Connexion en SMB depuis une station Win10 au Partage de Fichiers du Synology RS-820+ dans le cloud. [Résolu via VPN] [Pb FAI]

[francisgernet]

Bonsoir,

Après un transfert des données d'un Synology DS-918+ vers un RS-820+ hébergé chez Ikoula, pour cause de CoViD, tous les clients (2 stations Mac et 5 stations Win) ont pu retrouver leurs habitudes (connexion via SMB), sauf une station Windows et son client qui ne parviennent pas à se reconnecter.

Après deux jours de tentatives infructueuses, je m'adresse à la communauté pour solliciter de l'aide.

L'origine du problème est bien sûr du coté de la station windows, mais il existe sur internet tellement de topics concernant des problèmers de connexion à un serveur via SMB que je préfère réduire le champs à des Synologystes.

Diagnostique du problème :
Depuis la station, tracert et ping vers le RS-820+ fonctionnent ; le client se connecte bien au DSM avec son navigateur (donc a priori, résolution de nom, connexion réseau et authentification corrects), mais un net use avec le FQDN du serveur renvoi erreur 53, chemin réseau non trouvé, et net use avec l'adresse IP du serveur renvoi l'erreur 1244, utilisateur non authentifié.

Si j'utilise mes crédits, j'obtiens le même résultat.

Depuis une autre machine, située ailleurs, les crédits du client (et les miens) établissent bien sans erreur la connexion.

Voici les vérifications que j'ai pu faire :
Du coté du Syno, pas de pb attendu, mais on contrôle quand même :
    Serveur Wins : non renseigné
    SMB max : 3
    SMB min : 2
    Plage SMB : SMB2, SMB2 et Large MTU, SMB3
    chiffrement du transfert : auto
    seule la case Activer Opportunistic Locking est cochée
Du coté de la station Windows :
    Système : Windows 10 Famille
    Version : 10.0.19041
    Machine : HP Pavillon Laptop 15
    Processeur : i7-7500U @ 2.7 GHz
    EnableSMB1Protocol : true
    EnableSMB2Protocol : true
    EnableSMB3Protocol : (pas de réponse)
    fichier Windows\system32\drivers\etc\LMHOSTS : vide (seulement les lignes de commentaires)
    Réseau local de type : Privé
    et Firewall : désactivé

Si quelqu'un a une piste de recherches à effectuer, je suis preneur et reconnaissant.

Cordialement
--
Francis

Modifié le 6 décembre 2020 par francisgernet
Sujet raccourci. Ajout de la mention Résolu dans le titre. Ajout d'un mot clé.

[pluton212+]

Bonjour,

il y a ce post sur le forum qui donne une solution:

 

[francisgernet]

Merci Pluton212+

Il me reste à essayer sur le client :
1 - Services windows : fdPHost et FDResPub
2 - Désactiver la v1 de SMB

Je rendrai compte ici dans la matinée. Il me faut la collaboration de mon client distant, car le redémarrage de son Windows est nécessaire.

Au passage, j'ai trouvé ce site : https://revertservice.com (peut-être signalé ailleurs sur ce forum) qui contient toutes les configurations par défaut des services Windows XP, 7, 8 et 10.

[francisgernet]

Bonjour,

Mon problème n'a toujours pas trouvé de solution.

En utilisant les pistes indiquées par Pluton212+, j'ai vérifié les services fdPHost et FDResPub,
j'ai désactivé SMB1 et vérifié que SMB2 était actif,
enfin j'ai précisé le nom du workgroup dans la commande net use (net use K: \\... /user:WORKGROUP\login), ce que je n'avais pas fait avant

Rien n'y fait.
Ce qui me trouble est la différence de comportement entre net use K:\\178.170.65.175 qui renvoi une erreur 1244 et net use K:\\commun.cae-clara.fr qui renvoie une erreur 53 (alors que tracert commun.cae-clara.fr résoud bien l'adresse 178.170.65.175)

J'ai 7 clients sous Windows qui fonctionnent (et deux sur Mac) en partage de fichier SMB et un qui refuse sans que je puisse trouver pourquoi.

