Mac连接Windows共享文件夹提示密码错误

1. 问题背景与现象分析

当Mac用户尝试通过SMB协议连接Windows共享文件夹时，频繁提示“密码错误”，即使输入的用户名和密码完全正确。该问题在跨平台协作环境中尤为常见，尤其是在混合使用macOS与Windows系统的组织中。

典型表现包括：

• 连接时弹出身份验证窗口，反复要求输入凭据
• 使用正确的域账户或本地账户仍无法通过认证
• 部分用户可连接，部分用户失败，呈现环境依赖性
• 日志中显示NTLMv2失败、STATUS_WRONG_PASSWORD等错误代码

2. 常见原因分类（由浅入深）

3. 深度排查流程图

graph TD
    A[Mac连接Windows共享提示密码错误] --> B{Keychain是否存在旧凭证?}
    B -- 是 --> C[删除相关服务器条目]
    B -- 否 --> D{是否使用DOMAIN\\User格式?}
    D -- 否 --> E[更正为DOMAIN\\Username]
    D -- 是 --> F{Windows是否启用SMBv2/v3?}
    F -- 否 --> G[启用SMBv2/v3并禁用v1]
    F -- 是 --> H{Guest访问是否被禁用?}
    H -- 是 --> I[调整本地安全策略]
    H -- 否 --> J[检查密码是否含特殊字符]
    J --> K[尝试简化密码测试连通性]
    K --> L[确认防火墙/SMB端口开放]
    

4. 关键解决方案详解

1. 清除Keychain缓存：打开“钥匙串访问”应用 → 搜索目标服务器名或IP → 删除所有相关条目。
2. 正确用户名格式：务必使用DOMAIN\username或COMPUTERNAME\username，避免仅输入纯用户名。
3. SMB协议匹配：在Windows注册表中确保HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 = 0（关闭），SMB2/SMB3启用。
4. macOS强制指定SMB版本：使用命令挂载：
   mount -t smbfs -o nosmbios,sec=ntlmv2 //user@server/share /Volumes/share
5. 处理特殊字符：若密码含&或@，建议在URL中进行百分号编码，如%40替代@。
6. Windows本地策略调整：运行secpol.msc → 安全设置 → 本地策略 → 安全选项：
   将“账户: 使用空白密码的本地账户只允许进行控制台登录”设为“否”。
7. 启用非Guest网络访问：修改“本地账户共享和安全模型”为“经典 - 对本地用户进行身份验证”。
8. 检查NetBIOS与DNS解析：确保Mac可通过NetBIOS名称或FQDN解析到Windows主机。
9. 启用SMB日志追踪：在Windows上开启SMB服务器日志，路径为Event Viewer → Windows Logs → System，筛选Srv2或MrxSmb事件。
10. 防火墙规则验证：确保TCP 445端口在Windows防火墙中对内网开放。

5. 高级调试技巧

对于资深IT工程师，可采用以下手段深入诊断：

• 在macOS终端使用smbutil lookup //user@server查看协商细节
• 抓包分析：利用Wireshark过滤smb || tcp.port == 445，观察Negotiate Protocol Response中的支持版本
• 通过PowerShell命令获取SMB连接状态：
  Get-SmbConnection | Select ServerName, UserName, Dialect
• 检查Kerberos票据是否正常获取：
  klist（在macOS上执行）
• 设置Windows事件日志级别以记录详细SMB认证过程：
  wevtutil set-log Microsoft-Windows-SMBServer/Analytical /enabled:true