QNAP Systems, Inc. - Network Attached Storage (NAS)

Language

Support

Comment lier les NAS QNAP à Microsoft Active Directory (AD)?

Qu'est-ce que Active Directory ?

Active Directory® est un répertoire Microsoft utilisé dans les environnements Windows pour stocker, partager et gérer de façon centrale les informations et les ressources qui se trouvent sur votre réseau. Il s'agit d'un centre de données hiérarchique qui centralise les informations concernant les utilisateurs, les groupes d'utilisateurs et les ordinateurs, pour une gestion sécurisée des accès.

Avantages de la liaison des NAS QNAP à Active Directory :

  • Mise en place facile des comptes : En liant le NAS à Active Directory, tous les comptes d'utilisateurs du serveur AD seront automatiquement importés sur le NAS. Les utilisateurs AD peuvent utiliser le même ensemble nom d'utilisateur et mot de passe pour accéder au NAS. Cela permet au gestionnaire du réseau d'économiser du temps et des efforts, car il n'a plus besoin de créer les comptes d'utilisateurs les uns après les autres sur le NAS.
  • Contrôle d'accès efficace : Le NAS permet au gestionnaire de réseau de configurer les droits d'accès (lecture seule, lecture / écriture ou refus d'accès) aux dossiers de partage du réseau individuellement pour les utilisateurs locaux / du domaine ou les groupes locaux / du domaine.


Conditions requises

Pour joindre le Turbo NAS à un Active Directory avec Windows Server 2008 R2, vous devez d'abord mettre le progiciel du NAS à jour à la version V3.2.0 ou supérieure.

Suivez la procédure ci-après pour lier le NAS au Active Directory (Windows Server 2008).

Étape 1 : Régler l'heure et les informations DNS

Accédez au NAS en tant qu'administrateur. Allez sur « System Administration » (Administration du système) > « General Settings » (Paramètres généraux) > « Date and Time » (Date et heure). Réglez la date et l'heure du NAS, qui doivent être correspondre à ceux du serveur AD. La différence d'heure maximum autorisée est de 5 minutes.

Ensuite, choisissez l'adresse IP du serveur DNS primaire comme adresse IP du serveur Active Directory qui contient le service DNS. Il FAUT que ce soit l'adresse IP du serveur DNS qui soit utilisée pour votre Active Directory. Si vous utilisez un serveur DNS externe, vous ne pourrez pas joindre le domaine.

Étape 2 :

Vérifiez le nom du serveur AD et le nom de domaine.

a. Nom NetBIOS de domaine

a. Voici votre « Nom de serveur AD »
b. Voici votre « Nom de domaine »

*Veuillez noter que l'exemple ci-dessus se base sur Windows Server 2008. Pour Windows Server 2003, veuillez vous reporter à l'image ci-dessous pour vérifier le « Nom de serveur AD ».

a. Sur les serveurs Windows 2003, le nom du serveur est « node1 », et NON « node1.qnap.test.com »
b. Le « Nom de domaine » reste le même

Étape 3 : Liaison à Active Directory

Allez sur « Network Services » (Services réseau) > « Microsoft Networking » (Mise en réseau Microsoft). Entrez les informations du domaine AD.

Remarque :

Si vous n'arrivez pas à joindre le domaine AD, veuillez vous reporter à l'étape 1 :

  • Vérifiez la différence d'heure entre votre NAS et votre contrôleur de domaine.
  • Vérifiez que le serveur DNS de votre NAS est le même que le DNS de votre Contrôleur de domaine. Il DOIT être votre serveur DNS de domaine. Si vous utilisez un serveur DNS externe, vous ne pourrez pas joindre le domaine.

Onglet Advanced Options (Options avancées)

WINS Support (Prise en charge WINS) :

Notez que dans la plupart des cas, il n'est pas nécessaire de saisir le paramétrage du serveur WINS. Dans un environnement Active Directory, il est recommandé d'utiliser une pure résolution de nom DNS.

