Podczas uzyskiwania dostępu do usługi, która korzysta z udziałów sieciowych na serwerze warstwy środkowej, użytkownicy są monitowani o podanie poświadczeń i ostatecznie napotykają błąd odmowy dostępu. W dzisiejszym poście przedstawimy kilka scenariuszy przypadków, zidentyfikujemy przyczynę, a następnie przedstawimy możliwe obejścia problemu, dlaczego ograniczone delegowanie CIFS kończy się niepowodzeniem z błędem ACCESS_DENIED w systemie Windows 10.

Common Internet File System (CIFS) to protokół udostępniania plików, który zapewnia otwarty i wieloplatformowy mechanizm żądania plików i usług serwera sieciowego. CIFS jest oparty na ulepszonej wersji ^(CIFS)protokołu Server Message Block (SMB) firmy Microsoft do udostępniania plików w Internecie i intranecie.^(Internet)

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows^(Windows)

Ten problem może wystąpić, jeśli użytkownik zostanie poproszony o podanie poświadczeń, a dostęp ostatecznie zakończy się niepowodzeniem z błędem odmowy dostępu w następujących trzech scenariuszach.

Scenariusz 1^{(Scenario 1)}

Witryna internetowa usług IIS jest skonfigurowana z katalogiem macierzystym wskazującym na udział zdalny przy użyciu uwierzytelniania przekazywanego i delegowania ograniczonego skonfigurowanego dla CIFS .
Pula aplikacji usług IIS uzyskująca dostęp do tego udziału działa z tożsamością konta usługi.
Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.

Scenariusz 2^{(Scenario 2)}

Aplikacja internetowa próbuje uzyskać dostęp do serwera plików jako użytkownik.
Pula aplikacji IIS , która uzyskuje dostęp do tego udziału, działa z tożsamością konta usługi. Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.
Delegowanie ograniczone skonfigurowane dla CIFS jest konfigurowane na koncie usługi serwera plików.

Scenariusz 3^{(Scenario 3)}

Każda aplikacja po stronie serwera, do której klient uzyskuje dostęp, uzyskuje dostęp do udziałów zdalnych jako użytkownik.
Aplikacja po stronie serwera działa w kontekście konta usługi.
Konto usługi^(Service) jest zaufane w zakresie delegowania i skonfigurowane do delegowania CIFS dla serwera plików.

Zostało to zidentyfikowane jako problem między MrxSmb 2.0 i Kerberos w przypadku delegowania ograniczonego.

Aby rozwiązać ten problem, firma Microsoft^(Microsoft) oferuje dwa obejścia.

Obejście 1

Użyj konta komputera zamiast konta usługi jako tożsamości dla aplikacji, które będą wykonywać ograniczone delegowanie dla CIFS . Skonfiguruj ograniczone delegowanie, gdy poziom funkcjonalności domeny to Windows Server 2003 , Windows Server 2008 lub Windows Server 2008 R2.

Aby to zrobić na kontrolerze domeny dla domeny serwerów sieci Web, wykonaj następujące czynności:

Kliknij Start > Administrative Tools > Użytkownicy i komputery usługi Active Directory^{(Active Directory Users and Computers)} .
Rozwiń^(Expand) domenę, a następnie rozwiń folder Komputery .^(Computers)
W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości^(Properties) , a następnie kliknij kartę Delegacja^(Delegation) .
Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu tylko do określonych usług^{(Trust this computer for delegation to specified services only)} .
Upewnij się, że zaznaczono opcję Użyj tylko protokołu Kerberos^{(Use Kerberos only)} , a następnie kliknij przycisk OK .
Kliknij przycisk Dodaj^{(Add button)} .
W oknie dialogowym Dodaj ^(Add) usługi kliknij ^(Services)Użytkownicy lub Komputery^{(Users or Computers)} , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
Kliknij OK .
Z listy Dostępne ^(Available) usługi^(Services) wybierz usługę CIFS .
Kliknij OK .

