Impossible d'accéder au NAS via nom Netbios

Hakp

Nouveau membre
Model: RN214D41|ReadyNAS 214 Series 4- Bay (4x 1TB Desktop)

Bonjour,

J'administre un NAS que j'ai essayé de joindre au domaine Samba-AD de l'entreprise (Authentification > Type d'accès > Active directory). Une fois le domaine joint, les utilisateurs n'arrivaient plus à y accéder. J'ai donc remis comme avant Type d'accès en Utilisateurs Locaux. Mais depuis le NAS n'est accessible qu'à partir de son adresse IP (\\IP_ADRESS, solution de pansement) pour les ordinateurs du domaine (pas de souci quand on est hors de celui-ci). A noter que tous les utilisateurs sont connectés au domaine et pouvaient y accéder sans souci avant, depuis l'onglet réseau de l'explorateur windows.

J'ai soupçonné un problème DNS mais les tests ping fonctionnent avec le Netbios du NAS.
J'ai regardé du côté des services Netbios, RAS.
J'ai analysé les échanges Smb entre le NAS et un poste utilisateur:
La négociation de protocole est ok
Mais l'échange qui m'interpelle est le suivant
Source (le NAS) Destination (poste client)

Code:
SMB2 (Server Message Block Protocol version 2)
SMB2 Header
ProtocolId: 0xfe534d42
Header Length: 64
Credit Charge: 1
NT Status: STATUS_INVALID_PARAMETER (0xc000000d)
Command: Session Setup (1)
Credits granted: 1
Flags: 0x00000011, Response, Priority
Chain Offset: 0x00000000
Message ID: 1
Process Id: 0x0000feff
Tree Id: 0x00000000
Session Id: 0x0000000000000000
Signature: 00000000000000000000000000000000
[Response to: 9062]
[Time from request: 0.001582000 seconds]
Session Setup Response (0x01)
[Preauth Hash: 28cf567f4389c227a7436ffa0d209304061d10d605b11621dd92e80e8eb693fceb99fc5a…]
StructureSize: 0x0009
Session Flags: 0x0000
Blob Offset: 0x00000000
Blob Length: 0
Security Blob: <MISSING>: NO DATA
J'ai checké les erreurs SMB sur google et NT Status: STATUS_INVALID_PARAMETER (0xc000000d) correspond à, je cite "A parameter is invalid" XD...
Je suis à cout d'idées et je sollicite donc votre aide: toute suggestion est la bienvenue !
Merci d'avance.
 

Neo974

Chevalier Jedi
Bonjour,

Une fois le domaine joint pouvais tu t'y connecter en admin avec par exemple nomdunas\admin ? ( avec un compte local au nas ca fonctionnais ?)

Je connais pas l'interface d'administration de netgear, mais une fois le domaine ad ajouter, il faut spécifier les droits pour les utilisateurs ou groupe d'utilisateurs.

edit : ton serveur samba AD fais aussi serveur DNS, il faut peut être inscrire dans celui ci l'adresse de ton nas et son hostname pour que la liaison se fasse.
 
Dernière édition:

Hakp

Nouveau membre
Merci pour ta réponse. Je n'ai rien testé car les utilisateurs de l'entreprise ne pouvaient plus accéder à leurs ressources (j'ai donc rapidement rétablit l'ancien paramètre).
Si je comprend bien une fois joint au domaine je peux accéder au Nas à partir d'un ordinateur local ?
Je vais rechecker le DNS même si comme mentionné je ne crois pas que le problème vient de là (ping nomdunas fonctionne).
 

Neo974

Chevalier Jedi
Si je comprend bien une fois joint au domaine je peux accéder au Nas à partir d'un ordinateur local ?
normalement si tu as accès a l'interface de gestion ou si tu as son IP tu peux toujours utiliser les comptes locaux du NAS pour t'y connecter ( sauf si l'interface de gestion ou le partage réseau n'est plus du tout disponible).
Je vais rechecker le DNS même si comme mentionné je ne crois pas que le problème vient de là (ping nomdunas fonctionne).
si tu as joint ton NAS au domaine, ton serveur DNS a du l'enregistrer avec un nom nas.domaine alors qu'avant il avait un nom comme nas.local

donc quand tu fais un ping nas => il va chercher le nas.domaine et trouve une ip qui répond ( car l'IP du NAS n'a pas changer entre temps).

Pour les utilisateurs du domaine quand ils tentent d'accéder au NAS avec le nom netbios, le DNS cherche le nas.domaine qui est référencé mais ne le trouve pas.

Pour ceux hors domaine, quand tu tente d'accéder a ton NAS avec son nom netbios, le DHCP a accordé une IP a ton nas.local donc il le connait et il l'a inscrit quelque part l'information, du coup l'accès fonctionne.


