All Products
Search
Document Center

File Storage NAS:Gabungkan titik pemasangan SMB ke domain AD

Last Updated:Jun 22, 2026

Dengan menggabungkan titik pemasangan sistem file Server Message Block (SMB) ke domain Active Directory (AD), Anda dapat mengelola otentikasi pengguna dan kontrol akses tingkat file dalam domain AD. Untuk memasang dan menggunakan sistem file SMB sebagai pengguna domain AD, Anda harus mendaftarkan principal layanan untuk sistem file tersebut di domain AD, menghasilkan file keytab, dan mengunggahnya ke Konsol NAS guna mengaktifkan fitur SMB ACL.

Prasyarat

Anda telah membuat sistem file SMB. Untuk informasi selengkapnya, lihat Buat sistem file SMB.

Langkah 1: Hasilkan file keytab

Anda dapat menghasilkan file keytab dengan salah satu metode berikut:

Pembuatan otomatis

  1. Login ke Instance ECS yang akan menjalankan controller domain AD dan layanan DNS.

  2. Di PowerShell atau PowerShell ISE, jalankan perintah berikut untuk mengunduh skrip.

    Invoke-WebRequest https://nas-client-tools.oss-cn-hangzhou.aliyuncs.com/windows_client/alinas_smb_windows_inspection.ps1 -OutFile alinas_smb_windows_inspection.ps1
  3. Ubah metode enkripsi dalam skrip alinas_smb_windows_inspection.ps1 menjadi -crypto RC4-HMAC-NT (khusus untuk Windows Server 2025).

    Langkah ini hanya diperlukan untuk Windows Server 2025. Jika Anda menggunakan versi sebelumnya, lewati ke langkah 4.

    1. Buka file alinas_smb_windows_inspection.ps1 yang telah diunduh di Notepad.

       notepad .\alinas_smb_windows_inspection.ps1
    2. Cari baris yang berisi -crypto (biasanya baris 791).

    3. Ubah metode enkripsi dari -crypto All menjadi -crypto RC4-HMAC-NT.

      Sebelum:

          $command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto All -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"

      Sesudah:

          $command = "ktpass -princ cifs/$MountAddress@$domainFullUpper -ptype KRB5_NT_PRINCIPAL -mapuser $SetspnNas@$domainFull -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHePaSsWoRd123"
    4. Tekan Ctrl+S untuk menyimpan dan menutup file.

  4. Jalankan perintah berikut untuk secara otomatis menginstal layanan controller domain AD dan layanan DNS, serta menghasilkan file keytab.

    .\alinas_smb_windows_inspection.ps1 -MountAddress file-system-id.region.nas.aliyuncs.com -ConfigAD $true -Userdomain "example.com" -Username "administrator" -Password "password"

    Daftar berikut menjelaskan parameter utama. Ganti nilai contoh dengan informasi aktual Anda.

    • file-system-id.region-id.nas.aliyuncs.com: Alamat titik pemasangan sistem file SMB. Di halaman File System List, klik Manage untuk sistem file target, lalu buka halaman Mount & Use untuk mendapatkan alamat titik pemasangan.

    • example.com: Domain AD yang ingin Anda siapkan.

    • administrator: Nama akun layanan AD.

    • password: Kata sandi logon untuk akun layanan AD.

Penting

Ketika Anda menjalankan skrip untuk pertama kalinya guna menginstal layanan domain AD dan memulai domain AD, server AD Windows akan restart. Setelah restart, jalankan kembali skrip tersebut untuk menyelesaikan pembuatan file keytab.

Konfigurasi manual

  1. Instal dan aktifkan layanan domain AD serta layanan DNS.

  2. Login ke Instance ECS yang menjalankan controller domain AD.

  3. Buka jendela Command Prompt dan jalankan perintah berikut untuk membuat akun layanan bagi sistem file SMB.

    dsadd user CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com
      -samid <AD_service_account_name>
      -display <user_description>
      -pwd <user_password>
      -pwdneverexpires yes

    Contoh:

    dsadd user CN=alinas,DC=EXAMPLE,DC=com -samid alinas -display "Alibaba Cloud NAS Service Account" -pwd tHeRd123**** -pwdneverexpires yes

    Jika Anda login sebagai pengguna standar, administrator harus memberikan izin baca dan tulis pada atribut servicePrincipalName kepada akun Anda sebelum Anda dapat membuat akun layanan. Untuk memberikan izin tersebut, jalankan perintah berikut:

    dsacls "CN=<AD_service_account_name>,DC=<AD_domain_name>,DC=com" /I:T /G "<AD_service_account_name>:RPWP;servicePrincipalName"

    Contoh:

    dsacls "CN=alinas,DC=cdbptest01,DC=com" /I:T /G "alinas:RPWP;servicePrincipalName"

    Di sini, RP adalah izin baca, dan WP adalah izin tulis.

