¿Cómo se une un QNAP NAS a un dominio de Microsoft Active Directory (AD)?
"Administre su cuenta del NAS fácilmente con AD"
Introducción
Active Directory® es un directorio de Microsoft utilizado en entornos Windows para almacenar, compartir y administrar de forma centralizada la información y los recursos de su red. Se trata de un centro de datos jerárquico que contiene de forma centralizada la información de los usuarios, grupos de usuarios y ordenadores para una gestión de acceso segura.
Ventajas de unir el QNAP NAS a Active Directory:
- Cómoda configuración de cuentas: Al unir el NAS a Active Directory, todas las cuentas de usuario del servidor AD se importarán al NAS automáticamente. Los usuarios de AD pueden utilizar el mismo conjunto de nombre de usuario y contraseña para iniciar sesión en el NAS. Esto ahorra tiempo y esfuerzo al administrador del servidor al crear las cuentas de usuarios una a una en el NAS.
- Control de acceso eficiente: el NAS permite al administrador del servidor configurar los derechos de acceso (solo lectura, lectura/escritura o acceso denegado) a las carpetas compartidas de la red.
- Prerrequisitos
- Pestaña Opciones avanzadas
- Verificar la configuración
- Actualizar las listas de usuarios y grupos de usuarios del dominio en la interfaz web
- Nota sobre Windows 7
Prerrequisitos
Para unir el Turbo NAS a un Active Directory con Windows Server 2008 R2, debe actualizar el firmware del NAS a la versión 3.2.0 o superior.
Siga los pasos a continuación para unir el Turbo NAS a Active Directory (Windows Server 2008).
Inicie sesión en el NAS como administrador. Vaya a "Configuración del sistema" > "Configuración general" > "Hora". Ajuste la fecha y la hora del NAS, que deben ser las mismas que la hora del servidor AD. La diferencia horaria máxima permitida es de 5 minutos.
A continuación, configure la dirección IP del servidor DNS primario utilizando la misma dirección IP del servidor Active Directory que contiene el servicio DNS. DEBE ser la dirección IP del servidor DNS que se utiliza para Active Directory. Si usa un servidor DNS externo, no podrá unir el dominio.
a. Este es el "Nombre del NetBIOS del dominio".
a. Este es su "Nombre del servidor AD".
b. Este es el "Nombre de su dominio".
Notas: El ejemplo anterior está basado en Windows Server 2008. Para Windows Server 2003, consulte la imagen siguiente para verificar el "Nombre del servidor AD".
a. En Windows 2003 Server, el nombre del servidor AD es "nodo1", y NO "nodo1.qnap-test.com".
b. El 'Nombre del dominio' sigue siendo el mismo.
Vaya a "Configuración de privilegios" > "Seguridad de dominio" > “Autenticación de Active Directory” > “Configuración manual”. Introduzca la información del dominio AD.
- Configure la hora y la información de DNS.
- Verifique el nombre del servidor AD y el nombre del dominio.
- Únase a Active Directory.
- Si no pudo unirse al dominio AD, revise "Configure la hora y la información de DNS":
- Verifique si es diferente la hora del NAS y del controlador de dominio.
- Verifique que el servidor DNS del NAS sea el mismo que el DNS de su controlador de dominio. DEBE ser el servidor DNS de su dominio. Si usa un servidor DNS externo, no podrá unir el dominio.
- Solo se admiten dominios con confianza transitiva bidireccional.
Pestaña Opciones avanzadas
Vaya a "Servicio de red" > "Win/Mac/NFS" > "Redes de Microsoft" > "Miembro de dominio AD" > "Opciones avanzadas".
Soporte de WINS:
Tenga en cuenta que en la mayoría de los casos, no es necesario introducir la configuración del servidor WINS. En un entorno de Active Directory, se sugiere utilizar una resolución de nombres DNS pura.
(1) Acceso a recursos compartidos de Windows: domino\nombredeusuario
(2) FTP: dominio + nombre de usuario
(3) Administrador de archivos web: dominio + nombre de usuario
(4) AFP: dominio + nombre de usuario
Por ejemplo, para acceder a una carpeta compartida mediante Web File Manager con una cuenta de usuario de dominio, debe autenticarse con dominio + nombre de usuario si la opción no está activada.
Si esta opción está activada, todos los servicios usarán el mismo formato de nombre de usuario.
(1) Recursos compartidos de Windows: domino\nombredeusuario
(2) FTP: domino\nombredeusuario
(3) Web File Manager: domino\nombredeusuario
(4) AFP: domino\nombredeusuario
Por ejemplo, para acceder a una carpeta compartida mediante Web File Manager con una cuenta de usuario de dominio, debe autenticarse con domino\nombredeusuario si la opción está activada.
- Habilitar servidor WINS: Esta opción debe activarse solamente si no se tiene un servidor WINS en la red y algunos de los ordenadores se encuentran en una subred diferente. En tal caso, deberá configurar todos los ordenadores para que usen este servidor WINS. Tenga en cuenta que solo debe haber un servidor WINS en la red. Todos los clientes deben configurarse para utilizar el mismo servidor WINS. Si no está seguro de la configuración, no la habilite.
