ACCESS DENIED - Ograniczone delegowanie dla CIFS kończy się niepowodzeniem

Podczas uzyskiwania dostępu do usługi, która korzysta z udziałów sieciowych na serwerze warstwy środkowej, użytkownicy są monitowani o podanie poświadczeń i ostatecznie napotykają błąd odmowy dostępu. W dzisiejszym poście przedstawimy kilka scenariuszy przypadków, zidentyfikujemy przyczynę, a następnie przedstawimy możliwe obejścia problemu, dlaczego ograniczone delegowanie CIFS kończy się niepowodzeniem z błędem ACCESS_DENIED w systemie Windows 10.

Common Internet File System (CIFS) to protokół udostępniania plików, który zapewnia otwarty i wieloplatformowy mechanizm żądania plików i usług serwera sieciowego. CIFS jest oparty na ulepszonej wersji (CIFS)protokołu Server Message Block (SMB)  firmy Microsoft do udostępniania plików w Internecie i intranecie.(Internet)

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows

Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows(Windows)

Ten problem może wystąpić, jeśli użytkownik zostanie poproszony o podanie poświadczeń, a dostęp ostatecznie zakończy się niepowodzeniem z błędem odmowy dostępu w następujących trzech scenariuszach.

Scenariusz 1(Scenario 1)

  • Witryna internetowa usług IIS jest skonfigurowana z katalogiem macierzystym wskazującym na udział zdalny przy użyciu uwierzytelniania przekazywanego i delegowania ograniczonego skonfigurowanego dla CIFS .
  • Pula aplikacji usług IIS uzyskująca dostęp do tego udziału działa z tożsamością konta usługi.
  • Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.

Scenariusz 2(Scenario 2)

  • Aplikacja internetowa próbuje uzyskać dostęp do serwera plików jako użytkownik.
  • Pula aplikacji IIS , która uzyskuje dostęp do tego udziału, działa z tożsamością konta usługi. Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.
  • Delegowanie ograniczone skonfigurowane dla CIFS jest konfigurowane na koncie usługi serwera plików.

Scenariusz 3(Scenario 3)

  • Każda aplikacja po stronie serwera, do której klient uzyskuje dostęp, uzyskuje dostęp do udziałów zdalnych jako użytkownik.
  • Aplikacja po stronie serwera działa w kontekście konta usługi.
  • Konto usługi(Service) jest zaufane w zakresie delegowania i skonfigurowane do delegowania CIFS dla serwera plików.

Zostało to zidentyfikowane jako problem między MrxSmb 2.0 i Kerberos w przypadku delegowania ograniczonego.

Aby rozwiązać ten problem, firma Microsoft(Microsoft) oferuje dwa obejścia.

Obejście 1

Użyj konta komputera zamiast konta usługi jako tożsamości dla aplikacji, które będą wykonywać ograniczone delegowanie dla CIFS . Skonfiguruj ograniczone delegowanie, gdy poziom funkcjonalności domeny to Windows Server 2003 , Windows Server 2008 lub Windows Server 2008 R2.

Aby to zrobić na kontrolerze domeny dla domeny serwerów sieci Web, wykonaj następujące czynności:

  • Kliknij Start > Administrative Tools > Użytkownicy i komputery usługi Active Directory(Active Directory Users and Computers) .
  • Rozwiń(Expand) domenę, a następnie rozwiń folder Komputery .(Computers)
  • W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości(Properties) , a następnie kliknij  kartę Delegacja(Delegation)  .
  • Zaznacz pole wyboru  Ufaj temu komputerowi w delegowaniu tylko do określonych usług(Trust this computer for delegation to specified services only) .
  • Upewnij się, że  zaznaczono opcję Użyj tylko protokołu Kerberos(Use Kerberos only)  , a następnie kliknij przycisk  OK .
  • Kliknij  przycisk Dodaj(Add button) .
  • W   oknie dialogowym  Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
  • Kliknij  OK .
  • Z listy  Dostępne (Available) usługi(Services)  wybierz  usługę CIFS .
  • Kliknij  OK .

Obejście 2

To obejście nie jest zalecane(not recommended) , ponieważ wymaga  użycia(Use) delegowania dowolnego protokołu uwierzytelniania na koncie komputera. Jeśli  wybrano opcję Użyj dowolnego protokołu uwierzytelniania(Use any authentication protocol)  , konto korzysta z delegowania ograniczonego z przejściem protokołu.

Jeśli musisz użyć tożsamości aplikacji jako konta usługi i/lub konta domeny, wykonaj następujące czynności:

Krok 1(Step 1)

  • Kliknij StartAdministrative Tools > Użytkownicy i komputery usługi Active Directory(Active Directory Users and Computers) .
  • Rozwiń(Expand) domenę, a następnie rozwiń folder Komputery .(Computers)
  • W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości(Properties) , a następnie kliknij  kartę Delegacja(Delegation)  .
  • Zaznacz pole wyboru  Ufaj temu komputerowi w delegowaniu(Trust this computer for delegation to specified services) tylko do określonych usług.
  • Upewnij się, że  wybrano opcję Użyj dowolnego protokołu uwierzytelniania(Use any authentication protocol) .
  • Kliknij OK .
  • Kliknij  przycisk Dodaj(Add button) .
  • W   oknie dialogowym  Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
  • Kliknij  OK .
  • Z listy  Dostępne (Available) usługi(Services)  wybierz usługę CIFS(CIFS service) .
  • Kliknij  OK .

Krok 2(Step 2)

  • W lewym okienku rozwiń folder Użytkownicy.
  • W prawym okienku kliknij prawym przyciskiem myszy konto usługi, które jest tożsamością puli aplikacji, wybierz  Właściwości(Properties) , a następnie kliknij  kartę Delegowanie(Delegation)  .
  • Zaznacz pole wyboru  Ufaj temu komputerowi w delegowaniu tylko do określonych usług(Trust this computer for delegation to specified services only) .
  • Upewnij się, że  wybrano opcję Użyj tylko protokołu Kerberos(Use Kerberos only) .
  • Kliknij OK .
  • Kliknij  przycisk Dodaj(Add button) .
  • W  oknie dialogowym  Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
  • Kliknij  OK .
  • Z listy  Dostępne (Available) usługi(Services)  wybierz usługę CIFS(CIFS service) .
  • Kliknij  OK .

Mam nadzieję, że ten post pomoże.(Hope this post helps.)



About the author

Jestem inżynierem Windows, ios, pdf, błędów, gadżetów z ponad 10-letnim doświadczeniem. Pracowałem nad wieloma wysokiej jakości aplikacjami i frameworkami Windows, takimi jak OneDrive dla Firm, Office 365 i nie tylko. Moja ostatnia praca obejmowała opracowanie czytnika PDF dla platformy Windows i pracę nad tym, aby komunikaty o błędach były bardziej zrozumiałe dla użytkowników. Dodatkowo od kilku lat jestem zaangażowany w rozwój platformy ios i dobrze znam zarówno jej funkcje, jak i dziwactwa.



Related posts