Serwery NAS firmy QNAP - oficjalna strona w Polsce (NAS)

Language

Support

Jak połączyć serwer QNAP NAS z usługą Microsoft Active Directory (AD)

Łatwe zarządzanie kontem na serwerze NAS przy użyciu usługi AD

Wprowadzenie
Active Directory® to usługa katalogowa firmy Microsoft stosowana w środowisku Windows do centralnego przechowywania i udostępniania informacji oraz zasobów w sieci, a także zarządzania nimi. Jest to hierarchiczne centrum danych, które przechowuje centralnie informacje o użytkownikach i grupach użytkowników oraz komputerach, umożliwiając bezpieczne zarządzanie uprawnieniami dostępu.

Zalety połączenia serwera QNAP NAS z usługą Active Directory:

  1. Wygodna konfiguracja kont: Po połączeniu serwera NAS z usługą Active Directory wszystkie konta użytkowników na serwerze AD zostaną automatycznie zaimportowane do serwera NAS. Użytkownicy AD mogą logować się na serwerze NAS przy użyciu tej samej nazwy i hasła. Usprawnia to pracę menedżera serwera, który nie musi tworzyć pojedynczo kont na serwerze NAS.
  2. Skuteczna kontrola dostępu: serwer NAS umożliwia konfigurację uprawnień dostępu (tylko do odczytu, odczyt/zapis lub odmowa dostępu) do folderów współdzielonych w sieci.
Active Directory

 

Active Directory

Wymagania wstępne

Aby połączyć serwer Turbo NAS z usługą Active Directory w systemie Windows Server 2008 R2, zaktualizuj oprogramowanie serwera NAS do wersji 3.2.0 lub nowszej.
Aby dołączyć serwer Turbo NAS do usługi Active Directory (w systemie Windows Server 2008), wykonaj następujące czynności.

Zaloguj się na serwerze NAS jako administrator. Wybierz „Ustawienia systemowe” > „Ogólne” > „Czas”. Ustaw datę i godzinę serwera NAS — muszą być zgodne z czasem serwera AD. Maksymalna dozwolona różnica czasu wynosi 5 minut.

Active Directory

Następnie ustaw adres IP głównego serwera DNS jako adres IP serwera Active Directory, który udostępnia usługę DNS. MUSI to być adres IP serwera DNS używanego w usłudze Active Directory. W przypadku korzystania z zewnętrznego serwera DNS nie będzie można dołączyć do domeny.

Active Directory

a. Nazwa domeny NetBIOS

Active Directory

a. To jest „Nazwa serwera AD”
b. To jest „Nazwa domeny”

Active Directory

Uwagi: Powyższy przykład pochodzi z systemu Windows Server 2008. Aby sprawdzić wartość parametru „Nazwa serwera AD” w systemie Windows Server 2003, skorzystaj z poniższej ilustracji.

a. W systemie Windows 2003 Server, nazwa serwera AD to „node1”, a NIE „node1.qnap-test.com”
b. „Nazwa domeny” pozostaje taka sama.

Active Directory

Wybierz „Ustawienia uprawnień” > „Zabezpieczenia domeny” > „Autoryzacja Active Directory” > „Ręczna konfiguracja”. Wprowadź informacje dotyczące domeny AD.

  1. Ustaw czas i wprowadź dane serwera DNS.
  2. Sprawdź nazwę serwera AD oraz nazwę domeny.
  3. Dołącz do Active Directory.
Active Directory
Active Directory

Uwaga:
Jeżeli dołączenie do domeny AD nie powiedzie się, przeczytaj „Ustaw czas i wprowadź dane serwera DNS”:

  • Sprawdź różnicę czasu między serwerem NAS i kontrolerem domeny.
  • Sprawdź, czy serwer DNS serwera NAS jest taki sam jak serwer DNS kontrolera domeny. MUSI to być serwer DNS domeny. W przypadku korzystania z zewnętrznego serwera DNS nie będzie można dołączyć do domeny.

Karta Opcje zaawansowane

Wybierz „Usługi sieciowe” > „Win/Mac/NFS” > „Sieć Microsoft” > „Członek domeny AD” > „Opcje zaawansowane”.

