtedy, gdy w sieci znajduje się serwer WINS, a urządzenie NAS ma działać jako klient WINS. Wprowadź adres IP serwera WINS.
  3. Jeśli nie masz pewności co do ustawienia, nie włączaj tej opcji.
  4. Lokalny przeglądarka nadrzędna: Ta opcja umożliwia urządzeniu NAS pełnienie roli lokalnej przeglądarki nadrzędnej odpowiedzialnej za utrzymywanie listy komputerów w sieci dla grupy roboczej. Nazwa grupy roboczej urządzenia NAS musi być taka sama jak nazwa grupy roboczej komputera (często nazywanej „workgroup"). Ustawienie jest domyślnie włączone. Jeśli je wyłączysz, urządzenie NAS nie będzie utrzymywać listy komputerów, a zadanie to zostanie wykonane przez inny komputer w sieci. Ustawienie domyślne to włączone.
  5. Zezwalaj tylko na uwierzytelnianie NTLMv2: Ta opcja zezwala tylko na uwierzytelnianie NTLMv2 i odrzuca protokoły LM i NTLM. Jeśli nie masz pewności co do ustawienia, nie zaznaczaj tej opcji. Jeśli zaznaczysz tę opcję, upewnij się, że wszystkie komputery w sieci mogą używać protokołu NTLMv2.
  6. Priorytet rozpoznawania nazw: Dotyczy rozpoznawania nazw w sieci Windows. Jeśli włączysz WINS (opcja (1) lub (2)), możesz wybrać priorytet rozpoznawania nazw. Domyślnym ustawieniem jest „Tylko DNS", gdy wszystkie ustawienia WINS są wyłączone. Gdy WINS jest włączony, domyślnym ustawieniem jest „Najpierw WINS, potem DNS". Jeśli nie masz żadnych problemów, zachowaj wartości domyślne.
  7. Styl logowania:
    Domyślnie w środowisku Active Directory formaty nazw użytkowników dla użytkowników domeny są następujące:
  8. Automatyczna rejestracja w DNS: Jeśli ta opcja jest włączona, po dołączeniu urządzenia NAS do usługi Active Directory urządzenie NAS automatycznie zarejestruje się na serwerze DNS domeny. Spowoduje to utworzenie wpisu hosta DNS dla urządzenia NAS na serwerze DNS. Jeśli adres IP urządzenia NAS ulegnie zmianie, urządzenie NAS automatycznie zaktualizuje adres IP na serwerze DNS.

Weryfikacja ustawień​


Aby sprawdzić, czy urządzenie NAS zostało pomyślnie dołączone do usługi Active Directory, przejdź do opcji „Ustawienia uprawnień" > „Użytkownicy" lub „Grupy użytkowników". Lista użytkowników i grup zostanie wyświetlona odpowiednio na listach „Użytkownicy domeny" i „Grupy domeny".

ADServer_12.png


ADServer_13.png


Odświeżanie list użytkowników domeny i grup użytkowników w interfejsie internetowym​


Jeśli w domenie zostali utworzeni nowi użytkownicy lub grupy użytkowników, można kliknąć przycisk „przeładuj". Spowoduje to ponowne załadowanie list użytkowników i grup użytkowników z usługi Active Directory do urządzenia NAS. Proces ten dotyczy wyłącznie listy użytkowników w interfejsie internetowym. Ustawienia uprawnień użytkowników będą synchronizowane w czasie rzeczywistym z kontrolerem domeny.

ADServer_14.png


uwaga
  • Po dołączeniu urządzenia NAS do usługi Active Directory lokalni użytkownicy NAS posiadający prawa dostępu do serwera AD powinni logować się przy użyciu formatu „nazwa_NAS\nazwa_użytkownika"; użytkownicy AD powinni logować się na serwer AD przy użyciu własnych nazw użytkowników (Domena\nazwa_użytkownika).
  • Lokalni użytkownicy NAS oraz użytkownicy AD (korzystający z nazwy domeny i nazwy użytkownika) mogą uzyskiwać dostęp do urządzenia NAS przez AFP, FTP i Menedżer plików internetowych w przypadku oprogramowania sprzętowego w wersji 3.2.0 i nowszych. Jednak w przypadku oprogramowania sprzętowego w wersji wcześniejszej niż 3.2.0 tylko lokalni użytkownicy NAS mają dostęp do Menedżera plików internetowych.
  • Aby zalogować się do urządzenia NAS przez Eksplorator Windows, należy użyć formatu „Domena\Nazwa_użytkownika" jako nazwy logowania.
  • Aby zalogować się do usług AFP, FTP i Menedżera plików internetowych, należy użyć formatu „Domena + Nazwa_użytkownika" jako nazwy logowania.
  • Dostęp do WebDAV mają wyłącznie lokalni użytkownicy i grupy.
  • W przypadku serii TS-109/209/409/509, jeśli serwer AD oparty jest na systemie Windows 2008, oprogramowanie sprzętowe urządzenia NAS musi zostać zaktualizowane do wersji v2.1.2 lub nowszej.
  • Aby zalogować się do urządzenia NAS przez usługi AFP, FTP i Menedżer plików internetowych, należy użyć formatu „Domena + Nazwa_użytkownika" jako nazwy logowania. Aby móc korzystać ze standardowego formatu logowania systemu Windows (DOMENA\NAZWA_UŻYTKOWNIKA), należy włączyć opcję „Styl logowania" na karcie „Opcje zaawansowane" w sekcji „Sieć Microsoft" (patrz powyżej).


Uwaga dotycząca systemu Windows 7​


Jeśli używasz komputera z systemem Windows 7, który nie należy do usługi Active Directory, i chcesz uzyskać dostęp do urządzenia NAS z oprogramowaniem sprzętowym w wersji wcześniejszej niż V3.2.0, które jest również członkiem domeny AD, zmień ustawienia zabezpieczeń komputera klienckiego w następujący sposób.

ADServer_15.jpg


ADServer_16.jpg


ADServer_17.jpg


  1. W systemie Windows 7 przejdź do „Panelu sterowania" > „Wszystkie elementy Panelu sterowania" i wybierz „Narzędzia administracyjne".
  2. Wybierz „Lokalne zasady zabezpieczeń".
  3. Przejdź do „Zasady lokalne" > „Opcje zabezpieczeń". Następnie wybierz „Zabezpieczenia sieci: poziom uwierzytelniania menedżera sieci LAN".
  4. Wybierz kartę „Lokalne ustawienia zabezpieczeń" i z listy wybierz opcję „Wyślij LM i NTLMv2 – użyj zabezpieczeń sesji NTLMv2, jeśli wynegocjowano". Następnie kliknij „OK".

ADServer_18.jpg


Po skonfigurowaniu ustawień w systemie Windows 7 będzie możliwe uzyskanie dostępu do urządzenia NAS z tego komputera, nawet jeśli urządzenie NAS jest członkiem domeny Active Directory.
 
Kliknij, aby rozwinąć...
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem