Accès impossible au partage SMB d’un Windows Server 2003 via VPN Palo Alto GlobalProtect : diagnostic, correctifs et migration

Accès aux partages Windows Server 2003 impossible via GlobalProtect ? Le plus souvent, la cause est simple : SMB v1. Voici un guide concret pour diagnostiquer, rétablir l’accès en urgence et préparer une migration sûre et pérenne.

Contexte et synthèse du problème

Vous disposez d’un serveur de fichiers historique sous Windows Server 2003. Sur le réseau local (LAN), l’accès aux partages fonctionne encore. Mais dès que les utilisateurs se connectent par le VPN Palo Alto – GlobalProtect, l’ouverture de session CIFS échoue. Les journaux confirment que le refus vient du serveur lui‑même (pas du pare‑feu), ce qui pointe vers une incompatibilité protocolaire plutôt que vers un blocage réseau classique.

La racine du problème est connue : Windows Server 2003 ne parle que SMB v1 (CIFS), protocole obsolète, vulnérable et souvent filtré, inspecté ou dégradé par des équipements récents (firewalls nouvelle génération, VPN, IDS/IPS, proxies de contenu). Même lorsque le trafic n’est pas explicitement bloqué, l’inspection ou la réécriture peuvent perturber la négociation SMB1 sur des liaisons VPN.

Symptômes typiques côté utilisateur

• Explorateur Windows : « Le chemin réseau n’a pas été trouvé » ou « Accès refusé ».
• net use \\serveur\partage renvoie une erreur système (par ex. 53 ou 64).
• Ouverture très lente de la boîte de dialogue d’authentification, puis échec.
• Depuis le LAN, les mêmes identifiants fonctionnent immédiatement.

Pourquoi ça bloque côté serveur ?

SMB v1 utilise des mécanismes d’authentification et de négociation dépassés. De nombreux environnements durcissent aujourd’hui :

• Filtrage applicatif du trafic cifs / NetBIOS.
• Désactivation volontaire de SMB v1 sur postes clients modernes.
• Inspection et déchiffrement SSL au niveau VPN/pare‑feu susceptibles d’altérer le flux.
• Politiques NTLM qui refusent LM/NTLMv1 (le serveur 2003 supporte NTLMv2, mais des paramètres incohérents peuvent empêcher l’authentification).

Résultat : la négociation échoue, et le serveur 2003, incapable de monter en SMB v2/v3, rejette la connexion.

Tableau de solutions priorisées

Priorité	Action	Détails	Bénéfices / Limites
1	Migrer vers un Windows Server prenant en charge SMB v2/v3 (2008 ou ultérieur, idéalement 2019/2022)	Mettre à niveau l’OS, restaurer les données ou transférer le rôle de partage (nouveau serveur, DFS, etc.).	Solution définitive : meilleures perfs, correctifs de sécurité, compatibilité VPN. Nécessite de préparer la bascule.
2	Autoriser explicitement SMB v1 sur le tunnel VPN (transitoire)	Créer une règle Palo Alto « application : cifs » et, si nécessaire, ouvrir NetBIOS 137‑139/TCP‑UDP et 445/TCP uniquement entre les sous-réseaux concernés.	Restaure l’accès rapidement mais maintient les risques SMB1. À circonscrire strictement.
3	Mettre en place un serveur relais / passerelle	Installer un serveur récent sur le LAN. Côté « amont », il accède en SMB1 au 2003 ; côté « aval », il expose des partages en SMB v3 aux clients VPN (ou synchronise puis republie).	Protège les clients distants. Complexité opérationnelle : attention au modèle (ré-export vs. réplication).
4	Adopter un protocole alternatif (SFTP, WebDAV, RDP, portail VPN‑SSL)	Fournir l’accès documentaire sans SMB (accès applicatif ou via passerelle).	Contourne totalement SMB1 mais peut modifier les usages et les workflows.
5	Réduire la surface d’attaque si la migration ne peut pas être immédiate	Activer la signature SMB, limiter les IP autorisées, surveiller les sessions, planifier des redémarrages si saturation.	N’atténue qu’une partie des risques. Ne remplace pas une mise à niveau.

Ports et services concernés

Service	Ports	Rôle	Remarques
SMB/CIFS direct	TCP 445	Transport natif SMB1	Port principal aujourd’hui. À autoriser de façon ciblée.
NetBIOS Name	UDP 137	Résolution de noms NetBIOS	Souvent inutile si l’accès se fait par IP/FQDN.
NetBIOS Datagram	UDP 138	Annonce/broadcast	Gênant sur VPN ; éviter si possible.
NetBIOS Session	TCP 139	Session SMB via NetBIOS	Legacy. À ouvrir uniquement si absolument nécessaire.

