[INFO]La gestion du réseau de VISTA a failli me rendre fou !
23 réponses
Jean-Claude BELLAMY
Hello happy taxpayers !
Je tiens à faire part la Communauté d'un problème de réseau vécu ces
jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre,
heureusement.
Les faits :
- Un réseau local composé de 6 machines physiques + 4 machines virtuelles
(VMWare)
- Sous des OS variés (NT4 SRV, W2K PRO, XP PRO, W2K3,
Vista Home Premium et Vista Ultimate)
- LAN à la fois Ethernet et WIFI avec cohabitation de
- domaine NT4
- domaine W2K3
- workgroup
- les comptes locaux des machines du workgroup
se retrouvent à l'identique partout, y compris
dans chaque domaine.
Jusqu'àlors, TOUT allait bien, TOUT le monde voyait tout le monde, partage
complets des disques, "NET VIEW ..." répondant parfaitement dans toutes les
situations, le bonheur ...
Et puis, alors que je m'étais absenté quelques jours de chez moi, la loi de
Murphy a voulu qu'un interrupteur différentiel déclenche!
J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a pas
empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement par
"manque d'électrons" (elle n'avait pas reçu le message émis par l'onduleur
de coupure du secteur, qui permet normalement un arrêt "propre").
Au redémarrage, a priori tout a eu l'air de bien se passer, mais dans les 10
x 9 combinaisons possibles de connexions entre les 10 machines, impossible
d'en établir une, à savoir depuis un PC sous VISTA (appelons le "A") vers un
PC sous XP ("B") !
Que ce soit avec un NET VIEW \\xxxxx, ou un NET USER * \\xxxxxx, ou depuis
l'explorateur, à chaque fois je me goinfrais une injurebox "erreur code 5",
à savoir "accès refusé" !
Pourtant tous les 2 dans le même workgroup, et avec le même compte
administrateur (username/password) !
Je vérifie les partages sur "B" : R.A.S.
Je contrôle les passwords et les appartenances au groupe admin sur "A" et
sur "B" : R.A.S.
Je fais la manip inverse, à savoir me connecter depuis "B" vers "A" : no
problem !
Je vais sur un poste "C" (sous XP), puis sur le serveur W2K3 ("D"), pour
établir une connexion sur "B" : nasodigital !
Je me déconnecte sur "A", je reboote même, j'ouvre une session sous le
compte "Administrateur", je veux me connecter de nouveau vers "B" : Accès
refusé !
Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!
J'ai passé en revue toutes les commandes NetBIOS/SMB/... du réseau
Microsoft, à l'aide de NBTSTAT suivi des commutateurs -c, -R , -RR, ... j'ai
purgé rechargé les caches, ..., fait appel à la commande BROWSTAT du Reskit,
que dalle, toujours cet "Accès refusé" !
Parcours des fichiers log dans le gestionnaire d'événements (audits activés)
: aucune info de plus, aucune explication sur ce refus!
Et c'est presque par hasard que j'ai remarqué, sur la machine sous XP, que
l'horloge était très en retard (3 jours environ!).
Visiblement l'arrêt prolongé avait eu raison de la pile de l'horloge interne
(ce PC a déjà quelques années).
J'ai donc remis le PC "B" à l'heure, je suis retourné sur "A", et là, ô
merveille, comme je l'avais un peu implicitement espéré, j'ai pu ENFIN me
connecter!!!!
(sans rien changer bien sûr au niveau comptes, partages, stratégies, LCA,
...)
J'avais (vaguement) entendu dire que la sécurité dans un domaine avait
renforcée au niveau des horloges de chaque machine (afin de garantir des
synchronisations cohérentes), mais j'ai découvert qu'elle l'a été AUSSI dans
le cas d'un workgroup, au point que TOUT montage réseau est INTERDIT par
VISTA si la machine distante a une horloge déréglée !!!
Et cela n'est signalé que par un unique et laconique message "Accès refusé",
sans autre information!
Je ne conteste pas le bien-fondé de ce renforcement de la sécurité, qui
exige une synchro des horloges, par contre, une fois de plus, je déplore
profondément le MANQUE d'information de la part de MS dans les libellés de
messages d'erreur!
