16 réponses à ce sujet

[Niconoss]

Bonjour,

J'ai associé mon serveur QNAP TS-809U à mon domaine Windows Active Directory. L'ensemble des utilisateurs et groupes appartenant au domaine ont bien été remontés et les permissions sur les partages fonctionnent bien.

Sur chaque collaborateur de mon entreprise, j'ai connecté sur leur poste informatique, les lecteurs réseaux pour les partages auxquels ils ont accès.

Le problème que je rencontre est le suivant :

Les utilisateurs attendent parfois plusieurs secondes pour pouvoir accéder aux partages. Le problème se pose à l'ouverture de leur session Windows, d'ailleurs lorsque le problème apparait le message suivant s'affiche près de l'horloge : "Impossible de connecter tous les lecteurs réseaux". Pendant tout le temps ou l'utilisateur ne peut pas accéder aux données une page d'identification s'affiche.

On dirait qu'il y a un problème de synchronisation entre mon serveur QNAP et le domaine AD. Est-ce un problème de configuration ? d'horloge ? de DNS ?

Merci pour votre aide.

[FredP]

Bonjour,
Utilisez-vous un script de logon, ou avez-vous fait tout cela manuellement (connexions réseaux par ex)?
Que disent les journaux d'événements?
Pour éliminer les problèmes de temps et les connexions résiduelles, les admins ont l'habitude d'utiliser des scripts de logon, dont voici un exemple rapide de contenu:
net use * /delete
net time \\<time_server> /set /yes > nul
net use k: \\<server_name>\<share_name> /Persistent:No

La première commande retire toutes les connexions résiduelles.
La deuxième synchronise l'heure avec votre serveur de temps (remplacer <time_server> par le nom de votre serveur de temps)
La troisième monte une volume partagé d'un serveur (remplacer <server_name> et <share_name> par le nom du serveur et du volume partagé).

[Niconoss]

Merci de votre réponse.

Les connecteurs réseaux ont été montés manuellement via le menu Outils/Connecter un lecteur réseau...

En ce qui concerne les journaux d’événements, je ne vois rien d'anormal ! Vous parlez bien des journaux du poste client (Gestion de l'ordinateur/Outils système/Observateur d'évènements) ?

Pour le reste, je ne suis pas un spécialiste et je ne sais pas comment exécuter et où exécuter le script. Pouvez-vous m'aider ? Ce script doit-il être exécuté sur chaque poste client ?

[FredP]

Bonjour,
Je me doutais un peu de cette situation. C'est rarement une bonne idée de mapper manuellement les volumes partagés. Imaginez simplement que vous deviez déplacer/renommer des volumes partagés, il va falloir repasser sur tous les postes concernés!

Les loginscripts se déposent dans le volume partagé "Netlogon" de vos contrôleurs de domaines et se déclarent dans les propriétés de comptes de vos utilisateurs dans la console d'administration "Utilisateurs et Ordinateurs Active Directory", si je ne m'abuse.
Tout poste enregistré dans le domaine avec une ouverture de session utilisateur sur le domaine contacte le contrôleur de domaine pour obtenir les infos du client. A l'ouverture de session, le script sera lu et exécuté pour l'utilisateur qui a ouvert sa session.
Quand à la recherche d'incidents dans les journaux d'événements, je pensais tout autant au client qu'au(x) serveur(s) qui peuvent chacun afficher des incidents.

[Niconoss]

Merci pour toutes ces informations.

Je vais avancer sur ce sujet et essayer d'appliquer un script de logon.

Si j'ai bien compris je dois éditer autant de script que j'ai de volume partagé ? Ma question est peut-être stupide mais peut-il y avoir plusieurs scripts pour un même volume ? Si oui quel est l’intérêt ?

