3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援→開発戻り浦島太郎状態の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。

共有フォルダにアクセスするとアクセスできずシステムイベントログに40960,40961が出る

WindowsServer2003 でドメインベースDFSを使って共有フォルダを管理しています。

また、イントラネットのWEBサイトに file:// プロトコルを使ってDFS共有フォルダへのリンクを張っています。

で、XP SP3のクライアントから、イントラネットWEBサイトの共有フォルダへのリンクを押下すると、下記のようなエラーが出ました。

Microsoft Internet Explorer の提供元:

\\hogedomain.local\share\test にアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。

セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。

見慣れないエラーです。

Explorerから直接 \\hogedomain.local\share\test にアクセスしようとすると今度は下記エラーとなります。

ファンクションが間違っています。

それで、DFSのリンク先となっている共有フォルダを直接アクセスしようとするとアクセス権があるにも関わらず、ユーザ認証の画面が開きます。

システムのイベントログを確認してみたところ、下記のようになっていました。

イベントの種類: 警告

イベント ソース: LSASRV

イベント カテゴリ: SPNEGO (Negotiator)

イベント ID: 40960

日付: 2011/02/01

時刻: 00:00:00

ユーザー: N/A

コンピュータ: hogepc

説明:

サーバー cifs/10.0.0.25 に対するダウングレード アタックの試みを 検出しました。認証プロトコル Kerberos からのエラー コードは "参照したアカウントは現在無効であり、ログオンできません。

(0xc0000072)" でした。

イベントの種類: 警告

イベント ソース: LSASRV

イベント カテゴリ: SPNEGO (Negotiator)

イベント ID: 40961

日付: 2011/02/01

時刻: 00:00:00

ユーザー: N/A

コンピュータ: hogepc

説明:

サーバー cifs/10.0.0.25 とのセキュリティで保護された接続を確立できませんでした。利用できる認証プロトコルはありませんでした。

ネットで調べるドメインコントローラに接続できなかったりするとこのエラーがでることがあるようですが、ActiveDirectory情報は検索できるのでドメインコントローラには接続できるようです。

いろいろ調べた結果、原因はDFSリンク先の共有フォルダへのアクセス権情報をPCに記憶させていることでした。

コントロールパネルのユーザアカウントで、任意の共有フォルダへのアクセス権情報を記憶させることができます。

そこに、既に無効になったユーザアカウントのアクセス権情報が記憶されていました。

既に無効になっているので、イベントログで、「参照したアカウントは現在無効であり、ログオンできません。」と出たんでしょうね。

記憶させてるアクセス権情報を削除することでアクセスできるようになりました。