none
Accès server 2016 essentials depuis lecteur réseau Zappiti 4K HDR

    Question

  • Bonjour à tous,

    Je viens vous demander de l'aide, car je suis dans le dur !

    Je suis renvoyé sur ce forum par Mbemba_K, modérateur de Microsoft Community, qui me conseille de vous exposer mon souci. 

    Je viens de remplacer un WHS 2011 par un Windows server 2016 Essentials.

    J'ai sur le réseau un lecteur Zappiti One 4K HDR.
    Dans l'explorateur du Zappiti je vois le dossier du serveur et je peux entrer à la racine du serveur (je me suis identifié la première fois avec mon compte administrateur du serveur et mot de passe). Mais ensuite impossible de rentrer sur les sous-dossiers partagés du serveur, que j'ai pourtant partagés avec mon compte administrateur et même avec "tout le monde". Le Zappiti m'ouvre une fenêtre identification et j'ai beau indiquer mon compte administrateur et mon mot de passe du serveur, impossible de rentrer dans les dossiers partagés pour lire les photos et vidéos sur la TV.
    Idem avec un autre compte utilisateur que j'ai créé spécialement.
    Même avec l'application MEDIA BROWSER du Zappiti. Je vois le serveur, connecté SAMBA. Lorsque je veux accéder, j'ai le message suivant : "signature verification failed".
    Je précise que depuis un PC connecté sur le réseau (pas membre du domaine, car c'est un Pc sous Seven Familiale Premium) je rentre sans problème sur le serveur depuis l'explorateur réseau et dans le dossier partagé en question, après identification soit avec mon compte administrateur du serveur soit avec mon compte du PC sous Seven (ce que je trouve bizarre d'ailleurs car ce compte n'est pas connu en utilisateur dans le serveur ??, mais passons, ça marche...).
    Y aurait-il des services que je n'ai pas bien configuré sur le Windows server 2016 essentials ? J'ai lu que la diffusion multimédia en continu avait été supprimée sur WS2016 mais je doute que ce soit la raison ?
    Ou tout simplement n'est-ce plus possible avec Windows server 2016 Essentials d'accéder depuis un périphérique non membre du domaine ?

    Je vois aussi dans le registre du serveur que la valeur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters\requiresecuritysignature  est sur 1 et non sur 0. Cela peut-il être la cause ??

    Je regrette vraiment d'avoir voulu moderniser avec WS 2016, tout fonctionnait avec mon WHS 2011. J'ai le sentiment que l'outil est surdimensionné par rapport à mes besoins.
    J'ai une licence Windows server 2012 Essentials R2 que je n'ai jamais utilisée, dois-je plutôt revenir à cette version, ou tout simplement faire mon serveur avec un simple Windows 10 ?
    Merci par avance de vos réponses.
    Bien cordialement.

    mardi 20 février 2018 17:14

Toutes les réponses

  • Bonsoir et merci de votre réponse,

    Je ne sais pas trop ce que je dois faire, j'ai compris qu'il y a deux solutions :

    - un mode compatibilité avec une commande New-SmbShare ou SmbShare-jeu par PowerShell. Mais je ne maîtrise pas la procédure, suffit-il de rentrer cette commande dans Powershell ?

    - ou plutôt réactiver snbv1 avec la commande : Enable-WindowsOptionalFeature-Online -FeatureName smb1protocol

    Que me conseillez-vous de faire.

    Merci encore.

    mercredi 21 février 2018 18:43
  • Bonjour,

    Le firmware du Zappiti est à jour.

    Le Zappiti est connecté sur le réseau, sur un routeur Ethernet (box Orange), sans adresse IP fixe.

    Mon problème n'est pas l'accès PC vers Zappiti mais l'inverse : je ne parviens pas à rentrer sur les dossiers partagés du serveur depuis le lecteur Zappiti One (par contre je peux rentrer à la racine du serveur).

    Merci de vos réponses. 

    jeudi 22 février 2018 18:22
  • @Momominta : http://www.zappiti.com/FR/zappiti-one-4k-hdr.html

    @Riquet17 : je pense que le problème vient du client SMB utilisé par votre produit. Il n'y a aucune documentation sur le web à ce sujet (que je n'ai trouvé du moins). Dans votre menu, avez-vous la possibilité de régler la version de SMB et le niveau de sécurité ?

    jeudi 22 février 2018 20:48
  • Aaah! Autant pour moi :) JE te laisse piloter, mais à mon avis le soucis vient du client SMB du produit comme souvent lorsque la sous-couche est un unix.
    jeudi 22 février 2018 20:59
  • T'nquiètes, je garde un œil. Mais comme j'ai peu de temps, je n'interviens que si cela peut aider ou réorienter vers une nouvelle piste.
    jeudi 22 février 2018 21:22
  • Bonjour et merci de votre réponse.

