如何將 QNAP NAS 加入 Microsoft Active Directory (AD) 網域?
“讓您用 AD 輕鬆管理 NAS 帳號”
簡介
Directory® 是用於 Windows 環境下的 Microsoft 目錄,可集中儲存、共用及管理網路上的資訊和資源。此目錄是一種樹狀結構的資料中心,負責集中保存使用者、使用者群組和電腦資訊,以提供安全的存取管理服務。
將 QNAP NAS 加入 Active Directory 的優點:
- 方便設定帳戶:將 NAS 加入 Active Directory,AD 伺服器的所有使用者帳號便會自動匯入 NAS。AD 使用者使用同一組使用者名稱和密碼即可登入 NAS。這樣可以節省伺服器管理員在 NAS 上一個一個建立使用者帳戶的時間和工作量。
- 有效存取控制: NAS 允許伺服器管理員設定網路共用資料夾的存取權限(唯讀、讀取/寫入或禁止存取)。
必備要件
要將 Turbo NAS 加入 Windows Server 2008 R2 上的 Active Directory,您必須先將 NAS 韌體更新至 V3.2.0 或以上。
請依照下列步驟,將 Turbo NAS 加入 Active Directory (Windows Server 2008)。
以系統管理員身分登入NAS。前往[系統設定]>[一般設定]>[時間]。設定 NAS 的日期與時間,系統時間必須和 AD 伺服器的時間一致。誤差必須少於 5 分鐘。
接著,將主要的 DNS 伺服器 IP 位址設為提供 DNS 服務的 Active Directory 伺服器的 IP,這組 IP 必須是 Active Directory 服務所使用的 DNS 伺服器的 IP,若您使用外接的 DNS 伺服器,將不能加入這個網域。
a. 這是「Domain NetBIOS 名稱」。
a. 這是您的「AD 伺服器名稱」。
b.這是您的「網域名稱」。
請注意:以上的範例適用於 Windows Server 2008。若使用 Windows Server 2003,請參閱以下圖來確認「AD 伺服器名稱」。
a. 在 Windows 2003 Server 中,AD 伺服器名稱為「node1」,而非「node1.qnap-test.com」。
b.「網域名稱」維持不變。
前往[權限設定]>[網域安全認證]>[Active Directory 驗證]>[手動設定]。輸入 AD 網域資訊。
- 設定時間和 DNS 資訊。
- 檢查 AD 伺服器名稱和網域名稱。
- 加入 Active Directory。
- 如果加入 AD 網域失敗,請重新檢查「設定時間和 DNS 資訊」:
- 檢查 NAS 和網域控制站之間是否有時間差。
- 確認 NAS 的 DNS 伺服器是否與網域控制站的 DNS 相同。它必須是您的網域 DNS 伺服器。若您使用外接的 DNS 伺服器,將不能加入這個網域。
- 僅支援具有雙向傳遞信任的網域。
進階選項標籤
前往[網路服務]>[Win/Mac/NFS]>[Microsoft 網路]>[AD 網域成員]>[進階選項]。
WINS 支援:
請注意,大多數情況下,沒有必要輸入 WINS 伺服器設定。在 Active Directory 環境中,建議使用純 DNS 名稱解析。
(1) Windows 共享存取:網域使用者名稱
(2) FTP:網域 + 使用者名稱
(3) Web File Manager:網域 + 使用者名稱
(4) AFP:網域 + 使用者名稱
舉例來說,若要從網頁式檔案總管以網域使用者的帳號存取共用資料夾,在這個選項未被啟用時,您必須使用網域+使用者名稱進行認證。
若啟用這個選項,所有服務將會使用相同的登入格式:
(1) Windows 共用:網域使用者名稱
(2) FTP:網域使用者名稱
(3) Web File Manager:網域使用者名稱
(4) AFP:網域使用者名稱
舉例來說,若要透過 Web File Manager 使用網域使用者帳戶存取共用資料夾,如果開啟此選項,則必須使用網域使用者名稱進行驗證。
- 啟動 WINS 伺服器:只有您的網路沒有 WINS 伺服器且部分電腦位於不同子網域,才需要啟用這個選項。若要啟用這個選項,您必須將所有電腦設定為使用同一台 WINS 伺服器,請注意,您的網路中必須只有一個 WINS 伺服器。所有用戶端都必須設定為使用相同的 WINS 伺服器。如果您不清楚這項設定,請勿啟用。
