Докато осъществяват достъп до услуга, която използва мрежови споделяния на сървър от средно ниво, потребителите получават подкана за идентификационни данни и в крайна сметка срещат грешка за отказан достъп. В днешната публикация ще представим няколко сценария от случаи, ще идентифицираме причината и след това ще предоставим възможните решения на проблема защо ограниченото делегиране за CIFS се проваля с грешка ACCESS_DENIED в Windows 10.

Общата интернет файлова система (CIFS)^{(Common Internet File System (CIFS))} е протокол за споделяне на файлове, който осигурява отворен и междуплатформен механизъм за заявка на файлове и услуги на мрежовия сървър. CIFS  се базира на подобрената версия на протокола Server Message Block (SMB) на Microsoft за споделяне на файлове в Интернет^(Internet) и интранет.

Ограниченото делегиране за CIFS се^(CIFS) проваля в Windows

Може да срещнете този проблем, ако потребителят получи подкана за идентификационни данни и достъпът в крайна сметка се провали с грешка за отказан достъп въз основа на следните три сценария.

Сценарий 1^{(Scenario 1)}

• Уебсайтът на IIS е настроен с домашна директория, сочеща към отдалеченото споделяне, използвайки проходно удостоверяване и ограничено делегиране, конфигурирано за CIFS .
• Пулът от приложения на IIS , който осъществява достъп до този дял, се изпълнява под самоличността на акаунта на услугата.
• Акаунтът на домейна е доверен за делегиране за услугата CIFS на файловия сървър.

Сценарий 2^{(Scenario 2)}

• Уеб приложението се опитва да получи достъп до файлов сървър като потребител.
• Пулът от приложения на IIS , който осъществява достъп до този дял, се изпълнява под самоличността на акаунта на услугата. Акаунтът на домейна е доверен за делегиране за услугата CIFS на файловия сървър.
• Ограниченото делегиране, конфигурирано за CIFS , се конфигурира в акаунта на услугата за файловия сървър.

Сценарий 3^{(Scenario 3)}

• Всяко приложение от страна на сървъра, до което се осъществява достъп от клиент, има достъп до отдалечени споделяния като потребител.
• Приложението от страна на сървъра работи в контекста на акаунт за услуга.
• Акаунтът на услугата^(Service) е доверен за делегиране и конфигуриран за делегиране на CIFS за файловия сървър.

Това е идентифицирано като проблем между MrxSmb 2.0 и Kerberos , когато е включено ограничено делегиране.

За да разреши този проблем, Microsoft предлага две решения.

Заобиколно решение 1

Използвайте машинен акаунт вместо акаунт за услуга като идентичност за приложения, които ще изпълняват ограничено делегиране за CIFS . Конфигурирайте ограничено делегиране, когато функционалното ниво на домейна е Windows Server 2003 , Windows Server 2008 или Windows Server 2008 R2.

За да направите това на домейн контролера за вашия домейн на уеб сървъри, направете следното:

• Щракнете върху Start > Administrative Tools > Потребители и компютри на Active Directory^{(Active Directory Users and Computers)} .
• Разгънете^(Expand) домейна и след това разгънете папката Компютри .^(Computers)
• В десния панел щракнете с десния бутон върху името на компютъра за уеб сървъра, изберете Свойства^(Properties) и след това щракнете върху  раздела Делегиране^(Delegation)  .
• Поставете  отметка в квадратчето Доверете този компютър за делегиране само на определени услуги^{(Trust this computer for delegation to specified services only)} .
• Уверете се, че  е избрано Използване само на Kerberos^{(Use Kerberos only)}  и след това щракнете върху  OK .
• Щракнете върху  бутона Добавяне^{(Add button)} .
• В   диалоговия прозорец  Добавяне на ^(Add) услуги щракнете върху ^(Services)Потребители или компютри^{(Users or Computers)} и след това прегледайте или въведете името на файловия сървър, който ще получи идентификационните данни на потребителя от IIS .
• Щракнете върху  OK .
• В списъка с  налични ^(Available) услуги^(Services)  изберете услугата  CIFS .
• Щракнете върху  OK .

Заобиколно решение 2

Това заобиколно решение не се препоръчва^{(not recommended)} , тъй като изисква  делегиране^(Use) на всеки протокол за удостоверяване на акаунта на компютъра. Ако  е избрана опцията Използване на всеки протокол за удостоверяване^{(Use any authentication protocol)}  , акаунтът използва ограничено делегиране с преход на протокол.

Ако трябва да използвате самоличността на приложения като акаунт за услуга и/или акаунт на домейн, направете следното:

Етап 1^{(Step 1)}

• Щракнете върху Старт^{(Start )} >  Administrative Tools > Потребители и компютри на Active Directory^{(Active Directory Users and Computers)} .
• Разгънете^(Expand) домейна и след това разгънете папката Компютри .^(Computers)
• В десния панел щракнете с десния бутон върху името на компютъра за уеб сървъра, изберете Свойства^(Properties) и след това щракнете върху  раздела Делегиране^(Delegation)  .
• Поставете  отметка в квадратчето Доверете този компютър за делегиране^{(Trust this computer for delegation to specified services)} само на определени услуги.
• Уверете се, че  е избрано Използване на всеки протокол за удостоверяване .^{(Use any authentication protocol)}
• Щракнете върху OK .
• Щракнете върху  бутона Добавяне^{(Add button)} .
• В   диалоговия прозорец  Добавяне на ^(Add) услуги щракнете върху ^(Services)Потребители или компютри^{(Users or Computers)} и след това прегледайте или въведете името на файловия сървър, който ще получи идентификационните данни на потребителя от IIS .
• Щракнете върху  OK .
• В списъка с  налични ^(Available) услуги^(Services)  изберете услугата CIFS^{(CIFS service)} .
• Щракнете върху  OK .

Стъпка 2^{(Step 2)}

• В левия прозорец разгънете папката Потребители.
• В десния панел щракнете с десния бутон върху акаунта за услуги, който е самоличността на пула от приложения, изберете  Свойства^(Properties) и след това щракнете върху  раздела Делегиране^(Delegation)  .
• Поставете  отметка в квадратчето Доверете този компютър за делегиране само на определени услуги^{(Trust this computer for delegation to specified services only)} .
• Уверете се, че  е избрано Използване само на Kerberos .^{(Use Kerberos only)}
• Щракнете върху OK .
• Щракнете върху  бутона Добавяне^{(Add button)} .
• В  диалоговия прозорец  Добавяне на ^(Add) услуги щракнете върху ^(Services)Потребители или компютри^{(Users or Computers)} и след това прегледайте или въведете името на файловия сървър, който ще получи идентификационните данни на потребителя от IIS .
• Щракнете върху  OK .
• В списъка с  налични ^(Available) услуги^(Services)  изберете услугата CIFS^{(CIFS service)} .
• Щракнете върху  OK .

Надявам се тази публикация да помогне.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that uses network shares on a middle-tier server, users are prompted for credentіals, and they eventually encounter an access denied errоr. In today’s post, we will present a couple of case scenarios, identify thе cause and then provide the рossible workarоunds to the іssue of why constrаined delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Поправете съобщение за грешка 1005 Access Denied, докато посещавате уебсайтове

• DHCP клиентската услуга дава грешка за отказ на достъп в Windows 11/10

• Как да персонализирате съобщението за грешка "Отказан достъп" в Windows 10

• Достъпът е отказан, нямате разрешение за достъп до този сървър

• Поправете грешката при влизане в контрола на достъпа в Windows 10

• Не може да се зададе нов собственик на ОС, достъпът е отказан в Windows 10

• Приложението не може да намери скенер - WIA_ERROR_OFFLINE, 0x80210005

• SFC не успя да поправи и DISM показва грешка 0x800f081f в Windows 10

• Инсталирайте Realtek HD Audio Driver Failure, Error OxC0000374 на Windows 10

• Коригиране на ShellExecuteEx неуспешно; грешка в кода 8235 на Windows10

• Мъничката получи съобщение за грешка при лоши данни в Windows 10

• Поправка Архивът е в неизвестен формат или е повредена грешка

• Поправете неуспешна грешка в ShellExecuteEx в Windows 11/10

• MBR2GPT не успя да активира привилегиите за архивиране/възстановяване на Windows 10

• Настройката не успя да създаде нова грешка в системния дял на Windows 10

• Поправете грешка при влизане в Microsoft Store 0x801901f4 в Windows 11/10

• Как да коригирате проблема с сблъсъка на дисковия подпис в Windows 11/10

• Windows не може да провери цифровия подпис (код 52)

• Този компютър не може да бъде надстроен до Windows 10 поради Parity Storage Spaces

• Как да отворите шифрован файл, ако достъпът е отказан в Windows 11/10