Inicio > Tutoriales>Carpetas Compartidas> ¿Cómo integrar el QNAP NAS a Microsoft Active Directory (AD)?

¿Cómo integrar el QNAP NAS a Microsoft Active Directory (AD)?

 

¿Qué es el Active Directory?

Active Directory® es un directorio de Microsoft usado en entornos de Windows para poder, en forma centralizada, almacenar, compartir y manejar la información y los recursos de su red. Es un centro jerárquico de datos el cual mantiene centralizadamente la información de los usuarios, grupos de usuarios y ordenadores para poder tener un manejo de acceso seguro.

Ventajas de integrar el QNAP NAS a Active Directory:

  • Configuración conveniente de cuentas: Al integrar el NAS al Active Directory, todas las cuentas de usuario del servidor AD se importarán automáticamente al NAS. Los usuarios AD pueden usar el mismo nombre de usuario y contraseña para iniciar sesión en el NAS. Esto le ahorra tiempo y esfuerzos al administrador del servidor para crear cuentas una por una en el NAS.
  • Control de acceso eficiente: Le permite al administrador del servidor NAS configurar los derechos de acceso (sólo lectura, lectura/escritura o negar el acceso) a las carpetas compartidas de red para los usuarios locales/dominio y los grupos locales/dominio individualmente.


Prerrequisitos

Para unir Turbo NAS Active Directory con Windows Server 2008 R2, deberá actualizar el firmware de NAS a la versión V3.2.0 o superior.

Siga los pasos de abajo para integrar el Turbo NAS al Active Directory (Windows Server 2008).

Paso 1: Configurar la hora y la información DNS

Inicie sesión en el NAS como administrador. Vaya a "Administración del Sistema" > "Configuración General" > "Fecha y Hora". Defina la fecha y hora del NAS, las cuales deben coincidir con la hora del servidor AD. La diferencia de tiempo máxima permitida es de 5 minutos.

A continuación, establezca la dirección IP del servidor DNS primario utilizando la misma dirección IP del servidor Active Directory que contiene el servicio DNS. DEBERÁ ser la dirección IP del servidor DNS que se utiliza para Active Directory. Si utiliza un servidor DNS externo, no podrá unirse al dominio.

Paso 2:

Revise el nombre del servidor AD y del dominio.

a. Nombre del NetBIOS del Dominio

a. 'Este es el "Nombre de su servidor AD"
b. 'Este es el "Nombre de su Dominio"

* Por favor tenga en cuenta que el ejemplo anterior está basado en Windows Server 2008. Para Windows Server 2003, por favor tenga en cuenta la imagen de abajo para revisar el "Nombre del Servidor AD".

a. En Windows 2003 Server, el nombre del servidor AD es 'nodo1'. NO 'nodo1.qnap-test.com'
b. 'El 'Nombre del Dominio' permanece inalterado.

Paso 3: Unirse a Active Directory

Diríjase a "Network Services" ("Servicios de red") > "Microsoft Networking" ("Redes Microsoft"). Ingrese la información del dominio AD.

Nota:
Si no puede unirse al dominio AD, examine el paso 1:

  • Compruebe la diferencia horaria entre el NAS y el controlador de dominios.
  • Compruebe si el servidor DNS del NAS es el mismo que el DNS del controlador de dominios. DEBERÁ SER el servidor DNS del dominio. Si utiliza un servidor DNS externo, no podrá unirse al dominio

.

Pestaña Advanced Options (Opciones avanzadas)

Compatibilidad con WINS:
Tenga en cuenta que, en la mayoría de los casos, no es necesario ingresar la configuración de servidor WINS. En un entorno de Active Directory, se sugiere utilizar una resolución de nombres DNS pura.

  1. Enable WINS server (Habilitar servidor WINS): Sólo se debe activar esta opción si no posee un servidor WINS en la red y algunos de los ordenadores se encuentras en una subred diferente. En este caso, deberá configurar todos los ordenadores para que utilicen este servidor WINS. Tenga en cuenta que deberá existir un solo servidor WINS en la red. Se deberán configurar todos los clientes para que utilicen el mismo servidor WINS. Si no está seguro sobre esta configuración, no la habilite.
  2. Use the specified WINS server (Utilizar el servidor WINS especificado): Sólo se deberá activar esta opción si posee un servidor WINS en la red y el NAS debe ser un cliente WINS. Ingrese la dirección IP del servidor WINS
  3. Si no está seguro sobre esta configuración, no la habilite.
  4. Local Master Browser (Examinador principal local): Esta opción permite que el NAS sea un examinador principal local, que actuará como responsable de conservar la lista de los ordenadores de la red para su grupo de trabajo. El nombre del grupo de trabajo de NAS deberá ser el mismo que el del grupo de trabajo del ordenador (generalmente denominado "grupo de trabajo"). Esta configuración se encuentra habilitada de forma predeterminada. Si la deshabilita, el NAS no conservará la lista de ordenadores y este trabajo lo realizará otro ordenador de la red. Esta configuración se encuentra habilitada de forma predeterminada.
  5. Allow only NTLMv2 authentication (Permitir sólo autenticación NTLMv2): Esta opción permite sólo la autenticación NTLMv2 y rechaza la autenticación LM y NTLM. Si no está seguro sobre esta configuración, no la habilite. Si selecciona esta opción, asegúrese de que todos los ordenadores de la red sean compatibles con la autenticación NTLMv2.
  6. Name Resolution Priority (Prioridad de resolución de nombres): Esta opción hace referencia a la resolución de nombres en la red Windows. Si habilita WINS (opción (1) ó (2)), deberá poder seleccionar la prioridad de la resolución de nombres. La configuración predeterminada es "DNS only" ("Sólo DNS") cuando todas las configuraciones de WINS se encuentran deshabilitadas. Cuando WINS se encuentra habilitado, la configuración predeterminada será "WINS first, then DNS" ("WINS en primer lugar y luego DNS"). Si no posee ningún problema, mantenga los valores predeterminados.
  7. Login Style (Estilo de inicio de sesión):
    De forma predeterminada, en un entorno de Active Directory, los formatos de nombres de usuario para los usuarios de domino son los siguientes:
    * Acceso a los recursos compartidos de Windows: dominonombredeusuario
    * FTP: dominio+nombredeusuario
    * Administrador de archivos Web: dominio+nombredeusuario
    * AFP: dominio+nombredeusuario
    Por ejemplo, para acceder a una carpeta compartida a través del Administrador de archivos Web con una cuenta de usuario de dominio, deberá realizar la autenticación mediante dominio+nombredeusuario si la opción no se encuentra habilitada.