    Malheureusement non, il n'y a pas de possibilité de changer la version SMB. J'ai contacté le support Zappiti qui me confirme qu'il faut utiliser SMBv1 uniquement.

    Pensez-vous que je peux tenter de réactiver SMBv1 sur le serveur avec la commande Enable-WindowsOptionalFeature-Online -FeatureName smb1protocol ?

    vendredi 23 février 2018 10:39
  • Bonjour et merci de votre réponse.

    Malheureusement non, il n'y a pas de possibilité de changer la version SMB. J'ai contacté le support Zappiti qui me confirme qu'il faut utiliser SMBv1 uniquement.

    Pensez-vous que je peux tenter de réactiver SMBv1 sur le serveur avec la commande Enable-WindowsOptionalFeature-Online -FeatureName smb1protocol ?

    vendredi 23 février 2018 10:39
  • Bonjour et merci de votre suivi.

    J'ai bien fait ce que vous m'avez dit. La case support de partage de fichier SMB 1.0/CIFS est bien cochée sur le serveur.

    samedi 24 février 2018 23:29
  • Petit plus : faites un essai d'accès puis regardez les journaux de sécurité du serveur. Normalement, vous devriez voir des essais d'accès en échec : ce qui serait utile serait de voir le protocole d'authentification utilisé (NTLM, NTLMv2, KERBEROS...) et le compte présenté (Anonymous ?).

    Pour rajouter une information, Momominta vous invites à vérifier que la feature est bien installé comme dans l'écran ci-dessous (la case doit être cochée).

    Résultat d’images pour smbv1 windows server 2016


    dimanche 25 février 2018 09:50
  • Bonjour et merci de votre aide,

    Je confirme que le service SMB 1.0/CIFS est bien mentionné entre parenthèses comme "installé".

    Je viens d'essayer de me connecter depuis le lecteur Zappiti.

    Je vois le serveur dans l'explorateur Zappiti, je peux accéder dans le serveur et je vois les dossiers partagés.

    Par contre je ne peux pas m'identifier pour rentrer sur les dossiers partagés du serveur.

    Dans le journal Windows sécurité j'ai trouvé ceci :

    Nom du journal :Security
    Source :       Microsoft-Windows-Security-Auditing
    Date :         03/03/2018 13:39:13
    ID de l’événement :4769
    Catégorie de la tâche :Opérations de ticket du service Kerberos
    Niveau :       Information
    Mots clés :    Succès de l’audit
    Utilisateur :  N/A
    Ordinateur :   EGSERVER.LESABEILLES.local
    Description :
    Un ticket de service Kerberos a été demandé.

    Informations sur le compte :
     Nom du compte : EGSERVER$LESABEILLES.LOCAL
     Domaine du compte :  LESABEILLES.LOCAL
     GUID d’ouverture de session :  {73f54dd5-cce2-858a-ae56-2f9415b6307e}

    Informations sur le service :
     Nom du service :  krbtgt
     ID du service :  LESABEILLES\krbtgt

    Informations sur le réseau :
     Adresse du client :  ::1
     Port client :  0

    Informations supplémentaires :
     Options du ticket :  0x60810010
     Type de chiffrement du ticket : 0x12
     Code d’échec :  0x0
     Services en transit : -

    C’et événement est généré à chaque fois qu’un accès est demandé à une ressource comme un ordinateur ou un service Windows. Le nom du service indique la ressource à laquelle l’accès à été demandé.

    Cet événement peut être associé à des événements de connexion Windows en comparant les champs GUID d’ouverture de session de chaque événement. L’événement de connexion se produit sur l’ordinateur sur lequel l’accès s’est effectué, qui souvent n’est pas le même ordinateur que le contrôleur de domaine qui a émis le ticket de service.