Donc si à l'avenir çà peut servir à d'autres ... :-)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Emmanuel Dreux [MS]" a écrit dans le message de news:
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une identité de temps sur les machines. Cela semble assez "sain". Par contre que le seul message d'erreur se limite à "Code 5 : Accès refusé", çà ce n'est pas admissible! (surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui mettrait l'accent sur une désynchro entre machines, serait donc la bienvenue ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Emmanuel Dreux [MS]" <emmanud@online.microsoft.com> a écrit dans le message
de news:uEXqD0DrHHA.4740@TK2MSFTNGP02.phx.gbl...
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une
différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une
identité de temps sur les machines.
Cela semble assez "sain".
Par contre que le seul message d'erreur se limite à "Code 5 : Accès refusé",
çà ce n'est pas admissible!
(surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui mettrait
l'accent sur une désynchro entre machines, serait donc la bienvenue ...
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
"Emmanuel Dreux [MS]" a écrit dans le message de news:
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une identité de temps sur les machines. Cela semble assez "sain". Par contre que le seul message d'erreur se limite à "Code 5 : Accès refusé", çà ce n'est pas admissible! (surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui mettrait l'accent sur une désynchro entre machines, serait donc la bienvenue ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Nina Popravka
On Mon, 11 Jun 2007 16:47:22 +0200, "Emmanuel Dreux [MS]" wrote:
Je viens de passer une machine en workgroup à une datre passée la semaine dernière et me suis connecté à mon Vista à l'heure dans un domaine sans aucun problème. Il devait y avoir autre chose?
Oui, c'est le contraire, c'est le Vista qui se connecte pô... -- Nina
On Mon, 11 Jun 2007 16:47:22 +0200, "Emmanuel Dreux [MS]"
<emmanud@online.microsoft.com> wrote:
Je viens de passer une machine en workgroup à une datre passée la semaine
dernière et me suis connecté à mon Vista à l'heure dans un domaine sans
aucun problème.
Il devait y avoir autre chose?
Oui, c'est le contraire, c'est le Vista qui se connecte pô...
--
Nina
On Mon, 11 Jun 2007 16:47:22 +0200, "Emmanuel Dreux [MS]" wrote:
Je viens de passer une machine en workgroup à une datre passée la semaine dernière et me suis connecté à mon Vista à l'heure dans un domaine sans aucun problème. Il devait y avoir autre chose?
Oui, c'est le contraire, c'est le Vista qui se connecte pô... -- Nina
Alain Naigeon
"Sniper" a écrit dans le message de news:
Comme dans pas mal de cas d'erreur d'ailleurs... on ne peut dire que les pannes Windows soient claires >:|
Oh, mais, tout de même, ils auraient pu *au moins* mettre un lien vers un site qui aurait précisé : "Désolé, aucune information supplémentaire pour cette erreur" :-o
--
Français *==> "Musique renaissance" <==* English midi - facsimiles - ligatures - mensuration http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/ Alain Naigeon - - Oberhoffen/Moder, France
"Sniper" <stop.le.spam@wanamou.fr> a écrit dans le message de news:
mn.5aab7d76d9af7a11.16273@sniper.org...
Comme dans pas mal de cas d'erreur d'ailleurs... on ne peut dire que les
pannes Windows soient claires >:|
Oh, mais, tout de même, ils auraient pu *au moins* mettre un lien
vers un site qui aurait précisé :
"Désolé, aucune information supplémentaire pour cette erreur" :-o
--
Français *==> "Musique renaissance" <==* English
midi - facsimiles - ligatures - mensuration
http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/
Alain Naigeon - anaigeon@free.fr - Oberhoffen/Moder, France
Comme dans pas mal de cas d'erreur d'ailleurs... on ne peut dire que les pannes Windows soient claires >:|
Oh, mais, tout de même, ils auraient pu *au moins* mettre un lien vers un site qui aurait précisé : "Désolé, aucune information supplémentaire pour cette erreur" :-o
--
Français *==> "Musique renaissance" <==* English midi - facsimiles - ligatures - mensuration http://anaigeon.free.fr | http://www.medieval.org/emfaq/anaigeon/ Alain Naigeon - - Oberhoffen/Moder, France
Emmanuel Dreux [MS]
ça me semblait bizarre et j'ai creusé le sujet.
