Discussion :

[PanTHe0N]

Bonjour, tout est dit dans le titre: après avoir accès à distance à notre entreprise avec une connexion VPN, lorsque je tape http://spxxxx/sites/portail dans IE ou FireFox je n'ai aucun accès au site SharePoint 2013. Auriez vous l'amabilité de m’éclaircir de quoi s'agit il et comment résoudre ce problème svp. Voici la topo:

Esx-i 5.1
Windows server 2012 R2 (AD, DNS, DHCP, VPN, etc) >> 192.168.X.10
Windows server 2012 (SQL 2014 + IIS + SP 2013, etc........serveur qui est membre du domaine) >> 192.168.X.11 (DNS 192.168.X.10)

Les gens du réseau avec leur poste n'ont aucun problème pour accéder à SP2013 (lorsqu'ils sont logues dans le domaine avec leur poste client). C'est quand j'ai fait du VPN que tout se gâche... Ah encore, le pareFeu configuré au niveau NAT donc avec une adresse public, on a accès via VPN aux files et intranet sans soucis. Avez vous une idée ? SI oui, pouvez-vous la partager ? Merci par avance.

[nonoxp]

Bonjour,

Avant toute chose, est-ce que vous arrivez a resoudre le nom dns de votre serveur a travers le vpn ?

[PanTHe0N]

Bonjour, merci pour votre intérêt; oui, je peux soit pinger 192.168.x.10 ou le nom xxxx.local.

[nonoxp]

Quand vous dites "aucun accès au site SharePoint 2013" , quel est le message d'erreur et dans quel contexte survient-il ? (avant/apres apparition de la popup de login ?), avez-vous un code d'erreur HTTP ?

[PanTHe0N]

Non, pas de message d'erreur, la page est toute blanche. Je tape donc url qui est http://sp2013/sites/portail le navigateur m'envoie sur http://www.sp2013.com/sites/portail/ . Pas de pop-up, pas d'erreur, pas de message. Après le VPN, j'arrive accéder aux dossier, fichier du réseau sans problème. C'est vraiment étrange. A mon avis, je sens un soucis de DNS mais franchement, je ne sais pas . Un ip config /all:
Carte PPP EPSAINTI VPN :

Suffixe DNS propre à la connexion. . . : monserveur.local
Description. . . . . . . . . . . . . . : MON SERVEUR VPN
Adresse physique . . . . . . . . . . . :
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv4. . . . . . . . . . . . . .: 192.168.35.112(préféré)
Masque de sous-réseau. . . .*. . . . . : 255.255.255.255
Passerelle par défaut. . . .*. . . . . : 0.0.0.0
Serveurs DNS. . . . . . . . . . . . . : 192.168.35.10
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Ethernet Connexion au réseau local :

Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Contr
Adresse physique . . . . . . . . . . . : 54-04-A6-60-E3-F2
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::4cf5:f744:2dfd:b123%10(
)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.35.30(préféré)
Masque de sous-réseau. . . .*. . . . . : 255.255.255.0
Passerelle par défaut. . . .*. . . . . : 192.168.35.1
IAID DHCPv6 . . . . . . . . . . . : 240387238
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-19-57-08-EC-54-04-A
-F2
Serveurs DNS. . . . . . . . . . . . . : 192.168.35.10
192.168.35.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{6616A289-1263-4D00-BF66-98599D27CC67} :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui

Carte Tunnel Teredo Tunneling Pseudo-Interface :

Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Inter
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6. . . . . . . . . . .*. . .: 2001:0:9d38:90d7:289b:2da:3f5
préféré)
Adresse IPv6 de liaison locale. . . . .: fe80::289b:2da:3f57:dc8f%12(p

Passerelle par défaut. . . .*. . . . . : ::
NetBIOS sur TCPIP. . . . . . . . . . . : Désactivé

Carte Tunnel isatap.epsaintit.local :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : monserveur.local
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui

Et ici la réponse du ping: Envoi d'une requête 'ping' sur monserveur.com 192.168.35.1 données*(attention c'est un serveur local):
Réponse de 192.168.35.10*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.10*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.10*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.10*: octets=32 temps=47 ms TTL=127

Ici c'est la réponse du serveur 2, à savoir SP2013+SQL:
Envoi d'une requête 'ping' sur sp2013.monserveur.com [192.168.35.11 données*:
Réponse de 192.168.35.11*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.11*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.11*: octets=32 temps=47 ms TTL=127
Réponse de 192.168.35.11*: octets=32 temps=47 ms TTL=127

Merci par avance pour l'aide.

