При доступе к службе, которая использует общие сетевые ресурсы на сервере среднего уровня, пользователям предлагается ввести учетные данные, и в конечном итоге они сталкиваются с ошибкой отказа в доступе. В сегодняшней публикации мы представим несколько сценариев, выявим причину, а затем предложим возможные обходные пути для решения проблемы сбоя ограниченного делегирования для CIFS с ошибкой ACCESS_DENIED в Windows 10.

Общая файловая система Интернета (CIFS)^{(Common Internet File System (CIFS))} — это протокол обмена файлами, который обеспечивает открытый и кросс-платформенный механизм для запроса файлов и служб сетевого сервера. CIFS  основан на расширенной версии протокола Microsoft Server Message Block (SMB) для обмена файлами в Интернете и интрасети.^(Internet)

Ограниченное делегирование для CIFS не работает в Windows

Вы можете столкнуться с этой проблемой, если у пользователя запрашиваются учетные данные, а доступ в конечном итоге завершается сбоем с ошибкой отказа в доступе в следующих трех сценариях.

Сценарий 1^{(Scenario 1)}

• На веб-сайте IIS домашний каталог указывает на удаленный общий ресурс с использованием сквозной проверки подлинности и ограниченного делегирования, настроенного для CIFS .
• Пул приложений IIS , обращающийся к этому общему ресурсу, работает под удостоверением учетной записи службы.
• Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.

Сценарий 2^{(Scenario 2)}

• Веб-приложение пытается получить доступ к файловому серверу от имени пользователя.
• Пул приложений IIS , который обращается к этому общему ресурсу, работает под удостоверением учетной записи службы. Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.
• Ограниченное делегирование, настроенное для CIFS , настраивается в учетной записи службы для файлового сервера.

Сценарий 3^{(Scenario 3)}

• Любое серверное приложение, доступ к которому осуществляется с клиента, обращается к удаленным общим ресурсам от имени пользователя.
• Приложение на стороне сервера работает в контексте учетной записи службы.
• Учетная запись службы^(Service) является доверенной для делегирования и настроена для делегирования CIFS для файлового сервера.

Это было определено как проблема между MrxSmb 2.0 и Kerberos , когда задействовано ограниченное делегирование.

Для решения этой проблемы Microsoft предлагает два обходных пути.

Обходной путь 1

Используйте учетную запись компьютера вместо учетной записи службы в качестве удостоверения для приложений, которые будут выполнять ограниченное делегирование для CIFS . Настройте ограниченное делегирование, если функциональным уровнем домена является Windows Server 2003 , Windows Server 2008 или Windows Server 2008 R2.

Чтобы сделать это на контроллере домена для вашего домена веб-серверов, выполните следующие действия:

• Щелкните Start > Administrative Tools > Пользователи и компьютеры Active Directory^{(Active Directory Users and Computers)} .
• Разверните^(Expand) домен, а затем разверните папку « Компьютеры ».^(Computers)
• На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства^(Properties) » и перейдите на вкладку «  Делегирование^(Delegation)  ».
• Установите флажок  Доверять этому компьютеру только делегирование указанным службам^{(Trust this computer for delegation to specified services only)} .
• Убедитесь, что   выбран  параметр « Использовать только Kerberos », а затем нажмите « ^{(Use Kerberos only)}ОК^(OK) » .
• Нажмите  кнопку Добавить^{(Add button)} .
• В  диалоговом окне « Добавить ^(Add) службы^(Services)  » щелкните  « Пользователи или компьютеры^{(Users or Computers)} », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
• Нажмите  ОК^(OK) .
• В   списке  доступных ^(Available) служб выберите службу ^(Services)CIFS .
• Нажмите  ОК^(OK) .

Обходной путь 2

Этот обходной путь не рекомендуется^{(not recommended)} , так как он требует  использования^(Use) любого делегирования протокола проверки подлинности для учетной записи компьютера. Если  выбран параметр Использовать любой протокол проверки подлинности^{(Use any authentication protocol)}  , учетная запись использует ограниченное делегирование с переходом протокола.

