群晖NAS无法使用域帐户通过SMB访问共享文件夹的解决方法

在群晖 NAS上

请确认以下各项：

• 域帐户拥有共享文件夹访问权限。
• 在控制面板>应用程序权限中为域帐户授予SMB适当的应用程序权限（在DSM 7.0及以上版本中可用）。
• 控制面板>域/LDAP中的域连接状态为已连接。如果状态不是已连接，请单击测试（对于DSM 7.0）或域状态检查（对于DSM 6.2），然后分别按照DSM 7.0或DSM 6.2帮助文章中的说明进行故障排除。
• 控制面板>区域选项>时间>时间设置中的与NTP服务器同步复选框已勾选，您输入域控制器的IP地址或FQDN作为服务器地址。
• NAS与域控制器之间的时间差异小于五分钟。若要检查时差，请通过SSH/Telnet使用root权限登录DSM，然后运行以下命令。 domain controller's IP address/FQDN替换为域控制器的IP地址或FQDN。 ¹
  net ads info -S domain controller's IP address/FQDN

  此处的示例显示时差（服务器时间偏移）为48秒。

在域控制器上

确保群晖 NAS的服务主体名称正确。

1. 进入管理工具> Active Directory用户和计算机。
2. 单击您的域，然后单击左侧窗格中的计算机。在右侧窗格中按服务器名称查找Synology NAS。
3. 双击Synology NAS并进入属性编辑器选项卡。
4. 双击servicePrincipalName属性，确保可以在值字段中找到NAS的服务器名称。在以下实例中，服务器名称为“ DISKSTATION”，域名为“ foo.com”，因此值下方应有“ HOST/DISKSTATION”和“ HOST/diskstation.foo.com”。

确保安全策略设置网络安全：限制NTLM：此域中的NTLM验证和网络安全：限制NTLM：传入NTLM流量允许NTLM验证。

1. 打开命令提示符或Windows PowerShell 。
2. 输入gpmc.msc以打开组策略管理。
3. 进入林>域，然后找到您的域。单击域下的组策略对象。
4. 右键单击组策略对象下的任何项目，然后选择编辑。
   
5. 进入计算机配置>策略> Windows设置>安全设置>本地策略>安全选项。
6. 找到网络安全：限制NTLM：此域中的NTLM验证和网络安全：限制NTLM：策略中的传入NTLM流量。确保他们不要拒绝NTLM验证，因为当他们拒绝时，域用户无法通过其IP地址连接到您的Synology NAS。

在计算机上

在Windows文件资源管理器中，尝试用您的域帐户访问共享文件夹。在地址栏中以\\ Synology NAS IP地址\共享文件夹名称的格式输入共享文件夹的地址：

• 如果访问失败，请按照在您的域控制器上部分中的说明检查NTLM安全策略设置。
• 如果您可以通过\\ Synology NAS IP地址\共享文件夹名称访问共享文件夹，但在以IP地址替换NAS的服务器名称时无法访问共享文件夹，请确保计算机，Synology NAS和域控制器上的时间处于同步。时间差应小于五分钟。