Windows 10: nom réseau non reconnu sur un NAS

Dernièrement, suite à la mise à jour 1709, plusieurs sollicitations sont apparues sur le forum TechNet pour des problèmes d’accès à un NAS en utilisant le partage UNC et le nom NetBIOS (\\NAS\Partage). Cet article vous explique pourquoi ce phénomène ce produit et comment y circonvenir.

Mise en situation

J’ai monté le lab suivant chez moi pour me permettre de reproduire le problème :

Depuis le poste en Windows 10, si j’essaie d’accéder directement à mon NAS dans l’explorateur de fichier, j’obtiens l’erreur suivante :

Vérification préliminaire

Premier contrôle : vérifier que nos deux machines peuvent se joindre et communiquer. Une petite requête ICMP ECHO fera l’affaire:

Pas de problème de ce coté-là… ICMP QUERY ? Cela me permettra de vérifier que le NAS porte bien le nom court attendu:

Dernier test : mon poste Windows 10 arrive-t-il à retrouver la ressource sur le réseau en utilisant le protocole NetBIOS ?

Aucun problème non plus ; mieux encore : avec ce test j’ai aussi éliminé le cas de figure d’un problème de casse dans le nom court (cela peut arriver avec les systèmes linux). Je peux donc d’ors et déjà en déduire que le message reçu ne nous orientes pas dans la bonne direction.

Vérifier que le service est opérationnel

Avant d’aller plus loin, il faut nous assurer que le service soit réellement opérationnel. Pour s’assurer que l’on peut réellement accéder au partage, on teste la connectivité sur le port 445 TCP :

telnet srv-syno-02 445

On essaie également d’accéder directement par l’adresse IP au partage:

tout est bon de ce coté, tentons une nouvelle approche…

UNC, SMB et Ligne de Commandes

Je suis un adepte de la ligne de commande, alors dans un cas comme celui-ci je tente toujours de monter un nouveau partage réseau avec une authentification pour m’assurer que le problème ce reproduit:

Et là… Surprise! Non seulement la connexion fonctionne, mais si je tente dès ce moment d’accéder à ma ressource par l’explorateur, cela fonctionne:

Cachez-moi cette authentification que je ne saurai voir…

Si je démonte le map en T, le partage reste toujours accessible… Sans authentification! Le jeton d’accès a donc été stocké sur le système et reste valable coté NAS. Nous pouvons vérifier ce point en accédant à l’interface Noms et mots de passe utilisateurs enregistrés en utilisant la commande suivante (depuis un shell élevé en privilège) :

La fenêtre qui s’affiche contient les comptes enregistrés pour accéder à des ressources identifiées :

Sans surprise, nous y retrouvons notre NAS. Si nous supprimons l’entrée correspondante, nous ne sommes à nouveau plus en mesure d’accéder à la ressource. Nous pouvons donc maintenant conclure aux assertions suivantes :

  • Ce n’est pas un problème de connectivité réseau (ping)
  • Ce n’est pas un problème de découverte réseau (ping -a)
  • Ce n’est pas un problème de traduction de nom (ping srv-syno-02)
  • Ce n’est pas un problème de service sur le synology (telnet et \\172.16.0.5)
  • Ce n’est pas un problème lié au service NetBIOS (net use T:)
  • c’est un problème d’authentification et de d’accès.

Vérifions ce qu’il se passe si nous tentons d’accéder au même partage sans présenter de nom d’utilisateur :

Je précise que mon poste de lab n’est lié à aucun domaine et n’a reçu aucune configuration particulière: il s’agit donc d’un mécanisme de protection spécifique à Windows 10… en allant voir le contenu des journaux d’évènements, dans la section Journaux des applications et des services, Microsoft, SMBClient voici ce que nous trouvons :

Le refus de connexion provient donc de la configuration du NAS qui, par défaut, propose une ouverture de session invité que le client refuse. Pour voir la configuration de votre client SMB, ouvrez une fenêtre PowerShell:

Voilà pourquoi nous ne pouvions pas accéder à notre ressource. Maintenant, il convient de configurer correctement notre environnement pour que l’accès fonctionne.

Remédiation

Configurer son NAS

Personnellement, je préfère cette solution qui demande à configurer le protocole SMB du NAS pour le forcer à demander une authentification : c’est beaucoup plus sécurisant. Pour le synology, dans la configuration du service de fichier, il suffit de modifier les paramètres avancé du protocole SMB pour le forcer à chiffrer les communications. Vous pouvez aller voir le site de Synology pour plus d’information.

Reconfigurer le client SMB du poste

je ne suis pas fan d’une solution qui ouvre mon système et m’expose à des risques mais, par expérience, je sais que certains souhaiteront prendre cette option. Pour autoriser la connexion avec un compte invité avec un poste client Windows 10, lancer une fenêtre PowerShell en mode Administrateur puis exécuter la commande:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $True

 

J’espère que ce petit debug vous aura aider également. À bientôt!

Lien Permanent pour cet article : https://ms-sec.fr/?p=1220

(4 commentaires)

Passer au formulaire de commentaire

    • Roland FERRARI on 31 décembre 2017 at 13 h 18 min
    • Répondre

    Eh bé….
    Chapeau, j’en reste les bras ballants, finalement c’est l’enfance de l’art de faire reconnaître un NAS sur le réseau… Et pourquoi ai-je donc bataillé 400 heures sans pouvoir accéder à mes données?
    Moi ma religion est faite. Je ne suis pas un bidouilleur de génie, je vais tout migrer sous Google-apps et Google-drive. Là pas de problème de reconnaissance de matériels qui ne veulent pas causer entre eux. Adieu Microsoft. C’est au-dessus de mes forces. Mais avant ça, je ne saurais méconnaître vos mérites. Je vous remercie d’avoir fait cette belle démonstration que je vais suivre pas à pas puisqu’il faut bien que j’accède à mes données. Vous êtes un bienfaiteur. C’est dommage qu’on n’ait pas pensé à vous mettre dans la promotion du 31 décembre de la Légion d’honneur au titre du secrétariat d’état au numérique.
    Bonne année!

    1. Bonjour Roland,

      Merci pour la légion d’honneur mais je ne le mérite pas, ce que j’ai présenté ici n’est que la travail classique d’un professionnel expérimenté (j’ai fait bien pire). Quand à mettre vos données chez Google – ou autre – soyez tout de même prudent : n’oubliez pas que ces entreprises sont à but lucratif et qu’elles doivent se monnayer d’une façon ou d’une autre. Vos données sont les leurs dès que vous les y stockées.

    • jlv001 on 11 mars 2019 at 12 h 22 min
    • Répondre

    Bonjour pour faire apparaitre votre NAS faire cela :

    Pour activer le protocole de partage SMB1, suivez les étapes suivantes :

    1. Ouvrez la barre de recherche dans Windows 10
    Tapez Fonctionnalités Windows
    Cliquez sur Activer ou désactiver des fonctionnalités Windows

    2. Faites défiler la liste jusqu’à Support de partage de fichiers SMB1.0/CIFS
    3. Cochez toutes les cases dans Support de partage de fichiers SMB1.0/CIFS
    Cliquez sur OK pour accepter les changements.

    4. Redémarrer votre ordinateur.

    Sa marche super trop bien Salutations jlv001.

    1. Merci pour cette petite astuce. J’attire toutefois l’attention de tous sur le fait que cette opération expose votre machine aux attaques de type EternalBlue (cryptolocker, ransomware…). A éviter donc ; préféré plutôt passer votre NAS en SMBv2.

Laisser un commentaire

Votre adresse ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.