QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Anbindung des QNAP NAS an das Microsoft Active Directory (AD)

Anbindung des QNAP NAS an das Microsoft Active Directory (AD)

Was ist Active Directory?

Active Directory® ist ein in Windows Netzwerken verwendetes Verzeichnis von Microsoft zur zentralen Speicherung, Freigabe und Verwaltung von Informationen und Resourcen in Ihrem Netzwerk. Es handelt sich um ein hierarchisch aufgebautes Datenzentrum, in dem die Daten der Benutzer, Benutzergruppen und des Computers zentral und zur sicheren Zugriffsverwaltung aufbewahrt werden.

Vorteile der Anbindung des QNAP NAS an das Active Directory:

  • Unkomplizierte Kontoeinrichtung: Mit der Anbindung des NAS an das Active Directory werden alle Benutzerkonten des AD-Servers automatisch auf den NAS übertragen. AD-Benutzer können sich mit den bereits vorhandenen Benutzernamen und Passwörtern am NAS anmelden. Servermanager müssen dann nicht mehr jedes einzelne Konto auf dem NAS einrichten und sparen somit Aufwand und Zeit.
  • Wirksame Zugriffssteuerung: Der NAS ermöglicht Servermanagern die individuelle Konfiguration der Zugriffsrechte (Schreibgeschützt, Lesen/Beschreiben, Zugriff verweigern) zu Netzwerkfreigabeordnern für lokale/ Benutzerdomänen und lokale/ Benutzergruppen.


Voraussetzungen

Zum Verbinden des Turbo-NAS mit einem Active Directory mit Windows-Server 2008 R2, müssen Sie die NAS-Firmware auf Version 3.2.0 oder höher aktualisieren.

Gehen Sie wie folgt vor, um den Turbo NAS an das Active Directory (Windows Server 2008) anzubinden.

Schritt 1: Zeit und DNS-Informationen einrichten

Den NAS als Administrator anmelden. Öffnen Sie "Systemadministration" > "Allgemeine Einstellungen" > "Datum und Uhrzeit". Datum und Uhrzeit des NAS einstellen, welche beide mit der Zeit des AD-Servers übereinstimmen müssen. Die zeitliche Abweichung darf höchstens 5 Minuten betragen.

Richten Sie als nächstes die IP des ersten DNS-Servers als IP des Active Directory-Servers ein, der den DNs-Dienst enthält. Dies muss die IP des DNS-Servers sein, der in Verbindung mit Ihrem Active Directory genutzt wird. Wenn Sie einen externen DNS-Server nutzen, können Sie sich nicht in die Domain einbinden.

Schritt 2:

Den AD-Servernamen und den Domännamen überprüfen.

a. NetBIOS-Name der Domän

a. Dies ist Ihr "AD-Servername"
b. Dies ist Ihr "Domänname"

*Bitte beachten Sie, dass sich das oben angeführte Beispiel auf den Windows Server 2008 bezieht. In der nachfolgenden Abbildung wird erläutert, wie Sie für Windows Server 2003 den "AD-Servernamen" überprüfen.

a. Bei Windows 2003 Servern lautet der AD-Servername "node1". NICHT "node1.qnap-test.com":
b. Der "Domänname" ist der gleiche.

Schritt 3: In Active Directory einbinden

Wählen Sie "Netzwerkdienste" > "Microsoft-Netzwerk". Geben Sie die Informationen der AD-Domain an.

Hinweis:
Falls die Einbindung in die AD-Domain fehlgeschlagen ist, prüfen Sie bitte Schritt 1:

  • Prüfen Sie, ob ein Zeitunterschied zwischen Ihrem NAS und dem Domain-Controller besteht.
  • Prüfen Sie, ob der DNS-Server Ihres NAS mit dem des Domain-Controller-DNS identisch ist. Es muss Ihr Domain-DNS-Server sein. Wenn Sie einen externen DNS-Server nutzen, können Sie sich nicht in die Domain einbinden.

Erweiterte Optionen-Registerkarte

WINS-Unterstützung:
Beachten Sie, dass es in den meisten Fällen nicht erforderlich ist, die WINS-Servereinstellungen einzugeben. In einer Active Directory-Umgebung empfehlen wir die Nutzung einer reinen DNS-Namensauflösung.

