Amikor egy középszintű kiszolgálón hálózati megosztásokat használó szolgáltatáshoz férnek hozzá, a felhasználóknak hitelesítési adatokat kell megadniuk, és végül a hozzáférés megtagadva hibaüzenetet észlelnek. A mai bejegyzésben bemutatunk néhány esetforgatókönyvet, azonosítjuk az okot, majd megadjuk a lehetséges megoldásokat arra a problémára, hogy a CIFS korlátozott delegálása miért sikertelen ACCESS_DENIED hibával a Windows 10 rendszerben.

A Common Internet File System (CIFS)^{(Common Internet File System (CIFS))} egy fájlmegosztó protokoll, amely nyílt és többplatformos mechanizmust biztosít a hálózati szerver fájlok és szolgáltatások kéréséhez. A CIFS a Microsoft ^(CIFS)Server Message Block (SMB) protokolljának  továbbfejlesztett verzióján alapul az internetes és^(Internet) intranetes fájlmegosztáshoz.

A CIFS^(CIFS) korlátozott delegálása meghiúsul a Windows rendszerben^(Windows)

Ez a probléma akkor fordulhat elő, ha a felhasználónak hitelesítési adatokat kell megadnia, és a hozzáférés végül meghiúsul a hozzáférés megtagadva hiba miatt a következő három forgatókönyv alapján.

1. forgatókönyv^{(Scenario 1)}

• Az IIS webhely úgy van beállítva, hogy a saját könyvtár a távoli megosztásra mutat átmenő hitelesítés és a CIFS -hez konfigurált korlátozott delegálás használatával .
• A megosztáshoz hozzáférő IIS -alkalmazáskészlet a szolgáltatásfiók azonosítója alatt fut.
• A tartományfiók megbízható a CIFS -szolgáltatás delegálása során a fájlkiszolgálón.

2. forgatókönyv^{(Scenario 2)}

• A webalkalmazás felhasználóként próbál hozzáférni egy fájlszerverhez.
• A megosztáshoz hozzáférő IIS -alkalmazáskészlet a szolgáltatásfiók azonosítója alatt fut. A tartományfiók megbízható a CIFS -szolgáltatás delegálása során a fájlkiszolgálón.
• A CIFS^(CIFS) -hez konfigurált korlátozott delegálás a fájlkiszolgáló szolgáltatásfiókjában van konfigurálva.

3. forgatókönyv^{(Scenario 3)}

• Bármely kiszolgálóoldali alkalmazás, amelyet egy ügyfélről ér el, felhasználóként fér hozzá a távoli megosztásokhoz.
• A kiszolgálóoldali alkalmazás egy szolgáltatásfiók kontextusában fut.
• A Service -fiók megbízható delegáláshoz, és ^(Service)CIFS -delegáláshoz van konfigurálva a fájlkiszolgálóhoz.

Ezt problémaként azonosították az MrxSmb 2.0 és a Kerberos között, ha korlátozott delegálásról van szó.

A probléma megoldására a Microsoft két megoldást kínál.

1. megoldás

Szolgáltatásfiók helyett használjon gépfiókot azon alkalmazások identitásaként, amelyek korlátozott delegálást hajtanak végre a CIFS -hez . Konfigurálja a korlátozott delegálást, ha a tartomány működési szintje Windows Server 2003 , Windows Server 2008 vagy Windows Server 2008 R2.

Ehhez a webszerver-tartomány tartományvezérlőjén tegye a következőket:

• Kattintson a Start > Administrative Tools > Active Directory - felhasználók és számítógépek^{(Active Directory Users and Computers)} elemre .
• Bontsa^(Expand) ki a tartományt, majd bontsa ki a Számítógépek^(Computers) mappát.
• A jobb oldali ablaktáblában kattintson a jobb gombbal a webszerver számítógépnevére, válassza a Tulajdonságok^(Properties) lehetőséget , majd kattintson a  Delegálás^(Delegation)  fülre.
• Jelölje be a  Számítógép megbízása csak meghatározott szolgáltatásokra történő delegáláshoz^{(Trust this computer for delegation to specified services only)} jelölőnégyzetet.
• Győződjön meg arról, hogy a  Csak Kerberos használata^{(Use Kerberos only)}  lehetőség van bejelölve, majd kattintson az  OK gombra^(OK) .
• Kattintson a  Hozzáadás gombra^{(Add button)} .
• A  Szolgáltatások ^(Services)hozzáadása^(Add)  párbeszédpanelen kattintson  a Felhasználók vagy Számítógépek^{(Users or Computers)} elemre , majd tallózással keresse meg vagy írja be annak a fájlkiszolgálónak a nevét, amely megkapja a felhasználói hitelesítő adatokat az IIS -től .
• Kattintson  az OK gombra^(OK) .
• Az  Elérhető ^(Available) szolgáltatások^(Services)  listában válassza ki a  CIFS szolgáltatást.
• Kattintson  az OK gombra^(OK) .

2. megoldás

Ez a kerülő megoldás nem javasolt^{(not recommended)} , mert megköveteli, hogy  bármilyen hitelesítési protokoll delegálást használjon a számítógépfiókon . ^(Use)Ha a  Bármely hitelesítési protokoll használata^{(Use any authentication protocol)}  beállítás be van jelölve, a fiók korlátozott delegálást használ protokollátmenettel.