Dans NTLMV2, le timestamp est utilisé uniquement pour éviter les "replay attack", càd sniffer le réseau et renvoyer les paquets ultérieurement.
Le protocole NTLMV2 se décompose ainsi: Le client envoie une requête au serveur (NTLMV2 message type I). Le serveur envoie alors un challenge contenant un timestamp (NTLMV2 message type II). Le client renvoie alors la réponse au challenge incluant le même timestamp d'origine. (NTLMV2 message type III).
Le serveur vérifie alors que la réponse n'est pas arrivée trop tard (heure d'arrivée du message type III par rapport au timestamp).
Donc avec NTLM ou NTLMV2, on se fout complètement de la différence de temps entre le client et le serveur. Ce n'est pas le cas avec Kerberos, mais il n'est pas utilisé en workgroup.
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
-- Cordialement,
Emmanuel Dreux.
"Jean-Claude BELLAMY" wrote in message news:
"Emmanuel Dreux [MS]" a écrit dans le message de news:
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une identité de temps sur les machines. Cela semble assez "sain". Par contre que le seul message d'erreur se limite à "Code 5 : Accès refusé", çà ce n'est pas admissible! (surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui mettrait l'accent sur une désynchro entre machines, serait donc la bienvenue ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
ça me semblait bizarre et j'ai creusé le sujet.
Dans NTLMV2, le timestamp est utilisé uniquement pour éviter les "replay
attack", càd sniffer le réseau et renvoyer les paquets ultérieurement.
Le protocole NTLMV2 se décompose ainsi:
Le client envoie une requête au serveur (NTLMV2 message type I).
Le serveur envoie alors un challenge contenant un timestamp (NTLMV2 message
type II).
Le client renvoie alors la réponse au challenge incluant le même timestamp
d'origine. (NTLMV2 message type III).
Le serveur vérifie alors que la réponse n'est pas arrivée trop tard (heure
d'arrivée du message type III par rapport au timestamp).
Donc avec NTLM ou NTLMV2, on se fout complètement de la différence de temps
entre le client et le serveur.
Ce n'est pas le cas avec Kerberos, mais il n'est pas utilisé en workgroup.
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le
protocole d'authentification.
Pour moi ce n'est pas un problème de synchro de temps.
Si tu peux reproduire le problème, il faudrait chercher la cause exacte;
de mon côté, je me connecte sans problèmes à mes partages depuis un poste en
workgroup que j'ai remis à la date de la semaine dernière.
--
Cordialement,
Emmanuel Dreux.
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> wrote in message
news:83DB4B36-B9D0-423D-8BF4-927BB5261A59@microsoft.com...
"Emmanuel Dreux [MS]" <emmanud@online.microsoft.com> a écrit dans le
message de news:uEXqD0DrHHA.4740@TK2MSFTNGP02.phx.gbl...
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une
différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une
identité de temps sur les machines.
Cela semble assez "sain".
Par contre que le seul message d'erreur se limite à "Code 5 : Accès
refusé", çà ce n'est pas admissible!
(surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui
mettrait l'accent sur une désynchro entre machines, serait donc la
bienvenue ...
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Dans NTLMV2, le timestamp est utilisé uniquement pour éviter les "replay attack", càd sniffer le réseau et renvoyer les paquets ultérieurement.
Le protocole NTLMV2 se décompose ainsi: Le client envoie une requête au serveur (NTLMV2 message type I). Le serveur envoie alors un challenge contenant un timestamp (NTLMV2 message type II). Le client renvoie alors la réponse au challenge incluant le même timestamp d'origine. (NTLMV2 message type III).
Le serveur vérifie alors que la réponse n'est pas arrivée trop tard (heure d'arrivée du message type III par rapport au timestamp).
Donc avec NTLM ou NTLMV2, on se fout complètement de la différence de temps entre le client et le serveur. Ce n'est pas le cas avec Kerberos, mais il n'est pas utilisé en workgroup.