  1. WINS-Server aktivieren: Diese Option muss nur dann aktiviert werden, wenn sich kein WINS-Server in Ihrem Netzwerk befindet und sich einige Ihrer Computer in anderen Subnetzen befinden. In solch einem Fall müssen Sie all Ihre Computer zur Nutzung dieses WINS-Servers einrichten. Beachten Sie, dass sich nur ein WINS-Server im Netzwerk befinden darf. Alle Clients müssen zur Nutzung desselben WINS-Servers konfiguriert werden. Wenn Sie mit dieser Einstellung nicht vertraut sind, sollten Sie sie nicht aktivieren.
  2. Den angegebenen WINS-Server nutzen: Diese Option sollte nur dann aktiviert werden, wenn sich ein WINS-Server in Ihrem Netzwerk befindet und Ihr NAS ein WINS-Client sein soll. Geben Sie die IP-Adresse Ihres WINS-Servers ein
  3. Wenn Sie mit dieser Einstellung nicht vertraut sind, sollten Sie sie nicht aktivieren.
  4. Lokaler Master Browser: Diese Option ermöglicht dem NAS als lokaler Master Browser zu fungieren, der für die Führung der Liste der Computer im Netzwerk für seine Arbeitsgruppe zuständig ist. Der Name der NAS-Arbeitsgruppe muss mit dem der Arbeitsgruppe Ihres Computers identisch sein (häufig als "Arbeitsgruppe" bezeichnet). Die Einstellung ist standardmäßig aktiviert. Wenn Sie sie deaktivieren, führt das NAS die Computerliste nicht und diese Aufgabe wird von einem anderen Computer im Netzwerk übernommen. Die Einstellung ist standardmäßig aktiviert.
  5. Nur NTLMv2-Authentifizierung erlauben: Diese Option erlaubt nur NTLMv2-Authentifizierung und verweigert LM und NTLM. Falls Sie mit dieser Einstellung nicht vertraut sind, sollten Sie kein Häkchen bei dieser Option setzen. Wenn Sie ein Häkchen bei dieser Option setzen, stellen Sie bitte sicher, dass alle Computer im Netzwerk NTLMv2 nutzen.
  6. Priorität bei der Namensauflösung: Dies bezieht sich auf die Namensauflösung im Windows-Netzwerk. Wenn Sie WINS aktivieren (Option (1) oder (2)), können Sie die Priorität der Namensauflösung auswählen. Die Standardeinstellung ist "Nur DNS", wenn alle WINS-Einstellungen deaktiviert sind. Wenn WINS aktiviert ist, lautet die Standardeinstellung "Zuerst WINS, dann DNS". Behalten Sie die Standardwerte bei, falls keine Probleme auftreten.
  7. Anmeldeart:
    Standardmäßig lauten die Formate der Benutzernamen bei Domain-Benutzern in einer Active Directory-Umgebung wie folgt:
    * Windows Shares Access: DomainBenutzername
    * FTP: Domain+Benutzername
    * Web File Manager: Domain+Benutzername
    * AFP: Domain+Benutzername
    Sie müssen sich beispielsweise zum Zugreifen auf einen Freigabeordner über den Web File Manager mit einem Domain-Benutzerkonto via Domain+Benutzername authentifizieren, wenn die Option nicht aktiviert ist.

    Wenn diese Option aktiviert ist, nutzen alle Dienste dasselbe Benutzernamensformat:
    * Windows Shares: DomainBenutzername
    * FTP: DomainBenutzername
    * Web File Manager: DomainBenutzername
    * AFP: DomainBenutzername
    Sie müssen sich beispielsweise zum Zugreifen auf einen Freigabeordner über den Web File Manager mit einem Domain-Benutzerkonto via DomainBenutzername authentifizieren, wenn die Option aktiviert ist.
  8. Automatisch in DNS registrieren: Wenn diese Option aktiviert ist registriert sich das NAS beim Einbinden in Active Directory automatisch im Domain-DNS-Server. Dies erstellt einen DNS-Host-Eintrag für das NAS im DNS-Server. Falls die NAS-IP geändert wird, aktualisiert das NAS automatisch die IP mit dem DNS-Server.

Einstellungen bestätigen

Um zu überprüfen, dass der NAS erfolgreich an das Active Directory angebunden wurde, öffnen Sie "Verwaltung Zugriffsrechte" > "Benutzer". In den Listen "Domänbenutzer" und "Domängruppen" wird jeweils eine Übersicht der Benutzer und Gruppen angezeigt.