Dépannage pas‑à‑pas (check‑list terrain)

1. Valider la connectivité IP depuis un poste VPN :
   • ping <IP_du_serveur_2003> (ICMP autorisé ?).
   • Test-NetConnection <IP> -Port 445 (Win 8+), ou telnet <IP> 445.
2. Tester l’accès explicite par adresse IP : \\<IP>\NomDuPartage. Écarte les problèmes de résolution de noms.
3. Analyser le serveur 2003 :
   • Observateur d’événements → Système (source Server/Srv) et Sécurité (échecs d’ouverture de session).
   • Contrôler l’état des services : Serveur (LanmanServer), Station de travail (LanmanWorkstation), Netlogon.
   • Surveillance mémoire : vigilance sur les fuites NonPaged Pool (symptômes type événements 2019/2020) entraînant des refus.
4. Vérifier les politiques NTLM sur le serveur 2003 (secpol.msc) :
   • Network security: LAN Manager authentication level → autoriser NTLMv2 (éviter LM/NTLMv1 côté clients).
   • Microsoft network server: Digitally sign communications (voir plus bas pour la signature SMB).
5. Inspecter le pare‑feu Palo Alto :
   • La session est‑elle « allow » jusqu’au serveur ?
   • Des profils de sécurité (vuln/anti‑spyware/file‑blocking) s’appliquent‑ils au flux CIFS ?
   • Split‑tunneling : le trafic 445/NetBIOS est‑il bien inclus dans le tunnel ?
6. Tester la MTU/MSS :
   • ping -f -l 1380 <IP> pour sonder la fragmentation.
   • Réduire la MTU/MSS côté tunnel VPN si nécessaire, puis retester l’authentification.

Mise en œuvre rapide d’un contournement (temporaire)

Règle d’autorisation ciblée sur Palo Alto

1. Créer une Security Policy de la zone VPN vers la zone du LAN, source : sous‑réseaux VPN/objets utilisateurs, destination : IP du serveur 2003.
2. Dans Application, sélectionner cifs (et, si votre politique interne l’exige, autoriser explicitement TCP 445, NetBIOS 137‑139/TCP‑UDP).
3. Limiter cette règle aux groupes d’utilisateurs ayant réellement besoin d’accéder aux partages (User‑ID).
4. Exclure cette règle de l’inspection si un profil casse la négociation SMB1 (à valider en labo d’abord).
5. Journaliser en session start/end et suivre les volumes pour repérer d’éventuelles anomalies.

Avertissement sécurité : cette ouverture doit demeurer exceptionnelle, limitée et tracée. SMB1 est historiquement exploitable (WannaCry, EternalBlue, NotPetya). Préparez la migration en parallèle.

Signature SMB sur Windows Server 2003

La signature n’élimine pas les failles SMB1, mais durcit légèrement la surface.

• Via stratégie locale (secpol.msc) : activer Microsoft network server: Digitally sign communications (always).
• Ou via registre :

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" ^
 /v EnableSecuritySignature /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" ^
 /v RequireSecuritySignature /t REG_DWORD /d 1 /f
net stop lanmanserver && net start lanmanserver

Restreindre l’exposition par IP

Idéalement, filtrez au plus près du serveur :

• Sur le pare‑feu : autoriser 445 (et 137‑139 si besoin) uniquement depuis les plages VPN.
• Sur l’hôte (2003 SP1+) : le Windows Firewall est rudimentaire ; pour un filtrage par IP précis, préférez une stratégie IPsec avec liste d’autorisation.

Serveur relais / passerelle : modèles d’architecture

Le but est d’éviter de connecter des clients modernes en SMB1, tout en maintenant l’accès aux données héritées.

Modèle A : Réplication et republication (recommandé)

1. Déployer un serveur 2019/2022 dans le LAN (chiffrage SMB, signatures, dernières mises à jour).
2. Synchroniser le contenu depuis le 2003 vers un nouveau volume :

robocopy \\SRV2003\Partage D:\Données\Partage /MIR /COPYALL /R:1 /W:1 /LOG:C:\Logs\mig.log

3. Partager depuis le nouveau serveur en SMB v3, exposer aux utilisateurs (éventuellement via DFS Namespace pour garder un chemin stable).
4. Planifier une fenêtre de bascule (verrouillage des fichiers, delta final, inversion des scripts de mappage).

Avantages : performances et sécurité modernes, chemin durable. Inconvénient : nécessite de traiter les fichiers ouverts et les droits NTFS pendant la bascule.