  1. Enable WINS server (Activer le serveur WINS) : Cette option ne doit être activée que si vous ne disposez pas de serveur WINS sur votre réseau, et si certains de vos ordinateurs se trouvent sur un sous-réseau différent. Dans ce cas, vous devez configurer tous vos ordinateurs pour qu'ils utilisent ce serveur WINS. Remarquez qu'il ne doit y avoir qu'un seul serveur WINS sur le réseau. Tous les clients doivent être configurés pour utiliser le même serveur WINS. Si vous avez des doutes quant à ce paramètre, ne l'activez pas.
  2. Use the specified WINS server (Utiliser le serveur WINS spécifié) : Cette option ne doit être activée que si vous avez un serveur WINS sur votre réseau et votre NAS doit être un client WINS. Entrez l'adress IP de votre serveur WINS
  3. Si vous avez des doutes quant à ce paramètre, ne l'activez pas.
  4. Local Master Browser (Navigateur maître local) : Cette option permet au NAS de servir de Navigateur maître local responsable de la gestion de la liste des ordinateurs sur votre réseau pour ce groupe de travail. Le nom du groupe de travail du NAS doit être le même que celui du nom de travail de votre ordinateur (souvent appelé “workgroup”). Ce paramètre est activé par défaut. Si vous le désactivez, le NAS ne gère pas la liste des ordinateur et la tâche est prise en charge par un autre ordinateur sur le réseau. Ce paramètre est activé par défaut.
  5. Allow only NTLMv2 authentication (Autoriser uniquement l'authentification NTLMv2) Cette option permet uniquement l'authentification NTLMv2 et refuse LM et NTLM. Si vous avez des doutes quant à ce paramètre, ne cochez pas cette option. Si vous cochez cette option, vérifiez que tous les ordinateurs de votre réseau peuvent utiliser NTLMv2.
  6. Name Resolution Priority (Priorité de résolution de nom) : Cela concerne la résolution de nom sur le réseau Windows. Si vous activez WINS (option (1) ou (2)), vous pouvez choisir la priorité dans la résolution de nom. Le réglage par défaut est “DNS only” (DNS uniquement) lorsque tous les paramètres WINS sont désactivés. Lorsque WINS est activé, le paramètre par défaut est "WINS first, then DNS" (WINS d'abord, puis DNS). Si vous n'avez pas de problème, gardez les valeurs par défaut.
  7. Login Style (Style d'ouverture de session) :
    Dans un environnement Active Directory, par défaut, les formats de nom d'utilisateur pour les utilisateurs de domaine sont :
    * Accès aux partages Windows : domaine\nom d'utilisateur
    * FTP : domaine+nom d'utilisateur
    * Gestionnaire de fichiers web : domaine+nom d'utilisateur
    * AFP : domaine+nom d'utilisateur
    Par exemple, pour accéder à un dossier partagé par Web File Manager avec un compte d'utilisateur de domaine, vous devez vous authentifier avec domaine+nom d'utilisateur si l'option n'est pas activée.

    Si l'option est activée, tous les services utilisent le même format de nom d'utilisateur :
    * Partages Windows : domaine\nom d'utilisateur
    * FTP : domaine\nom d'utilisateur
    * Gestionnaire de fichiers web : domaine\nom d'utilisateur
    * AFP : domaine\nom d'utilisateur
    Par exemple, pour accéder à un dossier partagé par Web File Manager avec un compte d'utilisateur de domaine, vous devez vous authentifier avec domaine\nom d'utilisateur si l'option est activée.
  8. Automatically register in DNS (Enregistrement automatique dans le DNS) : Lorsque cette option est activée et que le NAS est joint à Active Directory, le NAS s'enregistre lui-même automatiquement dans le serveur DNS du domaine. Cela permet de créer une entrée hôte DNS pour le NAS dans le serveur DNS. Si l'IP du NAS est changée, le NAS met automatiquement à jour la nouvelle IP sur le serveur DNS.

Vérifier les paramètres

Pour vérifier que la liaison a bien été établie avec succès entre le NAS et Active Directory, allez sur « Access Right Management » (Gestion des droits d'accès) > « Users » (Utilisateurs). Les listes des utilisateurs et des groupes seront respectivement affichées sur « Domain Users » (Utilisateurs du domaine) et sur « Domain Groups » (Groupes du domaine).

