TOEGANG GEWEIGERD - Beperkte delegatie voor CIFS mislukt
Bij toegang tot een service die gebruikmaakt van netwerkshares op een middle-tier-server, worden gebruikers gevraagd om referenties en krijgen ze uiteindelijk een fout met toegang geweigerd. In het bericht van vandaag zullen we een aantal casusscenario's presenteren, de oorzaak identificeren en vervolgens de mogelijke oplossingen bieden voor het probleem waarom beperkte delegatie voor CIFS mislukt met ACCESS_DENIED- fout in Windows 10.
Common Internet File System (CIFS) is een protocol voor het delen van bestanden dat een open en platformonafhankelijk mechanisme biedt voor het aanvragen van netwerkserverbestanden en -services. CIFS is gebaseerd op de verbeterde versie van Microsoft's Server Message Block (SMB)-protocol voor het delen van bestanden via internet en intranet.
Beperkte overdracht voor CIFS mislukt in Windows
U kunt dit probleem tegenkomen als de gebruiker om referenties wordt gevraagd en de toegang uiteindelijk mislukt met een fout voor toegang geweigerd op basis van de volgende drie scenario's.
Scenario 1
- De IIS -website is ingesteld met de homedirectory die verwijst naar de externe share met behulp van pass-through-authenticatie en beperkte delegatie geconfigureerd voor CIFS .
- De IIS -toepassingsgroep die toegang heeft tot die share, wordt uitgevoerd onder de identiteit van het serviceaccount.
- Het domeinaccount wordt vertrouwd voor overdracht voor de CIFS -service op de bestandsserver.
Scenario 2
- De web-app probeert als gebruiker toegang te krijgen tot een bestandsserver.
- De IIS -toepassingsgroep die toegang heeft tot die share, wordt uitgevoerd onder de identiteit van het serviceaccount. Het domeinaccount wordt vertrouwd voor overdracht voor de CIFS -service op de bestandsserver.
- Beperkte overdracht die is geconfigureerd voor CIFS , wordt geconfigureerd op het serviceaccount voor de bestandsserver.
Scenario 3
- Elke server-side applicatie die wordt benaderd vanaf een client, heeft als gebruiker toegang tot externe shares.
- De applicatie aan de serverzijde wordt uitgevoerd in de context van een serviceaccount.
- Het serviceaccount(Service) wordt vertrouwd voor delegatie en geconfigureerd voor CIFS - delegatie voor de bestandsserver.
Dit is geïdentificeerd als een probleem tussen MrxSmb 2.0 en Kerberos wanneer er sprake is van beperkte delegatie.
Om dit probleem op te lossen, biedt Microsoft twee tijdelijke oplossingen.
Tijdelijke oplossing
Gebruik een computeraccount in plaats van een serviceaccount als identiteit voor toepassingen die beperkte overdracht voor CIFS uitvoeren . Configureer beperkte overdracht wanneer het domeinfunctionaliteitsniveau Windows Server 2003 , Windows Server 2008 of Windows Server 2008 R2 is.
Om dit op de domeincontroller voor uw webserverdomein te doen, doet u het volgende:
- Klik Start > Administrative Tools > Active Directory: gebruikers en computers(Active Directory Users and Computers) .
- Vouw(Expand) domein uit en vouw vervolgens de map Computers uit.(Computers)
- Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen(Properties) en klik vervolgens op het tabblad Delegatie .(Delegation)
- Schakel het selectievakje Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services only) .
- Zorg ervoor dat Alleen Kerberos gebruiken(Use Kerberos only) is geselecteerd en klik vervolgens op OK .
- Klik op de knop Toevoegen(Add button) .
- Klik in het dialoogvenster Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
- Klik op OK(OK) .
- Selecteer in de lijst Beschikbare (Available) services de CIFS -service.
- Klik op OK(OK) .
Tijdelijke oplossing
Deze tijdelijke oplossing wordt niet aanbevolen(not recommended) omdat het vereist is om elke authenticatieprotocoloverdracht op de computeraccount te gebruiken . (Use)Als de optie Elk verificatieprotocol(Use any authentication protocol) gebruiken is geselecteerd, gebruikt het account beperkte overdracht met protocolovergang.
Als u de identiteit van applicaties als serviceaccount en/of domeinaccount moet gebruiken, doet u het volgende:
Stap 1(Step 1)
- Klik op Start(Start ) > Administrative Tools > Active Directory: gebruikers en computers(Active Directory Users and Computers) .
- Vouw(Expand) domein uit en vouw vervolgens de map Computers uit.(Computers)
- Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen(Properties) en klik vervolgens op het tabblad Delegatie .(Delegation)
- Schakel het selectievakje Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services) .
- Zorg ervoor dat Elk verificatieprotocol gebruiken(Use any authentication protocol) is geselecteerd.
- Klik op OK(OK) .
- Klik op de knop Toevoegen(Add button) .
- Klik in het dialoogvenster Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
- Klik op OK(OK) .
- Selecteer in de lijst Beschikbare (Available) services de CIFS-service .
- Klik op OK(OK) .
Stap 2(Step 2)
- Vouw in het linkerdeelvenster de map Gebruikers uit.
- Klik in het rechterdeelvenster met de rechtermuisknop op het serviceaccount dat de identiteit van de groep van toepassingen is, selecteer Eigenschappen(Properties) en klik vervolgens op het tabblad Delegatie .(Delegation)
- Schakel het selectievakje Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services only) .
- Zorg ervoor dat Alleen Kerberos gebruiken(Use Kerberos only) is geselecteerd.
- Klik op OK(OK) .
- Klik op de knop Toevoegen(Add button) .
- Klik in het dialoogvenster Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
- Klik op OK(OK) .
- Selecteer in de lijst Beschikbare (Available) services de CIFS-service .
- Klik op OK(OK) .
Ik hoop dat dit bericht helpt.(Hope this post helps.)
Related posts
Fix Error 1005 Access Denied-bericht tijdens het bezoeken van websites
DHCP Client Service geeft Access Denied-fout in Windows 11/10
Het foutbericht Toegang geweigerd aanpassen op Windows 10
Toegang geweigerd, u heeft geen toegang tot deze server
Fix Access Control Entry is corrupte fout in Windows 10
Gebeurtenis-ID 158-fout - Identieke schijf-GUID-toewijzing in Windows 10
Hoe op te lossen Toegang is geweigerd, bestand is mogelijk in gebruik of fouten bij het delen van fouten in Windows
Het stuurprogramma heeft een interne stuurprogrammafout gedetecteerd op DeviceVBoxNetLwf
Open Kladblok als beheerder om "Toegang geweigerd" te vermijden
IPersistFile Opslaan mislukt, code 0x80070005, toegang geweigerd
Fix Bestemmingsmap Toegang geweigerd Fout
Hoe het Disk Signature Collision-probleem in Windows 11/10 op te lossen?
Toegang krijgen tot de geweigerde beperkte map in Windows 11/10
Verwijder Access Denied-fout bij toegang tot bestanden of mappen in Windows
Fix Application Load Error 5.0000065434 op Windows 10
Hoe te repareren Toegang wordt geweigerd Windows 10
MBR2GPT kan back-up-/herstelrechten niet inschakelen op Windows 10
Fout 1327 Ongeldige schijf bij het installeren of verwijderen van programma's
Fix Smart Check geslaagd, Short DST Failed-fout op HP-computer
Hoe u Google Drive Access Denied-fout kunt oplossen