[INFO]La gestion du réseau de VISTA a failli me rendre fou !

Le
Jean-Claude BELLAMY
Hello happy taxpayers !

Je tiens à faire part la Communauté d'un problème de réseau vécu ces
jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre,
heureusement.

Les faits :
- Un réseau local composé de 6 machines physiques + 4 machines virtuelles
(VMWare)
- Sous des OS variés (NT4 SRV, W2K PRO, XP PRO, W2K3,
Vista Home Premium et Vista Ultimate)
- LAN à la fois Ethernet et WIFI avec cohabitation de
- domaine NT4
- domaine W2K3
- workgroup
- les comptes locaux des machines du workgroup
se retrouvent à l'identique partout, y compris
dans chaque domaine.

Jusqu'àlors, TOUT allait bien, TOUT le monde voyait tout le monde, partage
complets des disques, "NET VIEW " répondant parfaitement dans toutes les
situations, le bonheur

Et puis, alors que je m'étais absenté quelques jours de chez moi, la loi de
Murphy a voulu qu'un interrupteur différentiel déclenche!
J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a pas
empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement par
"manque d'électrons" (elle n'avait pas reçu le message émis par l'onduleur
de coupure du secteur, qui permet normalement un arrêt "propre").

Au redémarrage, a priori tout a eu l'air de bien se passer, mais dans les 10
x 9 combinaisons possibles de connexions entre les 10 machines, impossible
d'en établir une, à savoir depuis un PC sous VISTA (appelons le "A") vers un
PC sous XP ("B") !
Que ce soit avec un NET VIEW \xxxxx, ou un NET USER * \xxxxxx, ou depuis
l'explorateur, à chaque fois je me goinfrais une injurebox "erreur code 5",
à savoir "accès refusé" !
Pourtant tous les 2 dans le même workgroup, et avec le même compte
administrateur (username/password) !

Je vérifie les partages sur "B" : R.A.S.
Je contrôle les passwords et les appartenances au groupe admin sur "A" et
sur "B" : R.A.S.

Je fais la manip inverse, à savoir me connecter depuis "B" vers "A" : no
problem !
Je vais sur un poste "C" (sous XP), puis sur le serveur W2K3 ("D"), pour
établir une connexion sur "B" : nasodigital !

Je me déconnecte sur "A", je reboote même, j'ouvre une session sous le
compte "Administrateur", je veux me connecter de nouveau vers "B" : Accès
refusé !

Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!

J'ai passé en revue toutes les commandes NetBIOS/SMB/ du réseau
Microsoft, à l'aide de NBTSTAT suivi des commutateurs -c, -R , -RR, j'ai
purgé rechargé les caches, , fait appel à la commande BROWSTAT du Reskit,
que dalle, toujours cet "Accès refusé" !

Parcours des fichiers log dans le gestionnaire d'événements (audits activés)
: aucune info de plus, aucune explication sur ce refus!

Et c'est presque par hasard que j'ai remarqué, sur la machine sous XP, que
l'horloge était très en retard (3 jours environ!).
Visiblement l'arrêt prolongé avait eu raison de la pile de l'horloge interne
(ce PC a déjà quelques années).

J'ai donc remis le PC "B" à l'heure, je suis retourné sur "A", et là, ô
merveille, comme je l'avais un peu implicitement espéré, j'ai pu ENFIN me
connecter!!!!
(sans rien changer bien sûr au niveau comptes, partages, stratégies, LCA,
)


J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI dans
le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT par
VISTA si la machine distante a une horloge déréglée !!!

Et cela n'est signalé que par un unique et laconique message "Accès refusé",
sans autre information!

Je ne conteste pas le bien-fondé de ce renforcement de la sécurité, qui
exige une synchro des horloges, par contre, une fois de plus, je déplore
profondément le MANQUE d'information de la part de MS dans les libellés de
messages d'erreur!



Donc si à l'avenir çà peut servir à d'autres :-)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
-
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Azo3
Le #51885
merci jean-Claude parce qu'en plus tu nous rassures...ce n'est pas toujours
de notre faute!!

amitiés


--
Serge CENCI
MVP Microsoft WINDOWS
https://mvp.support.microsoft.com/profile/Serge.Cenci



NB - adresse : enlever ENLEVER
"Jean-Claude BELLAMY" message de news:
Hello happy taxpayers !

Je tiens à faire part la Communauté d'un problème de réseau vécu ces
jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre,
heureusement.