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
-- Cordialement,
Emmanuel Dreux.
"Jean-Claude BELLAMY" wrote in message news:
"Emmanuel Dreux [MS]" a écrit dans le message de news:
Ah oui,
exact, il y a un timestamp dans la réponse NTLMV2 qui donc supporte une différence de 30 minutes.
Dans mon cas, il y avait plus de 2 jours de différence !
Comme je l'ai déjà dit, je ne critique pas le fait que VISTA exige une identité de temps sur les machines. Cela semble assez "sain". Par contre que le seul message d'erreur se limite à "Code 5 : Accès refusé", çà ce n'est pas admissible! (surtout quand çà survient APRÈS des mois de connexions sans problème ...)
Une amélioration de la NETAPI32.DLL, avec découplage du code 5 qui mettrait l'accent sur une désynchro entre machines, serait donc la bienvenue ...
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
Nina Popravka
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]" wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème. Mon Vista se connecte très bien sur mon xp. J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté. Avec, je le redis, *exactement* le même comportement qu'un Vista que tu tentes de connecter à un serveur Samba de version inférieure à la 3 je sais plus combien : une fenêtre apparaît invitant à saisir un username et un pass, le user name étant prérempli genre nomnetbiosvistausertentantdeseconnecter. Ca, c'est connu et expliqué ici : <http://www.linux-watch.com/news/NS4434907782.html> J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai NTLMv2 pour être sûre après le film :-) -- Nina
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]"
<emmanud@online.microsoft.com> wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le
protocole d'authentification.
Pour moi ce n'est pas un problème de synchro de temps.
Si tu peux reproduire le problème, il faudrait chercher la cause exacte;
de mon côté, je me connecte sans problèmes à mes partages depuis un poste en
workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème.
Mon Vista se connecte très bien sur mon xp.
J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté.
Avec, je le redis, *exactement* le même comportement qu'un Vista que
tu tentes de connecter à un serveur Samba de version inférieure à la 3
je sais plus combien : une fenêtre apparaît invitant à saisir un
username et un pass, le user name étant prérempli genre
nomnetbiosvistausertentantdeseconnecter.
Ca, c'est connu et expliqué ici :
<http://www.linux-watch.com/news/NS4434907782.html>
J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me
connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai
NTLMv2 pour être sûre après le film :-)
--
Nina
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]" wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème. Mon Vista se connecte très bien sur mon xp. J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté. Avec, je le redis, *exactement* le même comportement qu'un Vista que tu tentes de connecter à un serveur Samba de version inférieure à la 3 je sais plus combien : une fenêtre apparaît invitant à saisir un username et un pass, le user name étant prérempli genre nomnetbiosvistausertentantdeseconnecter. Ca, c'est connu et expliqué ici : <http://www.linux-watch.com/news/NS4434907782.html> J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai NTLMv2 pour être sûre après le film :-) -- Nina
Emmanuel Dreux [MS]
Hmmm,
ta config est la suivante: Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
J'ai testé une config différente entre 2 vista (donc SMB V2). Test d'un Vista 1 en workgroup vers un autre Vista 2 dans un domaine/workgroup différent.
Vista1: Vendredi 8 Juin. Vistas2: Lundi 11 Juin.
Sur Vista 1: net use * Vista2temp /user:Vista2UserName * ça passe impec.
Le paramètre LanManager authentication level de Vista2 est positionné à "Send NTLMV2 Responses only".
Je suis donc en NTLMV2 (celui qui utilise un timestamp :-) ) avec une différence de 3 jours entre le client et le serveur. Bilan: y'a pas problème!
C'est conforme à mon post précédent: NTLM ou NTLMV2 se fiche de la différence horaire entre le client et le serveur. La seule vérification horaire réalisée dans NTLMV2 c'est le serveur qui vérifie que la réponse à son challenge n'est arrivée trop longtemps après qu'il l'ait envoyé (eviter les replay attack).
Si votre problème (le tiens, celui de Jean-Claude) est lié à une différence horaire, il faut le chercher à un autre endroit que dans le protocole NTLM/NTLMV2. Avez-vous le même problème si vous reculez l'heure du XP au lieu de l'avancer? Avez-vous le même problème de XP à XP?