Domain-Benutzer und Benutzergruppenlisten in der Webschnittstelle aktualisieren

Wenn Sie neue Benutzer oder Benutzergruppen in der Domain erstellt haben, können Sie die "Neu laden"-Schaltfläche ( ) neben dem "Domain-Benutzer"-Auswahlmenü unter "Zugangsrechtsverwaltung" > "Benutzer" oder neben dem "Domain-Gruppen"-Auswahlmenü unter
"Zugangsrechtsverwaltung" > "Benutzergruppen" anklicken (Firmware 3.3 oder aktueller). Dadurch werden die Benutzer- und Benutzergruppenlisten vom Active Directory auf dem NAS neu geladen. Der Vorgang wird nur bei der Webschnittstellen-Benutzerliste durchgeführt. Die Einstellungen der Zugangsrechte von Benutzern werden in Echtzeit mit dem Domain-Controller synchronisiert.

Hinweise:

  • Nach der Anbindung des NAS an das Active Directory können sich die lokalen NAS-Benutzer mit Zugriff auf den AD-Server unter Verwendung von "NAS_NameBenutzername" anmelden. AD-Benutzer müssen ihre eigenen Benutzernamen zur Anmeldung des AD-Servers verwenden (DomänBenutzername).
  • Lokale NAS-Benutzer und AD-Benutzer haben (unter Verwendung von Domänname und Benutzername) via AFP, FTP und Webdateimanager mit Firmware 3.2.0 oder höher Zugriff auf den NAS. Bei Verwendung einer älteren Firmware als 3.2.0 haben jedoch nur lokale NAS-Benutzer Zugriff auf den Webdateimanager.
  • Zur Anmeldung des NAS über den Windows Explorer bitte "DomänBenutzername" als Login-Namen verwenden.
  • Zur Anmeldung der AFP-, FTP-Dienste und des Webdateimanagers bitte "Domän+Benutzername" als Login-Namen verwenden.
  • WebDAV kann nur von lokalen Benutzern und Gruppen verwendet werden.
  • Wenn der AD-Server bei den Modellen der TS-109/209/409/509 Serien auf Windows 2008 basiert, muss die NAS-Firmware auf die Version v2.1.2 oder höher aktualisiert werden.
  • Nutzen Sie zur Anmeldung des NAS über AFP-, FTP- und Web File Manager-Dienste "Domain+Benutzername" als Anmeldenamen. Zur Nutzung eines Standards-Windows-Anmeldeformats (DOMAIN/BENUTZERNAME) müssen Sie die Option "Anmeldeart" in der "Erweiterte Optionen"-Registerkarte in "Microsoft-Netzwerk" aktivieren (siehe weiter oben).

Hinweise zu Windows 7

Falls Sie einen Windows 7 PC verwenden, der zu keinem Active Directory gehört, und Ihr NAS mit einer älteren Firmware als V3.2.0 ausgestattet und Mitglied einer AD-Domän ist, dann ändern Sie für den Zugriff auf den NAS die Sicherheitseinstellungen des Client-PC wie folgt.

1. Öffnen Sie in Windows 7 "Systemsteuerung" > "Alle Einstellungen der Systemsteuerung"; wählen Sie "Verwaltungs-Tools".

2. Wählen Sie "Lokale Sicherheitsrichtlinien".

3. Öffnen Sie "Lokale Richtlinien" > "Sicherheitsoptionen". Wählen Sie dann "Netzwerksicherheit: Authentifierungsstufe LAN-Manager".

4. Öffnen Sie die Registrierkarte "Lokale Sicherheitseinstellungen"; wählen Sie aus der Liste die Option "LM & NTLMv2 senden – Sicherheit der NTLMv2-Sitzung verwenden falls vereinbart". Anschließend auf "OK" klicken.

Nach der Konfiguration der Einstellungen in Windows 7 können Sie von dort aus auf den NAS zugreifen, auch wenn Ihr NAS Mitglied einer Active Directory Domän ist.

Veröffentlichungsdatum: 2013-05-05
War es hilfreich?
Vielen Dank für Ihre Rückmeldung.
Vielen Dank für Ihre Rückmeldung. Wenden Sie sich bei Fragen bitte an support@qnap.com
18% der Nutzer fanden es hilfreich.