专题首页  /  知识库文档列表  /  详情
将 ReadyNAS 加入到 Windows Server 2016 活动目录(AD)域

ReadyNAS 支持两种用户和群组管理模式:本地用户模式及活动目录(Active Directory)模式。使用活动目录模式,需要一个现存的活动目录数据库,通过管理活动目录数据库,而非 ReadyNAS 对用户和群组进行管理。

注意 :本文中下列名词被认为意义相同,并可能在文章中交叉使用:活动目录服务器、域控制器、域控、Active Directory Server、AD Server、AD 服务器、Domain Controller、DC。
注意 :正文使用 加粗 字体表示变量、代码、需要输入的内容或需要引起注意的内容。

 

为完成将 ReadyNAS 加入到 AD 域的相关配置,需要:

一、同步活动目录服务器与 ReadyNAS 系统时间

注意 :活动目录服务器与 ReadyNAS 的系统时间必须同步,建议使用域控制器作为网络时间协议(NTP)服务器,以保证两者时间一致。
注意 :NTP 协议使用 UDP 端口 123,请留意服务器防火墙相关配置。

 

  1. 在 Windows Server 2016 运行工具文本框内输入 regedit 打开注册表编辑器。

    运行注册表编辑器
  2. 逐级进入如下路径,将 Enabled 的键值改为 1 [1]。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

    修改键值,启用 NTP 服务器模式
  3. 逐级进入如下路径,将 AnnounceFlags 的键值改为 5[1]。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

    修改宣告标识
  4. 在 PowerShell 中输入如下命令重启 Windows Server 2016 时间服务:
    net stop w32time ; net start w32time

    重启 Windows 时间服务
  5. 验证(本文以 Linux 客户端为例进行验证, 可根据实际情况选择熟悉的方式验证),输入如下命令同步时间,以判断 NTP 服务器是否设置成功,图 IMG-V1704271-01-05,两次相同命令的回显内容分别为 NTP 服务器设置错误不能同步时间的回显(上),以及设置正确成功同步时间的回显(下):
    ntpdate [NTP Server IP]

    验证 NTP 服务器是否设置成功
  6. 进入 ReadyNAS 管理界面, 依次点击 系统>概述>系统时间 右侧的 齿轮 图标:

    设置系统时间
  7. 选择 与互联网服务器同步时间 复选框,输入 NTP 服务器 IP 地址,点击 应用

    填写 NTP 服务器地址

二、设置 DNS 以便 ReadyNAS 可以正确解析域控制器主机名

注意 :ReadyNAS 中设置的 DNS 服务器必须能解析域控的主机名,建议使用活动目录 DNS 服务器,以保证解析正确。
注意 :NTP 协议使用 TCP 和 UDP 端口 53,请留意服务器防火墙相关配置。

 

  1. 进入 Windows Server 2016 服务器管理器>仪表盘 点击 添加角色和组件 安装 DNS 服务器功能[2]。

    添加角色和组件
  2. 在添加角色和组件向导中根据提示逐步设置,在服务器角色页面中,选择 DNS Server 复选框并继续以完成安装。

    安装 DNS Server 服务器角色
  3. 安装完成后可以在 服务器管理器>本地服务器>服务 中查看到 DNS Server 角色。

    DNS Server 角色已经完成安装
  4. 验证(本文以 Linux 客户端为例进行验证, 可根据实际情况选择熟悉的方式验证),使用如下命令从 DNS 服务器解析一个地址。
    nslookup netgear.com [DNS Server IP]

    服务器可以正确应答解析请求
  5. 进入 ReadyNAS 管理界面, 依次点击 网络>链接>网卡名称右侧 齿轮 图标,点击 设置>IPv4>+ 在文本框中输入 DNS 服务器地址。

    打开 ReadyNAS 网卡设置页面

    设置 DNS 服务器

三、设置 ReadyNAS 为活动目录模式

  1. 进入 Windows Server 2016 服务器管理器>仪表盘 点击 添加角色和组件 以安装活动目录域服务。
  2. 在添加角色和组件向导中根据提示逐步设置,在服务器角色页面中,选择 活动目录域服务 复选框并继续以完成安装。

