Midnightjapan

Tag: Mac OS X Server

MacOSX Server(Yosemite)へ Windows7からSMB(ファイル共有サーバー)に接続できない。

by jun on 2月.05, 2015, under Apple, Mac OS X, Network, Windows, Windows7

JUNが仕事中にWindowsのファイル共有という非常によく使ういつもの機能が突然使えなくなったとの連絡を受け、調べたことを記録する。

【環境】

サーバー:MacOSX Server 10.10(Yosemite)

クライアント:Windows 7 SP1

よくある環境だが、全部ではなく一部のPCでのみ症状が発生した。

詳しく調べてみるとWindows 7にはMicrosoft?EMET(Enhanced Mitigation Experience Toolkit) 4.1というソフトが入っていた。また、ごく一部では入っていないものもあった。

これは何かといいますと・・・・詳しくはWEBでw

概要だけ言うとセキュリティー強化ツールでございまして、これをインストするとセキュリティーレベルが上がります。

ですからEMETにかかわらず、何かしらの理由でセキュリティーレベルを強化した場合、MacOSX Server(Yosemite)のファイル共有サーバーには接続できなくなる可能性があります。

理由はMacOSX Server(Yosemite)のバージョンアップに伴い、Sambaのバージョンが上がることでより認証がより厳密になったためだと思われます。

ですから類似の問題の場合は、傾向として参考にしてくださいね。

まったく同じ環境なら、記事の通り対応すれば解消するはずです。

Yosemite Smaba 3
Marvericks Smaba 2 or 1
Mountain Lion Smaba 1 or 2

Samba3は認証も細かく拡張されていてクライアントによって認証を変えているようですから、環境によってはもう少し細かい資料が必要かもしれません。

【症状】

症状としてはファイル共有サーバーに接続する際に、アカウントかパスワードが違いますといわれます。

パスワードがあっていても、会話するプロトコルや認証方式が違えばアカウントかパスワードが違いますといわれますので、ここら辺の切り分けが難しいところですね。

今回の原因はサーバーではなく、クライアントの認証方式でした。ゲストでアクセスできない場合なども同じところをチェックするといいかもしれません。

【解消方法】

レジストリエディタから

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa を開き

LmCompatibilityLevel → 3 を設定

設定後必ず再起動!

これが未定義(未定義であればデフォルトで3:NTLMv2応答のみ送信する)、または「NTLMv2応答のみ送信する」になっていればWindows7の場合は接続できるはずです。各認証について簡単に以下の通りまとめた。

引用元:Apple Support Communities「Cannot login on OS X Server from Windows PC」

LANMAN認証 Windows95などでサポートされている古い認証方式でパスワードに大文字小文字の区別がない。Samba3.0では、コンピュータがNTLM認証を行うとLANMAN認証機能が無効化される。
NTLM認証 WindowsNT以降でサポートされる認証方式でパスワードに大文字小文字の区別があり、14バイトまでのパスワードが利用可能。
NTLMv2認証 Windows2000以降で利用される認証で、暗号化、デジタル署名、SPNEGOをサポートしている。Samba3.0からサポート。Samba 2.2ではWindows XPからドメインログオンするときはセキュリティオプションで「ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する」を無効に設定する必要があったが、Samba 3.0からはこの設定が不要になった。

このほかにKerberos認証もOpenDirectoryで実装していそうですが、Samba3で応答するのかは不明です。研究の余地がありそうですね。

これで認証が正常にできるようになりました。めでたしめでたし。

6 コメント :, , , more...



何かお探しですか?

以下にキーワードを入力してサイト内検索が可能です:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!