ACCESS DENIED – сбой ограниченного делегирования для CIFS

При доступе к службе, которая использует общие сетевые ресурсы на сервере среднего уровня, пользователям предлагается ввести учетные данные, и в конечном итоге они сталкиваются с ошибкой отказа в доступе. В сегодняшней публикации мы представим несколько сценариев, выявим причину, а затем предложим возможные обходные пути для решения проблемы сбоя ограниченного делегирования для CIFS с ошибкой ACCESS_DENIED в Windows 10.

Общая файловая система Интернета (CIFS)(Common Internet File System (CIFS)) — это протокол обмена файлами, который обеспечивает открытый и кросс-платформенный механизм для запроса файлов и служб сетевого сервера. CIFS  основан на расширенной версии протокола Microsoft Server Message Block (SMB) для обмена файлами в Интернете и интрасети.(Internet)

Ограниченное делегирование для CIFS не работает в Windows

Ограниченное делегирование для CIFS не работает в Windows

Вы можете столкнуться с этой проблемой, если у пользователя запрашиваются учетные данные, а доступ в конечном итоге завершается сбоем с ошибкой отказа в доступе в следующих трех сценариях.

Сценарий 1(Scenario 1)

  • На веб-сайте IIS домашний каталог указывает на удаленный общий ресурс с использованием сквозной проверки подлинности и ограниченного делегирования, настроенного для CIFS .
  • Пул приложений IIS , обращающийся к этому общему ресурсу, работает под удостоверением учетной записи службы.
  • Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.

Сценарий 2(Scenario 2)

  • Веб-приложение пытается получить доступ к файловому серверу от имени пользователя.
  • Пул приложений IIS , который обращается к этому общему ресурсу, работает под удостоверением учетной записи службы. Учетная запись домена является доверенной для делегирования службы CIFS на файловом сервере.
  • Ограниченное делегирование, настроенное для CIFS , настраивается в учетной записи службы для файлового сервера.

Сценарий 3(Scenario 3)

  • Любое серверное приложение, доступ к которому осуществляется с клиента, обращается к удаленным общим ресурсам от имени пользователя.
  • Приложение на стороне сервера работает в контексте учетной записи службы.
  • Учетная запись службы(Service) является доверенной для делегирования и настроена для делегирования CIFS для файлового сервера.

Это было определено как проблема между MrxSmb 2.0 и Kerberos , когда задействовано ограниченное делегирование.

Для решения этой проблемы Microsoft предлагает два обходных пути.

Обходной путь 1

Используйте учетную запись компьютера вместо учетной записи службы в качестве удостоверения для приложений, которые будут выполнять ограниченное делегирование для CIFS . Настройте ограниченное делегирование, если функциональным уровнем домена является Windows Server 2003 , Windows Server 2008 или Windows Server 2008 R2.

Чтобы сделать это на контроллере домена для вашего домена веб-серверов, выполните следующие действия:

  • Щелкните Start > Administrative Tools > Пользователи и компьютеры Active Directory(Active Directory Users and Computers) .
  • Разверните(Expand) домен, а затем разверните папку « Компьютеры ».(Computers)
  • На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства(Properties) » и перейдите на вкладку «  Делегирование(Delegation)  ».
  • Установите флажок  Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services only) .
  • Убедитесь, что   выбран  параметр « Использовать только Kerberos », а затем нажмите « (Use Kerberos only)ОК(OK) » .
  • Нажмите  кнопку Добавить(Add button) .
  • В  диалоговом окне « Добавить (Add) службы(Services)  » щелкните  « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
  • Нажмите  ОК(OK) .
  • В   списке  доступных (Available) служб выберите службу (Services)CIFS .
  • Нажмите  ОК(OK) .

Обходной путь 2

Этот обходной путь не рекомендуется(not recommended) , так как он требует  использования(Use) любого делегирования протокола проверки подлинности для учетной записи компьютера. Если  выбран параметр Использовать любой протокол проверки подлинности(Use any authentication protocol)  , учетная запись использует ограниченное делегирование с переходом протокола.

Если вы должны использовать удостоверение приложений в качестве учетной записи службы и/или учетной записи домена, выполните следующие действия:

Шаг 1(Step 1)

  • Щелкните Пуск(Start )Administrative Tools > Пользователи и компьютеры Active Directory(Active Directory Users and Computers) .
  • Разверните(Expand) домен, а затем разверните папку « Компьютеры ».(Computers)
  • На правой панели щелкните правой кнопкой мыши имя компьютера для веб-сервера, выберите « Свойства(Properties) » и перейдите на вкладку «  Делегирование(Delegation)  ».
  • Установите флажок  Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services) .
  • Убедитесь, что  выбран параметр Использовать любой протокол аутентификации .(Use any authentication protocol)
  • Нажмите ОК(OK) .
  • Нажмите  кнопку Добавить(Add button) .
  • В  диалоговом окне « Добавить (Add) службы(Services)  » щелкните  « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
  • Нажмите  ОК(OK) .
  • В   списке доступных (Available) служб выберите (Services)службу CIFS(CIFS service) .
  • Нажмите  ОК(OK) .

Шаг 2(Step 2)

  • На левой панели разверните папку «Пользователи».
  • На правой панели щелкните правой кнопкой мыши учетную запись службы, которая является идентификатором пула приложений, выберите  Свойства(Properties) и щелкните  вкладку Делегирование(Delegation)  .
  • Установите флажок  Доверять этому компьютеру только делегирование указанным службам(Trust this computer for delegation to specified services only) .
  • Убедитесь, что  выбран параметр Использовать только Kerberos .(Use Kerberos only)
  • Нажмите ОК(OK) .
  • Нажмите  кнопку Добавить(Add button) .
  • В диалоговом окне « Добавить (Add) службы(Services)  » щелкните  « Пользователи или компьютеры(Users or Computers) », а затем найдите или введите имя файлового сервера, который будет получать учетные данные пользователя от IIS .
  • Нажмите  ОК(OK) .
  • В   списке доступных (Available) служб выберите (Services)службу CIFS(CIFS service) .
  • Нажмите  ОК(OK) .

Надеюсь, этот пост поможет.(Hope this post helps.)


Related posts