-- Cordialement,
Emmanuel Dreux.
"Nina Popravka" wrote in message news:
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]" wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème. Mon Vista se connecte très bien sur mon xp. J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté. Avec, je le redis, *exactement* le même comportement qu'un Vista que tu tentes de connecter à un serveur Samba de version inférieure à la 3 je sais plus combien : une fenêtre apparaît invitant à saisir un username et un pass, le user name étant prérempli genre nomnetbiosvistausertentantdeseconnecter. Ca, c'est connu et expliqué ici : <http://www.linux-watch.com/news/NS4434907782.html> J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai NTLMv2 pour être sûre après le film :-) -- Nina
Hmmm,
ta config est la suivante:
Vista se comporte comme un client SMB, et XP comme le serveur SMB.
Tu a modifié l'heure sur le serveur SMB.
Dans ta config le protocole SMB négocié est SMB V1.
J'ai testé une config différente entre 2 vista (donc SMB V2).
Test d'un Vista 1 en workgroup vers un autre Vista 2 dans un
domaine/workgroup différent.
Vista1: Vendredi 8 Juin.
Vistas2: Lundi 11 Juin.
Sur Vista 1: net use * \Vista2temp /user:Vista2UserName *
ça passe impec.
Le paramètre LanManager authentication level de Vista2 est positionné à
"Send NTLMV2 Responses only".
Je suis donc en NTLMV2 (celui qui utilise un timestamp :-) ) avec une
différence de 3 jours entre le client et le serveur.
Bilan: y'a pas problème!
C'est conforme à mon post précédent: NTLM ou NTLMV2 se fiche de la
différence horaire entre le client et le serveur.
La seule vérification horaire réalisée dans NTLMV2 c'est le serveur qui
vérifie que la réponse à son challenge n'est arrivée trop longtemps après
qu'il l'ait envoyé (eviter les replay attack).
Si votre problème (le tiens, celui de Jean-Claude) est lié à une différence
horaire, il faut le chercher à un autre endroit que dans le protocole
NTLM/NTLMV2.
Avez-vous le même problème si vous reculez l'heure du XP au lieu de
l'avancer?
Avez-vous le même problème de XP à XP?
--
Cordialement,
Emmanuel Dreux.
"Nina Popravka" <Nina@nospam.invalid> wrote in message
news:uc7r6319v6k85r7dap7vflkqq77jaf1b8b@4ax.com...
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]"
<emmanud@online.microsoft.com> wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans
le
protocole d'authentification.
Pour moi ce n'est pas un problème de synchro de temps.
Si tu peux reproduire le problème, il faudrait chercher la cause exacte;
de mon côté, je me connecte sans problèmes à mes partages depuis un poste
en
workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème.
Mon Vista se connecte très bien sur mon xp.
J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté.
Avec, je le redis, *exactement* le même comportement qu'un Vista que
tu tentes de connecter à un serveur Samba de version inférieure à la 3
je sais plus combien : une fenêtre apparaît invitant à saisir un
username et un pass, le user name étant prérempli genre
nomnetbiosvistausertentantdeseconnecter.
Ca, c'est connu et expliqué ici :
<http://www.linux-watch.com/news/NS4434907782.html>
J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me
connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai
NTLMv2 pour être sûre après le film :-)
--
Nina
ta config est la suivante: Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
J'ai testé une config différente entre 2 vista (donc SMB V2). Test d'un Vista 1 en workgroup vers un autre Vista 2 dans un domaine/workgroup différent.
Vista1: Vendredi 8 Juin. Vistas2: Lundi 11 Juin.
Sur Vista 1: net use * Vista2temp /user:Vista2UserName * ça passe impec.
Le paramètre LanManager authentication level de Vista2 est positionné à "Send NTLMV2 Responses only".
Je suis donc en NTLMV2 (celui qui utilise un timestamp :-) ) avec une différence de 3 jours entre le client et le serveur. Bilan: y'a pas problème!