Если вы должны использовать удостоверение приложений в качестве учетной записи службы и/или учетной записи домена, выполните следующие действия:

Шаг 1^{(Step 1)}

• Щелкните Пуск^{(Start )} >  Administrative Tools > Пользователи и компьютеры Active Directory^{(Active Directory Users and Computers)} .
• Разверните^(Expand) домен, а затем разверните папку « Компьютеры ».^(Computers)
• На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства^(Properties) » и перейдите на вкладку «  Делегирование^(Delegation)  ».
• Установите флажок  Доверять этому компьютеру только делегирование указанным службам^{(Trust this computer for delegation to specified services)} .
• Убедитесь, что  выбран параметр Использовать любой протокол аутентификации .^{(Use any authentication protocol)}
• Нажмите ОК^(OK) .
• Нажмите  кнопку Добавить^{(Add button)} .
• В  диалоговом окне « Добавить ^(Add) службы^(Services)  » щелкните  « Пользователи или компьютеры^{(Users or Computers)} », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
• Нажмите  ОК^(OK) .
• В   списке доступных ^(Available) служб выберите ^(Services)службу CIFS^{(CIFS service)} .
• Нажмите  ОК^(OK) .

Шаг 2^{(Step 2)}

• На левой панели разверните папку «Пользователи».
• На правой панели щелкните правой кнопкой мыши учетную запись службы, которая является идентификатором пула приложений, выберите  Свойства^(Properties) и щелкните  вкладку Делегирование^(Delegation)  .
• Установите флажок  Доверять этому компьютеру только делегирование указанным службам^{(Trust this computer for delegation to specified services only)} .
• Убедитесь, что  выбран параметр Использовать только Kerberos .^{(Use Kerberos only)}
• Нажмите ОК^(OK) .
• Нажмите  кнопку Добавить^{(Add button)} .
• В диалоговом окне « Добавить ^(Add) службы^(Services)  » щелкните  « Пользователи или компьютеры^{(Users or Computers)} », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
• Нажмите  ОК^(OK) .
• В   списке доступных ^(Available) служб выберите ^(Services)службу CIFS^{(CIFS service)} .
• Нажмите  ОК^(OK) .

Надеюсь, этот пост поможет.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessіng a service that uses network shares on a middle-tier serνer, users are prompted for credentialѕ, and they eventually encounter an access denied error. In todaу’s post, we will present a couple of casе scenarios, identify the cause аnd then provide the possible workarounds to the issυe of why constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Fix Error 1005 Access Denied message во время посещения веб-сайтов

• DHCP Client Service дает Access Denied error в Windows 11/10

• Как настроить сообщение Access Denied error на Windows 10

• Access Denied, у вас нет разрешения на доступ на этом сервере

• Fix Access Control Entry - коррумпированная ошибка в Windows 10

• Setup не смог создать новый system partition error на Windows 10

• Error 1327 Invalid Drive При установке или удалении программ

• Как Fix Google Drive Access Denied Error

• Водитель обнаружил внутренний driver error на \ device \ vboxnetlwf

• Fix Destination Folder Access Denied Error

• Fix Application Error 0xc0150004 на Windows 11/10

• Стаб получил плохой data error message на Windows 10

• Как до Fix uTorrent Access Denied (Write на диск)

• Fix Bdeunlock.exe Bad image, System Error или не отвечает ошибкам

• ERR NETWORK ACCESS DENIED | ERR INTERNET DISCONNECTED

• Приложение не может найти Scanner - WIA_ERROR_OFFLINE, 0x80210005

• Fix Microsoft Store Error 0x87AF0001

• Remove Access Denied error При доступе к файлам или папкам в Windows

• Как исправить отказ в доступе Windows 10

• Fix Crypt32.dll не найден или отсутствует ошибка в Windows 11/10