    Les options de ticket, les types de chiffrement et les codes d’échec sont définis dans la RFC 4120.
    XML de l’événement :
    <Event xmlns=

     <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4769</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>14337</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2018-03-03T12:39:13.335286400Z" />
        <EventRecordID>373531</EventRecordID>
        <Correlation />
        <Execution ProcessID="624" ThreadID="8488" />
        <Channel>Security</Channel>
        <Computer>EGSERVER.LESABEILLES.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="TargetUserName">EGSERVER$@LESABEILLES.LOCAL</Data>
        <Data Name="TargetDomainName">LESABEILLES.LOCAL</Data>
        <Data Name="ServiceName">krbtgt</Data>
        <Data Name="ServiceSid">S-1-5-21-1785423665-3264972918-3613320766-502</Data>
        <Data Name="TicketOptions">0x60810010</Data>
        <Data Name="TicketEncryptionType">0x12</Data>
        <Data Name="IpAddress">::1</Data>
        <Data Name="IpPort">0</Data>
        <Data Name="Status">0x0</Data>
        <Data Name="LogonGuid">{73F54DD5-CCE2-858A-AE56-2F9415B6307E}</Data>
        <Data Name="TransmittedServices">-</Data>
      </EventData>
    </Event>

    samedi 3 mars 2018 12:51
  • Kerberos ? Vous avez un domaine LDAP d'installer ? Dans ce cas vous devez joindre le ZAPPITI à votre domaine. Kerberos s'appuie sur un tiers validant (le fameux krbtgt que l'on voit).
    samedi 3 mars 2018 12:59
  • Merci, mais joindre le Zappiti au domaine je ne sais pas faire :(.

    Est-ce possible d'ailleurs ?

    Il est possible que je me sois planté à l'installation. Une solution est-elle de sortir du protocole LDAP ?

    samedi 3 mars 2018 14:54
  • Si votre serveur est joint à un domaine, vous devez spécifier que vous souhaitez utiliser un compte de la base SAM plutôt qu'un compte du domaine : par défaut, lorsqu'une demande d'accès est reçu par un serveur membre, une authentification est requise auprès d'un des contrôleurs de domaine pour valider l'accès (que ce soint NTLM ou Kerberos). Pour forcer l'utilisation d'un compte local, précéder le nom du compte de :

    • LOCALHOST\
    • .\
    • LeNomDuServeur\

    samedi 3 mars 2018 15:05
  • Je saisis dont dans la fenêtre d'identification du Zappiti :

    LOCALHOST\Eric\LeNomDuServeur\ ?

    Eric est mon compte d'utilisateur/administrateur.

    Avec mon mot de passe attaché à ce compte ?

    samedi 3 mars 2018 18:09
  • Bonjour Momominta,

    Merci de votre suivi.

    J'ai bien partagé le dossier avec "tout le monde" via Propriétés du dossier → Partage → Partager → "Eric" (mon compte) et "tout le monde".

    Quand je fais cela, j'ai remarqué que l'utilisateur Eric disparait dans Partage avancé (case "partager ce dossier" cochée) → Autorisations. Cela est arrivé deux fois ? 

    Dans Partage avancé → Autorisations j'ai "tout le monde" et "Administrateurs (Nom Du Serveur\Administrateurs)"

    Quelle galère :)

    samedi 3 mars 2018 18:21
  • Il faut que le compte soit local au serveur : pas un compte de domaine.

    Taper LUSRMGR.MSC dans un champs d'exécution sur le serveur : cela vous donnera accès l'interface de gestion des comptes locaux. Créer ou utiliser l'un des comptes listé ensuite. 

    Exemple :

    Dans l'écran suivant, j'essaierai de me connecter avec le compte .\SQLEXPRESS00

    samedi 3 mars 2018 18:25
  • Si zappiti à un utilisateur d'accès connu alors ajouter l'utilisateur aux utilisateurs de votre AD et ajoutez cet utilisateur  aux ressources partagés de windows 2016.


    Ah, petite erreur : un utilisateur local, même si il partage le même et le même mot de passe, ne sera pas reconnu sur le domaine. Cela vient de ce que la ressource qui tente l'accès ne présente pas de ticket Kerberos, ticket qu'elle à reçu du contrôleur de domaine. Sans lui, l'authentification ne peut qu'échouer. Pour que cela fonctionne, il faut que le Zappiti soit membre du domaine également.
    samedi 3 mars 2018 18:29
  • Bonsoir,

    Lorsque je rentre cette commande, il me répond que "L'ordinateur est un contrôleur de domaine. Ce composant logiciel enfichable ne peut pas être utilisé sur un contrôleur de domaine. Les comptes de domaine sont gérés avec le composant Utilisateurs et ordinateurs Active Directory."

    samedi 3 mars 2018 18:39
  • Bonsoir,

    Lorsque je rentre cette commande, il me répond que "L'ordinateur est un contrôleur de domaine. Ce composant logiciel enfichable ne peut pas être utilisé sur un contrôleur de domaine. Les comptes de domaine sont gérés avec le composant Utilisateurs et ordinateurs Active Directory."