C'est conforme à mon post précédent: NTLM ou NTLMV2 se fiche de la différence horaire entre le client et le serveur. La seule vérification horaire réalisée dans NTLMV2 c'est le serveur qui vérifie que la réponse à son challenge n'est arrivée trop longtemps après qu'il l'ait envoyé (eviter les replay attack).
Si votre problème (le tiens, celui de Jean-Claude) est lié à une différence horaire, il faut le chercher à un autre endroit que dans le protocole NTLM/NTLMV2. Avez-vous le même problème si vous reculez l'heure du XP au lieu de l'avancer? Avez-vous le même problème de XP à XP?
-- Cordialement,
Emmanuel Dreux.
"Nina Popravka" wrote in message news:
On Mon, 11 Jun 2007 20:59:31 +0200, "Emmanuel Dreux [MS]" wrote:
Conclusion, ton accès denied n'était pas lié à un problème de temps dans le protocole d'authentification. Pour moi ce n'est pas un problème de synchro de temps. Si tu peux reproduire le problème, il faudrait chercher la cause exacte; de mon côté, je me connecte sans problèmes à mes partages depuis un poste en workgroup que j'ai remis à la date de la semaine dernière.
J'ai parfaitement reproduit le problème. Mon Vista se connecte très bien sur mon xp. J'ai avancé l'horloge du XP d'un mois, il ne s'est plus connecté. Avec, je le redis, *exactement* le même comportement qu'un Vista que tu tentes de connecter à un serveur Samba de version inférieure à la 3 je sais plus combien : une fenêtre apparaît invitant à saisir un username et un pass, le user name étant prérempli genre nomnetbiosvistausertentantdeseconnecter. Ca, c'est connu et expliqué ici : <http://www.linux-watch.com/news/NS4434907782.html> J'ai ensuite repassé le XP à l'heure normale, j'ai à nouveau pu me connecter.
Comme je suis sympa, je changerai à nouveau l'heure et désactiverai NTLMv2 pour être sûre après le film :-) -- Nina
Nina Popravka
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]" wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1. (voir le lien que j'ai donné tt à l'heure) Tests plus approfondis demain matin... -- Nina
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]"
<emmanud@online.microsoft.com> wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB.
Tu a modifié l'heure sur le serveur SMB.
Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1.
(voir le lien que j'ai donné tt à l'heure)
Tests plus approfondis demain matin...
--
Nina
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]" wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1. (voir le lien que j'ai donné tt à l'heure) Tests plus approfondis demain matin... -- Nina
LAPTOPAF
"Jean-Claude BELLAMY" a écrit dans le message de news:
Hello happy taxpayers !
Je tiens à faire part la Communauté d'un problème de réseau vécu ces jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre, heureusement. [couic..] la loi de Murphy a voulu qu'un interrupteur différentiel déclenche! J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a pas empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement par "manque d'électrons" (elle n'avait pas reçu le message émis par l'onduleur de coupure du secteur, qui permet normalement un arrêt "propre").
Bonsoir
et dire que certains vont au bout du monde pour vivre de nouvelles aventures .......... moi j'ai lu ce fil et je viens d'entr'apercevoir une autre dimension ....alors quoi il y aurait d'autres mondes ?
Plus sérieusement je profite de ton post pour te demander ce que tu as comme onduleur, car la semaine dernière j'en avais acheté un que j'ai vite ramené à la FNAC car lors de test il ne tenait pas 2 minutes (batterie chargée au max avant bien sûr)
j'ai pensé à un 1000va qui débiterait (peut être ) 800w pendant les minutes suffisantes à l'arrêt propre de 2 machines xp pro et vista
si tu as un avis .... Merci
Et bravo pour ta ténacité !!!
si je dérange ....bon ok je prends mon sac de billes ...et je vais jouer plus loin..!
Bonne soirée à tous et désolé pour le bruit...
"Jean-Claude BELLAMY" <Jean-Claude.Bellamy@wanadoo.fr> a écrit dans le
message de news:A090CFCD-CCD3-40EE-A9B0-02B4AA565B3D@microsoft.com...
Hello happy taxpayers !
Je tiens à faire part la Communauté d'un problème de réseau vécu ces
jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre,
heureusement.
[couic..]
la loi de Murphy a voulu qu'un interrupteur différentiel déclenche!