Je serait curieux de savoir quelle entreprise utilise samba AD ( même si j'ai une petite idée)


Vous avez qu'un seul NAS je suppose, pas de NAS de sauvegarde ou de "pré prod" ?
 

Hakp

Nouveau membre
normalement si tu as accès a l'interface de gestion ou si tu as son IP tu peux toujours utiliser les comptes locaux du NAS pour t'y connecter ( sauf si l'interface de gestion ou le partage réseau n'est plus du tout disponible).

si tu as joint ton NAS au domaine, ton serveur DNS a du l'enregistrer avec un nom nas.domaine alors qu'avant il avait un nom comme nas.local

donc quand tu fais un ping nas => il va chercher le nas.domaine et trouve une ip qui répond ( car l'IP du NAS n'a pas changer entre temps).

Pour les utilisateurs du domaine quand ils tentent d'accéder au NAS avec le nom netbios, le DNS cherche le nas.domaine qui est référencé mais ne le trouve pas.

Pour ceux hors domaine, quand tu tente d'accéder a ton NAS avec son nom netbios, le DHCP a accordé une IP a ton nas.local donc il le connait et il l'a inscrit quelque part l'information, du coup l'accès fonctionne.
Ah oui je vois. Mais ça devrait fonctionner maintenant puisque j'ai "remis" comme avant non ?
Je serait curieux de savoir quelle entreprise utilise samba AD ( même si j'ai une petite idée)
XD
Vous avez qu'un seul NAS je suppose, pas de NAS de sauvegarde ou de "pré prod" ?
Oui du coup c'est délicat pour faire les manips.
Merci beaucoup pour ta réponse. Samba est couplé à Bind9 pour la résolution de nom du domaine. Je vais de ce pas me plonger dans les enregistrements Bind9. (Ce n'est pas moi ai fait les configs)
 

Neo974

Chevalier Jedi
Si c'est un besoin de ton entreprise de mettre le NAS dans l'AD ( plus secure et plus simple a gérer les droits) il faudrait peut être envisager une solution de sauvegarde des données ( on ne sais jamais) et ensuite une phase de test ou les données sont soit inaccessible, soit accessible temporairement via un autre moyen.

Sinon il te reste plus qu'a faire les manip le samedi et dimanche si ton entreprise ne travaille pas le week end :LOL:

As tu redémarrer tes serveurs DHCP / AD / DNS depuis ?
as tu redémarrer ton NAS également depuis ?

Ah oui je vois. Mais ça devrait fonctionner maintenant puisque j'ai "remis" comme avant non ?
Ben le problème est la, c'est que même si tu as retirer ton NAS du domaine, en fonction de la méthode utiliser, l'enregistrement DNS nas.domaine n'est peut être pas retirer.
Vu ce que tu disais plus haut pour moi ca a l'air d'être le cas ici.

Après ca remonte l'époque ou j'administrais des serveurs linux ( mais c'était pas sur du samba ad) du coup je ne sais pas si ca a évoluer entre temps.



La question qui permettrait de cibler quel était ton problème est que c'est t'il passer au moment ou tu a joins ton NAS dans le domaine?

tu nous dis:

Une fois le domaine joint, les utilisateurs n'arrivaient plus à y accéder
Il y avait t'il un message d'erreur disant "access denied" ou rien du tout ?
Le NAS était t'il joignable via son hostname ou IP avec une erreur d'authentification ou pas joignable du tout ?

je pense que la partie qui a été oublié est de définir les droits d'accès aux utilisateurs du domaine avec leurs compte du domaine, le NAS étant ajouter au domaine tente en premier lieu d'identifier les users via leurs compte AD et si tu tente de t'authentifier en mettant login et mot de passe il considère que le login est un login du domaine ( pour un login "local" il faut mettre "hostname\login" ).
 

Hakp

Nouveau membre
Hello,
J'ai pu résoudre le problème !
Etant en télétravail je n'ai pas vu à quel moment ça a commencé à fonctionner mais voici les différentes opérations que j'ai mené:
- Supprimer l'objet NAS du domaine (OU computer) et l'entrée A du DNS pour le NAS. Car comme tu me l'as fait remarqué @Neo974 , juste remettre pour le type d'authentification "utilisateur locaux" au lieu de "Active directory", ne suffit pas! Quand les clients demandent à résoudre NAS, le DNS résout plutôt NAS.domain.lan qui est lié à la bonne IP (mais qui n'est pas accessible pour les utilisateurs AD).

- Activer le service WINS sur le DNS et activer la résolution Netbios sur TCP/IP
Voilà à bien y réfléchir l'étape 1 a certainement suffit.
PS: Merci @Neo974
 
Dernière édition:

Neo974

Chevalier Jedi
Content que ton problème soit résolu et que le service soit rétabli comme avant.

Maintenant si tu veux mettre ton NAS dans le domaine, il faut négocier soit un matériel de test soit une période ou le NAS sera inaccessible.
 
Haut Bas