    Evidement, dans ce cas, vous n'avez pas le choix : vous devez joindre le Zapitti au domaine. Malheureusement, ce produit ne fonctionne pas comme cela.

    samedi 3 mars 2018 18:49
  • Merci, j'essaierai cela demain.

    Question : le DHCP est géré par ma box fibre Orange. Je n'ai pour l'instant pas attribué d'adresse IP fixe au serveur. Dois-je le faire via la box Orange ?

    Le Zappiti est connecté sur la Box en Ethernet. Si je lui indique l'IP du serveur pour le DNS préféré, le Zappiti pourra-t-il toujours accéder à internet ?

    Désolé je ne suis pas très bon...

    samedi 3 mars 2018 18:52
  • Pouvez-vous me dire les démarches pour rendre le Zappiti membre du domaine ?
    samedi 3 mars 2018 18:54
  • Question : le DHCP est géré par ma box fibre Orange. Je n'ai pour l'instant pas attribué d'adresse IP fixe au serveur. Dois-je le faire via la box Orange ?

    C'est impossible. Vous ne pouvez pas installer un contrôleur de domaine avec une adresse DHCP d'une part, et d'autre part le DC ne peut pas fonctionner correctement si il ne peut pas joindre la zone DNS qui le concerne. 

    Soit votre box Orange fournit par bonheur en serveur DNS votre serveur, mais ca me semble difficile à croire car il faudrait alors connaître l'IP dudit serveur... Et donc passer par une résa DHCP par adresse MAC, ce qui me semble tordu et trop complexe au vu de nos échanges actuels (sans vous vexer).

    Avez-vous vraiment besoin d'un AD ? Peut-être devriez-vous désinstaller le rôle et rétrograder le serveur en workgroup, ce qui vous simplifierais la vie.

    Le Zappiti est connecté sur la Box en Ethernet. Si je lui indique l'IP du serveur pour le DNS préféré, le Zappiti pourra-t-il toujours accéder à internet ?

    A priori, je dirai que non. Mais vous pouvez vérifier ce point en vous connectant sur le DC et en tapant la suite de commande suivante :

    • nslookup - 127.0.0.1
    • www.google.fr

    Normalement, vous obtenez l'adresse IP des serveurs Web de Google (v4 et v6). Si vous n'avez pas de réponse, alors le DC ne sait pas forwarder correctement les requêtes DNS.

    Pouvez-vous me dire les démarches pour rendre le Zappiti membre du domaine ?

    Le Zappiti n'est pas compatible avec un domaine Active Directory.

    samedi 3 mars 2018 19:12
  • Je pense que le protocol TCPIP, tout comme le protocol smb, peut être utilisé pour joindre le domaine

    Si les deux protocoles sont effectivement requis pour que le poste joigne le domaine, d'autre sont également indispensable : Kerberos, NetBIOS, ... Cela ne suffira malheureusement pas.

    votre Zappiti peut-être considéré comme un ordinateur qui joint AD

    Dans un sens, ce n'est pas fautx. Pour que cela fonctionne toutefois, il faut que le client soit capable de dialoguer avec une API Kerberos sur son propre système et que celle-ci soit compatible avec la version 5 du protocole. Ce n'est pas le cas du Zappiti.


    samedi 3 mars 2018 19:17
  • Sur le plan réseau pur oui, mais aucun contrôleur de domaine n'acceptera une connexion d'un partenaire non-membre. Le problème ne vient pas de la configuration réseau, mais de ce que le serveur cible est un contrôleur de domaine.
    samedi 3 mars 2018 21:54
  • Bonsoir,

    Ne vous en faites pas, je ne risque pas de me vexer :)

    Je suis conscient que l'outil est démesuré par rapport à mes besoins et mes compétences et j'aurais mieux fait de garder mon Windows Home Server 2011, qui fonctionnait très bien. J'ai voulu moderniser, j'aurais dû m'abstenir. Ou d'installer un Windows 10 en guise de serveur.

    Vous avez entièrement raison, je n'ai pas besoin d'une AD.