J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a
pas empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement
par "manque d'électrons" (elle n'avait pas reçu le message émis par
l'onduleur de coupure du secteur, qui permet normalement un arrêt
"propre").
Bonsoir
et dire que certains vont au bout du monde pour vivre de nouvelles
aventures ..........
moi j'ai lu ce fil et je viens d'entr'apercevoir une autre dimension
....alors quoi il y aurait d'autres mondes ?
Plus sérieusement je profite de ton post pour te demander ce que tu as
comme onduleur, car la semaine dernière j'en avais acheté un que j'ai
vite ramené à la FNAC car lors de test il ne tenait pas 2 minutes
(batterie chargée au max avant bien sûr)
j'ai pensé à un 1000va qui débiterait (peut être ) 800w pendant les
minutes suffisantes à l'arrêt propre de 2 machines xp pro et vista
si tu as un avis ....
Merci
Et bravo pour ta ténacité !!!
si je dérange ....bon ok je prends mon sac de billes ...et je vais jouer
plus loin..!
"Jean-Claude BELLAMY" a écrit dans le message de news:
Hello happy taxpayers !
Je tiens à faire part la Communauté d'un problème de réseau vécu ces jours-ci qui a failli me rendre dingue, mais que j'ai fini par résoudre, heureusement. [couic..] la loi de Murphy a voulu qu'un interrupteur différentiel déclenche! J'ai beau avoir un onduleur musclé, vu la durée de la coupure, cela n'a pas empêché une de mes babasses (sous XP) de s'arrêter un peu brutalement par "manque d'électrons" (elle n'avait pas reçu le message émis par l'onduleur de coupure du secteur, qui permet normalement un arrêt "propre").
Bonsoir
et dire que certains vont au bout du monde pour vivre de nouvelles aventures .......... moi j'ai lu ce fil et je viens d'entr'apercevoir une autre dimension ....alors quoi il y aurait d'autres mondes ?
Plus sérieusement je profite de ton post pour te demander ce que tu as comme onduleur, car la semaine dernière j'en avais acheté un que j'ai vite ramené à la FNAC car lors de test il ne tenait pas 2 minutes (batterie chargée au max avant bien sûr)
j'ai pensé à un 1000va qui débiterait (peut être ) 800w pendant les minutes suffisantes à l'arrêt propre de 2 machines xp pro et vista
si tu as un avis .... Merci
Et bravo pour ta ténacité !!!
si je dérange ....bon ok je prends mon sac de billes ...et je vais jouer plus loin..!
Bonne soirée à tous et désolé pour le bruit...
Emmanuel Dreux [MS]
ne confonds pas NTLM V2 et SMB2 :-) Le lien que tu as poussé parle des problèmes NTLMV2 avec des peers qui ne savent pas faire du NTLMV2 (certaines versions de SAMBA ou MAC).
NTLM c'est le protocole d'authentification, et SMB le protocole de transfert de fichiers. Vista ne fait plus que du NTLMV2 par défaut (et c'est tant mieux) mais reste compatible avec XP/2000 qui savent faire du NTLMV2 depuis longtemps, même s'ils ne sont pas bridés à ne faire que du NTLMV2.
Sinon, le protocole de transfert de fichiers a été amélioré sous Vista/Longhorn. Lorsqu'un Vista communique avec un autre Vista/Longhorn, SMB2 est négocié, sinon c'est SMB 1.
Si tu penses que le décalage horaire peut influer sur le mécanisme de négociation de version NTLM, tu peux faire les tests suivants: - force les 2 parties à "Envoyer uniquement les réponses NTLM", reboote les 2 parties et vois si ça marche. Tu seras alors en simple NTLM sans aucune notion de timestamp. - Puis force les 2 à NTLMV2 uniquement, reboote et refais le test. (pas de négociation, directement du ntlmV2).
Dans les cas ou ça ne marche pas, envoie moi une trace réseau en précisant les niveaux NTLM de chaque partie ainsi que qui agit en tant que client et serveur.
-- Cordialement,
Emmanuel Dreux.
