Jean-Benoit Paux's blog

Un des problèmes récurrent sur les forums, les newsgroups est un problème d’accès aux ressources réseaux à partir de Vista (ou supérieur) ou la connexion à Vista à partir de clients sous XP par exemple.

Je vais essayer d’en apporter sur ce post une explication ainsi qu’un moyen de résoudre (au moins en partie les problèmes).

L’authentification réseau sous Windows est assez complexe et les liens en fin d’articles vous aideront à en comprendre le fonctionnement si vous y tenez vraiment. Il s’agit pour simplifier d’un échange avec challenge.

L’authentification se base sur deux paramètres : SMB signing et LMCompatibility. Chacun a plusieurs niveaux de sécurité. SMB signing permet de garantir l’expéditeur d’un message et LMComptatibility de connaître le niveau de sécurité NTLM (Lan Manager) à utiliser pour l’échange.

Ces paramètres peuvent être modifiés pour permettre l’accès mais il faut savoir que ces modifications affectent la sécurité de votre plateforme.

Le paramètre LMComptatibility a augmenté de niveau avec Vista ce qui peut poser ce problème d’accès.

Vous pouvez diagnostiquer ce problème comme tel si :

• Le problème se pose uniquement sur vos clients sous Vista
• Aucun paramètre de LMComptatibility a été défini par GPO
• Une trace réseau révèle ce genre de message :

Vous pouvez redéfinir le niveau de sécurité en passant soit par le registre (par la clé HKLM\System\CurrentControlSet\Control\Lsa\LMComptatibility) soit par la console de sécurité locale secpol.msc dans Stratégies locales\Options de sécurité\Sécurité réseau : niveau d’authentification LAN Manager.

Les différents choix sont les suivants :

1. Envoyer les réponses LM et NTLM
2. Envoyer LM et NTLM – utiliser NTLMv2 si négocié
3. Envoyer uniquement les réponses NTLM
4. Envoyer uniquement les réponses NTLM v2 (par défaut)
5. Envoyer uniquement les réponses NTLM v2, refuser LM
6. Envoyer uniquement une réponse NTLM v2 ; refuser LM et NTLM

Vous pouvez essayer de réduire le niveau à 2 voir à 1 pour résoudre le problème.

Le mieux est d’uniformiser les différents niveaux de sécurité de vos machines.

Explication du fonctionnement de l’authentification : http://www.microsoft.com/technet/technetmag/issues/2006/08/SecurityWatch/?related=/technet/technetmag/issues/2006/08/SecurityWatch

Dans un domaine windows, on est authentifié pour quasiment tous les services via Kerberos sans avoir la moindre fenêtre de login/mot de passe nous demandant de nous authentifier.

Pourtant lorsqu’on veut ouvrir une connexion Terminal Services, on doit rentrer ses informations à chaque connexion.

Depuis Vista on peut cependant déléguer l’authentification pour utiliser ses informations directement (on ne se logue que sur la machine d’où le Single Sign On, appelé SSO pour les intimes). Cependant l’astuce ne fonctionne que pour se connecter à des machines sous Vista ou Windows Server 2008.

Voici la démarche : (vous pouvez le faire localement à une machine ou globalement aux machines du domaines) :

• Ouvrer gpedit.msc pour éditer la stratégie locale (ou ouvrez votre GPO)
• Paramètres machines (Computer Configuration)
• Modèles d’administrations (Administrative Templates)
• Système (System)
• Délégation d’informations d’identification (Credentials Delegation)
• Autoriser la délégation d’informations d’identification par défaut (Allow delegating default credentials)

Il faut maintenant :

• Cliquer sur Activer
• Ajouter les serveurs autorisé à recevoir l’information

Vous devez entrer les serveurs avec cette syntaxe : TERMSRV/fqdnDuServeur (et son nom court si vous voulez)

Vous pouvez entrer aussi TERMSRV/* pour vous connecter à l’ensemble des serveurs avec vos informations. (Attention, dans certains cas, vous ne pourrez plus préciser d’autres informations d’identification).

Vous pouvez aussi entrer TERMSRV/*.mondomain.local

Maintenant lorsque vous vous connectez à un serveur votre identité est entrée directement :

Si vous voulez plus d’informations (limitations, configuration pour TS Gateway) vous pouvez consulter cet article : http://blogs.msdn.com/ts/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx

Si comme moi vous avez voulu un jour représenter votre architecture AD et utiliser Visio vous vous êtes surement demandé si il n’existait pas un outil pour faire ça automatiquement.

Avec les anciennes versions de Visio cela était possible mais Microsoft avait retiré ça pour le mettre dans des outils tiers.

Cependant il est maintenant possible de créer un diagramme représentant votre forêt, les différents domaines, les sites et leurs relations, les OU, les trust, les rôles des serveurs etc.

Vous pouvez aussi dessiner les informations Exchange (versions 200X) pour afficher les groupes de routage, les connexions SMTP et compter le nombre de boites par serveur.

Le téléchargement se fait à cette adresse : http://www.microsoft.com/downloads/details.aspx?familyid=cb42fc06-50c7-47ed-a65c-862661742764&displaylang=en

Maintenant si vous voulez afficher votre configuration ISA de manière plus graphique, vous trouverez dans ISA BPA (Best Practice Analyzer) un outil similaire pour afficher les différents réseaux les sites VPN, les règles de publications.

Vous trouverez l’ensemble des informations sur l’installation et la génération à cette adresse : http://blogs.technet.com/isablog/archive/2007/07/22/using-bpa2visio.aspx

Vous pouvez télécharger l’outil ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en

Maintenant qu’on a ces outils, personnellement j’aimerai bien l’inverse : faire mon diagramme et que ça me configure tout mon infrastructure en fonction mais là je pense que je peux rêver encore quelques années.

Par défaut, Outlook se met à la fois dans la barre de notification (à droite de l’horloge) et dans la barre des taches.

Si vous cherchez à n’afficher Outlook uniquement dans la zone de notification, vous irez sûrement chercher dans les options de celui-ci. Cependant, vous chercherez longtemps.

Pour arriver au résultats, suivez ces indications :

• Cliquez avec le bouton droit sur l’icone d’Outlook dans la barre de notification

• Cliquez sur “Hide when minimized” ou “Masquer l’icône réduite“

Maintenant, vous n’avez plus Outlook dans la barre des taches.

Par défaut Windows cache au bout d’un moment les icônes non utilisées. Ce comportement peut être modifié pour un certain nombre de programmes de votre choix pour qu’ils soient toujours présents dans la barre de notification.

Pour se faire :

Cliquez sur le bouton droit sur le menu démarrer et choisissez “Propriétés“
Allez sur l’onglet “Zone de notification“
Cliquez sur Personnaliser
Choisissez le comportement à adopter