Actualiser les listes d'utilisateurs et de groupes d'utilisateur sur l'interface web

Si vous avez créé de nouveaux utilisateurs ou groupes d'utilisateurs dans le domaine, vous pouvez cliquer sur le bouton "recharger" ( ) à côté du menu déroulant "Domain Users" (Utilisateurs du domaine) dans le menu déroulant "Access Right Management" (Gestion des droits d'accès) > "Users" (Utilisateurs) ou "Domain Groups" (Groupes du domaine) dans "Access Right Management" (Gestion des droits d'accès) > "User Groups" (Groupes d'utilisateurs) (progiciel version 3.3 ou ultérieure). Cela permet de recharger les listes d'utilisateurs et des groupes d'utilisateurs de Active Directory sur le NAS. Ce processus se fait uniquement pour la liste des utilisateurs de l'interface web. Les paramètres d'autorisation des utilisateurs sont synchronisés en temps réel sur le contrôleur de domaine.

Remarques :

  • Une fois la liaison entre le NAS et Active Directory établie, les utilisateurs locaux du NAS qui ont un droit d'accès au serveur AD doivent utiliser « NAS_name\username » (Nom_NAS\nom_utilisateur) pour se connecter ; les utilisateurs de AD doivent utiliser leurs noms d'utilisateurs pour accéder au serveur AD (Domaine\utilisateur).
  • Les utilisateurs locaux du NAS et les utilisateurs (en utilisant nom de domaine et nom d'utilisateur) sont autorisés à accéder au NAS via AFP, FTP et Web File Manager avec progiciel version 3.2.0 ou ultérieure. Cependant, avec un progiciel d'une version antérieure à 3.2.0, seuls les utilisateurs locaux du NAS seront autorisés à accéder à Web File Manager.
  • Pour accéder au NAS par le biais de Windows Explorer, utilisez « NAS_name\username » (Nom_NAS\nom_utilisateur) comme code d'accès.
  • Pour accéder aux services AFP, FTP et Web File Manager, utilisez « NAS_name\username » (Nom_NAS\nom_utilisateur) comme code d'accès.
  • Seuls les groupes et utilisateurs locaux peuvent avoir accès à WebDAV.
  • Pour les séries TS-109/209/409/509, si le serveur AD est de base Windows 2008, le progiciel du NAS doit être mis à jour à la version v2.1.2 ou une version ultérieure.
  • Pour accéder au NAS par le biais des services AFP, FTP et Web File Manager, utilisez comme nom d'accès "Domaine+Nom d'utilisateur". Pour pouvoir utiliser un format d'ouverture de session Windows standard (DOMAINE\NOM D'UTILISATEUR), vous devez activer l'option "Login style" (Style d'ouverture de session) dans l'onglet "Advanced Options" (Options avancées) dans "Microsoft Networking" (Réseau Microsoft) (voir ci-dessus).

Remarque à propos de Windows 7

Si vous utilisez un PC qui fonctionne sous Windows 7 et qui n'appartient pas à un Active Directory, pour accéder au NAS avec un progiciel antérieur à la version V3.2.0 et également membre d'un domaine AD, veuillez modifier les paramètres de sécurité du PC client de la façon suivante.

1. Sur Windows 7, allez sur « Control Panel » (Panneau de configuration) > « All Control Panel Items » (Tous éléments du panneau de configuration) et sélectionnez « Administrative Tools » (Outils administratifs).

2. Sélectionnez « Local Security Policy » (Politique de sécurité locale).

3. Allez sur « Local Policies » (Politiques locales) > « Security Options » (Options de séurité). Puis sélectionnez « Network security: LAN Manager authentication level » (Sécurité réseau : niveau d'authentification du gestionnaire LAN).

4. Sélectionnez l'onglet « Local Security Setting » (Paramétrage de la sécurité locale), et sélectionnez « Send LM & NTLMv2 – use NTLMv2 session security if negotiated » (Envoyer LM et NTLMv2 – utiliser la sécurité de session NTLMv2 si activé) dans la liste. Puis cliquez sur « OK ».

Après avoir configuré les paramètres sur Windows 7, il vous sera possible d'accéder à votre NAS, même si votre NAS est membre d'un domaine Active Directory.

Date de sortie: 2013-05-05
Ont-elles été utiles pour vous ?
Merci pour votre commentaire.
Merci pour votre commentaire. Veuillez contacter support@qnap.com si vous avez des questions.
23% des utilisateurs pensent que ces informations sont utiles.