ACCESS DENIED - Ograniczone delegowanie dla CIFS kończy się niepowodzeniem
Podczas uzyskiwania dostępu do usługi, która korzysta z udziałów sieciowych na serwerze warstwy środkowej, użytkownicy są monitowani o podanie poświadczeń i ostatecznie napotykają błąd odmowy dostępu. W dzisiejszym poście przedstawimy kilka scenariuszy przypadków, zidentyfikujemy przyczynę, a następnie przedstawimy możliwe obejścia problemu, dlaczego ograniczone delegowanie CIFS kończy się niepowodzeniem z błędem ACCESS_DENIED w systemie Windows 10.
Common Internet File System (CIFS) to protokół udostępniania plików, który zapewnia otwarty i wieloplatformowy mechanizm żądania plików i usług serwera sieciowego. CIFS jest oparty na ulepszonej wersji (CIFS)protokołu Server Message Block (SMB) firmy Microsoft do udostępniania plików w Internecie i intranecie.(Internet)
Ograniczone delegowanie dla CIFS kończy się niepowodzeniem w systemie Windows(Windows)
Ten problem może wystąpić, jeśli użytkownik zostanie poproszony o podanie poświadczeń, a dostęp ostatecznie zakończy się niepowodzeniem z błędem odmowy dostępu w następujących trzech scenariuszach.
Scenariusz 1(Scenario 1)
- Witryna internetowa usług IIS jest skonfigurowana z katalogiem macierzystym wskazującym na udział zdalny przy użyciu uwierzytelniania przekazywanego i delegowania ograniczonego skonfigurowanego dla CIFS .
- Pula aplikacji usług IIS uzyskująca dostęp do tego udziału działa z tożsamością konta usługi.
- Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.
Scenariusz 2(Scenario 2)
- Aplikacja internetowa próbuje uzyskać dostęp do serwera plików jako użytkownik.
- Pula aplikacji IIS , która uzyskuje dostęp do tego udziału, działa z tożsamością konta usługi. Konto domeny jest zaufane w zakresie delegowania usługi CIFS na serwerze plików.
- Delegowanie ograniczone skonfigurowane dla CIFS jest konfigurowane na koncie usługi serwera plików.
Scenariusz 3(Scenario 3)
- Każda aplikacja po stronie serwera, do której klient uzyskuje dostęp, uzyskuje dostęp do udziałów zdalnych jako użytkownik.
- Aplikacja po stronie serwera działa w kontekście konta usługi.
- Konto usługi(Service) jest zaufane w zakresie delegowania i skonfigurowane do delegowania CIFS dla serwera plików.
Zostało to zidentyfikowane jako problem między MrxSmb 2.0 i Kerberos w przypadku delegowania ograniczonego.
Aby rozwiązać ten problem, firma Microsoft(Microsoft) oferuje dwa obejścia.
Obejście 1
Użyj konta komputera zamiast konta usługi jako tożsamości dla aplikacji, które będą wykonywać ograniczone delegowanie dla CIFS . Skonfiguruj ograniczone delegowanie, gdy poziom funkcjonalności domeny to Windows Server 2003 , Windows Server 2008 lub Windows Server 2008 R2.
Aby to zrobić na kontrolerze domeny dla domeny serwerów sieci Web, wykonaj następujące czynności:
- Kliknij Start > Administrative Tools > Użytkownicy i komputery usługi Active Directory(Active Directory Users and Computers) .
- Rozwiń(Expand) domenę, a następnie rozwiń folder Komputery .(Computers)
- W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości(Properties) , a następnie kliknij kartę Delegacja(Delegation) .
- Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu tylko do określonych usług(Trust this computer for delegation to specified services only) .
- Upewnij się, że zaznaczono opcję Użyj tylko protokołu Kerberos(Use Kerberos only) , a następnie kliknij przycisk OK .
- Kliknij przycisk Dodaj(Add button) .
- W oknie dialogowym Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
- Kliknij OK .
- Z listy Dostępne (Available) usługi(Services) wybierz usługę CIFS .
- Kliknij OK .
Obejście 2
To obejście nie jest zalecane(not recommended) , ponieważ wymaga użycia(Use) delegowania dowolnego protokołu uwierzytelniania na koncie komputera. Jeśli wybrano opcję Użyj dowolnego protokołu uwierzytelniania(Use any authentication protocol) , konto korzysta z delegowania ograniczonego z przejściem protokołu.