Les faits :
- Un réseau local composé de 6 machines physiques + 4 machines virtuelles
(VMWare)
- Sous des OS variés (NT4 SRV, W2K PRO, XP PRO, W2K3,
Vista Home Premium et Vista Ultimate)
- LAN à la fois Ethernet et WIFI avec cohabitation de
- domaine NT4
- domaine W2K3
- workgroup
- les comptes locaux des machines du workgroup
se retrouvent à l'identique partout, y compris
dans chaque domaine.

Jusqu'àlors, TOUT allait bien, TOUT le monde voyait tout le monde, partage
complets des disques, "NET VIEW ..." répondant parfaitement dans toutes
les situations, le bonheur ...

Et puis, alors que je m'étais absenté quelques jours de chez moi, la loi
de Murphy a voulu qu'un interrupteur différentiel déclenche!
J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a
pas empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement
par "manque d'électrons" (elle n'avait pas reçu le message émis par
l'onduleur de coupure du secteur, qui permet normalement un arrêt
"propre").

Au redémarrage, a priori tout a eu l'air de bien se passer, mais dans les
10 x 9 combinaisons possibles de connexions entre les 10 machines,
impossible d'en établir une, à savoir depuis un PC sous VISTA (appelons le
"A") vers un PC sous XP ("B") !
Que ce soit avec un NET VIEW \xxxxx, ou un NET USER * \xxxxxx, ou depuis
l'explorateur, à chaque fois je me goinfrais une injurebox "erreur code
5", à savoir "accès refusé" !
Pourtant tous les 2 dans le même workgroup, et avec le même compte
administrateur (username/password) !

Je vérifie les partages sur "B" : R.A.S.
Je contrôle les passwords et les appartenances au groupe admin sur "A" et
sur "B" : R.A.S.

Je fais la manip inverse, à savoir me connecter depuis "B" vers "A" : no
problem !
Je vais sur un poste "C" (sous XP), puis sur le serveur W2K3 ("D"), pour
établir une connexion sur "B" : nasodigital !

Je me déconnecte sur "A", je reboote même, j'ouvre une session sous le
compte "Administrateur", je veux me connecter de nouveau vers "B" : Accès
refusé !

Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!

J'ai passé en revue toutes les commandes NetBIOS/SMB/... du réseau
Microsoft, à l'aide de NBTSTAT suivi des commutateurs -c, -R , -RR, ...
j'ai purgé rechargé les caches, ..., fait appel à la commande BROWSTAT du
Reskit, que dalle, toujours cet "Accès refusé" !

Parcours des fichiers log dans le gestionnaire d'événements (audits
activés) : aucune info de plus, aucune explication sur ce refus!

Et c'est presque par hasard que j'ai remarqué, sur la machine sous XP, que
l'horloge était très en retard (3 jours environ!).
Visiblement l'arrêt prolongé avait eu raison de la pile de l'horloge
interne (ce PC a déjà quelques années).

J'ai donc remis le PC "B" à l'heure, je suis retourné sur "A", et là, ô
merveille, comme je l'avais un peu implicitement espéré, j'ai pu ENFIN me
connecter!!!!
(sans rien changer bien sûr au niveau comptes, partages, stratégies, LCA,
...)


J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI
dans le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT
par VISTA si la machine distante a une horloge déréglée !!!

Et cela n'est signalé que par un unique et laconique message "Accès
refusé", sans autre information!

Je ne conteste pas le bien-fondé de ce renforcement de la sécurité, qui
exige une synchro des horloges, par contre, une fois de plus, je déplore
profondément le MANQUE d'information de la part de MS dans les libellés de
messages d'erreur!



Donc si à l'avenir çà peut servir à d'autres ... :-)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org



Nina Popravka
Le #51884
On Mon, 11 Jun 2007 11:01:29 +0200, "Jean-Claude BELLAMY"

J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI dans
le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT par
VISTA si la machine distante a une horloge déréglée !!!


Normal, Kerberos ne supporte qu'une dérive de 5 mn dans le réglage par
défaut ; et je suppose que Vista exige Kerberos par défaut.
C'est pour ça que c'est très important d'utiliser la synchro NTP pour
mettre les machines à l'heure.
--
Nina

Steph
Le #51508
Le 11/06/2007 11:01, Jean-Claude BELLAMY disait:
Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!


mdrrr :)
Merci pour ce retour d'expérience !

--
Steph
Enlever l'.adressebidon.invalid pour m'écrire en privé

Jean-Claude BELLAMY
Le #51507
"Nina Popravka" news:
On Mon, 11 Jun 2007 11:01:29 +0200, "Jean-Claude BELLAMY"

J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI
dans
le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT par
VISTA si la machine distante a une horloge déréglée !!!


