Discussion :

[goomazio]

Bonjour,

J'ai des problèmes pour mettre en place un profil itinérant (roaming profile) pour un utilisateur sur un windows serveur 2003 SP1 (client en XP Pro SP2).

J'ai déjà lu quelques tutoriaux dont http://support.microsoft.com/kb/324749/fr,

- J'ai définis les droits (de partage et ntfs) sur le dossier partagé qui contiendra les profils (everyone a bien le full control en partage et ntfs).
- J'ai spécifié le chemin du profil dans les options de l'utilisateur (dans active directory) qui ressemble à \\serveur\dossierPartagé.

Alors comme je sais qu'on ne pourra pas m'aider (vus que ça demande de vastes connaissances sur la sécurité, le partage, ... et que ce n'est pas synthétisable en un thread sur un forum (quoi que...)) j'aimerais vous poser quelques questions :

- Est-ce que le fait que j'ai un firewall (zone alarm) sur mon poste client peut-être la cause du problème ?
(Edit : ce n'était pas le cas.)

- Y-a-til une règle à définir qui dit que la communication réseau est possible avant que la session ne soit démarrée ? J'ai déjà, il me semble, rencontré ce genre de chose (dans les GPO ou les services, je ne sais plus) ou est-ce que c'est bon par défaut ? (ça doit être bon vu que le pc client arrive à détecter et à se connecter au serveur ... mais il n'arrive pas à créer un profil itinérant)

- Est-ce que le profil doit exister (dans le dossier sur le serveur où seront stockés les profils itinérants) avant la première connexion de l'utilisateur du serveur sur le serveur à partir de la machine cliente citée plus haut (XP Pro) ? Il me semble que non, plusieurs tutoriaux que j'ai parcouru, lu, n'en parlent ou ne spécifient pas que c'est obligatoire.
(Edit : non le profil ne doit pas exister. Un profil est créé à partir du profil par défaut et c'est ce profil qui est ensuite utilisé, modifié, par la suite.)

- Est-ce que vous savez ce que les débutants ont tendance à faire comme bêtises lors de la mise en place des profils itinérants ?
(Edit : oublier de spécifier que la machine cliente doit utiliser le serveur DNS du serveur...)


Je vous remercie de vous pencher sur mon problème et de critiquer ce post jusqu'à ce qu'une solution en soit dégagée.

A bientôt,

Philip.

[neuneu1]

tu veux un profil itinerant pour chaque individur ou le meme pour tout le monde , un profil typesque tu deploie par la suite???

En gros tu procede comme ca
un repertoire partage(profil), acces complet en partage et en securite(c(est pas la meme chose)

dans ad tu cree un user(test, chemein profil(\_serveur\profil\%username%)
tu ferme ad.
tu loggue sur poste client, user test login ,

la premiere fois le profil n'existe pas, donc tu n'as rien, il est train de se creer..
tu ferme la session.
syncro des fichiers

tu vas sur le serveur et normalement, dans profil tu as un repertoire test au quel tu n'as pas d acces,(normale sous 2003 , il n y que le proprietaire du rep en droit), si tu veux modifie ca faudra passer par les gpo..

Si c'est pas le cas , verifie les droits sur profil, verifie sur le poste client que tu as acces a profil..

si c'est pas le cas , verifie la config du poste ip dns, etc..

idem sur le serveur..


voila j'ai resume, desactive zone alarme au cas ou..
a+

[goomazio]

Le profil créé automatiquement lors de la première connexion convient, si j'ai besoin d'un profil type je sais comment faire, sinon je ferai attention à respecter la procédure pour pas louper une étape...

Merci pour ce résumé qui résume bien ce que je refusais d'admettre, j'ai mal lu les tutoriaux


Edit : pour accèder au dossier partagé des profiles je dois insérer un login et un mot de passe. Ca veut probablement dire que j'ai mal configurer les autorisations.



A bientôt,
Philip.

[neuneu1]

non , si tu es dans un domain , tu n'as pas a entre un mot de passe , l'acces t est refuser si tu n'as pas les droit sur le repertoire.
sauf si tu as fait une connection a un lecteur reseau,et que tu utilise un autre compte pour te connecter.

la logique veux que tu est acces refuser..

t es bien dans un domain , et ton poste est bien dedans???
a+

[goomazio]

La machine cliente est bien dans le domaine et le client est connecté sur le serveur avec un login du serveur.