"Nina Popravka" wrote in message news:
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]" wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1. (voir le lien que j'ai donné tt à l'heure) Tests plus approfondis demain matin... -- Nina
ne confonds pas NTLM V2 et SMB2 :-)
Le lien que tu as poussé parle des problèmes NTLMV2 avec des peers qui ne
savent pas faire du NTLMV2 (certaines versions de SAMBA ou MAC).
NTLM c'est le protocole d'authentification, et SMB le protocole de transfert
de fichiers.
Vista ne fait plus que du NTLMV2 par défaut (et c'est tant mieux) mais reste
compatible avec XP/2000 qui savent faire du NTLMV2 depuis longtemps, même
s'ils ne sont pas bridés à ne faire que du NTLMV2.
Sinon, le protocole de transfert de fichiers a été amélioré sous
Vista/Longhorn.
Lorsqu'un Vista communique avec un autre Vista/Longhorn, SMB2 est négocié,
sinon c'est SMB 1.
Si tu penses que le décalage horaire peut influer sur le mécanisme de
négociation de version NTLM, tu peux faire les tests suivants:
- force les 2 parties à "Envoyer uniquement les réponses NTLM", reboote les
2 parties et vois si ça marche. Tu seras alors en simple NTLM sans aucune
notion de timestamp.
- Puis force les 2 à NTLMV2 uniquement, reboote et refais le test. (pas de
négociation, directement du ntlmV2).
Dans les cas ou ça ne marche pas, envoie moi une trace réseau en précisant
les niveaux NTLM de chaque partie ainsi que qui agit en tant que client et
serveur.
--
Cordialement,
Emmanuel Dreux.
"Nina Popravka" <Nina@nospam.invalid> wrote in message
news:80dr63l02adf7jhke0c346d43b99kcqif3@4ax.com...
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]"
<emmanud@online.microsoft.com> wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB.
Tu a modifié l'heure sur le serveur SMB.
Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1.
(voir le lien que j'ai donné tt à l'heure)
Tests plus approfondis demain matin...
--
Nina
ne confonds pas NTLM V2 et SMB2 :-) Le lien que tu as poussé parle des problèmes NTLMV2 avec des peers qui ne savent pas faire du NTLMV2 (certaines versions de SAMBA ou MAC).
NTLM c'est le protocole d'authentification, et SMB le protocole de transfert de fichiers. Vista ne fait plus que du NTLMV2 par défaut (et c'est tant mieux) mais reste compatible avec XP/2000 qui savent faire du NTLMV2 depuis longtemps, même s'ils ne sont pas bridés à ne faire que du NTLMV2.
Sinon, le protocole de transfert de fichiers a été amélioré sous Vista/Longhorn. Lorsqu'un Vista communique avec un autre Vista/Longhorn, SMB2 est négocié, sinon c'est SMB 1.
Si tu penses que le décalage horaire peut influer sur le mécanisme de négociation de version NTLM, tu peux faire les tests suivants: - force les 2 parties à "Envoyer uniquement les réponses NTLM", reboote les 2 parties et vois si ça marche. Tu seras alors en simple NTLM sans aucune notion de timestamp. - Puis force les 2 à NTLMV2 uniquement, reboote et refais le test. (pas de négociation, directement du ntlmV2).
Dans les cas ou ça ne marche pas, envoie moi une trace réseau en précisant les niveaux NTLM de chaque partie ainsi que qui agit en tant que client et serveur.
-- Cordialement,
Emmanuel Dreux.
"Nina Popravka" wrote in message news:
On Mon, 11 Jun 2007 22:37:44 +0200, "Emmanuel Dreux [MS]" wrote:
Vista se comporte comme un client SMB, et XP comme le serveur SMB. Tu a modifié l'heure sur le serveur SMB. Dans ta config le protocole SMB négocié est SMB V1.
Je crains justement que Vista ne descende pas de v2 à v1. (voir le lien que j'ai donné tt à l'heure) Tests plus approfondis demain matin... -- Nina
Bernard Meylan
Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de destruction totale, mélangé à un début de découragement!
Lefuneste qui faisait des siennes? ;-)
Bernard
Là j'ai senti poindre en moi un sentiment de meurtre irrésistible et de
destruction totale, mélangé à un début de découragement!