  4. Jalankan perintah berikut untuk mendaftarkan principal layanan bagi titik pemasangan sistem file SMB.

    • Jalankan perintah:

      setspn -S cifs/<mount_target_address_of_SMB_file_system> <AD_service_account_name>

      Contoh:

      setspn -S cifs/****-****.cn-hangzhou.nas.aliyuncs.com alinas
      Catatan
      • Alamat titik pemasangan memiliki format file-system-id.region-id.nas.aliyuncs.com. Ganti placeholder dengan nilai aktual Anda. Di Konsol Apsara File Storage NAS, pada halaman File System List, klik Manage untuk sistem file target, lalu buka halaman Mount & Use untuk mendapatkan alamat titik pemasangan.

      • Jangan sertakan direktori pemasangan dalam alamat titik pemasangan, seperti file-system-id.region.nas.aliyuncs.com/myshare.

    • Contoh output

      Output yang mirip dengan berikut menunjukkan bahwa principal layanan untuk titik pemasangan sistem file SMB berhasil ditambahkan.

      C:\Users\Administrator>setspn -S cifs/xxx.nas.aliyuncs.com alinas
      Checking domain DC=smb-hk,DC=com
      Registering ServicePrincipalNames for CN=alinas,DC=smb-hk,DC=com
              cifs/xxx.nas.aliyuncs.com
      Updated object
      C:\Users\Administrator>
  5. Periksa konfigurasi setspn di server AD Windows atau klien Windows.

    Jalankan perintah:

    setspn alinas

    Jika output mencakup titik pemasangan sistem file, maka setspn telah dikonfigurasi dengan benar di server AD Windows atau klien Windows.

    C:\Users\Administrator\Desktop>setspn alinas
    Registered ServicePrincipalNames for CN=alinas,DC=smbmock60,DC=com:
            cifs/xxx.nas.aliyuncs.com
  6. Di controller domain AD, buka jendela Command Prompt dan jalankan perintah berikut untuk menghasilkan file keytab bagi titik pemasangan sistem file SMB.

    Penting

    Parameter -princ bersifat case-sensitive, dan nilai untuk parameter <AD domain> harus dalam huruf kapital semua.

    • Untuk Windows Server 2022 dan versi sebelumnya

      ktpass
        -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain>
        -ptype KRB5_NT_PRINCIPAL
        -mapuser <AD_service_account_name>@<AD_domain>
        -crypto All
        -out <path_of_the_generated_keytab_file>
        -pass <user_password>

      Contoh:

      ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto All -out c:\nas-mount-target.keytab -pass tHeP****d123
    • Untuk Windows Server 2025

      Windows Server 2025 tidak mendukung Data Encryption Standard (DES). Oleh karena itu, Anda harus mengubah parameter -crypto All menjadi -crypto RC4-HMAC-NT saat menghasilkan file keytab.

      ktpass
        -princ cifs/<SMB_file_system_mount_target_address>@<AD_domain>
        -ptype KRB5_NT_PRINCIPAL
        -mapuser <AD_service_account_name>@<AD_domain>
        -crypto RC4-HMAC-NT
        -out <path_of_the_generated_keytab_file>
        -pass <user_password>

      Contoh:

      ktpass -princ cifs/****-****.cn-hangzhou.nas.aliyuncs.com@EXAMPLE.COM -ptype KRB5_NT_PRINCIPAL -mapuser alinas@example.com -crypto RC4-HMAC-NT -out c:\nas-mount-target.keytab -pass tHeP****d123

    Untuk memverifikasi file keytab, lihat Bagaimana cara memverifikasi file keytab?.