Modèle B : Ré‑export technique (à éviter si possible)

Certains montages Linux/Samba permettent de monter un partage SMB1 en local puis de le re‑diffuser en SMB3. C’est techniquement fragile (verrouillages, attributs, sémantique des ACL), et non pris en charge sous Windows. À réserver aux cas d’extrême contrainte, après POC et cadrage des risques.

Modèle C : Redirection via DFS‑N

Le namespace DFS peut masquer la cible 2003 derrière un chemin « propre ». Attention : si la cible reste 2003, les clients continueront à négocier SMB1. Ce modèle est utile pour préparer la migration sans changer les habitudes, mais n’améliore pas la sécurité tant que la donnée n’a pas basculé.

Alternatives à SMB : options pragmatiques

• SFTP : utile pour des transferts ponctuels sécurisés. Mettre en place un SFTP dédié (pas sur 2003), publier via le portail VPN et piloter des comptes nominaux.
• WebDAV (IIS) : peut dépanner pour l’accès web à des documents, avec limites sur les verrous et les métadonnées.
• RDP vers un jump server du LAN : l’utilisateur travaille « à l’intérieur », sans exposer SMB1 au poste distant.
• Portail VPN‑SSL avec file‑browser : alternative simple pour consultation et dépôt.

MTU/MSS et GlobalProtect : quand la taille des paquets compte

Sur certains chemins, SMB1 tolère mal la fragmentation. Si le trafic « passe » mais que l’authentification échoue aléatoirement, testez une MTU plus faible (environ 1380) sur l’interface/tunnel VPN et un ajustement MSS. Méthode rapide :

1. ping -f -l 1472 <IP_du_serveur> puis descendez par pas de 10 jusqu’à obtenir des réponses (ajoutez 28 octets d’en‑têtes IP/ICMP).
2. Appliquez la MTU optimale au profil agent GlobalProtect et relancez un test de mappage de lecteur.

Hygiène sécurité minimale si 2003 doit survivre quelques semaines

• Segmentation : VLAN/zone dédiée, pas d’exposition Internet, flux uniquement depuis subnets VPN identifiés.
• Durcissement :
  • Signature SMB activée (cf. plus haut).
  • Désactiver les services non utilisés (Computer Browser, RPC inutiles, etc.).
  • Stratégie NTLM : exiger NTLMv2 côté clients et serveur.
• Supervision :
  • Compteurs Server\Sessions, Memory\Pool Nonpaged Bytes, Server\Files Open.
  • Alertes sur événements d’échec de logon récurrents.
• Plan de redémarrage contrôlé : en cas de fuite de descripteurs, un redémarrage hors‑heures limite les refus de session.

Plan de migration recommandé (exécutable)

1. Inventorier partages, quotas, ACL NTFS, scripts de logon, GPO liées.
2. Choisir la cible (Windows Server 2019/2022). Activer SMB Signing et SMB Encryption selon la sensibilité.
3. Préparer le stockage (NTFS/ReFS) et le schéma des partages (noms, chemins, permissions).
4. Synchronisation initiale avec robocopy /MIR /COPYALL (préserver les ACL, propriétaires et SACL).
5. Tests utilisateurs sur un échantillon (mappage lecteurs, applications dépendantes, raccourcis).
6. Fenêtre de bascule : verrouiller l’écriture sur l’ancien partage, exécuter une delta sync, publier le nouveau chemin (ou basculer DFS).
7. Communiquer (avant/pendant/après) : changements d’URL, de performances, de disponibilité.
8. Décommissionner l’ancien serveur : sauvegarde froide, arrêt des services, retrait du domaine, effacement sécurisé quand autorisé.
9. Nettoyer les GPO/scripts : supprimer les vestiges SMB1 et renforcer les stratégies (désactiver SMB1 côté clients).
10. Post‑mortem : leçons apprises, standardisation du modèle de partage.

FAQ ciblée

« Le ping répond, mais l’accès au partage échoue »

C’est normal : ICMP (ping) n’a rien à voir avec SMB. Il suffit qu’un équipement filtre le 445/TCP ou perturbe la négociation SMB1 pour que l’accès échoue malgré la présence de réponses ICMP.

« Pourquoi ça marche en LAN et pas en VPN ? »

Sur le LAN, le flux passe en direct sans inspection agressive ni split‑tunneling. Sur le VPN, le trafic peut être inspecté, encapsulé, fragmenté, voire filtré par signature applicative. SMB1 est particulièrement sensible à ces changements.

