專題首頁  /  知識庫文檔列表  /  詳情
將 ReadyNAS 加入到
Windows Server 2016 活動目錄(AD)域

ReadyNAS 支援兩種使用者和群組管理模式:本地使用者模式及活動目錄(Active Directory)模式。使用活動目錄模式,需要一個現存的活動目錄資料庫,通過管理活動目錄資料庫,而非 ReadyNAS 對用戶和群組進行管理。

注意 :本文中下列名詞被認為意義相同,並可能在文章中交叉使用:活動目錄伺服器、網域控制站、域控、Active Directory Server、AD Server、AD 伺服器、Domain Controller、DC。
注意 :正文使用 加粗 字體表示變數、代碼、需要輸入的內容或需要引起注意的內容。

 

為完成將 ReadyNAS 加入到 AD 域的相關配置,需要:

一、同步活動目錄伺服器與 ReadyNAS 系統時間

注意 :活動目錄伺服器與 ReadyNAS 的系統時間必須同步,建議使用網域控制站作為網路時間協定(NTP)伺服器,以保證兩者時間一致。
注意 :NTP 協定使用 UDP 埠 123,請留意伺服器防火牆相關配置。
  1. 在 Windows Server 2016 運行工具文字方塊內輸入 regedit 打開登錄編輯程式。

    運行登錄編輯程式
  2. 逐級進入如下路徑,將 Enabled 的鍵值改為 1 [1]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

    修改鍵值,啟用 NTP 伺服器模式
  3. 逐級進入如下路徑,將 AnnounceFlags 的鍵值改為 5[1]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

    修改宣告標識
  4. 在 PowerShell 中輸入如下命令重啟 Windows Server 2016 時間服務
    net stop w32time ; net start w32time

    重啟 Windows 時間服務
  5. 驗證(本文以 Linux 用戶端為例進行驗證, 可根據實際情況選擇熟悉的方式驗證),輸入如下命令同步時間,以判斷 NTP 伺服器是否設置成功,圖 IMG-V1704271-01-05,兩次相同命令的回顯內容分別為 NTP 伺服器設置錯誤不能同步時間的回顯(上),以及設置正確成功同步時間的回顯(下):
    ntpdate [NTP Server IP]

    驗證 NTP 伺服器是否設置成功
  6. 進入 ReadyNAS 管理介面, 依次點擊 系統>概述>系統時間 右側的 齒輪 圖示:

    設置系統時間
  7. 選擇 與互聯網伺服器同步時間 核取方塊,輸入 NTP 伺服器 IP 地址,點擊 應用

    填寫 NTP 伺服器地址

二、設置 DNS 以便 ReadyNAS 可以正確解析網域控制站主機名稱

注意 :ReadyNAS 中設置的 DNS 伺服器必須能解析域控的主機名稱,建議使用活動目錄 DNS 伺服器,以保證解析正確。
注意 :NTP 協定使用 TCP 和 UDP 埠 53,請留意伺服器防火牆相關配置。
  1. 進入 Windows Server 2016 伺服器管理器>儀錶盤 點擊 添加角色和組件 安裝 DNS 伺服器功能[2]

    添加角色和組件
  2. 在添加角色和元件嚮導中根據提示逐步設置,在伺服器角色頁面中,選擇 DNS Server 核取方塊並繼續以完成安裝。

    安裝 DNS Server 伺服器角色
  3. 安裝完成後可以在 伺服器管理器>本機伺服器>服務 中查看到 DNS Server 角色。

    DNS Server 角色已經完成安裝
  4. 驗證(本文以 Linux 用戶端為例進行驗證, 可根據實際情況選擇熟悉的方式驗證),使用如下命令從 DNS 伺服器解析一個位址。
    nslookup netgear.com [DNS Server IP]

    伺服器可以正確應答解析請求
  5. 進入 ReadyNAS 管理介面, 依次點擊 網路>連結>網卡名稱右側 齒輪 圖示,點擊 設置>IPv4>+ 在文字方塊中輸入 DNS 伺服器位址。

    打開 ReadyNAS 網卡設置頁面

    設置 DNS 伺服器

三、設置 ReadyNAS 為活動目錄模式

  1. 進入 Windows Server 2016 伺服器管理器>儀錶盤 點擊 添加角色和元件 以安裝活動目錄域服務。
  2. 在添加角色和元件嚮導中根據提示逐步設置,在伺服器角色頁面中,選擇 活動目錄域服務 核取方塊並繼續以完成安裝。

    安裝活動目錄域服務
  3. 安裝完成後根據提示逐步完成 活動目錄域服務設置嚮導

    完成活動目錄域服務設置嚮導
  4. 設置完成後伺服器會重新啟動,可以在 伺服器管理器>本機伺服器>服務 中查看到 活動目錄域服務 角色。

    活動目錄域服務已完成配置
  5. 驗證(本文以 Linux 用戶端為例進行驗證, 可根據實際情況選擇熟悉的方式驗證),修改設定檔如下。
    # /etc/nsswitch.conf
    passwd:         compat winbind
    group:          compat winbind