Sur la machine cliente je tente d'exécuter (windows + R) \\serveur\UserProfiles$ (où serveur est le nom de la machine serveur et UserProfiles$ le dossier partagé caché) et ça ouvre la fenêtre qui me demande le login et le password. Si j'essaye avec l'adresse IP directement (\\192.168.1.12\UserProfiles$) ça me demande aussi un login et mot de passe.

[neuneu1]

Qu est ce que tu dis , ca n'as pas de sens ..

ton poste il est ou il est pas dans le domain????

y a pas de login pour la machine!!!

[goomazio]

y a pas de login pour la machine!!!

c'est un domaine où travaillent des supers scientifiques, il est super protégé. Il ne suffit pas d'ajouter l'ordi dans le domaine pour s'y connecter. Le compte invité n'est pas autorisé non plus.

J'ai une machine avec wserver2003 et une avec xp pro, la cliente c'est la xp pro. Le dossier pour les profils est sur le serveur.



à toute!

[neuneu1]

Compte invite c'est normale faille secu

Mais super scientifique ou pas c'est bien la 1 er fois ou je verrei un pc d un domaine oblige de s indentifie,enplus du compte user

je suis curieux de voir ca

a+

[goomazio]

Ah non je parlais uniquement du compte user (login + mdp).

[neuneu1]

tout le mode en partage et tout le monde en secu sauf si tu travail avec des groupe!!
a+

[goomazio]

Je pensais que le problème était résolu mais en fait maintenant, pendant le chargement du profil, j'ai le message suivant : le système a détecté une tentative potentielle d'atteinte à la sécurité.
Est-ce que dans l'onglet Securité des propriétés de mon serveur (dans ad : controleur de domaine (qui est l'ordinateur où se trouve le dossier UserProfiles)) il faut que j'ajoute le groupe everyone? excusez si je dis une bêtise...

sauf si tu travail avec des groupes!!

J'ai placé mes utilisateurs dans un groupe Groupe01, puis j'ai dis que le Groupe01 était membre du groupe Users. Je vais relire le chapitre sur les groupes... merci pour ton aide !

Edit : il y a une machine chez moi où tout le monde peut se connecter sans fournir de login / mot de passe. Si j'ai bien compris, mon profil itinérant ne fonctionne pas parce qu'on ne peut pas se connecter au serveur (pc hébergeant le dossier des profiles) sans fournir de login / mot de passe. Dès lors, comment faire pour autoriser quiconque d'ouvrir un partage de la machine serveur sans devoir fournir de login / mot de passe ?

[neuneu1]

Non je n'ai jamais di ca, ou tu m as mal compris..


je serai toi je me ferai un petit labo test pouvoir tout ca , je connais pas ton environement mais il y a l ai d avoir des probleme
a+

[goomazio]

Non je n'ai jamais di ça, ou tu m'as mal compris...

Oui tu ne l'as pas dis mais tu as dis :

y a pas de login pour la machine!!!

et

c'est bien la 1 er fois où je verrais un pc d'un domaine obligé de s'identifier, en plus du compte user

ce qui semble contradictoire (en plus du compte user veut dire qu'il faut s'identifier avec un login ?) ou bien ça parle pas de la même chose.

je serais toi je me ferais un petit labo test pouvoir tout ça

C'est ce que je fais

je connais pas ton environement

3 machines :
1. Serveur : windows server 2003 standard edition sp 1
2. Client (se trouve dans le domaine) : xp pro (aucun sp)
3. Machine plus puissante que les deux autres d'où je me connecte, avec le remote desktop, au serveur : xp pro sp 2

il y a l'air d'avoir des problèmes

Les profils itinérants ne fonctionnent pas.

Dans la session cliente je n'arrive pas à accéder au serveur (au dossier partagé UserProfiles, plus présicement) sans devoir fournir de login / mot de passe. Donc j'arrive à me connecter au serveur mais je dois entrer mon login et mon mot de passe.

Donc tu n'avais pas dis ça (voir plus haut) mais est-ce une bêtise pour autant ? C'est possible d'utiliser les sessions itinérantes alors que l'utilisateur doit fournir un login / mdp pour se connecter au dossier où se trouvent les profils (userprofiles) ? Comme je l'ai dis aussi, j'ai une machine sur mon réseau (rien à voir avec les 3 pc pour tester les profils itinérants) où je peux me connecter sans fournir de login / mdp, mais je ne comprends pas comment ça se fait.

J'ai encore une question donc :
si j'ai deux machines sur un même réseau "bien configuré" :
- Machine1
- Machine2
Quels droits doivent êtres définits pour que, depuis Machine2, je puisse accéder à Machine1 en tappant \\Machine01 dans l'explorateur, sans devoir entrer de login / mdp ?