Obejście 2

To obejście nie jest zalecane^{(not recommended)} , ponieważ wymaga użycia^(Use) delegowania dowolnego protokołu uwierzytelniania na koncie komputera. Jeśli wybrano opcję Użyj dowolnego protokołu uwierzytelniania^{(Use any authentication protocol)} , konto korzysta z delegowania ograniczonego z przejściem protokołu.

Jeśli musisz użyć tożsamości aplikacji jako konta usługi i/lub konta domeny, wykonaj następujące czynności:

Krok 1^{(Step 1)}

Kliknij Start > Administrative Tools > Użytkownicy i komputery usługi Active Directory^{(Active Directory Users and Computers)} .
Rozwiń^(Expand) domenę, a następnie rozwiń folder Komputery .^(Computers)
W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości^(Properties) , a następnie kliknij kartę Delegacja^(Delegation) .
Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu^{(Trust this computer for delegation to specified services)} tylko do określonych usług.
Upewnij się, że wybrano opcję Użyj dowolnego protokołu uwierzytelniania^{(Use any authentication protocol)} .
Kliknij OK .
Kliknij przycisk Dodaj^{(Add button)} .
W oknie dialogowym Dodaj ^(Add) usługi kliknij ^(Services)Użytkownicy lub Komputery^{(Users or Computers)} , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
Kliknij OK .
Z listy Dostępne ^(Available) usługi^(Services) wybierz usługę CIFS^{(CIFS service)} .
Kliknij OK .

Krok 2^{(Step 2)}

W lewym okienku rozwiń folder Użytkownicy.
W prawym okienku kliknij prawym przyciskiem myszy konto usługi, które jest tożsamością puli aplikacji, wybierz Właściwości^(Properties) , a następnie kliknij kartę Delegowanie^(Delegation) .
Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu tylko do określonych usług^{(Trust this computer for delegation to specified services only)} .
Upewnij się, że wybrano opcję Użyj tylko protokołu Kerberos^{(Use Kerberos only)} .
Kliknij OK .
Kliknij przycisk Dodaj^{(Add button)} .
W oknie dialogowym Dodaj ^(Add) usługi kliknij ^(Services)Użytkownicy lub Komputery^{(Users or Computers)} , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
Kliknij OK .
Z listy Dostępne ^(Available) usługi^(Services) wybierz usługę CIFS^{(CIFS service)} .
Kliknij OK .

Mam nadzieję, że ten post pomoże.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While acсessing a service that υses network shares on a middlе-tier serνer, users are prompted for credentials, and they eventually enсounter an acсess denied errоr. In todaу’s post, we will present a couple of case scenarіos, identify the cause and then provide the possible workarоunds to the issue of why сonstrained delеgation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
The IIS application pool accessing that share is running under the identity of the service account.
The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

The web app is trying to access a file server as a user.
The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

Any server-side application that’s being accessed from a client is accessing remote shares as a user.
The server-side application is running under the context of a service account.
The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected, and then click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use any authentication protocol is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Step 2

In the left pane, expand the Users folder.
In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Hope this post helps.

Mieszko Woźniak

About the author

Jestem inżynierem Windows, ios, pdf, błędów, gadżetów z ponad 10-letnim doświadczeniem. Pracowałem nad wieloma wysokiej jakości aplikacjami i frameworkami Windows, takimi jak OneDrive dla Firm, Office 365 i nie tylko. Moja ostatnia praca obejmowała opracowanie czytnika PDF dla platformy Windows i pracę nad tym, aby komunikaty o błędach były bardziej zrozumiałe dla użytkowników. Dodatkowo od kilku lat jestem zaangażowany w rozwój platformy ios i dobrze znam zarówno jej funkcje, jak i dziwactwa.

ACCESS DENIED - Ograniczone delegowanie dla CIFS kończy się niepowodzeniem

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows^(Windows)

Obejście 1

Obejście 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Mieszko Woźniak

About the author

Related posts

Napraw komunikat o błędzie 1005 Odmowa dostępu podczas odwiedzania stron internetowych

Usługa klienta DHCP daje błąd odmowy dostępu w systemie Windows 11/10

Jak dostosować komunikat o błędzie odmowy dostępu w systemie Windows 10?