[FredP]

Un script par utilisateur.
Un seul script peut contenir plusieurs volumes à napper. Il suffit de les mettre à la suite les uns des autres.
net use <drive_letter_1>: \\server_name_X\<share_name1>
net use <drive_letter_2>: \\server_name_Y\<share_name2>.
X et Y peuvent représenter le même serveur. Par contre attention au copier-coller: lettres de lecteur réseau...).
Plusieurs utilisateurs peuvent avoir accès bien sûr au même volume.
Plusieurs utilisateurs peuvent utiliser le même script pour peu qu'ils aient accès aux mêmes volumes.
Je vous conseille de vous documenter sur le sujet, vous découvrirez rapidement qu'au delà des reconnexions aux serveurs de fichiers, vous pouvez utiliser les scripts de logon pour des connexions aux imprimantes, lancer des exécutables (installations par ex), des modifications de registre, copier des fichiers.....
C'est un peu chronophage mais quand c'est maitrisé, c'est de l'administration facilitée. "No hands"!

[Niconoss]

Bonjour,

J'ai appliqué le principe de script de logon et ça fonctionne très bien. Désormais tous les partages sont montés automatiquement dès l'ouverture de la session Windows. Merci FredP.

Malgré l'utilisation des scripts, mon problème de connexion persiste puisque de temps en temps, je n'arrive pas à accéder aux partages. Lorsque le script s'exécute au démarrage de Windows, un invite de commande se lance. Régulièrement le script s'exécute parfaitement et la fenêtre DOS disparaît. Par contre, il arrive que le script me demande de m'authentifier pour monter les partages (partages auxquels je devrai avoir accès).

Pour remédier à ce problème, je me suis aperçu que si je synchronisais manuellement mon serveur QNAP avec mon AD (via l'option mettre à jour maintenant), l'authentification s'effectue parfaitement et les partages sont bien montés. Est-ce un problème de configuration ou d'horloge ? J'ai pourtant activer la synchronisation automatique avec mon serveur AD mais il arrive que les horloges ne soient pas à la même heure (parfois 15 min d'écart).

[FredP]

Bonjour et tout d'abord Bonne année!

Les authentifications kerberos fonctionnent bien si tout le monde est à la même heure, du moins sans trop de différence et si évidemment les annuaires sont bien répliqués! Et la réplication fonctionne si les heures sont synchrones sur tous les postes.

Si tu as ajouté le serveur de temps de ton annuaire Active Directory dans les scripts de connexions des clients, pense à ajouter la synchronisation d'heure dans le NAS (Réglages de base => Date et Heure: Synchroniser automatiquement avec un serveur de synchronisation Internet...).
Si tu as quelques doutes liés à ton annuaire AD, tu peux ajouter directement un serveur ntp disponible sur le Net comme pool.ntp.org

[Niconoss]

En fait, mon serveur de temps est mon serveur AD ; c'est du moins comme cela que je l'ai renseigné dans mon NAS. Dans le champs serveur, j'ai ajouté le nom de mon serveur Windows AD.

Bonne année également

[FredP]

Pour qu'il y ait un décalage de plus de 15 mn, il faut qu'il y ait un problème.
A savoir: Les authentifications Kerberos ne fonctionnent qu'avec au max 5 mn de décalage.
Je ne sais plus comment répond le serveur Ntp de Windows, si c'est ntp ou sntp. C'est un peu vieux dans mon esprit mais tu dois pouvoir vérifier ça avec une commande sur le NAS: ntpdate "adresse_ip_du_serveur_de_temps".

[Niconoss]

Petit problème ! J'ai l'impression que mon serveur AD n'est pas bien configuré.

Voici la réponse apportée à la commande ntpdate 192.168.XXX.XXX

Looking for host 192.168.XXX.XXX and service ntp
host found : xxx.fr
9 Jan 11:16:10 ntpdate[20169]: Port 0: 1001

9 Jan 11:16:10 ntpdate[20169]: Port 1: 123

9 Jan 11:16:10 ntpdate[20169]: no server suitable for synchronization found

[FredP]

Bonjour,

C'est bien ce que je pensais. Priorité pour régler tes problèmes d'authentification: régler l'heure.
Ajoute un des pools de serveurs suivants dans les réglages de dates et heures du NAS:
0.fr.pool.ntp.org
1.fr.pool.ntp.org
2.fr.pool.ntp.org
3.fr.pool.ntp.org

Une fois ceci fait, tu pourras relancer les synchros de comptes et vérifier si il n'y a pas de problème par ailleurs. Gérer le ntp pour une machine me semble moins urgent.