Normal, Kerberos ne supporte qu'une dérive de 5 mn dans le réglage par
défaut ; et je suppose que Vista exige Kerberos par défaut.
C'est pour ça que c'est très important d'utiliser la synchro NTP pour
mettre les machines à l'heure.



Ben voui, .. mais je n'aurais jamais imaginé que cela soit également
appliqué et actif dans le modeste réseau en workgroup d'un simple
particulier.
Et le pire est que sous un OS tel que VISTA Home, des outils indispensables
tels que GPEDIT.MSC ou SECPOL.MSC sont INTERDITS d'usage !
C'est SCANDALEUX !

MS n'est pas cohérent :
- ou bien il met en place des stratégies de sécurité
du style Kerbéros, ... mais il donne les outils qui
permettent de les gérer
- ou bien il FICHE LA PAIX à l'utilisateur lambda !

mais certainement pas cette disposition batarde, dans laquelle l'utilisateur
est sous la coupe de tas de protections - certes louables - mais qu'il est
incapable de contrôler !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org


Surgelé
Le #51506
Hello, earthling Jean-Claude BELLAMY,

Donc si à l'avenir ça peut servir à d'autres ... :-)


Merci pour ce partage très conforme à ta signature...

J'en ai eu une du même genre (pas au niveau symptômes, au niveau agacement) :
- je rentre chez moi après intervention, les tâches sont arrêtées et une
machine plantée (Vista tournant)
- redémarrage : pas d'O.S. accessible, écran bleu indiquant que le BIOS pose
problème ;
- un petit tour dans le BIOS : semble normal ; je mets le boot sur CD : le
DVD de Vista n'arrive pas à démarrer ;
- je me dis que mon BIOS a peut-être flanché : pas d'accès au floppy non
plus...

Solution : l'arrêt électrique complet (pas le bouton de devant, l'interrupteur
de l'alimentation) a remis le BIOS en état de démarrer. Vista est reparti
comme en 40...

Mais toujours pas pigé le pourquoi du truc alors que j'ai toujours des tâches
de fond qui tournent sans souci.

Quand ces choses nous dépassent, feignons d'en être les organisateurs...

--
Surgelé


Nina Popravka
Le #51505
On Mon, 11 Jun 2007 09:44:32 +0000 (UTC), Surgelé wrote:

Mais toujours pas pigé le pourquoi du truc alors que j'ai toujours des tâches
de fond qui tournent sans souci.


Mon intuition féminine me dit que c'est plus un souci de la bécane
qu'un souci de Vista ;->>>
--
Nina

Nina Popravka
Le #51504
On Mon, 11 Jun 2007 11:35:19 +0200, "Jean-Claude BELLAMY"

Ben voui, .. mais je n'aurais jamais imaginé que cela soit également
appliqué et actif dans le modeste réseau en workgroup d'un simple
particulier.


Je viens de jeter un oeil, je n'ai pas l'impression que Kerberos soit
obligatoire en workgroup. Mais bon, j'ai peut-être loupé une ligne
dans l'usine à gaz ;->>>
--
Nina

Nina Popravka
Le #51503
On Mon, 11 Jun 2007 11:35:19 +0200, "Jean-Claude BELLAMY"

Ben voui, .. mais je n'aurais jamais imaginé que cela soit également
appliqué et actif dans le modeste réseau en workgroup d'un simple
particulier.


Hé bien non, c'est pas Kerberos...
C'est tout simplement NTLMv2.
Je viens d'essayer, j'ai eu exactement le même comportement et la même
erreur que quand on accède depuis Vista à Samba.
Et recherche faite, NTLMv2 a besoin aussi de la synchro du temps :
Du coup, je viens de comprendre pourquoi j'ai eu récemment un blème
entre Vista et une vieille bécane sous w2k.
--
Nina

Emmanuel Dreux [MS]
Le #51502
Je viens de faire le test, j'ai failli douter :-)

Dans un domaine, l'authetification se fait d'abord en Kerberos qui supporte
par défaut un décalage horaire de 5 minutes seulement.
Puis si Kerberos ne fonctionne pas pour une raison X ou Y, il y a switch sur
NTLM qui n'a aucune notion horaire.

En workgroup, l'authentification a lieu en NTLM auprès de la SAM locale et
aucune notion horaire rentre en jeu.
Non plus pour le protocole SMB.

Je viens de passer une machine en workgroup à une datre passée la semaine
dernière et me suis connecté à mon Vista à l'heure dans un domaine sans
aucun problème.
Il devait y avoir autre chose?

--
Cordialement,

Emmanuel Dreux.

"Jean-Claude BELLAMY" news:
Hello happy taxpayers !

Je tiens à faire part la Communauté d'un problème de réseau vécu ces
jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre,
heureusement.

