Serveurs 2000 du domaine et NAS inaccessible via partage réseau

Résolu/Fermé
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 - Modifié par yakalelo57 le 12/11/2015 à 11:52
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 - 12 nov. 2015 à 13:56
Bonjour !
je me permets de solliciter votre aide pour un problème assez étrange au niveau de l'accès à des serveurs 2000 depuis un poste Windows 7 Pro x64
Idem pour accéder à mon serveur NAS.

Mon serveur doit pouvoir être joint par le système de partage via \\nom_serveur_2000\
mais lorsque je tente d'y accéder, je reçois le message d'erreur suivant

\\nom_serveur_2000 n'est pas accessible. Vous ne disposez peut être pas des autorisations nécessaires pour utiliser cette ressource réseau. Contactez l'administrateur de ce serveur pour savoir si vous disposez des autorisations d'accès. Le compte n'est pas autorisé à se connecter depuis cette station.

Le message est d'autant plus étrange que j'ai plus de 70 machines windows 7 sur le site et que toutes accèdent aussi bien au serveur 2000 qu'au serveur NAS via le partage réseau. Il ne s'agit donc aucunement d'un paramètre serveur, mais d'un problème côté PC.

j'ai également testé :
\\ip_du_serveur
\\nom_serveur.nom_domaine

Et aussi la désactivation du firewall du PC, mais sans effet

J'ai aussi pu trouver un article parlant d'une clé de registre à vérifier :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictedanonymous

la valeur sur mon poste à problème était à 1 alors que sur mon poste perso c'était à 0.
j'ai donc ajusté et rebooté mais le problème persiste.

Je précise encore :
Tous les postes sont en réseau et leurs adresses sont configurées dynamiquement (DHCP). Pas de soucis de ping vers le serveur 2000 et NAS depuis le PC en cause (que ce soit sur l'IP ou sur le nom de serveur)

Je manque désormais d'idées pour les prochains tests.
Quelqu'un aurait-il une idée ?

Je vous remercie par avance

7 réponses

kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
Modifié par kelux le 12/11/2015 à 12:18
Bonjour,

1. Est ce que votre machine qui a le problème est intégrée dans le domaine ?

2. L'heure de la machine est elle bien synchronisée avec AD ?

3. Cette machine récupère t elle les même GPO que les autres machines du site ?

4. Avec le même compte utilisateur connecté sur autre machine, arrivez vous à accéder aux partages de ce serveur ?

5. Qu'est ce qui différencie cette machine win7 des autres ? Même master ou non ? Installée à la main ?

Sinon la piste la plus probable en dehors de l'heure, serait les paramètres lanman/signatures SMB/NTLM (en attendant les réponses je cherche les bonnes infos, je n'ai plus de tête)

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
12 nov. 2015 à 12:20
Les deux paramètres Lanman et NTLM à check :

http://www.tannerwilliamson.com/windows-7-seven-network-file-sharing-fix-samba-smb/394/
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
12 nov. 2015 à 12:22
En parallèle il va falloir organiser une montée de version / migration vers un OS plus récent, win2000 est à la retraite depuis un bout de temps ;)
0
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 12:24
bonjour Kelux et merci !
Alors pour 1-2-3-4 je réponds oui

J'ai testé à chaque fois avec mon compte admin du domaine. le NAS est normalement même accessible aux domain users tout simplement.

Pour les différences entre cette machine et les autres : installation à partir d'un nouvel ISO de windows 7 pro x64 (que j'ai utilisé pour mettre en place un serveur de déploiement).
Il y avait 2-3 bricoles un peu customisées dessus et qui posaient soucis. J('ai pu tout optimiser mais pour ce problème de partage je sèche.

Je vais étudier vos pistes et vous fais un retour
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
Modifié par kelux le 12/11/2015 à 12:28
Si pas de souci avec l'heure, lanman et NTLM sont la solution.
Au mieux, il faut comparer avec une bécane sous win7 pour qui l'accès fonctionne.

Par contre évitez au possible d'utiliser un compte avec droits admin du domaine, et encore moins LE compte administrateur du domaine.

On ne dépanne pas avec un tel compte et on ne se connecte encore mois avec ;-)
0
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 12:47
bon alors LANMAN j'avais une clé de registre valeur 5 sur le poste qui pose soucis.
Sur mon poste perso qui fonctionne bien, je n'avais pas du tout cette clé.

j'ai donc essayé :
1) suppression clé sur le poste + reboot
2) recréation de la clé avec le paramètre 1 comme dans votre lien

Côté NTLM ensuite, j'ai édité les stratégies locales sur mes 2 postes.
Sur celui qui fonctionne bien j'ai "Non défini" pour le paramètre "sécurité réseau : niveau d'authentification LAN Manager

Et sur celui qui ne fonctionne pas j'ai le paramètre que je suis censé indiquer selon votre lien... envoyer LM et NTLM - utiliser la sécurité de session NTLM2 si négociée.