- 使用指定的 WINS 伺服器:只有當您的網路上僅有一台 WINS 伺服器時,才需要啟動這個選項,且您的 NAS 不能是 WINS 伺服器。輸入 WINS 伺服器的 IP 位址
- 如果您不清楚這項設定,請勿啟用。
- Local Master Browser:啟用這個選項將 NAS 設定為 Local Master Browser,Local Master Browser 負責收集本地網路內相同工作群組的所有電腦名稱。NAS 的工作群組名稱必須跟其他電腦的工作群組名稱一致(通常是workgroup)。這個設定預設為啟用。如果您將它停用,NAS 將不會收集網路內的電腦名稱,此工作將由網路上另一台電腦執行。預設設定為啟用。
- 只允許NTLMv2認證:此選項只允許 NTLMv2 認證並拒絕 LM 和 NTLM。如果您不清楚這項設定,請勿勾選這個選項。如果勾選這個選項,請確定網路上的所有電腦都可以使用 NTLMv2。
- 名稱解析順序:這個選項指的是 Windows 網路上的名稱解析。如果啟用 WINS(選項 (1) 或 (2)),您將能夠選擇名稱解析的優先順序。當停用所有 WINS 設定時,預設設定為「只有 DNS」。啟用 WINS 時,預設設定為[WINS優先,DNS次之]。若您在使用上並無問題,建議維持預設值。
- 登入方式:
在 Active Directory 環境中,系統預設網域使用者的登入格式為: - DNS自動註冊:如果開啟此選項,當 NAS 加入 Active Directory 時,NAS 會自動在網域的 DNS 伺服器上註冊。此時會在NAS伺服器,為NAS建立DNS主機項目。如果 NAS IP 更動,NAS 會自動在 DNS 伺服器更新 IP。
確認設定成功
若要驗證 NAS 是否成功加入 Active Directory,請前往[權限設定]>[使用者]或[使用者群組]。使用者和群組清單分別顯示在[網域使用者]和[網域群組]清單上。
在網頁介面上重新整理網域使用者和使用者群組清單
如果您在網域中建立了新使用者或使用者群組,則可以按一下「重新載入」按鈕。使用者和使用者群組清單就會從 Active Directory 重新載入到 NAS。只有網頁介面上的使用者清單,才會進行這個程序。使用者權限設定會即時與網域控制器同步。
- NAS 加入 Active Directory 後,具有 AD 伺服器存取權限的本機 NAS 使用者應使用「NAS_name 使用者名稱」登入;AD 使用者應使用自己的使用者名稱(網域使用者名稱)登入 AD 伺服器。
- 允許本機 NAS 使用者和 AD 使用者(使用網域名稱和使用者名稱)透過 AFP、FTP 和 Web File Manager(韌體版本需為 3.2.0 以上)存取 NAS。然而,如果是 3.2.0 之前版本的韌體,則僅允許本機 NAS 使用者存取 Web File Manager。
- 若要透過 Windows 檔案管理員登入 NAS,請使用「DomainUsername」作為登入名稱。
- 若要登入 AFP、FTP 和 Web File Manager 服務,請使用「網域 + 使用者名稱」作為登入名稱。
- WebDAV 只能由本機使用者和群組存取。
- 對於 TS-109/209/409/509 系列,如果 AD 伺服器是採用 Windows 2008,則 NAS 韌體必須更新至 v2.1.2 或更高版本。
- 若要透過 AFP、FTP 和 Web File Manager 服務登入 NAS,請使用「網域 + 使用者名稱」作為登入名稱。為了能夠使用標準的 Windows 登入格式 (DOMAINUSERNAME),您必須在「Microsoft 網路」的「進階選項」標籤中啟用「登入方式」選項(請參閱上文)。
Windows 7 相關注意事項
若您使用的電腦作業系統為Windows 7,並且沒有加入 Active Directory,而您的 NAS 已加入 AD 網域及其韌體為 3.2.0 之前的版本,請依照以下說用戶端電腦的安全性設定。
- 在 Windows 7 中,進入[控制台]>[所有控制台項目],然後選擇[系統管理工具]。
- 選擇[本機安全性原則]。
- 前往[本機原則]>[安全性選項],接著選擇[網路安全性:LAN Manager 驗證等級]。
- 選擇[本機安全性設定]標籤,從清單選擇[傳送LM和NTLMv2 – 如有交涉,使用NTLMv2工作階段安全性],然後按[確定],
完成 Windows 7 上的設定後,您便可以存取已加入 Active Directory 網域的 NAS。