Active Directory
Active Directory

Obsługa WINS:
W większości przypadków nie trzeba wprowadzać ustawień serwera WINS. W środowisku Active Directory zaleca się używanie czystego rozpoznawania nazw DNS.

(1) Dostęp do udziałów systemu Windows: domena\nazwa_użytkownika
(2) FTP: domena + nazwa użytkownika
(3) Web File Manager: domena + nazwa użytkownika
(4) AFP: domena + nazwa użytkownika

Na przykład, aby uzyskać dostęp do folderu udostępnionego przy użyciu aplikacji Web File Manager i konta użytkownika domeny, trzeba uwierzytelnić się, podając domenę + nazwę użytkownika, jeżeli ta opcja nie jest włączona. Jeżeli ta opcja jest włączona, wszystkie usługi będą używać tego samego formatu nazwy użytkownika.

(1) Udziały systemu Windows: domena\nazwa_użytkownika
(2) FTP: domena\nazwa_użytkownika
(3) Web File Manager: domena\nazwa_użytkownika
(4) AFP: domena\nazwa_użytkownika

Na przykład, aby uzyskać dostęp do folderu udostępnionego przy użyciu aplikacji Web File Manager i konta użytkownika domeny, trzeba uwierzytelnić się, podając domenę + nazwę użytkownika, jeżeli ta opcja jest włączona.

  1. Włącz serwer WINS: Tę opcję należy włączyć tylko wtedy, gdy nie masz w sieci serwera WINS, a niektóre komputery są w innej podsieci. W takim przypadku trzeba będzie skonfigurować wszystkie komputery tak, aby używały tego serwera WINS. W sieci musi być tylko jeden serwer WINS. Wszystkie urządzenia klienckie należy skonfigurować tak, by używały tego samego serwera WINS. Jeżeli nie masz pewności co do tego ustawienia, nie włączaj go.
  2. Użyj określonego serwera WINS: Tę opcję należy włączyć tylko wtedy, gdy masz w sieci serwer WINS, a serwer NAS powinien być klientem WINS. Wprowadź adres IP serwera WINS
  3. Jeżeli nie masz pewności co do tego ustawienia, nie włączaj go.
  4. Lokalny Master Browser: Ta opcja umożliwia serwerowi NAS pełnienie funkcji lokalnej przeglądarki głównej, która prowadzi listę komputerów z grupy roboczej. Nazwa grupy roboczej serwera NAS musi być taka sama jak grupy roboczej komputera (często jest to „workgroup”). To ustawienie jest włączone domyślnie. Po jego wyłączeniu serwer NAS nie będzie prowadzić listy komputerów, a zadanie to będzie wykonywać inny komputer w sieci. To ustawienie jest domyślnie włączone.
  5. Dopuszczaj tylko uwierzytelnianie NTLMv2: Ta opcja umożliwia uwierzytelnianie tylko przy użyciu standardu NTLMv2, a nie LM czy NTLM. Jeżeli nie masz pewności co do tej opcji, nie włączaj jej. Jeżeli chcesz użyć tej opcji, sprawdź najpierw, czy wszystkie komputery w sieci mogą używać uwierzytelniania NTLMv2.
  6. Nazwa kolejności przetwarzania: Odnosi się to do rozpoznawania nazw w sieci Windows. Po włączeniu usługi WINS (opcja (1) lub (2)) będzie można wybrać priorytet rozpoznawania nazw. Domyślnym ustawieniem jest „Tylko DNS”, kiedy wszystkie ustawienia WINS są wyłączone. Kiedy jest włączona usługa WINS, domyślne ustawienie to „Sprawdź WINS, a następnie DNS”. Jeżeli nie występują żadne problemy, zachowaj wartości domyślne.
  7. Sposób logowania: Domyślne formaty nazw użytkowników domeny w środowisku Active Directory to:
  8. Automatycznie rejestruj w DNS: Jeżeli ta opcja jest włączona, kiedy serwer NAS jest połączony z Active Directory, serwer NAS rejestruje się automatycznie na serwerze DNS domeny. Powoduje to utworzenie na serwerze DNS wpisu hosta DNS dla serwera NAS. Jeżeli adres IP serwera NAS zostanie zmieniony, serwer NAS automatycznie zaktualizuje adres IP na serwerze DNS.