Untuk mengunduh file keytab ke komputer lokal, lihat Gunakan Workbench untuk mengunggah, mengunduh, atau mengelola file pada Instance ECS.

Langkah 2: Unggah file keytab

Di Konsol NAS, unggah file keytab untuk akun layanan Apsara File Storage NAS.

  1. Login ke Konsol NAS.

  2. Di panel navigasi sebelah kiri, pilih File System > File System List.

  3. Di halaman File System List, klik ID sistem file target atau klik Manage di kolom Actions.

  4. Di tab Access Control, klik Enable.

  5. Di kotak dialog Enable SMB ACL, unggah file keytab untuk akun layanan Apsara File Storage NAS, lalu klik OK.

    Catatan: Jika klien telah memasang sistem file, Anda harus memasang ulang agar perubahan berlaku.

  6. Di tab Access Control, klik Modify Configuration.

  7. Di kotak dialog Modify Configuration, konfigurasikan parameter sesuai deskripsi dalam tabel berikut.

    Penting

    Enkripsi transport hanya didukung pada sistem operasi yang menggunakan SMB 3.0 atau versi lebih baru. Untuk informasi selengkapnya tentang sistem operasi yang didukung, lihat Sistem operasi klien yang mendukung protokol SMB 3.0 dan versi lebih baru.

    Parameter

    Deskripsi

    allow anonymous access

    Menentukan apakah akses anonim ke sistem file diizinkan. Nilai yang valid:

    • Yes: Mengizinkan siapa pun memasang sistem file menggunakan NTLM. Setelah pemasangan, identitas pengguna adalah Everyone, tetapi ACL yang dikonfigurasi tetap berlaku.

    • No (default): Mencegah pengguna anonim mengakses sistem file.

    enable transport encryption

    Menentukan apakah enkripsi transport untuk sistem file SMB diaktifkan. Nilai yang valid:

    • Yes: Mengaktifkan enkripsi transport untuk sistem file SMB.

    • No (default): Menonaktifkan enkripsi transport untuk sistem file SMB.

    Untuk informasi selengkapnya, lihat Enkripsi transport untuk sistem file SMB.

    deny non-encrypted clients

    Menentukan jenis klien yang dapat mengakses sistem file SMB. Nilai yang valid:

    • Yes: Pasang sistem file SMB menggunakan klien yang telah mengaktifkan fitur enkripsi dalam transit. Artinya, Anda dapat menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.

      Namun, Anda tidak dapat memasang sistem file SMB sebagai pengguna anonim atau menggunakan klien yang tidak mendukung fitur enkripsi dalam transit.

    • No: Pasang sistem file SMB dari semua jenis klien. Namun, fitur enkripsi dalam transit hanya dapat diaktifkan jika Anda menggunakan pengguna domain AD untuk memasang sistem file SMB pada klien yang sistem operasinya mendukung fitur enkripsi dalam transit.

    keytab file

    Unggah file keytab.

    super admin

    Super admin dapat melakukan operasi pada file apa pun di folder mana pun tanpa mengubah ACL. Anda dapat mengonfigurasi pengguna atau kelompok sebagai super admin. Nilainya harus dalam format Security Identifier (SID), seperti S-1-5-32-544. Nilai default: kosong.

    user home directory

    Jalur utama untuk direktori home setiap pengguna. Misalnya, jika Anda mengatur nilai ini ke \home, sistem file secara otomatis membuat direktori \home\A ketika Pengguna A login. Jika \home\A sudah ada, tindakan ini dilewati. Nilai default: kosong.

    Penting

    Pengguna A harus memiliki izin untuk membuat direktori di direktori \home. Jika tidak, direktori \home\A tidak dapat dibuat.

    Penting

    Jika klien telah memasang sistem file SMB, Anda harus memasang ulang agar perubahan pada akun layanan domain AD berlaku.

Langkah selanjutnya

Setelah menggabungkan titik pemasangan sistem file SMB ke domain AD, Anda dapat memasang dan menggunakan sistem file SMB sebagai pengguna domain AD. Untuk informasi selengkapnya, lihat Pasang dan gunakan sistem file SMB sebagai pengguna domain AD di klien Windows dan Pasang dan gunakan sistem file SMB sebagai pengguna domain AD di klien Linux.