[nonoxp]

Pour tester l'influence de la config dns, depuis le poste client, essayez une entree en dur dans le fichier hosts du serveur et surtout penser a faire un flushdns.
Ajoutez egalement le nom du serveur dans la liste des sites de confiance dans IE (et verifiez si vous avez un proxy actif).
Verifiez aussi les autres elements impactant la partie reseau (firewall client/server, config de taille MTU).

Au pire, tentez un petit coup de telnet sur le port adequat du frontal web, voir si un code http revient.
Verifiez egalement si la requete atteint bien le serveur IIS par les logs server IIS (et si par hasard il n'y a pas une restriction de subnet ou d'adresse IP sur cette application web).

Une fois que vous aurez pu valider que IIS traite votre requete, vous pourrez commencer a chercher du cote de la config SharePoint.

[PanTHe0N]

Merci, je vais tester tout ça. Je sais que quand je tape l'adresse IP publique (l'adresse ip fixe) je tombe sur IIS.
Que est-ce que vous voulez dire par: "essayez une entree en dur dans le fichier hosts du serveur" ? Et "petit coup de telnet sur le port adequat du frontal web, voir si un code http revient" ?

Merci par avance.

[nonoxp]

Le fichier hosts constitue une base de donnees locale de mapping (nom machine <-> IP) dont la priorite est superieure a celle des entrees generees par le serveur dns lors d'une resolution de nom. Mettre en dur le nom machine et l'ip dans ce fichier permet de ne plus utiliser le serveur dns (pour les entrees decrites), et ainsi identifier certains problemes lies a la resolution de nom.

Telnet est un client TCP/IP en ligne de commande et permet d'occulter la partie navigateur pour diagnostiquer les problemes de connexion.
La methode est decrite ici: http://support.microsoft.com/kb/279466/fr

[ludojojo]

Tu peux essayer d'accéder à une page du backoffice directement ? "/_layouts/15/settings.aspx" par exemple.
Pense également à l'ajouter aux sites de confiance.

[PanTHe0N]

Merci nono et ludo, après quelques manipulation dans AAM (ajoute des liens intranet et internet (qui est une adresse ip publique que mon client possède), ) et IIS (rajoute des ces liens dans AAM), lorsque je tape l'adresse IP fixe de mon client, le navigateur me demande de m’authentifier , donc je pense que je suis sur le bon chemin. Le hic c'est que même après avoir mis les bonnes infos d’authentification, l’accès est refusé par une envoie sur une simple page blanche sans aucun message d'erreur .

Voici les manipulation que j’effectué:

1- j'ai créé une alias dans la zone DNS du serveur qui host mon AD, DNS, DHCP, etc.. nommé "portail" et l'ai pointé sur mon serveur qui host mon SP12013
2- j'ai testé donc je ping parfaitement cet dernière (ping portail.eps.......com)
3- j'ai ajouté les entré dans AAM de mon SP2013 dans le central admin "Intranet http://portailsp" et "Intranet http://portail.eps.......com" et également "Internet http://21x.4x.21x.xxx"
4- dans l'IIS, j'ai ajouté le "portail" et le "portailsp" comme dans l'image
5- dans mon parfeu, j'ai créé une NAT en pointant l'adresse ip publique de mon client 21x.4x.21x.xxx qui se tape mon serveur qui hoste mon SP2013

après tout ces opérations, j'ai donc testé les liens intranet "http://portailsp" et "http://portail.eps.......com" qui me demande (en interne) de m’authentifier. En résumé;
- en interne "http://portailsp" et "http://portail.eps.......com" me demande authentification. Je mets mes infos, rien... La page blanche (toute propre )
- en external (depuis l'atelier), quand je tape l'adresse fixe qu'ils ont: 21x.4x.21x.xxx demande authentification. Je mets mes infos, rien... La page blanche (toute propre )

Je sais que je suis pas très loin du résultat ... Mais où est-ce que j'ai zappé ???. J'ai vraiment besoin de dormir. Ce problème me tracasse la tête depuis plusieurs jours. Merci donc par avance pour l'aide

Très belle journée à vous. Cordialement.