Merci et reconnaissance pour toute piste d'investigation à effectuer (des choses à vérifier du coté de la base du registre, des services..., un dump tcp -- mais je ne suis pas calé et ne sais pas que rechercher...)

 

•  

Modifié le 27 novembre 2020 par francisgernet

[francisgernet]

Bonjour,

Merci de l'aide apportée par Pluton 212+.

J'ai posté sur superuser : https://superuser.com/questions/1606510/smb-user-not-authenticated-on-a-specific-workstation-how-find-and-fix

Si une solution apparaît, je la reporterai sur ce forum.

[francisgernet]

Bonjour,

Pas encore de réponse coté superuser.

J'ai peut-être une piste :

Dans le registre HKLM\CurrentControlSet\Services\LanmanWorkStation\Linkage  de la station qui ne fonctiionne pas, j'ai :
    Bind             \Device\NetBT_Tcpip_{42...
    Export          \Device\LanmanWorkstation_NetBT_Tcpip_{42...
    Route           "NetBT" "Tcpip" "{42...

Dans le registre d'une de celles qui fonctionnent :
    Bind             \Device\Smb_Tcpip_{42...
    Export          \Device\LanmanWorkstation_Smb_Tcpip_{42...
    Route           "Smb" "Tcpip" "{42...

 

Toujours à l'écoute,
Cordialement
--
Francis

 

[Lelolo]

Curieux, car le BT me fait penser à une connexion Bluetooth ?

[francisgernet]

Merci de ton aide Lelolo.
Je crois que NetBT est un peu l'ancêtre de SMB/CIFS (https://en.wikipedia.org/w/index.php?title=NetBT)

[oracle7]

@francisgernet

Bonjour,

Ci-dessous une liste non exhaustive de contrôles à faire pour s'assurer de la connectivité Windows-SAMBA (pour simplifier les choses Windows traite cela un peu partout 🥴) :

Citation

·         Sur le NAS (services de fichiers SMB et avancé) :

o    Activer service SMB (Maxi SMB3, Mini SMB2 et large MTU, chiffrement auto, Activer Opprtunistic Locking, activer bail SMB2, activer module MSDFS, vide cache SMB)

o    Activer Bonjour

o    Activer SSDP

o    Activer WS-Discovery

·         Sur le PC :

o    Réinitialiser le réseau : Paramètres/Paramètres/Etat/Réinitialisation du réseau + reboot PC

o    Vérifier le type de réseau = Privé (Paramètres/Réseau et Internet/Etat/Modifier propriétés de connexion)

o    Vérifier que les services Windows suivants sont bien en cours et en démarrage automatique : + reboot PC

§  Assistance NetBios sur TCP/IP

§  Hôte de périphérique UPnP

§  Hôte de fournisseur de découverte de fonctions

§  Publication de ressources de découverte de fonctions

o    Vérifier tout ce qui concerne le "Centre Réseau et partage" notamment "Partage avancé"

o    Supprimer les entrées du NAS dans le Panneau de configuration/Gestionnaire d'identification onglet Informations d’identification Windows

o    Ajouter au fichier hosts (C:\Windows\System32\drivers\etc) une ligne « @IPduNAS   NomduNAS »

o    Forcer l'@IP DNS sur par exemple les DNS FND (80.67.169.12 et 80.67.169.40) ou Google (1.1.1.1) dans les paramètres IPv4 de la carte réseau sur le PC. Idem forcer NetBIOS sur TCPIP. + reboot PC

o    Dans le Pare-feu : vérifier que les règles entrantes pour :

§  « Partage de fichiers et imprimantes (SMB-Entrée) »

§  « Partage de fichiers et imprimantes (NB-Session-Entrée) »

sont activées pour Public, Privé et Domaine.

