ACCESS DENIED – сбой ограниченного делегирования для CIFS
При доступе к службе, которая использует общие сетевые ресурсы на сервере среднего уровня, пользователям предлагается ввести учетные данные, и в конечном итоге они сталкиваются с ошибкой отказа в доступе. В сегодняшней публикации мы представим несколько сценариев, выявим причину, а затем предложим возможные обходные пути для решения проблемы сбоя ограниченного делегирования для CIFS с ошибкой ACCESS_DENIED в Windows 10.
Общая файловая система Интернета (CIFS)(Common Internet File System (CIFS)) — это протокол обмена файлами, который обеспечивает открытый и кросс-платформенный механизм для запроса файлов и служб сетевого сервера. CIFS основан на расширенной версии протокола Microsoft Server Message Block (SMB) для обмена файлами в Интернете и интрасети.(Internet)
Ограниченное делегирование для CIFS не работает в Windows
Вы можете столкнуться с этой проблемой, если у пользователя запрашиваются учетные данные, а доступ в конечном итоге завершается сбоем с ошибкой отказа в доступе в следующих трех сценариях.
Сценарий 1(Scenario 1)
- На веб-сайте IIS домашний каталог указывает на удаленный общий ресурс с использованием сквозной проверки подлинности и ограниченного делегирования, настроенного для CIFS .
- Пул приложений IIS , обращающийся к этому общему ресурсу, работает под удостоверением учетной записи службы.
- Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.
Сценарий 2(Scenario 2)
- Веб-приложение пытается получить доступ к файловому серверу от имени пользователя.
- Пул приложений IIS , который обращается к этому общему ресурсу, работает под удостоверением учетной записи службы. Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.
- Ограниченное делегирование, настроенное для CIFS , настраивается в учетной записи службы для файлового сервера.
Сценарий 3(Scenario 3)
- Любое серверное приложение, доступ к которому осуществляется с клиента, обращается к удаленным общим ресурсам от имени пользователя.
- Приложение на стороне сервера работает в контексте учетной записи службы.
- Учетная запись службы(Service) является доверенной для делегирования и настроена для делегирования CIFS для файлового сервера.
Это было определено как проблема между MrxSmb 2.0 и Kerberos , когда задействовано ограниченное делегирование.
Для решения этой проблемы Microsoft предлагает два обходных пути.
Обходной путь 1
Используйте учетную запись компьютера вместо учетной записи службы в качестве удостоверения для приложений, которые будут выполнять ограниченное делегирование для CIFS . Настройте ограниченное делегирование, если функциональным уровнем домена является Windows Server 2003 , Windows Server 2008 или Windows Server 2008 R2.
Чтобы сделать это на контроллере домена для вашего домена веб-серверов, выполните следующие действия:
- Щелкните Start > Administrative Tools > Пользователи и компьютеры Active Directory(Active Directory Users and Computers) .
- Разверните(Expand) домен, а затем разверните папку « Компьютеры ».(Computers)
- На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства(Properties) » и перейдите на вкладку « Делегирование(Delegation) ».
- Установите флажок Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services only) .
- Убедитесь, что выбран параметр « Использовать только Kerberos », а затем нажмите « (Use Kerberos only)ОК(OK) » .
- Нажмите кнопку Добавить(Add button) .
- В диалоговом окне « Добавить (Add) службы(Services) » щелкните « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
- Нажмите ОК(OK) .
- В списке доступных (Available) служб выберите службу (Services)CIFS .
- Нажмите ОК(OK) .
Обходной путь 2
Этот обходной путь не рекомендуется(not recommended) , так как он требует использования(Use) любого делегирования протокола проверки подлинности для учетной записи компьютера. Если выбран параметр Использовать любой протокол проверки подлинности(Use any authentication protocol) , учетная запись использует ограниченное делегирование с переходом протокола.
Если вы должны использовать удостоверение приложений в качестве учетной записи службы и/или учетной записи домена, выполните следующие действия:
Шаг 1(Step 1)
- Щелкните Пуск(Start ) > Administrative Tools > Пользователи и компьютеры Active Directory(Active Directory Users and Computers) .
- Разверните(Expand) домен, а затем разверните папку « Компьютеры ».(Computers)
- На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства(Properties) » и перейдите на вкладку « Делегирование(Delegation) ».
- Установите флажок Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services) .
- Убедитесь, что выбран параметр Использовать любой протокол аутентификации .(Use any authentication protocol)
- Нажмите ОК(OK) .
- Нажмите кнопку Добавить(Add button) .
- В диалоговом окне « Добавить (Add) службы(Services) » щелкните « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
- Нажмите ОК(OK) .
- В списке доступных (Available) служб выберите (Services)службу CIFS(CIFS service) .
- Нажмите ОК(OK) .
Шаг 2(Step 2)
- На левой панели разверните папку «Пользователи».
- На правой панели щелкните правой кнопкой мыши учетную запись службы, которая является идентификатором пула приложений, выберите Свойства(Properties) и щелкните вкладку Делегирование(Delegation) .
- Установите флажок Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services only) .
- Убедитесь, что выбран параметр Использовать только Kerberos .(Use Kerberos only)
- Нажмите ОК(OK) .
- Нажмите кнопку Добавить(Add button) .
- В диалоговом окне « Добавить (Add) службы(Services) » щелкните « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
- Нажмите ОК(OK) .
- В списке доступных (Available) служб выберите (Services)службу CIFS(CIFS service) .
- Нажмите ОК(OK) .
Надеюсь, этот пост поможет.(Hope this post helps.)
Related posts
Fix Error 1005 Access Denied message во время посещения веб-сайтов
DHCP Client Service дает Access Denied error в Windows 11/10
Как настроить сообщение Access Denied error на Windows 10
Access Denied, у вас нет разрешения на доступ на этом сервере
Fix Access Control Entry - коррумпированная ошибка в Windows 10
Setup не смог создать новый system partition error на Windows 10
Error 1327 Invalid Drive При установке или удалении программ
Как Fix Google Drive Access Denied Error
Водитель обнаружил внутренний driver error на \ device \ vboxnetlwf
Fix Destination Folder Access Denied Error
Fix Application Error 0xc0150004 на Windows 11/10
Стаб получил плохой data error message на Windows 10
Как до Fix uTorrent Access Denied (Write на диск)
Fix Bdeunlock.exe Bad image, System Error или не отвечает ошибкам
ERR NETWORK ACCESS DENIED | ERR INTERNET DISCONNECTED
Приложение не может найти Scanner - WIA_ERROR_OFFLINE, 0x80210005
Fix Microsoft Store Error 0x87AF0001
Remove Access Denied error При доступе к файлам или папкам в Windows
Как исправить отказ в доступе Windows 10
Fix Crypt32.dll не найден или отсутствует ошибка в Windows 11/10