    安装活动目录域服务
  3. 安装完成后根据提示逐步完成 活动目录域服务设置向导

    完成活动目录域服务设置向导
  4. 设置完成后服务器会重新启动,可以在 服务器管理器>本地服务器>服务 中查看到 活动目录域服务 角色。

    活动目录域服务已完成配置
  5. 验证(本文以 Linux 客户端为例进行验证, 可根据实际情况选择熟悉的方式验证),修改配置文件如下。
    # /etc/nsswitch.conf
    passwd:         compat winbind
    group:          compat winbind
    将 passwd 和 group 字段改为以上内容。
    # /etc/krb5.conf
    [libdefaults]
            default_realm = NGCHNCAN.COM
    [realms]
            NGCHNCAN.COM = {
            kdc = 10.45.1.150
            }
    [domain_realms]
           .kerberos.server = NGCHNCAN.COM
    创建以上文件, IP 地址 及 FQDN 根据实际情况填写。
    # /etc/samba/smb.conf
    [global]
    allow trusted domains = 1
    password server = 10.45.1.150
    security = ads
    workgroup = NGCHNCAN
    realm = ngchncan.com
    新增以上内容,IP 地址及 NetBIOS 域名根据实际情况填写,并将 security 字段修改为以上内容。
    # /etc/hosts
    127.0.0.1       nas-E7-55-80.NGCHNCAN.COM nas-E7-55-80 loghost
    10.45.1.150     WIN-1*********E.ngchncan.com NGCHNCAN.COM
    新增以上内容, IP 地址及域名根据实际情况填写。
    # net -v -U administrator%password ads join -W DOMAIN
    Using short domain name -- NGCHNCAN
    Joined 'NAS-E7-55-80' to dns domain 'ngchncan.com'
    # net -v -U administrator%password ads join -W DOMAIN
    Invalid configuration.  Exiting....
    Failed to join domain: This operation is only allowed for the PDC of the domain.
    执行命令验证,两次相同命令的回显内容分别为设置错误不能加入域(下),以及设置正确成功加入域(上)。      
  6. 进入 ReadyNAS 管理界面, 依次点击 账户>身份验证 选择访问类型下拉菜单为 Active Directory

    配置活动目录模式。
  7. 根据如下描述完成配置。
    字段名 描述
    NetBIOS 域名
    NetBIOS Domain Name
    NetBIOS 域名,可能是公司名,通常情况下为 DNS 域名的前缀,如果 NetBIOS 域名不代表组织结构或不符合前缀名规则,则可能与DNS 域名的前缀不同。

    NetBIOS 域名查询举例
    DNS域名(FQDN)
    DNS Realm Name (FQDN)
    FQDN,通常为 DNS 域名或活动目录域名,例如 company.community.com 中,company 为前缀,community.com 是名字的后缀。

    FQDN 查询举例
    容器(OU)
    Container OU
    这是一个可选项,用来指示账户在活动目录中的位置,默认情况账户位于 Computers 下。可以使用此字段指定另一个 OU,使用斜线“/”连接多层级的 OU,层级最低(靠近 root)的 OU 应该写在最前面。

    OU 举例
    包括受信任域
    Included Trusted Domains
    选择此复选框以包含受信域。
    管理员名称
    Administrator Name
    活动目录的管理员名。
    管理员密码
    Administrator Password
    活动目录的管理员密码。
    目录服务器地址
    Directory Server address
    活动目录服务器 IP 地址。
    本地不缓存ADS账号
    Do not cache ADS accounts locally
    选择此复选框不在本地缓存 ADS 账号。缓存可以加快访问速度,但是传递大量域账户亦将减慢 ReadyNAS 系统。如不选择此复选框,ReadyNAS 系统将从活动目录服务器导入用户和组列表。如果选择此复选框,ReadyNAS 不会从 AD 导入用户和组列表。
    ADS ID映射
    ADS ID Map
    选择 导入 选项将 ADS ID 映射导入此 ReadyNAS 系统。选择 导出 选项以将此 ReadyNAS ADS ID 映射导出到文件以便日后导入到其他 ReadyNAS 系统。
  8. 应用成功后可以看到 导入成功 字样,可查询被导入的域用户。

四、一个在域控制器上设置权限的示例

  1. 假设有权限设置需求如下表。
    用户路径 \\IP\SalesDepartment\Dep0 \\IP\SalesDepartment\Dep1
    Alice 可读可写 只读
    Jack 可新建文件,不可删除 可读可写
  2. 考虑到需求中有 Windows 高级权限配置,将 ReadyNAS 网络访问全部权限开放,由 DC 进行文件访问权限控制。进入 ReadyNAS 管理界面, 依次点击 共享>共享> SalesDepartment 右侧齿轮图标 >设置 进入共享区权限配置页面。

    进入共享区权限配置页面
  3. 依次点击 网络访问>SMB,选择 Everyone 用户的 读写 复选框,选择 允许匿名访问 复选框。

    放开网络访问权限
  4. 在 Windows Server 2016 的资源管理器中,以域管理员 Administrator 身份访问网络位置\\IP\SalesDepartment

    访问共享区 SalesDepartment
  5. 右键单击子文件夹 Dep0 依次选择 属性>安全>高级 以打开高级安全设置对话框。

    打开文件夹 Dep0 高级权限设置对话框
  6. 选中用户 Alice,点击 编辑 进行权限编辑。

    编辑用户 Alice 关于文件夹 Dep0 的权限
  7. 在基本权限中,选择 读和执行列目录,点击 OK 确定。

    基本权限设置
  8. 再选择用户 Jack,点击 编辑 进行权限编辑,点击 显示高级权限 ,选择 执行列目录读属性读扩展属性创建文件创建文件夹

    高级权限设置
  9. 完成后如图 IMG-V1704271-04-08

    对文件夹 Dep0 的权限设置完成
  10. 同理设置 Dep1 的权限,完成后如图 IMG-V1704271-04-08

    对文件夹 Dep1 的权限设置完成
  11. 验证(本文以 Linux 客户端为例进行验证, 可根据实际情况选择熟悉的方式验证),对照权限配置需求。
    用户路径 \\IP\SalesDepartment\Dep0 \\IP\SalesDepartment\Dep1
    Alice 可读可写 只读
    Jack 可新建文件,不可删除 可读可写

    用户 Alice 表现出了期待的权限

    用户 Jack 表现出了期待的权限

参考文献