Jeśli musisz użyć tożsamości aplikacji jako konta usługi i/lub konta domeny, wykonaj następujące czynności:
Krok 1(Step 1)
- Kliknij Start > Administrative Tools > Użytkownicy i komputery usługi Active Directory(Active Directory Users and Computers) .
- Rozwiń(Expand) domenę, a następnie rozwiń folder Komputery .(Computers)
- W prawym okienku kliknij prawym przyciskiem myszy nazwę komputera dla serwera WWW, wybierz Właściwości(Properties) , a następnie kliknij kartę Delegacja(Delegation) .
- Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu(Trust this computer for delegation to specified services) tylko do określonych usług.
- Upewnij się, że wybrano opcję Użyj dowolnego protokołu uwierzytelniania(Use any authentication protocol) .
- Kliknij OK .
- Kliknij przycisk Dodaj(Add button) .
- W oknie dialogowym Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
- Kliknij OK .
- Z listy Dostępne (Available) usługi(Services) wybierz usługę CIFS(CIFS service) .
- Kliknij OK .
Krok 2(Step 2)
- W lewym okienku rozwiń folder Użytkownicy.
- W prawym okienku kliknij prawym przyciskiem myszy konto usługi, które jest tożsamością puli aplikacji, wybierz Właściwości(Properties) , a następnie kliknij kartę Delegowanie(Delegation) .
- Zaznacz pole wyboru Ufaj temu komputerowi w delegowaniu tylko do określonych usług(Trust this computer for delegation to specified services only) .
- Upewnij się, że wybrano opcję Użyj tylko protokołu Kerberos(Use Kerberos only) .
- Kliknij OK .
- Kliknij przycisk Dodaj(Add button) .
- W oknie dialogowym Dodaj (Add) usługi kliknij (Services)Użytkownicy lub Komputery(Users or Computers) , a następnie przejdź do lub wprowadź nazwę serwera plików, który otrzyma poświadczenia użytkownika z usług IIS .
- Kliknij OK .
- Z listy Dostępne (Available) usługi(Services) wybierz usługę CIFS(CIFS service) .
- Kliknij OK .
Mam nadzieję, że ten post pomoże.(Hope this post helps.)
Related posts
Napraw komunikat o błędzie 1005 Odmowa dostępu podczas odwiedzania stron internetowych
Usługa klienta DHCP daje błąd odmowy dostępu w systemie Windows 11/10
Jak dostosować komunikat o błędzie odmowy dostępu w systemie Windows 10?
Odmowa dostępu, nie masz uprawnień dostępu do tego serwera
Napraw wpis kontroli dostępu jest uszkodzonym błędem w systemie Windows 10
Jak naprawić odmowę dostępu do uTorrent (zapis na dysku)
Zainstaluj awarię sterownika Realtek HD Audio, błąd OxC0000374 w systemie Windows 10
Jak otworzyć zaszyfrowany plik w przypadku odmowy dostępu w systemie Windows 11/10?
Napraw błąd odmowy dostępu do folderu docelowego
Napraw nieudany błąd ShellExecuteEx w systemie Windows 11/10
Naprawa SFC nie powiodła się, a DISM pokazuje błąd 0x800f081f w systemie Windows 10
Otwórz Notatnik jako administrator, aby uniknąć „odmowy dostępu”
Sterownik wykrył wewnętrzny błąd sterownika na DeviceVBoxNetLwf
Instalator nie mógł utworzyć nowego błędu partycji systemowej w systemie Windows 10
Napraw błąd ładowania aplikacji 5:0000065434 w systemie Windows 10
Jak uzyskać dostęp do folderu odrzuconego z ograniczeniami w systemie Windows 11/10?
Napraw ShellExecuteEx nie powiodło się; błąd kodu 8235 w systemie Windows10
Jak naprawić odmowę dostępu, plik może być używany lub błędy udostępniania w systemie Windows
Napraw pomyślny test Smart Check, błąd krótkiego czasu letniego nie powiódł się na komputerze HP
Błąd identyfikatora zdarzenia 158 — identyczne przypisanie identyfikatorów GUID dysków w systemie Windows 10