WindowsServer2003 でドメインベースDFSを使って共有フォルダを管理しています。
また、イントラネットのWEBサイトに file:// プロトコルを使ってDFS共有フォルダへのリンクを張っています。
で、XP SP3のクライアントから、イントラネットWEBサイトの共有フォルダへのリンクを押下すると、下記のようなエラーが出ました。
Microsoft Internet Explorer の提供元:
\\hogedomain.local\share\test にアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。
セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。
見慣れないエラーです。
Explorerから直接 \\hogedomain.local\share\test にアクセスしようとすると今度は下記エラーとなります。
ファンクションが間違っています。
それで、DFSのリンク先となっている共有フォルダを直接アクセスしようとするとアクセス権があるにも関わらず、ユーザ認証の画面が開きます。
システムのイベントログを確認してみたところ、下記のようになっていました。
イベントの種類: 警告
イベント ソース: LSASRV
イベント カテゴリ: SPNEGO (Negotiator)
イベント ID: 40960
日付: 2011/02/01
時刻: 00:00:00
ユーザー: N/A
コンピュータ: hogepc
説明:
サーバー cifs/10.0.0.25 に対するダウングレード アタックの試みを 検出しました。認証プロトコル Kerberos からのエラー コードは "参照したアカウントは現在無効であり、ログオンできません。
(0xc0000072)" でした。
イベントの種類: 警告
イベント ソース: LSASRV
イベント カテゴリ: SPNEGO (Negotiator)
イベント ID: 40961
日付: 2011/02/01
時刻: 00:00:00
ユーザー: N/A
コンピュータ: hogepc
説明:
サーバー cifs/10.0.0.25 とのセキュリティで保護された接続を確立できませんでした。利用できる認証プロトコルはありませんでした。
ネットで調べるとドメインコントローラに接続できなかったりするとこのエラーがでることがあるようですが、ActiveDirectory情報は検索できるのでドメインコントローラには接続できるようです。
いろいろ調べた結果、原因はDFSリンク先の共有フォルダへのアクセス権情報をPCに記憶させていることでした。
コントロールパネルのユーザアカウントで、任意の共有フォルダへのアクセス権情報を記憶させることができます。
そこに、既に無効になったユーザアカウントのアクセス権情報が記憶されていました。
既に無効になっているので、イベントログで、「参照したアカウントは現在無効であり、ログオンできません。」と出たんでしょうね。
記憶させてるアクセス権情報を削除することでアクセスできるようになりました。