    將 passwd 和 group 欄位改為以上內容。

    # /etc/krb5.conf
    [libdefaults]
    default_realm = NGCHNCAN.COM
    [realms]
    NGCHNCAN.COM = {
    kdc = 10.45.1.150
    }
    [domain_realms]
    .kerberos.server = NGCHNCAN.COM
    創建以上檔, IP 位址 及 FQDN 根據實際情況填寫。
    # /etc/samba/smb.conf
    [global]
    allow trusted domains = 1
    password server = 10.45.1.150
    security = ads
    workgroup = NGCHNCAN
    realm = ngchncan.com
    新增以上內容,IP 位址及 NetBIOS 功能變數名稱根據實際情況填寫,並將 security 欄位修改為以上內容。
    # /etc/hosts
    127.0.0.1       nas-E7-55-80.NGCHNCAN.COM nas-E7-55-80 loghost
    10.45.1.150     WIN-1*********E.ngchncan.com NGCHNCAN.COM
    新增以上內容, IP 位址及功能變數名稱根據實際情況填寫。
    # net -v -U administrator%password ads join -W DOMAIN
    Using short domain name -- NGCHNCAN
    Joined 'NAS-E7-55-80' to dns domain 'ngchncan.com'
    # net -v -U administrator%password ads join -W DOMAIN
    Invalid configuration.  Exiting....
    Failed to join domain: This operation is only allowed for the PDC of the domain.
    執行命令驗證,兩次相同命令的回顯內容分別為設置錯誤不能加入域(下),以及設置正確成功加入域(上)。 
  6. 進入 ReadyNAS 管理介面, 依次點擊 帳戶>身份驗證 選擇訪問類型下拉式功能表為 Active Directory

    配置活動目錄模式。
  7. 根據如下描述完成配置。
    欄位名 描述

    NetBIOS 功能變數名稱
    NetBIOS Domain Name

    NetBIOS 功能變數名稱,可能是公司名,通常情況下為 DNS 功能變數名稱的首碼,如果 NetBIOS 功能變數名稱不代表組織結構或不符合首碼名規則,則可能與DNS 功能變數名稱的首碼不同。

    NetBIOS 功能變數名稱查詢舉例

    DNS功能變數名稱(FQDN)
    DNS Realm Name (FQDN)

    FQDN,通常為 DNS 功能變數名稱或活動目錄功能變數名稱,例如 company.community.com 中,company 為首碼,community.com 是名字的尾碼。

    FQDN 查詢舉例

    容器(OU)

    Container OU
    這是一個可選項,用來指示帳戶在活動目錄中的位置,預設情況帳戶位於 Computers 下。可以使用此欄位指定另一個 OU,使用斜線“/”連接多層級的 OU,層級最低(靠近 root)的 OU 應該寫在最前面。

    OU 舉例

    包括受信任域
    Included Trusted Domains

    選擇此核取方塊以包含受信域。

    管理員名稱
    Administrator Name

    活動目錄的管理員名。

    管理員密碼
    Administrator Password

    活動目錄的管理員密碼。

    目錄伺服器位址
    Directory Server address

    活動目錄伺服器 IP 位址。

    本地不緩存ADS帳號
    Do not cache ADS accounts locally

    選擇此核取方塊不在本地緩存 ADS 帳號。緩存可以加快存取速度,但是傳遞大量域帳戶亦將減慢 ReadyNAS 系統。如不選擇此核取方塊,ReadyNAS 系統將從活動目錄伺服器導入使用者和組列表。如果選擇此核取方塊,ReadyNAS 不會從 AD 導入用戶和組列表。

    ADS ID映射
    ADS ID Map

    選擇 導入 選項將 ADS ID 映射導入此 ReadyNAS 系統。選擇 匯出 選項以將此 ReadyNAS ADS ID 映射匯出到檔以便日後導入到其他 ReadyNAS 系統。
  8. 應用成功後可以看到 導入成功 字樣,可查詢被導入的域用戶。

    配置完成,域使用者被導入。

四、一個在網域控制站上設置許可權的示例

  1. 假設有許可權設置需求如下表。
    使用者 \\IP\SalesDepartment\Dep0 \\IP\SalesDepartment\Dep1
    Alice 可讀可寫 唯讀
    Jack 可新建檔,不可刪除 可讀可寫
  2. 考慮到需求中有 Windows 高級許可權配置,將 ReadyNAS 網路訪問全部許可權開放,由 DC 進行檔存取權限控制。進入 ReadyNAS 管理介面, 依次點擊 共用>共用> SalesDepartment 右側齒輪圖示 >設置 進入共用區許可權配置頁面。

    進入共用區許可權配置頁面
  3. 依次點擊 網路訪問>SMB,選擇 Everyone 用戶的 讀寫 核取方塊,選擇 允許匿名訪問 核取方塊。

    放開網路存取權限
  4. 在 Windows Server 2016 的資源管理器中,以域管理員 Administrator 身份訪問網路位置\\IP\SalesDepartment

    訪問共用區 SalesDepartment
  5. 按右鍵子資料夾 Dep0 依次選擇 屬性>安全>高級 以打開高級安全設置對話方塊。

    打開資料夾 Dep0 高級許可權設置對話方塊
  6. 選中用戶 Alice,點擊 編輯 進行許可權編輯。

    編輯用戶 Alice 關於資料夾 Dep0 的許可權
  7. 在基本許可權中,選擇 讀和執行列目錄,點擊 OK 確定。

    基本許可權設置
  8. 再選擇用戶 Jack,點擊 編輯 進行許可權編輯,點擊 顯示高級許可權 ,選擇 執行列目錄讀屬性讀擴展屬性創建檔創建資料夾

    高級許可權設置
  9. 完成後如圖 IMG-V1704271-04-08

    對資料夾 Dep0 的許可權設置完成
  10. 同理設置 Dep1 的許可權,完成後如圖 IMG-V1704271-04-08

    對資料夾 Dep1 的許可權設置完成
  11. 驗證(本文以 Linux 用戶端為例進行驗證, 可根據實際情況選擇熟悉的方式驗證),對照許可權配置需求。
    使用者 \\IP\SalesDepartment\Dep0 \\IP\SalesDepartment\Dep1
    Alice 可讀可寫 唯讀
    Jack 可新建檔,不可刪除 可讀可寫

    用戶 Alice 表現出了期待的許可權

    用戶 Jack 表現出了期待的許可權

參考文獻