    Si je peux rétrograder le serveur en Workgroup, ça me suffira.

    Je désinstalle le rôle "Services de certificats Active Directory" ?

    samedi 3 mars 2018 23:23
  • Sur le plan réseau pur oui, mais aucun contrôleur de domaine n'acceptera une connexion d'un partenaire non-membre. Le problème ne vient pas de la configuration réseau, mais de ce que le serveur cible est un contrôleur de domaine.

    @Loic,
    Faites le test chez vous car chez moi cela marche.

    Momominta

    Ca ne marche pas : soit tu utilises un couple user / password et dans ce cas tu es un membre actif du domaine qui accède la ressource, soit tu as activé le compte anonyme et mis la ressource passage en accès libre pour l'utilisateur "guest" ce qui revient à se passer d'un AD...  Et ne dois surtout pas être fait.

    dimanche 4 mars 2018 12:26
  • Je confirme que cela marche avec  un compte membre du domaine.

    C'est ce que je n'arrête pas d'expliquer... Créer un compte sur le domaine puis utiliser ce compte pour accéder est le seule et unique méthode valable. 

    Si selon toi cela ne marche pas alors je viens de découvrir une faille du serveur tout simplement.

    Ce qui ne marche pas c'est d'utiliser un compte non-membre du domaine. Faire créer un compte ayant le même mot de passe sur la machine et dans le domaine est inutile (le coté domaine suffit) et un risque de sécurité (répétition d'un mot de passe du domaine).

    Concernant le cas qui nous occupe, le Zappitti ne demande pas explicitement de connexion par authentification : il faut donc que le Zappiti soit membre du domaine (connexion en via le compte machine) ou bien que l'on puisse préciser un compte utilisateur à la connexion sous la forme UPN (utilisateur@mon.domaine.local) ou NetBIOS (domaine\utilisateur).

    Et je n'utilise aucun compte guest.

    Bien, c'est la bonne façon de faire.


    dimanche 4 mars 2018 15:21
  • La méthode de Momominta ne fonctionne pas, j'ai essayé.

    J'ai aussi essayé de donner à mon dossier partagé le propriétaire "Anonymous", après avoir activé les autorisations des utilisateurs anonymes dans les options de sécurité.

    Pas de résultat non plus.

    Concernant le cas qui nous occupe, le Zappitti ne demande pas explicitement de connexion par authentification : il faut donc que le Zappiti soit membre du domaine (connexion en via le compte machine) ou bien que l'on puisse préciser un compte utilisateur à la connexion sous la forme UPN (utilisateur@mon.domaine.local) ou NetBIOS (domaine\utilisateur).

    Je précise que le Zappiti ouvre une fenêtre d'identification lorsque je veux accéder au dossier partagé, avec demande de nom d'utilisateur et de mot de passe.

    Je viens d'essayer de me connecter en UPN, sans résultat (en utilisant mon mot de passe de mon compte serveur). J'avais je crois déjà essayé en NETBIOS.

    Je crois que je vais rétrograder...

    dimanche 4 mars 2018 15:53
  • Je viens d'essayer de me connecter en UPN, sans résultat (en utilisant mon mot de passe de mon compte serveur). J'avais je crois déjà essayé en NETBIOS.

    Si il y a un échec de connexion, cela ne peut venir que de la méthode d'authentification : mauvaise saisie de l'UPN ou du mot de passe (le plus souvent), ou alors tentative de connexion avec un client non compatible (ce pourrait être le cas avec entre un Windows 2000 et un Windows Server 2016 par exemple).

    Vérifiez dans les évènements de sécurité du serveur, vous devriez trouver une trace de l'échec (au besoin reproduisez-la). Copiez le résultat ici. 

    dimanche 4 mars 2018 16:30
  • Oui j'ai bien essayé tout cela ce matin mais je n'ai pas d'accès au serveur depuis le Zappiti.
    dimanche 4 mars 2018 16:52
  • Panneau de configuration \ Réseau et Internet \ Centre réseau et partage \ Paramètres de partage avancés

    Peut on savoir les choix que sont les votres.

    Partout j'ai "Activer la découverte du réseau"

    Panneau de configuration \ Système et sécurité \ Outils d'administration > Stratégie de sécurité locale >Polices Locales> Options de sécurités >Sécurité réseau: niveau d'authentification LAN Manager> Choisissez cette option de la liste ci-dessous

    C'est fait.

    dimanche 4 mars 2018 17:58