Odmowa dostępu, nie masz uprawnień dostępu do tego serwera

Napraw wpis kontroli dostępu jest uszkodzonym błędem w systemie Windows 10

Jak naprawić odmowę dostępu do uTorrent (zapis na dysku)

Zainstaluj awarię sterownika Realtek HD Audio, błąd OxC0000374 w systemie Windows 10

Jak otworzyć zaszyfrowany plik w przypadku odmowy dostępu w systemie Windows 11/10?

Napraw błąd odmowy dostępu do folderu docelowego

Napraw nieudany błąd ShellExecuteEx w systemie Windows 11/10

Naprawa SFC nie powiodła się, a DISM pokazuje błąd 0x800f081f w systemie Windows 10

Otwórz Notatnik jako administrator, aby uniknąć „odmowy dostępu”

Sterownik wykrył wewnętrzny błąd sterownika na DeviceVBoxNetLwf

Instalator nie mógł utworzyć nowego błędu partycji systemowej w systemie Windows 10

Napraw błąd ładowania aplikacji 5:0000065434 w systemie Windows 10

Jak uzyskać dostęp do folderu odrzuconego z ograniczeniami w systemie Windows 11/10?

Napraw ShellExecuteEx nie powiodło się; błąd kodu 8235 w systemie Windows10

Jak naprawić odmowę dostępu, plik może być używany lub błędy udostępniania w systemie Windows

Napraw pomyślny test Smart Check, błąd krótkiego czasu letniego nie powiódł się na komputerze HP

Błąd identyfikatora zdarzenia 158 — identyczne przypisanie identyfikatorów GUID dysków w systemie Windows 10

ACCESS DENIED - Ograniczone delegowanie dla CIFS kończy się niepowodzeniem

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows(Windows)

Obejście 1

Obejście 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Mieszko Woźniak

About the author

Related posts

Napraw komunikat o błędzie 1005 Odmowa dostępu podczas odwiedzania stron internetowych

Usługa klienta DHCP daje błąd odmowy dostępu w systemie Windows 11/10

Jak dostosować komunikat o błędzie odmowy dostępu w systemie Windows 10?

Odmowa dostępu, nie masz uprawnień dostępu do tego serwera

Napraw wpis kontroli dostępu jest uszkodzonym błędem w systemie Windows 10

Jak naprawić odmowę dostępu do uTorrent (zapis na dysku)

Zainstaluj awarię sterownika Realtek HD Audio, błąd OxC0000374 w systemie Windows 10

Jak otworzyć zaszyfrowany plik w przypadku odmowy dostępu w systemie Windows 11/10?

Napraw błąd odmowy dostępu do folderu docelowego

Napraw nieudany błąd ShellExecuteEx w systemie Windows 11/10

Naprawa SFC nie powiodła się, a DISM pokazuje błąd 0x800f081f w systemie Windows 10

Otwórz Notatnik jako administrator, aby uniknąć „odmowy dostępu”

Sterownik wykrył wewnętrzny błąd sterownika na DeviceVBoxNetLwf

Instalator nie mógł utworzyć nowego błędu partycji systemowej w systemie Windows 10

Napraw błąd ładowania aplikacji 5:0000065434 w systemie Windows 10

Jak uzyskać dostęp do folderu odrzuconego z ograniczeniami w systemie Windows 11/10?

Napraw ShellExecuteEx nie powiodło się; błąd kodu 8235 w systemie Windows10

Jak naprawić odmowę dostępu, plik może być używany lub błędy udostępniania w systemie Windows

Napraw pomyślny test Smart Check, błąd krótkiego czasu letniego nie powiódł się na komputerze HP

Błąd identyfikatora zdarzenia 158 — identyczne przypisanie identyfikatorów GUID dysków w systemie Windows 10

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows^(Windows)