o    Activer des fonctionnalités de Windows (Programmes et fonctionnalités) + reboot PC

§  Cocher SMB direct

§  Support et partage de fichiers SMB1.0/CIFS

§  Cocher Client SMB1.0/CIFS

§  Décocher Serveur SMB1.0/CIFS

§  Décocher Suppression automatique de SMB1.0/CIFS

o    Dans une fenêtre de commande PowerShell en mode Admin + reboot PC si activation

§  SMB v1 ()

§  Vérifier présence SMB1 : Get-WindowsFeature FS-SMB1

§  Désactiver SMB1 : Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

§  Activer SMB1 : Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

§  SMB v2/v3 (dans une fenêtre de commande PowerShell en mode Admin)

§  Vérifier présence SMBv2/v3 : Get-SmbServerConfiguration | Select EnableSMB2Protocol

§  Désactiver SMBv2/v3 : Set-SmbServerConfiguration -EnableSMB2Protocol $false

§  Activer SMBv2/v3 : Set-SmbServerConfiguration -EnableSMB2Protocol $true

Cordialement

oracle7😉

[Varx]

Bonjour @francisgernet

Le journal des évènements ressort-il un message d'erreur ou d'avertissement ?

Observateur d'évènements > Journaux Windows > Application

Côté registre peux-tu vérifier que cette clef existe sur le poste qui fonctionne stp ?

• HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth

 

Autre option : Faire un test avec le pare-feu du poste désactivé temporairement.

Modifié le 3 décembre 2020 par Varx

[francisgernet]

Merci Oracle 7
Je vais faire une check-list et tout (re)vérifier.

Merci Varx,
La clé : HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth n'existe pas sur la station qui fonctionne.
J'irai regarder le journal des applications dès que j'aurais accès via TeamViewer à cette station qui pose problème, après avoir fait une nouvelle tentative (c'est la station d'une personne qui est en télétravail et qui échange les fichiers via l'interface DSM File Station).

Une autre piste vient de m'apparaître, car un autre utilisateur a le problème depuis un site dont le FAI est Numéricable : le port 445 serait bloqué par SFR. Crédible ? Qu'en pensez-vous ?
Si c'était le cas, comment contourner ?

[oracle7]

@francisgernet

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Il y a 3 heures, francisgernet a dit :

le port 445 serait bloqué par SFR

Pour info, SMB utilise le port IP 139 ou 445. Je ne vois pas pourquoi SFR bloquerai ces ports. Mais je peux me tromper ...

Cordialement

oracle7😉

[francisgernet]

@oracle7

Bonjour,

Ce serait en rapport avec le malware wannacry (https://communaute.red-by-sfr.fr/t5/Box-décodeur-TV/Problème-Connexion-de-sortie-SMB-3-0-AZURE-Port-445/td-p/436319 qui date d'avril, et cette discussion de 07/2019 à 10/2020 : https://forum.bouyguestelecom.fr/questions/2029455-deblocage-port-445).

Je vais tenter une redirection de port sur le firewall de la station windows et une autre, symétrique, à l'entrée du NAS.

Cordialement,

[francisgernet]

@Oracle7
@Varx

Merci de votre aide.

Ma tentative de redirection de port sur le firewall de la station windows et d'une autre, symétrique, à l'entrée du NAS s'est heurtée au fait qu'il n'existe pas naturellement sur le Synology d'outil pour rediriger un port entrant vers un autre port de la machine. Le firewall intégré n'offre pas cette possibilité (du moins dans le GUI). Pour la station windows, j'avais trouvé cela : http://woshub.com/port-forwarding-in-windows/

Je me suis donc rabattu vers un VPN (Merci à @Fenrir pour son tuto qui m'a fait gagner beaucoup de temps), et cela fonctionne.

Le port 445 est bien bloqué par certains FAI. Un nmap vers le serveur NAS (situé dans le cloud) via numericable (SFR) :