- Use el servidor WINS especificado: Esta opción debe activarse solamente si se tiene un servidor WINS en la red y el NAS es un cliente WINS. Introduzca la dirección IP del servidor WINS
- Si no está seguro de la configuración, no la habilite.
- Navegador maestro local: Esta opción permite que el NAS sea un navegador maestro local responsable de mantener la lista de ordenadores en su red para su grupo de trabajo. El nombre del grupo de trabajo del NAS debe ser el mismo que el del grupo de trabajo de su ordenador (a menudo llamado "grupo de trabajo"). La configuración está habilitada de forma predeterminada. Si la desactiva, el NAS no mantendrá la lista de ordenadores y el trabajo lo realizará otro ordenador de la red. La configuración predeterminada es Habilitado.
- Se permite solo la autenticación NTLMv2: Esta opción solo permite la autenticación NTLMv2 y rechaza LM y NTLM. Si no está seguro de la configuración, no marque esta opción. Si marca esta opción, asegúrese de que todas las ordenadores de su red puedan usar NTLMv2.
- Prioridad de resolución de nombres: Esto hace referencia a la resolución de nombres en la red de Windows. Si habilita WINS (opción (1) o (2)), podrá elegir la prioridad de la resolución de nombres. La configuración predeterminada es "Solo DNS" cuando todas las configuraciones WINS están deshabilitadas. Si WINS está habilitado, la configuración predeterminada es "Pruebe WINS, luego DNS". Si no tiene ningún problema, mantenga los valores predeterminados.
- Estilo de inicio de sesión:
de forma predeterminada en un entorno de Active Directory, los formatos de nombre de usuario para los usuarios del dominio son: - Registro automático en DNS: Si esta opción está activada, cuando el NAS se una a Active Directory, el NAS se registrará automáticamente en el servidor DNS del dominio. Esto creará un host DNS para el NAS en el servidor DNS. Si cambia la dirección IP del NAS, el NAS actualizará automáticamente la dirección IP por el servidor DNS.
Verificar la configuración
Para verificar que el NAS se haya unido correctamente a Active Directory, vaya a "Configuración de privilegios" > "Usuarios" o "Grupos de usuarios". Se mostrará una lista de usuarios y grupos en las listas "Usuarios de dominio" y "Grupos de dominio" respectivamente.
Actualizar las listas de usuarios y grupos de usuarios del dominio en la interfaz web
Si ha creado nuevos usuarios o grupos de usuarios en el dominio, haga clic en el botón "recargar". De este modo se recargarán las listas de usuarios y grupos de usuarios desde Active Directory al NAS. El proceso se realiza únicamente para la lista de usuarios de la interfaz web. La configuración de permisos de usuarios se sincronizará en tiempo real con el controlador de dominio.
- Después de unir el NAS al Active Directory, los usuarios del NAS local que tengan derecho de acceso al servidor AD deben usar "NAS_nombre nombre de usuario" para iniciar sesión; los usuarios de AD deben usar sus propios nombres de usuario para iniciar sesión en el servidor AD (domino\nombredeusuario).
- Los usuarios locales del NAS y los usuarios de AD (que utilizan el nombre de dominio y el nombre de usuario) pueden acceder al NAS a través de AFP, FTP y Web File Manager con el firmware 3.2.0 y superior. Sin embargo, con firmware anterior a 3.2.0, solo los usuarios del NAS local pueden acceder al Web File Manager.
- Para iniciar sesión en el NAS mediante el Explorador de Windows, utilice "Domino\Nombredeusuario" como nombre de inicio de sesión.
- Para iniciar sesión en los servicios AFP, FTP y Web File Manager, utilice "Dominio + Nombre de usuario" como nombre de inicio de sesión.
- Solo usuarios y grupos locales pueden acceder a WebDAV.
- Para las series TS-109/209/409/509, si el servidor AD está basado en Windows 2008, el firmware del NAS debe actualizarse a la versión 2.1.2 o posterior.
- Para iniciar sesión en el NAS mediante los servicios AFP, FTP y Web File Manager, utilice "Dominio + Nombre de usuario" como nombre de inicio de sesión. Para poder utilizar un formato de inicio de sesión estándar de Windows (DOMINIO/NOMBRE DE USUARIO), debe habilitar la opción "Estilo de inicio de sesión" en la pestaña "Opciones avanzadas" en "Redes de Microsoft" (consulte más arriba).
Nota sobre Windows 7
Si está utilizando un PC con Windows 7 que no pertenezca a Active Directory, para acceder a un NAS con firmware anterior a la versión 3.2.0 y que también sea miembro del dominio AD, cambie la configuración de seguridad del PC cliente como se indica a continuación.
- En Windows 7, vaya a "Panel de control" > "Todos los elementos del Panel de control" y seleccione "Herramientas administrativas".
- Seleccione "Política de seguridad local".
- Vaya a "Políticas locales" > "Opciones de seguridad". Seguidamente, seleccione "Seguridad de red: Nivel de autenticación de LAN Manager".
- Seleccione la pestaña "Configuración de seguridad local" y seleccione "Enviar LM y NTLMv2: use la seguridad de sesión NTLMv2 si se negocia" de la lista. Luego haga clic en "Aceptar".
Después de configurar los ajustes en Windows 7, podrá acceder a su NAS desde él, aunque el NAS sea miembro de un dominio de Active Directory.