De plus je ne peux pas remettre le paramètre en "non défini" (ce n'est pas un choix du menu déroulant.
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
Modifié par kelux le 12/11/2015 à 12:59
1. Pour la clé , ce n'est normalement qu'utile pour les versions home.
Si on recréé la clé, il faut rebooter après ;) pas avant.
Les paramètres via les stratégies vont positionner la valeur de cette clé en fait.
Une valeur à 5 -> Only NTLMv2 - et refuse LM et NTLM.
Donc c'est surement la cause initiale du problème.

2. Il faut gratter autour des GPO voir si une GPO descend pour bypasser cela.
Je le rappelle par GPO, ordre d'application : Local-Site-Domain-OU (LSDOU).
Même si on regarde la stratégie locale, il n'est pas dit de la chopper après ;-)
0
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 12:49
ces paramètres sont-ils aussi modifiable via le registre ?
Si oui je pourrais les ajuster par ce biais
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 12:57
oui pour les reboot je me doute bien j'ai fait 2 tests de modifications de registre et j'ai rebooté à chaque fois après.

Côté GPO je n'ai rien qui pousse un paramètre NTLM donc avant de modifier une GPO je voudrais déjà identifier le paramètre qui occasionne le problème.

Les paramètres NTLM doivent aussi être gérable par le registre non ?
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
12 nov. 2015 à 13:01
voir mon commentaire.

Attention, par défaut il y a des paramètres de ce type poussés (stratégie de domaine par défaut etc ...)

Le fait de les jouer par GPO, permet de verrouiler leur paramétrage et un refresh toutes les 90 minutes des valeurs poussées, et ainsi empêcher/ennuyer les utilisateurs avec des droits admin local sur leur machine de les remodifier via le registre. (ce qui n'est pas forcément le cas avec les GPP).
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
12 nov. 2015 à 13:07
Si la clé est supprimée -> cela passe à non défini - enfin "normalement"
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
Modifié par kelux le 12/11/2015 à 13:09
vous avez seulement abordé (registre ou GPO) le même composant, à savoir NTLMv2
Il faut se pencher sur les autres paramètres, avec les cases à décocher :

- sécurité de session minimale pour les clients basés sur NTLM SSP.
0
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 13:35
bon finalement j'ai réussi à trouver un peu par hasard en matchant un à un les paramètres de mon PC avec l'autre.

On est bien dans la stratégie ordinateur locale\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

J'ai du désactiver (sur le PC avec soucis) "Client réseau Microsoft : communications signées numériquement (toujours)".

Et là c'est bon aussi bien sur mon NAS que sur mon serveur 2000.
Par contre j'aurais besoin de trouver la clé de registre correspondante car je souhaite pour l'instant ne pas modifier mes GPO.

Je pense simplement appliquer un petit reg add en fin de déploiement de poste afin de fixer ce problème (celà m'évite de modifier une GPO qui toucherait 100 postes et qui risque de me faire découvrir de nouveaux problèmes par la suite car nous utilisons pas mal NTLM).

Je vais essayer de trouver la clé de registre correspondante mais si vous connaissez l'emplacement ça serait top.
Après il y a peut être combinaison de 2 de mes modifs du jour comme j'avais ajusté la clé Lm... également (je vais tester celà sur un second PC en cours de déploiement.
0
kelux Messages postés 3056 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 22 septembre 2022 429
Modifié par kelux le 12/11/2015 à 13:51
C'est par ici :

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
NtlmMinClientSec

source

https://www.ultimatewindowssecurity.com/wiki/page.aspx?spid=SecuritySettings

Tu dois ajuster la valeur en fonction du choix ...

-

celà m'évite de modifier une GPO qui toucherait 100 postes et qui risque de me faire découvrir de nouveaux problèmes par la suite car nous utilisons pas mal NTLM

On utilise tous NTLM ;)

C'est juste qu'à cause de vieilles versions de bouzin (win2000 et certains NAS avec une vieille version de SMB etc ...) on utilise NTLM v1 qui est pas secure du tout.

On utilise aujourd'hui, par défaut, NTLMv2 qui lui est plus robuste que sa version précédente.

Il faut migrer ce serveur et ce NAS vers un truc plus robuste.

Attention avec la clé de registre, c'est qu'un jour, il ne faudra pas oublier de mettre tout le monde à niveau avec une GPO pour re sécuriser l'ensemble lorsque les vieux systèmes seront migrés.

Et donc c'est plus risqué d'en oublier si on en a mis ici et la à la main ... que d'avoir un truc standardisé direct avec une GPO.
0
yakalelo57 Messages postés 103 Date d'inscription mercredi 24 octobre 2012 Statut Membre Dernière intervention 19 février 2019 1
12 nov. 2015 à 13:56
Oui, bien sur :)
Merci en tout cas pour les pistes et le coup de main ça aura été très utile.
0