FAQ

  • Active Derectory
    共有フォルダ
    2016.03.10

QNAP NASをMicrosoftアクティブディレクトリ(AD)に連携させる手順

アクティブディレクトリとは?

Windows Activity Directory® は、ネットワーク上の情報やリソースを中央で保管、共有、管理するWindows環境のMicrosoftディレクトリです。これは、ユーザー、ユーザーグループ、コンピュータの情報を中央で管理する階層的データセンターであり、セキュアなアクセス管理が行えます。

QNAP NASをアクティブディレクトリに連携させることの利点:

■ アカウントのセットアップが簡単に行える: NASとアクティブディレクトリを連携させることにより、ADサーバのすべてのアカウントが自動的にNASにインポートされます。ADユーザーのメンバーは、同じユーザー名とパスワードを使用してNASにログインできます。これにより、サーバ管理者は、集中管理型マネジメントが可能になり、NASのユーザーアカウントを一つ一つ作成する手間が省けます。

■ 効率的なアクセス管理: NASでは、サーバ管理者は、ローカル/ドメインユーザーおよびローカル/ドメイングループに対し個々にネットワーク共有フォルダへのアクセス権の設定 (読み取り専用、読み取り/書き込み、アクセス拒否) が行えます。
FAQ-features12
FAQ-features13

必要条件
Turbo NASをWindowsサーバ2008 R2のアクティブディレクトリに参加させるには、NASファームウェアをV3.2.0以上に更新する必要があります。
ターボNASをWindowsアクティブディレクトリ (Windows Server 2008) に連携するには、以下の手順に従ってください。

ステップ1: 時間およびDNS情報のセットアップ
NASに管理者としてログインします。[System Administration] (システム管理) > [General Settings] (一般設定) > [Date and Time] (日付および時間) と移動し、ADサーバと同じ値になるようNASの日付と時間をセットアップします。最大許容誤差時間は5分です。
FAQ-features14
次に、プライマリDNSサーバのIPを、DNSサーバを含むアクティブディレクトリサーバのIPとして設定します。アクティブディレクトリがDNSサーバのIP使用するようにしてください。外部DNSサーバを使用する場合は、ドメインに参加することはできません。
FAQ-features15

ステップ2:
ADサーバ名とドメイン名を確認します。
FAQ-features16
a. NetBIOS ドメイン名
FAQ-features17
a. これは、”ADサーバ名” です
b. これは、”ドメイン名” です
*上記の例はWindows Server 2008に基づいています。[AD Server Name] (ADサーバ名) において、Windows2003サーバの場合は下図をご覧ください。
FAQ-features18
a. Windows 2003 Serversでは、ADサーバ名は、”node1.qnap-test.com” でなく”node1″です。
b. “ドメイン名” は、同じ名前のままになります。

ステップ3: アクティブディレクトリとの連携
[Network Services] (ネットワークサービス) > [Microsoft Networking] (ネットワーキング) に移動します。ADドメインの情報を入力します。
FAQ-features19
注記:
ADドメインに参加できなかった場合は、ステップ1をもう一度確認してください:
■ ご使用のNASとドメインコントローラの時間の差異を確認してください。
■ NASのDNSサーバがドメインコントローラDNSと同一であることを確認してください。これはドメインDNSサーバである必要があります。外部DNSサーバを使用する場合は、ドメインに参加することはできません。

詳細オプションタブ
FAQ-features25

WINSサポート:
大多数の場合、WINSサーバ設定を入力する必要はありません。アクティブディレクトリ環境では、純粋なDNS名前解決の使用が推奨されます。

1.WINS サーバの有効化:ネットワーク上にWINSサーバをお持ちでない場合、またはいくつかのコンピュータが異なるサブネット上にある場合にのみ、このオプションを有効にしてください。そのような場合、全てのコンピュータがこのWINSサーバを使用するようセットアップする必要があります。ネットワーク上ではWINSサーバは一つのみ使用することができます。全てのクライアントが同一のWINSサーバを使用するよう構成する必要があります。設定について不明瞭な場合は、有効化しないでください。

2. 特定のWINS サーバの使用: ネットワーク上にWINSサーバがある場合にのみこのオプションを有効にし、NASをWINSクライアントにしてください。WINSサーバのIPアドレスを入力します。

3.設定について不明瞭な場合は、有効化しないでください。

4.ローカルマスターブラウザ: このオプションにより、NASはローカルマスターブラウザとして機能し、ワークグループ用にネットワーク上のコンピュータの一覧を維持する役割を担います。NASのワークグループ名およびご使用のコンピュータのワークグループ名(通常 ‘workgroup’と呼ばれます)は同一である必要があります。この設定はデフォルトでは有効化の状態です。オプションが無効の場合、NASはコンピュータ一覧を維持せず、ジョブは同一ネットワークの他のコンピュータによって完了されます。デフォルト設定は有効です。

5.NTLMv2認証のみ許可する:このオプションにより、NTLMv2認証のみ許可し、LMおよびNTLMを拒否します。設定について不明瞭な場合は、このオプションにチェックマークを入れないでください。このオプションをチェックする差異は、ネットワーク上の全てのコンピュータがMTLMv2を使用できることを確認してください。

6.名前解決優先度:これはWindowsネットワーク上の名前解決の事を指しています。WINSを有効化している場合(オプション○1 あるいは ○2)、名前解決の優先順位を選択することができます。全てのWINS設定が無効の場合、デフォルト設定は”DNS only (DNSのみ)”です。WINSが有効の場合、デフォルト設定は’WINS first, then DNS (まずWINSを試行し続いてDNS)’となります。問題がなければ、デフォルト値を維持してください。