    Si la opción se encuentra habilitada, todos los servicios utilizarán el mismo formato de nombre de usuario:
    * Recursos compartidos de Windows: dominonombredeusuario
    * FTP: dominonombredeusuario
    * Administrador de archivos Web: dominonombredeusuario
    * AFP: dominonombredeusuario
    Por ejemplo, para acceder a una carpeta compartida a través del Administrador de archivos Web con una cuenta de usuario de dominio, deberá realizar la autenticación mediante dominionombredeusuario si la opción se encuentra habilitada.
  8. Automatically register in DNS (Registrar automáticamente en DNS): Si esta opción se encuentra habilitada, cuando el NAS se una a Active Directory, el NAS se registrará automáticamente en el servidor DNS del dominio. Se creará una entrada de host DNS para el NAS en el servidor DNS. Si se cambia la dirección IP del NAS, el NAS actualizará automáticamente la dirección IP en el servidor DNS.

 

Verificación de la configuración

Para verificar que el NAS se ha integrado al Active Directory exitosamente, vaya a "Administración de Derechos de Acceso" > "Usuarios". Se mostrará una lista de usuarios y grupos en las listas de "Usuarios de Dominio" y "Grupos de Dominio" respectivamente.

Actualización de las listas de de grupos de usuarios y usuarios de dominios en la interfaz Web

Si creó grupos de usuarios o usuarios nuevos en el dominio, haga clic en el botón "recargar" ( ) ubicado junto al menú contextual "Domain Users" ("Usuarios de dominios") en "Access Right Management" ("Administración de derechos de acceso") > "Users" ("Usuarios") o junto al menú contextual "Domain Groups" ("Grupos de dominios") en "Access Right Management" ("Administración de derechos de acceso") > "User Groups" ("Grupos de usuarios") (disponible con el firmware 3.3 o superior). Esta opción volverá a cargar las listas de grupos de usuarios y usuarios de Active Directory en el NAS. Este proceso se realiza sólo para la lista de usuarios de la interfaz Web. La configuración de permisos de usuarios se sincronizará en tiempo real con el controlador de dominios.

Notas:

  • Una vez integrado el NAS al Active Directory, los usuarios locales del NAS que tienen derechos de acceso al servidor AD deberían usar "NombredelNASnombredeusuario" para iniciar sesión; los usuarios AD deben usar sus propios nombres para iniciar sesión en el servidor AD. (Dominionombredeusuario).
  • Los usuarios locales del NAS y los usuarios AD (usando el nombre de usuario y el nombre de dominio) tienen acceso al NAS vía AFP, FTP, Administrador de Archivos Web con la versión del firmware 3.2.0 o superior. Sin embargo, con versiones de firmware anteriores a 3.2.0, solamente usuarios de NAS locales pueden tener acceso al Administrador de Archivos Web.
  • Para iniciar sesión en el NAS por medio del Explorador de Windows, use "DomainioNombredeusuario" como el nombre de inicio de sesión.
  • Para iniciar sesión en los servicios AFP, FTP y Administrador de Archivos Web, use "Dominio+Nombredeusuario" como el nombre de inicio de sesión.
  • El acceso a WebDAV solamente lo pueden hacer los usuarios y grupos locales.
  • Para las series TS-109/209/409/509, si el servidor AD funciona con Windows 2008, el firmware del NAS se debe actualizar con la versión v2.1.2 o superior.
  • Para iniciar sesión en el NAS a través de los servicios AFP, FTP y Administrador de archivos Web, utilice "Domino+Nombredeusuario" como el nombre para el inicio de sesión. Para poder utilizar un formato de inicio de sesión estándar de Windows (DOMINIONOMBREDEUSUARIO), deberá habilitar la opción "Login style" ("Estilo de inicio de sesión") en la pestaña "Advanced Options" ("Opciones avanzadas") de "Microsoft Networking" ("Redes Microsoft") (consulte arriba).

 

Nota sobre Windows 7

Si está usando una PC con Windows 7, la cual no pertenece a un Active Directory, para tener acceso a un NAS con firmware anterior a V3.2.0 y es también miembro de un dominio AD, por favor cambie las especificaciones de seguridad de la PC cliente como se muestra abajo.

1. En Windows 7, vaya a "Panel de Control" > "Todos los elementos del Panel de Control" y seleccione "Herramientas Administrativas".

2. Seleccione "Política de Seguridad Local".

3. Vaya a "Políticas Locales" > "Opciones de Seguridad". Luego seleccione "Seguridad de Red: Nivel de autenticación del Administrador de LAN".

4. Seleccione la pestaña "Configuración de Seguridad Local" y luego seleccione de la lista "Enviar LM & NTLMv2 – use la seguridad de sesión NTLMv2 si está negociada". Clic en "OK".

Después de definir las especificaciones en Windows 7, podrá tener acceso a su NAS desde él, incluso si su NAS es miembro de un Dominio Active Directory.