Sinon j'ai peut-être une autre piste : le serveur DNS :
Ma machine cliente est configurée pour utiliser le dns de mon modem (enfin je sais pas si le modem incorpore un serveur dns mais l'ip du serveur dns est l'ip du modem) et non pas celui du serveur (qui s'est installé automatiquement à l'installation de AD). C'est peut-être ça le problème non ? J'ai lu dans la bible que pour joindre un ordinateur au domaine le serveur dns doit être bien configuré et la machine doit être configurée pour utiliser le serveur dns du serveur, mais moi j'ai su joindre ma machine à mon serveur en utilisant le modem comme dns et non pas le serveur...
Ca veut dire que ma machine cliente s'est configurée automatiquement pour utiliser le serveur dns du domaine auquel je l'ai connectée ? (edit : non vu que l'ip du serveur dns à utiliser pour la machine cliente est toujours celle du modem et non pas celle du serveur. Peut-être est-ce ça le problème, je vais dire à mon client de changer son dns...) et que mon serveur dns est bien configuré ? (je n'ai pas touché à la configuration du serveur dns).


Encore merci pour l'aide

[neuneu1]

Bon on va reprendre depuis le debut en evitant les citation

1) Un poste dans un domain s authentifif via un compte et un mot de pas( restriction obligatoire sous 2003 sauf si tu as modifie la gpo du domain)

2)Un serveur Ad a un Dns , condiftion pour qu AD fonctionnent.
ex ip serveur:
192.168.1.1
255.255.255.0
192.168.1.2(le modem)
127.0.0.1(il est sont propre dns)

Donc si le ip dns est celle du modem t es dans le chou(fait un nslookup)
et le profil , je pense vont pas marche(j'en je sur a 99%, mais on peut se tromper)


3)si tu as un dhcp verifie que le dns est bien celui du serveur dans les option et non le modem sinon pas bon(fait un ipconfig/all sur le client)
)pour le dns verifie avec un nslookup que tes PTR sont bien installer et configurer(si nslookuop tu as serveur unknow) c'est sit le dns est mal configurer soit tu as pas de zone de recherche inverse)
) dans le user pour le profil itinerant met dans repertoire de base le chemin du profil \\serveur\profil\%username%, si il n i va pas c'est que t as un souci

4) verifie l obs d evenemnt du serveur et du poste client pour voir si tu as des erreur ..

Apres ca je pense qu on y verra plus clair

a+

[goomazio]

J'ai changé deux choses :
- serveur dns à utiliser pour le serveur : j'ai mis 127.0.0.1 (le sien)
- serveur dns à utiliser pour le client : j'ai mis l'ip du serveur.


Alors ça fonctionne ()
mais j'ai eu quelques complications :
- ma licence (d'évaluation) pour le firewall (kerio) utilisé sur le serveur a expiré juste aujourd'hui pendant mes tests
- après la désinstallation de ce firewall, celui de windows a pris le relais me bloquant également l'accès au serveur. Je l'ai désactivé (oui je suis tout nu maintenant) et ça fonctionne !

)pour le dns vérifie avec un nslookup que tes PTR sont bien installés et configurés (si nslookuop tu as serveur unknow) c'est si le dns est mal configuré soit tu as pas de zone de recherche inverse)

Je ne savais pas comment vérifier l'état du dns en utilisant la commande nslookup mais ce n'était pas nécessaire.


Note : le dossier NomUser contenant le profil du user NomUser du dossier où sont stockés les profils (userprofiles) est créé à la connexion du user (si le dossier n'existait pas déjà avant), il est peut-être rempli par la suite (je n'ai pas vérifié) mais on peut déjà voir si ça fonctionne lors de la connexion donc.

Mille mercis neuneu1, c'est la première fois que je configure correctement les profils itinérants, je vais enfin pouvoir obliger mes frères à utiliser le serveur car ils peuvent se connecter sur n'importe quel pc avec leur session, ce qui est un argument de choc. Mais surtout, je ne suis plus frustré de ne pas savoir configurer ce truc qui prend deux secondes à configurer.

Un mille et unième merci, et à une prochaine fois,

Philip.

[neuneu1]

Ravie de t avoir aide

le firewall a des execption a cofigurer si tu l'as pas fait de base..

Installe quand meme une zone de recherche inverser, c'est utile , crois moi, car si par la suite tu rajoute des truc , genre gpo , ca plante.

ipfixe pour 2 poste c'est bien, dhcp interessant a partir 10 postes

a+