« Peut‑on laisser SMB1 ouvert durablement ? »

Non. SMB1 demeure vulnérable à des attaques graves. Si un contournement est indispensable, limitez‑le dans le temps et dans l’espace (IP, utilisateurs, horaires), surveillez les journaux et poursuivez la migration.

Exemples d’erreurs et interprétation

Message/Code	Contexte	Piste
Erreur 53 – Chemin réseau introuvable	net use \\srv2003\partage	DNS/NetBIOS/pare‑feu. Tester par IP et port 445.
Erreur 64 – Nom réseau impossible à atteindre	Connexion interrompue/appli bloquée	Inspection VPN, MSS/MTU, profil de sécurité NGFW.
Accès refusé après authentification	Échec d’autorisation	ACL NTFS/partage, stratégie NTLM, horloge/Skew Kerberos (si joint au domaine).

Scripts et commandes utiles

Test d’accès depuis un poste moderne

:: Vérifier l'ouverture du port 445
powershell -Command "Test-NetConnection <IP_SRV2003> -Port 445"

:: Mappage explicite
net use Z: \\Partage /user:DOMAINE\Utilisateur 

Robocopy (préservation des droits)

robocopy \\SRV2003\Partage D:\Partage_Nouveau /MIR /COPY:DATSOU /R:2 /W:2 /XJ /FFT /LOG+:C:\Logs\robocopy.log

Restrictions IP de base (pare‑feu Windows 2003 limité)

Le pare‑feu de 2003 ne filtre pas finement par IP. Utilisez plutôt une stratégie IPsec (MMC : IP Security Policies) pour n’autoriser que les subnets VPN vers 445/TCP.

Bonnes pratiques d’exploitation

• Principe du moindre privilège : groupes d’accès minimal, partages lecture seule quand faisable.
• Journalisation : activer l’audit des échecs de logon et des modifications de fichiers sensibles.
• Sauvegarde/restauration : tester la restauration (pas seulement la sauvegarde).
• Plan de retrait : date d’extinction du 2003, critères de GO/NOGO définis dès le départ.

Ce qu’il faut retenir

La cause principale de l’échec via GlobalProtect est l’exclusivité de SMB v1 sur Windows Server 2003, protocole désormais bloqué ou dégradé dans de nombreux environnements VPN. La mise à niveau du serveur vers une version moderne de Windows Server est la seule solution durable et sécurisée. Les contournements (ouverture ciblée de ports, passerelle SMB, protocoles alternatifs) ne sont que des mesures transitoires, à encadrer strictement et à accompagner d’un plan de migration rapide.

---

Annexe : matrice décisionnelle rapide

Contrainte principale	Option recommandée	Délai	Risque résiduel
Accès urgent, faible volume d’utilisateurs	Règle cifs ciblée + signature SMB	Heures	Moyen/Élevé (SMB1)
Accès continu, stabilité prioritaire	Réplication → republication SMB3	Jours/Semaines	Faible (post‑bascule)
Usage ponctuel	SFTP / Portail VPN‑SSL	Heures/Jours	Faible à moyen
Application legacy non migrable	Jump server RDP	Jours	Faible côté client, mais legacy côté LAN

Checklist opérationnelle (copiable en runbook)

1. Confirmer l’échec uniquement via VPN (succès en LAN).
2. Tracer une tentative et relever les journaux côté serveur (Srv/Security).
3. Créer une règle cifs ciblée (445, 137‑139 si requis) depuis les subnets VPN vers l’IP du 2003.
4. Activer la signature SMB côté serveur. Limiter par IP/Groupes.
5. Tester MTU/MSS si symptômes aléatoires.
6. Lancer la réplication initiale (robocopy) vers un serveur moderne.
7. Planifier et exécuter la bascule (namespace DFS ou nouveaux chemins).
8. Fermer progressivement l’accès SMB1 et surveiller.
9. Décommissionner le 2003.

---

Informations complémentaires utiles

• SMB v1 est vulnérable à de nombreuses failles de type ver (EternalBlue, WannaCry, NotPetya). Sa désactivation est recommandée depuis des années par les éditeurs de sécurité.
• Fin de support : Windows Server 2003 n’a plus de correctifs depuis juillet 2015. Toute production doit être strictement cantonnée et surveillée.
• Licences et limites : contrairement à Windows XP, Server 2003 n’impose pas un quota dur de sessions SMB, mais des fuites de descripteurs et un nombre trop élevé de handles peuvent saturer le service et provoquer des refus.
• MTU/VPN : si le trafic SMB transite mais se fragmente mal, tester une MTU ≈ 1380 sur l’interface VPN peut lever des blocages de négociation.