[RESOLU] Partage Windows Server 2008 R2 accessible hors domaine

Partage Windows Server 2008 R2 accessible hors domaine [RESOLU] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 07-05-2015 à 10:49:35    

Hello,
 
J'ai une petite problématique à vous soumettre. J'ai un serveur de fichiers sous Windows Server 2008 R2 intégré à un domaine AD. Il fonctionne parfaitement, est accessible, etc. depuis un poste du domaine.
 
J'ai besoin qu'un des partages soit accessible depuis une machine (Win7) en workgroup pour pouvoir y stocker des images Ghost notamment (démarrage sous WinPE). Mais le serveur me refuse l'accès ?!
Si je tente de connecter un lecteur réseau en fournissant des identifiants, il me dit qu'il n'y a aucun serveur d'accès.
Si je tente d'accéder directement au partage en espérant qu'il me demande une authentification, je me fais évidemment jeter directement (il doit tenter l'authentification avec le compte Administrateur local).
 
Une astuce ? Peut-être une sécurité à modifier quelque part ? (l'UAC est déjà désactivé).


Message édité par Wolfman le 07-05-2015 à 14:06:06
Reply

Marsh Posté le 07-05-2015 à 10:49:35   

Reply

Marsh Posté le 07-05-2015 à 10:59:32    

En complément, sur le serveur de fichiers j'ai des rejets dans le journal de sécurité :
 

Citation :

Échec d’ouverture de session d’un compte.
 
Sujet :
 ID de sécurité :  NULL SID
 Nom du compte :  -
 Domaine du compte :  -
 ID d’ouverture de session :  0x0
 
Type d’ouverture de session :   3
 
Compte pour lequel l’ouverture de session a échoué :
 ID de sécurité :  NULL SID
 Nom du compte :  moncompte
 Domaine du compte :  mondomaine
 
Informations sur l’échec :
 Raison de l’échec :  Une erreur s’est produite lors de l’ouverture de session.
 État :   0xc000005e
 Sous-état :  0x0
 
Informations sur le processus :
 ID du processus de l’appelant : 0x0
 Nom du processus de l’appelant : -
 
Informations sur le réseau :
 Nom de la station de travail : NOMDUPC
 Adresse du réseau source : xxx.xxx.xxx.xxx
 Port source :  49526
 
Informations détaillées sur l’authentification :
 Processus d’ouverture de session :  NtLmSsp  
 Package d’authentification : NTLM
 Services en transit : -
 Nom du package (NTLM uniquement) : -
 Longueur de clé :  0
 
Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
 
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
 
Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
 
Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.
 
Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.
 
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
 - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
 - Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
 - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Reply

Marsh Posté le 07-05-2015 à 11:10:09    

Salut,
 
peut-être ce problème récent :
http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0 ?

Reply

Marsh Posté le 07-05-2015 à 11:18:45    

Non, les machines n'ont pas de patchs récents (politique de mise à jour trèèèèèèèèès longue, les plus récentes doivent dater d'il y a 6 mois).
Et puis je n'ai aucun soucis entre machines du domaine.

Reply

Marsh Posté le 07-05-2015 à 11:26:37    

Une machine en workgroup essaie de s'authentifier en anonyme/guest par défaut.
Si tu veux qu'il te prompt un mdp, faut soit désactiver le partage de fichier simplifié (sur le client hein), soit passer en mode classic.
Secpol.msc => Local Policies => Security Options => Network access: Sharing and security model for local accounts et mettre classic.
 
Ca revient au même en fait, c'est juste le setting appelé différemment.

Reply

Marsh Posté le 07-05-2015 à 11:26:51    

Et si j'insère la machine dans le domaine, ça fonctionne, même en me loggant sur le poste avec le compte admin local.
J'ai vraiment l'impression que c'est le fait que le poste ne soit pas DANS le domaine : ça sent la petite GPO à modifier sur le serveur, le problème est de savoir laquelle.

 

Edit: Merci Je@nb, je vais regarder ça ;)


Message édité par Wolfman le 07-05-2015 à 11:27:28
Reply

Marsh Posté le 07-05-2015 à 11:27:18    

lis mon post :p

Reply

Marsh Posté le 07-05-2015 à 11:40:29    

Test effectué. Malheureusement c'est pareil. (la stratégie était déjà en Classic)
Si j'utilise l'option de connexion de lecteur réseau, il me demande mes identifiants. Je les rentre...ça mouline...et je me fais jeter avec un "Aucun serveur d'accès n'est actuellement disponible pour traiter la demande d'ouverture de session".

 

A ce stade, ce n'est pas de l'accès anonyme, puisque j'ai fournis mes identifiants. D'ailleurs, le LOG que j'ai donné plus haut spécifie bien le login que j'ai fourni pour l'authentification.


Message édité par Wolfman le 07-05-2015 à 11:41:48
Reply

Marsh Posté le 07-05-2015 à 11:51:03    

Test supplémentaire : j'ai créé un compte local au serveur de fichiers. Si je me connecte avec celui-ci, ça fonctionne.

 

Il me fait donc chier sur l'authentification du domaine :/


Message édité par Wolfman le 07-05-2015 à 11:51:29
Reply

Marsh Posté le 07-05-2015 à 13:13:46    

Reply

Marsh Posté le 07-05-2015 à 13:13:46   

Reply

Marsh Posté le 07-05-2015 à 13:50:48    

Question bête mais, la résolution DNS sur ton windows 7 est OK pour le nom du domaine ?
Autre chose, peut être ajouter le nom du serveur dans la zone intranet d'IE sur le PC. Parfois l'authentification est bloquée en raison d'exigences de sécurité différentes en workgroup et en domaine, et la zone intranet local bypass ces sécurités.


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 07-05-2015 à 14:02:32    


J'irai pas jusque là quand même :D

CK Ze CaRiBoO a écrit :

Question bête mais, la résolution DNS sur ton windows 7 est OK pour le nom du domaine ?
Autre chose, peut être ajouter le nom du serveur dans la zone intranet d'IE sur le PC. Parfois l'authentification est bloquée en raison d'exigences de sécurité différentes en workgroup et en domaine, et la zone intranet local bypass ces sécurités.


La résolution DNS est OK. Possible que ce soit un problème de zone, mais c'est trop merdique à gérer si il faut tripatouiller à chaque fois, surtout sur du WinPE (c'est peut-être même pas accessible).
 
 
Du coup, j'ai mis en place la solution :
- création d'un partage dédié aux images GHOST
- accès au partage uniquement en lecture seule, et uniquement pour un compte local que j'ai créé sur le serveur
 
Comme ça, je débloque leur truc, sans flinguer ma sécurité  [:wolfman:2]

Reply

Marsh Posté le 07-05-2015 à 14:05:13    

^^
Truand !


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed