TOEGANG GEWEIGERD - Beperkte delegatie voor CIFS mislukt

Bij toegang tot een service die gebruikmaakt van netwerkshares op een middle-tier-server, worden gebruikers gevraagd om referenties en krijgen ze uiteindelijk een fout met toegang geweigerd. In het bericht van vandaag zullen we een aantal casusscenario's presenteren, de oorzaak identificeren en vervolgens de mogelijke oplossingen bieden voor het probleem waarom beperkte delegatie voor CIFS mislukt met ACCESS_DENIED- fout in Windows 10.

Common Internet File System (CIFS) is een protocol voor het delen van bestanden dat een open en platformonafhankelijk mechanisme biedt voor het aanvragen van netwerkserverbestanden en -services. CIFS  is gebaseerd op de verbeterde versie van Microsoft's Server Message Block (SMB)-protocol voor het delen van bestanden via internet en intranet.

Beperkte overdracht voor CIFS mislukt in Windows

Beperkte overdracht voor CIFS mislukt in Windows

U kunt dit probleem tegenkomen als de gebruiker om referenties wordt gevraagd en de toegang uiteindelijk mislukt met een fout voor toegang geweigerd op basis van de volgende drie scenario's.

Scenario 1

  • De IIS -website is ingesteld met de homedirectory die verwijst naar de externe share met behulp van pass-through-authenticatie en beperkte delegatie geconfigureerd voor CIFS .
  • De IIS -toepassingsgroep die toegang heeft tot die share, wordt uitgevoerd onder de identiteit van het serviceaccount.
  • Het domeinaccount wordt vertrouwd voor overdracht voor de CIFS -service op de bestandsserver.

Scenario 2

  • De web-app probeert als gebruiker toegang te krijgen tot een bestandsserver.
  • De IIS -toepassingsgroep die toegang heeft tot die share, wordt uitgevoerd onder de identiteit van het serviceaccount. Het domeinaccount wordt vertrouwd voor overdracht voor de CIFS -service op de bestandsserver.
  • Beperkte overdracht die is geconfigureerd voor CIFS , wordt geconfigureerd op het serviceaccount voor de bestandsserver.

Scenario 3

  • Elke server-side applicatie die wordt benaderd vanaf een client, heeft als gebruiker toegang tot externe shares.
  • De applicatie aan de serverzijde wordt uitgevoerd in de context van een serviceaccount.
  • Het serviceaccount(Service) wordt vertrouwd voor delegatie en geconfigureerd voor CIFS - delegatie voor de bestandsserver.

Dit is geïdentificeerd als een probleem tussen MrxSmb 2.0 en Kerberos wanneer er sprake is van beperkte delegatie.

Om dit probleem op te lossen, biedt Microsoft twee tijdelijke oplossingen.

Tijdelijke oplossing

Gebruik een computeraccount in plaats van een serviceaccount als identiteit voor toepassingen die beperkte overdracht voor CIFS uitvoeren . Configureer beperkte overdracht wanneer het domeinfunctionaliteitsniveau Windows Server 2003 , Windows Server 2008 of Windows Server 2008 R2 is.

Om dit op de domeincontroller voor uw webserverdomein te doen, doet u het volgende:

  • Klik Start > Administrative Tools > Active Directory: gebruikers en computers(Active Directory Users and Computers) .
  • Vouw(Expand) domein uit en vouw vervolgens de map Computers uit.(Computers)
  • Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen(Properties) en klik vervolgens op het   tabblad Delegatie .(Delegation)
  • Schakel het selectievakje  Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services only) .
  • Zorg ervoor dat  Alleen Kerberos gebruiken(Use Kerberos only)  is geselecteerd en klik vervolgens op  OK .
  • Klik op de  knop Toevoegen(Add button) .
  • Klik in het   dialoogvenster  Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
  • Klik  op OK(OK) .
  • Selecteer in de  lijst Beschikbare (Available) services  de  CIFS -service.
  • Klik  op OK(OK) .

Tijdelijke oplossing

Deze tijdelijke oplossing wordt niet aanbevolen(not recommended) omdat het vereist is om  elke authenticatieprotocoloverdracht op de computeraccount te gebruiken . (Use)Als de  optie Elk verificatieprotocol(Use any authentication protocol)  gebruiken is geselecteerd, gebruikt het account beperkte overdracht met protocolovergang.

Als u de identiteit van applicaties als serviceaccount en/of domeinaccount moet gebruiken, doet u het volgende:

Stap 1(Step 1)

  • Klik op Start(Start )Administrative Tools > Active Directory: gebruikers en computers(Active Directory Users and Computers) .
  • Vouw(Expand) domein uit en vouw vervolgens de map Computers uit.(Computers)
  • Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen(Properties) en klik vervolgens op het   tabblad Delegatie .(Delegation)
  • Schakel het selectievakje  Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services) .
  • Zorg ervoor dat  Elk verificatieprotocol gebruiken(Use any authentication protocol) is geselecteerd.
  • Klik op OK(OK) .
  • Klik op de  knop Toevoegen(Add button) .
  • Klik in het   dialoogvenster  Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
  • Klik  op OK(OK) .
  • Selecteer in de  lijst Beschikbare (Available) services  de CIFS-service .
  • Klik  op OK(OK) .

Stap 2(Step 2)

  • Vouw in het linkerdeelvenster de map Gebruikers uit.
  • Klik in het rechterdeelvenster met de rechtermuisknop op het serviceaccount dat de identiteit van de groep van toepassingen is, selecteer  Eigenschappen(Properties) en klik vervolgens op het   tabblad Delegatie .(Delegation)
  • Schakel het selectievakje  Deze computer alleen vertrouwen voor overdracht aan opgegeven services in(Trust this computer for delegation to specified services only) .
  • Zorg ervoor dat  Alleen Kerberos gebruiken(Use Kerberos only) is geselecteerd.
  • Klik op OK(OK) .
  • Klik op de  knop Toevoegen(Add button) .
  • Klik in het  dialoogvenster  Services toevoegen op (Add) Gebruikers of Computers(Users or Computers) en blader naar of voer de naam in van de bestandsserver die de gebruikersreferenties van IIS zal ontvangen .
  • Klik  op OK(OK) .
  • Selecteer in de  lijst Beschikbare (Available) services  de CIFS-service .
  • Klik  op OK(OK) .

Ik hoop dat dit bericht helpt.(Hope this post helps.)



Liza van Veen

About the author

Ik ben een freeware-softwareontwikkelaar en voorstander van Windows Vista/7. Ik heb honderden artikelen geschreven over verschillende onderwerpen die verband houden met het besturingssysteem, inclusief tips en trucs, reparatiehandleidingen en best practices. Ik bied ook kantoorgerelateerde adviesdiensten via mijn bedrijf, Help Desk Services. Ik heb een diep begrip van hoe Office 365 werkt, de functies ervan en hoe ik deze het meest effectief kan gebruiken.


Related posts