[PanTHe0N]

Après quelques autres manipulation, je suis bloqué ici. Je tape donc l'adresse publique 21x.4x.2xx.6x j'ai donc la fenêtre authentification qui apparait, après avoir me logué, le message suivant apparait:

HTTP/1.1 200 OK
Server: Microsoft-IIS/8.0
Date: Tue, 18 Nov 2014 07:49:22 GMT
Connection: close

[ludojojo]

Ce message signifie simplement que IIS ne trouve pas de site associé à ton url... Une erreur de redirection peut être ?

[PanTHe0N]

Merci
Ludo. Et alors que faire ? Probleme de la config aam ? Probleme de binding dans iis ?
Comment vérifier ? Que ou comment vérifier ? Quoi faire ? Merci encore .

[ludojojo]

Malheureusement, je ne suis pas expert en configuration réseau.
Je t'invite à poser ta question sur le forum IIS avec un lien vers cette discussion.
Ils seront sans doute plus à même de t'aider dans ta configuration.

[BenjGe]

essaie de renseigner le fichier hosts comme l'a suggéré nonoxp.

[nonoxp]

Bonjour,

Le lien qui expliquait comment faire a ete supprime par moderation dans mon dernier message. Voici un autre lien qui je l'espere sera plus perenne.
http://msdn.microsoft.com/en-us/library/ff749174.aspx

Prochaine etape:
Verifier les logs iis pour savoir si l'application web que vous requetez et qui demande une authentification est bien celle qui correspond a votre site Sharepoint. Si c'est le cas, verifier les logs ULS pour savoir si et comment la requete a ete geree post-authentification (est-ce que la page a bien ete servie par le pool applicatif). Si ce n'est pas le cas, vous tapez dans la mauvaise application, probablement un souci dans les AAM.


Petite note concernant le DNS, si vous arrivez a pinger a travers le vpn en utilisant le nom d'hote, c'est que la resolution de nom fonctionne. J'enfonce un porte ouverte, mais si vous entrez l'IP machine dans l'adresse du navigateur a la place du nom d'hote, la resolution de nom n'est pas utilise dans le processus.

[PanTHe0N]

Bonjour,

Le lien qui expliquait comment faire a ete supprime par moderation dans mon dernier message. Voici un autre lien qui je l'espere sera plus perenne.
http://msdn.microsoft.com/en-us/library/ff749174.aspx

Prochaine etape:
Verifier les logs iis pour savoir si l'application web que vous requetez et qui demande une authentification est bien celle qui correspond a votre site Sharepoint. Si c'est le cas, verifier les logs ULS pour savoir si et comment la requete a ete geree post-authentification (est-ce que la page a bien ete servie par le pool applicatif). Si ce n'est pas le cas, vous tapez dans la mauvaise application, probablement un souci dans les AAM.

Très bien, je suis entrain de faire cela et reviendrai donner feed-back.

Petite note concernant le DNS, si vous arrivez a pinger a travers le vpn en utilisant le nom d'hote, c'est que la resolution de nom fonctionne. J'enfonce un porte ouverte, mais si vous entrez l'IP machine dans l'adresse du navigateur a la place du nom d'hote, la resolution de nom n'est pas utilise dans le processus.

"Petite note concernant le DNS, si vous arrivez a pinger a travers le vpn en utilisant le nom d'hote ?" Oui ça fonctione, j'arrive pinguer tout correctement, y compris les alias que j'ai créés (aussi pour tester).
"J'enfonce un porte ouverte, mais si vous entrez l'IP machine dans l'adresse du navigateur a la place du nom d’hôte, la résolution de nom n'est pas utilise dans le processus"

alors comment comprendre ça ? Le serveur précédent fonctionnait de cette façon là. C'était un srv 2008 r2 AD + DNS + DHCP + VPN + sql + iis + sp2010. Utilisateur, en tapant cette adresse dans le navigateur, pouvais accéder à SP 2010 sans soucis (bien sur il se loguait). J'applique exactement les même règles, la même config, sauf le pare-feu qui a changé. Avant c'était Astaro (sophos) maintenant nous avons mis un fortigate 80C....

Merci pour tout.