Ha az alkalmazások identitását szolgáltatásfiókként és/vagy tartományfiókként kell használnia, tegye a következőket:

1. lépés^{(Step 1)}

• Kattintson a Start >  Administrative Tools > Active Directory - felhasználók és számítógépek^{(Active Directory Users and Computers)} elemre .
• Bontsa^(Expand) ki a tartományt, majd bontsa ki a Számítógépek^(Computers) mappát.
• A jobb oldali ablaktáblában kattintson a jobb gombbal a webszerver számítógépnevére, válassza a Tulajdonságok^(Properties) lehetőséget , majd kattintson a  Delegálás^(Delegation)  fülre.
• Jelölje be a  Számítógép megbízása^{(Trust this computer for delegation to specified services)} csak meghatározott szolgáltatásokra történő delegáláshoz jelölőnégyzetet.
• Győződjön meg arról, hogy  a Bármely hitelesítési protokoll használata^{(Use any authentication protocol)} lehetőség van kiválasztva.
• Kattintson az OK gombra^(OK) .
• Kattintson a  Hozzáadás gombra^{(Add button)} .
• A  Szolgáltatások ^(Services)hozzáadása^(Add)  párbeszédpanelen kattintson  a Felhasználók vagy Számítógépek^{(Users or Computers)} elemre , majd tallózással keresse meg vagy írja be annak a fájlkiszolgálónak a nevét, amely megkapja a felhasználói hitelesítő adatokat az IIS -től .
• Kattintson  az OK gombra^(OK) .
• Az  Elérhető ^(Available) szolgáltatások^(Services)  listában válassza ki a CIFS szolgáltatást^{(CIFS service)} .
• Kattintson  az OK gombra^(OK) .

2. lépés^{(Step 2)}

• A bal oldali ablaktáblában bontsa ki a Felhasználók mappát.
• A jobb oldali ablaktáblában kattintson a jobb gombbal arra a szolgáltatásfiókra, amely az alkalmazáskészlet azonosítója, válassza a  Tulajdonságok^(Properties) lehetőséget , majd kattintson a  Delegálás^(Delegation)  fülre.
• Jelölje be a  Számítógép megbízása csak meghatározott szolgáltatásokra történő delegáláshoz^{(Trust this computer for delegation to specified services only)} jelölőnégyzetet.
• Győződjön meg arról, hogy a  Csak Kerberos használata^{(Use Kerberos only)} lehetőség van kiválasztva.
• Kattintson az OK gombra^(OK) .
• Kattintson a  Hozzáadás gombra^{(Add button)} .
• A Szolgáltatások ^(Services)hozzáadása^(Add)  párbeszédpanelen kattintson  a Felhasználók vagy Számítógépek^{(Users or Computers)} elemre , majd tallózással keresse meg vagy írja be annak a fájlkiszolgálónak a nevét, amely megkapja a felhasználói hitelesítő adatokat az IIS -től .
• Kattintson  az OK gombra^(OK) .
• Az  Elérhető ^(Available) szolgáltatások^(Services)  listában válassza ki a CIFS szolgáltatást^{(CIFS service)} .
• Kattintson  az OK gombra^(OK) .

Remélhetőleg ez a bejegyzés segít.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a serviсe that uses network sharеs on a middle-tier sеrver, usеrs are prompted for credentials, and they eventυally encounter an acceѕs dеnied error. In today’s post, we will рresent a couple of case scenarios, identify the cause and then provide the possible wоrkarounds to the issue of why constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Error 1005 Access Denied (Hozzáférés megtagadva) üzenet javítása webhelyek látogatása közben

• A DHCP-ügyfélszolgáltatás hozzáférés megtagadva hibát ad a Windows 11/10 rendszerben

• A hozzáférés megtagadva hibaüzenet testreszabása Windows 10 rendszeren

• Hozzáférés megtagadva. Nincs hozzáférési jogosultsága ezen a szerveren

• Fix Access Control Entry korrupt hiba a Windows 10 rendszerben

• Titkosított fájl megnyitása, ha a hozzáférés megtagadva a Windows 11/10 rendszerben

• A Windows nem tudja ellenőrizni a digitális aláírást (52-es kód)

• Bdeunlock.exe hibás kép, rendszerhiba vagy nem válaszol hibák javítása

• Javítsa ki a ShellExecuteEx sikertelen hibát a Windows 11/10 rendszerben

• Hoppá! Ezt nem tudtuk elmenteni – a Windows Photos alkalmazást

• HIBA HÁLÓZATI HOZZÁFÉRÉS MEGTAGADVA | ERR INTERNET KAPCSOLATBAN

• Hogyan lehet hozzáférni a tiltott korlátozott mappához a Windows 11/10 rendszerben

• Az illesztőprogram belső illesztőprogram-hibát észlelt a DeviceVBoxNetLwf oldalon

• A steamui.dll hiba betöltése nem sikerült Windows 11/10 rendszeren

• Az Intelligens ellenőrzés sikeres, rövid időbeli idő sikertelen hiba javítása a HP számítógépen

• Távolítsa el a Hozzáférés megtagadva hibaüzenetet a fájlok vagy mappák elérésekor a Windows rendszerben

• Logitech Setpoint Runtime hiba javítása Windows 10 rendszeren

• A ShellExecuteEx javítása sikertelen; 8235-ös kód hiba a Windows 10 rendszeren

• 158-as eseményazonosító hiba – Azonos lemez GUID-ok hozzárendelése a Windows 10 rendszerben

• A Disk Signature Collision probléma megoldása a Windows 11/10 rendszerben