7. ログインスタイル:
  アクティブディレクトリ環境では、ドメインユーザーのデフォルトユーザー名形式は以下のとおりです:
  * Windows共有アクセス:ドメイン\ユーザー名
  * FTP:ドメイン+ユーザー名
  * Web File Manager(ウェブファイルマネージャ):ドメイン+ユーザー名
  * AFP:ドメイン+ユーザー名
  例えば、Web File Managerでドメインユーザーアカウントにより共有フォルダにアクセスする場合に、オプションがオフの場合は、ドメイン+ユーザー名により認証されることが必要です。

このオプションを選択した場合は、すべてのサービスは同一のユーザー名形式を使用します:
  * Windows共有:ドメイン\ユーザー名
  * FTP:ドメイン\ユーザー名
  * Web File Manager(ウェブファイルマネージャ):ドメイン\ユーザー名
  * AFP:ドメイン\ユーザー名
  例えば、Web File Managerでドメインユーザーアカウントにより共有フォルダにアクセスする場合に、オプションがオンの場合は、ドメイン\ユーザー名により認証されることが必要です。

8.DNSにて自動登録: このオプションがオンの際にNASがアクディブディレクトリに参加している場合、NASはドメインDNSサーバに自動的に登録されます。これにより、DNSサーバ内でのNASのDNSホストエントリが作成されます。NAS IPが変更された場合は、NASは自動的に新IPをDNSサーバに対し更新します。

設定の確認
NASが正常にアクティブディレクトリに連携されているかどうかを確認するには、[Access Right Management] (アクセス権管理) > [Users] (ユーザー) に移動します。に属するユーザーとグループの一覧が、[Domain Users] (ドメインユーザー) および [Domain Groups] (ドメイングループ) のドロップダウンリストの中に追加されていることが確認できます。
FAQ-features20
ウェブインターフェイス上のドメインユーザーおよびユーザーグループ一覧を更新する
新規ユーザーあるいはユーザーグループをドメイン内で作成した場合、”Access Right Management (アクセス権管理)” > “Users (ユーザー)” 内の”Domain Users (ドメインユーザー)” ドロップダウンメニューの隣、あるいは”Access Right Management (アクセス権管理)” > “User Groups (ユーザーグループ)” 内の “Domain Groups (ドメイングループ)” (ファームウェア3.3 以上) の隣にある “reload (リロード)” ボタン( ) をクリックします。これでユーザーあるいはユーザーグループ一覧をアクティブディレクトリからNASにリロードすることができます。このプロセスはウェブインターフェイスのユーザー一覧にのみ使用することができます。ユーザー認可設定は、ドメインコントローラと同時に同期されます。
FAQ-features27
注記:
■ NASをアクティブディレクトリに連携させた後、ADサーバへのアクセス権を持つローカルのNASユーザーは、”NAS_name\username” (NAS_名前\ユーザー名) を使用してログインします。ADユーザーは、ご自分のユーザー名を使用してADサーバにログインする必要があります (Domain\username) (ドメイン\ユーザー名)。

■ ローカルのNASユーザーおよびADユーザー (ドメイン名 + ユーザー名のユーザー名を使用します) は、AFP、FTP、Web File Manager、およびWebDAVを介して、ファームウェアバージョン 3.2.0以降のNASにアクセスできます。ただし、NASのファームウェアバージョンが、3.2.0よりも前のバージョンである場合は、ローカルのNASユーザーしかWeb File Managerにアクセスできません。

■ Windows ExplorerでNASにログインするには、”Domain\username” (ドメイン\ユーザー名) をログイン名としてご使用ください。

■ AFP、FTP、Web File Managerサービスにログインするには、”Domain+Username” (ドメイン + ユーザー名) をログイン名としてご使用ください。

■ WebDAVはローカルユーザーおよびグループのみがアクセスできます。

■ TS-109/209/409/509シリーズでは、ADサーバがWindows 2008をベースとしている場合、NASファームウェアを必ずv2.1.2以降にしてください。

■ AFP、FTP、およびWeb File ManagerサービスによりNASにログインする場合は、 “ドメイン+ユーザー名” をログイン名として使用してください。Windowsのログイン標準形式(ドメイン\ユーザー名)を使用するには、”Microsoft Networking (Microsoftネットワーク)” の “Advanced Options (詳細オプション)” タブにある”Login style (ログインの種類)” のオプションを有効化してください。(上図を参照)

Windows 7について
アクティブディレクトリのメンバーではないWindows 7 PCをご使用で、あなたのNASがADドメインメンバーであり、ファームウェアバージョンがv3.2.0より前のバージョンである場合は、クライアントPCのセキュリティ設定を以下のように変更して、ご使用のPCをNASにアクセスできるようにします。

1. Windows 7で、[Control Panel] (コントロールパネル) > [All Control Panel Items] (すべてのコントロールパネル項目) に移動し、[Administrative Tools] (管理ツール) をクリックします。
FAQ-features21
2. [Local Security Policy] (ローカルセキュリティポリシー) を選択します。
FAQ-features22
3. [ローカルセキュリティポリシー] に移動し、[セキュリティオプション] をクリックします。次に、[Network security (ネットワークセキュリティ): LAN Manager authentication level (LAN Manager認証レベル)] を選択します。
FAQ-features23
4. [Local Security Setting] (ローカルセキュリティの設定) タブを選択し、リストから [Send LM & NTLMv2 – use NTLMv2 session security if negotiated (LMとNTLMを送信する – ネゴシエーションの場合、NTLMv2 セッションセキュリティを使う] を選択します。次に、[OK] をクリックします。
FAQ-features24
Windows 7の設定を完了したら、NASがアクティブディレクトリドメインのメンバーであってもPCからNASへのアクセスが可能になります。

↑