Weryfikacja ustawień

Aby sprawdzić, czy serwer NAS dołączył do Active Directory pomyślnie, wybierz „Ustawienia uprawnień” > „Użytkownicy” lub „Grupy użytkowników”. Zostaną wyświetlone listy „Użytkownicy domen” i „Grupy domen”.

Active Directory
Active Directory

Odświeżanie list użytkowników i grup użytkowników domeny w interfejsie WWW

Jeżeli w domenie utworzono nowych użytkowników lub grupy użytkowników, możesz kliknąć przycisk „Odśwież”. Spowoduje to odświeżenie list użytkowników i grup użytkowników z Active Directory na serwerze NAS. Proces ten dotyczy tylko listy użytkowników w interfejsie WWW. Ustawienia uprawnień użytkowników są synchronizowane w czasie rzeczywistym z kontrolerem domeny.

Active Directory

Uwagi:

  • Po dołączeniu serwera NAS do Active Directory lokalni użytkownicy serwera NAS, którzy mają dostęp do serwera AD, powinni do logowania się używać nazwy „Nazwa_NAS nazwa_użytkownika”. Użytkownicy AD powinni używać własnych nazw do logowania się na serwerze AD (domena\nazwa_użytkownika).
  • Lokalni użytkownicy serwera NAS i użytkownicy AD (używający nazwy domeny i nazwy użytkownika) mają dostęp do NAS przez AFP, FTP i Web File Manager, jeżeli na serwerze NAS zainstalowano oprogramowanie firmware 3.2.0 lub w nowszej wersji. Jeżeli jednak zainstalowano oprogramowanie firmware w wersji starszej niż 3.2.0, dostęp do aplikacji Web File Manager mają tylko lokalni użytkownicy serwera NAS.
  • Aby zalogować się do serwera NAS przez Eksplorator Windows, użyj do logowania formatu „domena\nazwa_użytkownika”.
  • Aby zalogować się do usług AFP, FTP i Web File Manager, użyj do logowania formatu „Domena + Nazwa użytkownika”.
  • Dostęp do WebDAV jest ograniczony tylko do lokalnych użytkowników i grup.
  • W przypadku urządzeń z serii TS-109/209/409/509, jeżeli serwer AD działa z systemem Windows 2008, oprogramowanie firmware serwera NAS należy zaktualizować do wersji 2.1.2 lub nowszej.
  • Aby zalogować się do serwera NAS przy użyciu usług AFP, FTP i Web File Manager, użyj do logowania formatu „Domena + Nazwa użytkownika”. Aby móc korzystać ze standardowego formatu logowania Windows (DOMENA\NAZWA_UŻYTKOWNIKA), włącz opcję „Sposób logowania” w oknie „Opcje zaawansowane” na karcie „Sieć Microsoft” (zobacz wyżej).

Uwaga dotycząca systemu Windows 7

Jeżeli używasz komputera z systemem Windows 7, który nie należy do usługi Active Directory, zmień ustawienia zabezpieczeń zgodnie z poniższym opisem, aby móc uzyskać dostęp do serwera NAS z oprogramowaniem firmware w wersji starszej niż 3.2.0, który również należy do domeny.

Active DirectoryActive DirectoryActive Directory
  1. W systemie Windows 7 wybierz „Panel sterowania” > „Wszystkie elementy Panelu sterowania” i wybierz pozycję „Narzędzia administracyjne”.
  2. Wybierz „Zasady zabezpieczeń lokalnych”.
  3. Wybierz „Zasady lokalne” > „Opcje zabezpieczeń”. Następnie wybierz „Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager”.
  4. Wybierz kartę „Ustawianie zabezpieczeń lokalnych”, a następnie wybierz z listy pozycję „Wyślij LM i NTLM - użyj zabezpieczeń sesji NTLMv2 w przypadku negocjowania”. Następnie kliknij przycisk „OK”.
Active Directory

Po skonfigurowaniu ustawień w systemie Windows 7 będzie można uzyskać z niego dostęp do serwera NAS, nawet jeżeli serwer NAS należy do domeny Active Directory.

Data wydania: 2013-05-05
Czy te informacje okazały się pomocne?
Dziękujemy za przekazanie opinii.
Dziękujemy za przekazanie opinii. Jeśli masz pytania, napisz na adres support@qnap.com
14% ludzi uważa, że to pomaga.