[Niconoss]

J'ai configuré l'un des pools dans mon système (Réglages de base\DATE ET HEURE\Synchroniser automatiquement avec un serveur de synchronisation Internet)

Serveur : 0.fr.pool.ntp.org
Intervalle de temps : 1 heure

J'ai exécuté la syncho de mes comptes et tout semble fonctionner. Je n'ai rien noté d'anormal...

Merci FredP

[Niconoss]

FredP,

Lorsque j'exécute la même commande mais avec le nouveau serveur de temps le résultat est le même. Est-ce normal ?

ntpdate 0.fr.pool.ntp.org

Looking for host 0.fr.pool.ntp.org and service ntp
host found : sd-21102.dedibox.fr
9 Jan 14:05:39 ntpdate[18224]: Port 0: 1001

9 Jan 14:05:39 ntpdate[18224]: Port 1: 123

9 Jan 14:05:43 ntpdate[18224]: no server suitable for synchronization found

[FredP]

Voici la réponse de la commande ntpdate sd-21102.dedibox.fr

ntpdate sd-21102.dedibox.fr
Looking for host sd-21102.dedibox.fr and service ntp
host found : sd-21102.dedibox.fr
9 Jan 14:30:46 ntpdate[6660]: Port 0: 1001

9 Jan 14:30:46 ntpdate[6660]: Port 1: 123

9 Jan 14:30:46 ntpdate[6660]: adjust time server 88.191.120.99 offset -0.024707 sec

Il y a donc bien un serveur ntp à cette adresse.
Possible qu'il y ait eu un délai de réponse trop long, il faut vérifier aussi qu'un port ne soit pas bloqué au niveau firewall pour accéder à ces adresses/port.....
Je me rappelle avoir utilisé une adresse IP plutôt qu'un nom de serveur !parce que j'ai un serveur DNS qui a des chances d'être chargé après la mise à jour de l'heure).
Ceci dit, rien ne t'empêche de faire de même avec des adresses comme celles-ci:

0.fr.pool.ntp.org. 317 IN A 94.23.18.73
0.fr.pool.ntp.org. 317 IN A 217.174.209.121
0.fr.pool.ntp.org. 317 IN A 87.98.181.57

[Niconoss]

ouh la désolé mais j'ai dû rater quelque chose. Peux-tu me dire à quoi correspond les adresses que tu m'as indiqué ?

Je ne comprend pas tout.

[FredP]

j'ai lancé une commande dig @<mon_serveur_dns> 0.fr.pool.ntp.org (ou nslookup 0.fr.pool.ntp.org) pour obtenir les adresses que je t'ai données et que j'ai supprimées, histoire de ne pas te donner de mauvaises infos.
J'ai relancé cette commande et j'obtiens maintenant celles-ci:

0.fr.pool.ntp.org. 87 IN A 188.165.211.5
0.fr.pool.ntp.org. 87 IN A 88.190.227.30
0.fr.pool.ntp.org. 87 IN A 91.121.162.168
ou encore celles-ci:

0.fr.pool.ntp.org. 20 IN A 88.190.18.10
0.fr.pool.ntp.org. 20 IN A 88.191.130.213
0.fr.pool.ntp.org. 20 IN A 213.251.173.182
Ou encore...
Bref, il y a beaucoup de serveurs interrogeables dans ces pools. Il suffit normalement de mettre l'adresse 0.fr.pool.ntp.org pour en interroger un dans le lot. Ca peut parfois accélérer de choisir une adresse...