Les faits :
- Un réseau local composé de 6 machines physiques + 4 machines virtuelles
(VMWare)
- Sous des OS variés (NT4 SRV, W2K PRO, XP PRO, W2K3,
Vista Home Premium et Vista Ultimate)
- LAN à la fois Ethernet et WIFI avec cohabitation de
- domaine NT4
- domaine W2K3
- workgroup
- les comptes locaux des machines du workgroup
se retrouvent à l'identique partout, y compris
dans chaque domaine.

Jusqu'àlors, TOUT allait bien, TOUT le monde voyait tout le monde, partage
complets des disques, "NET VIEW ..." répondant parfaitement dans toutes
les situations, le bonheur ...

Et puis, alors que je m'étais absenté quelques jours de chez moi, la loi
de Murphy a voulu qu'un interrupteur différentiel déclenche!
J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a
pas empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement
par "manque d'électrons" (elle n'avait pas reçu le message émis par
l'onduleur de coupure du secteur, qui permet normalement un arrêt
"propre").

Au redémarrage, a priori tout a eu l'air de bien se passer, mais dans les
10 x 9 combinaisons possibles de connexions entre les 10 machines,
impossible d'en établir une, à savoir depuis un PC sous VISTA (appelons le
"A") vers un PC sous XP ("B") !
Que ce soit avec un NET VIEW \xxxxx, ou un NET USER * \xxxxxx, ou depuis
l'explorateur, à chaque fois je me goinfrais une injurebox "erreur code
5", à savoir "accès refusé" !
Pourtant tous les 2 dans le même workgroup, et avec le même compte
administrateur (username/password) !

Je vérifie les partages sur "B" : R.A.S.
Je contrôle les passwords et les appartenances au groupe admin sur "A" et
sur "B" : R.A.S.

Je fais la manip inverse, à savoir me connecter depuis "B" vers "A" : no
problem !
Je vais sur un poste "C" (sous XP), puis sur le serveur W2K3 ("D"), pour
établir une connexion sur "B" : nasodigital !

Je me déconnecte sur "A", je reboote même, j'ouvre une session sous le
compte "Administrateur", je veux me connecter de nouveau vers "B" : Accès
refusé !

Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!

J'ai passé en revue toutes les commandes NetBIOS/SMB/... du réseau
Microsoft, à l'aide de NBTSTAT suivi des commutateurs -c, -R , -RR, ...
j'ai purgé rechargé les caches, ..., fait appel à la commande BROWSTAT du
Reskit, que dalle, toujours cet "Accès refusé" !

Parcours des fichiers log dans le gestionnaire d'événements (audits
activés) : aucune info de plus, aucune explication sur ce refus!

Et c'est presque par hasard que j'ai remarqué, sur la machine sous XP, que
l'horloge était très en retard (3 jours environ!).
Visiblement l'arrêt prolongé avait eu raison de la pile de l'horloge
interne (ce PC a déjà quelques années).

J'ai donc remis le PC "B" à l'heure, je suis retourné sur "A", et là, ô
merveille, comme je l'avais un peu implicitement espéré, j'ai pu ENFIN me
connecter!!!!
(sans rien changer bien sûr au niveau comptes, partages, stratégies, LCA,
...)


J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI
dans le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT
par VISTA si la machine distante a une horloge déréglée !!!

Et cela n'est signalé que par un unique et laconique message "Accès
refusé", sans autre information!

Je ne conteste pas le bien-fondé de ce renforcement de la sécurité, qui
exige une synchro des horloges, par contre, une fois de plus, je déplore
profondément le MANQUE d'information de la part de MS dans les libellés de
messages d'erreur!



Donc si à l'avenir çà peut servir à d'autres ... :-)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org



Emmanuel Dreux [MS]
Le #51501
Ah oui,

exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une
différence de 30 minutes.

--
Cordialement,

Emmanuel Dreux.

"Nina Popravka" news:
On Mon, 11 Jun 2007 11:35:19 +0200, "Jean-Claude BELLAMY"

Ben voui, .. mais je n'aurais jamais imaginé que cela soit également
appliqué et actif dans le modeste réseau en workgroup d'un simple
particulier.


Hé bien non, c'est pas Kerberos...
C'est tout simplement NTLMv2.
Je viens d'essayer, j'ai eu exactement le même comportement et la même
erreur que quand on accède depuis Vista à Samba.
Et recherche faite, NTLMv2 a besoin aussi de la synchro du temps :
Du coup, je viens de comprendre pourquoi j'ai eu récemment un blème
entre Vista et une vieille bécane sous w2k.
--
Nina



Publicité
Poster une réponse
Anonyme