Док приступају услузи која користи мрежне дељења на серверу средњег нивоа, од корисника се тражи да унесу акредитиве и на крају наилазе на грешку одбијеног приступа. У данашњем посту ћемо представити неколико сценарија случајева, идентификовати узрок, а затим понудити могућа решења за питање зашто ограничено делегирање за ЦИФС^(CIFS) не успе са грешком АЦЦЕСС_ДЕНИЕД^{(ACCESS_DENIED)} у Виндовс 10.

Цоммон Интернет Филе Систем (ЦИФС)^{(Common Internet File System (CIFS))} је протокол за дељење датотека који обезбеђује отворени и вишеплатформски механизам за тражење датотека и услуга мрежног сервера. ЦИФС^(CIFS)  је заснован на побољшаној верзији Мицрософт-овог протокола Сервер Мессаге Блоцк (СМБ) за дељење датотека на Интернету и интранету.^(Internet)

Ограничено делегирање за ЦИФС^(CIFS) не успева у Виндовс -у^(Windows)

Можете наићи на овај проблем ако се од корисника затраже акредитиви, а приступ на крају не успе уз грешку одбијеног приступа на основу следећа три сценарија.

Сценарио 1^{(Scenario 1)}

• ИИС веб локација је постављена тако да кућни директоријум указује на удаљено дељење користећи пролазну аутентификацију и ограничено делегирање конфигурисано за ЦИФС^(CIFS) .
• Група ИИС^(IIS) апликација која приступа том дељењу ради под идентитетом налога услуге.
• Налогу домена се верује за делегирање за ЦИФС^(CIFS) услугу на серверу датотека.

Сценарио 2^{(Scenario 2)}

• Веб апликација покушава да приступи серверу датотека као корисник.
• Група ИИС^(IIS) апликација која приступа том дељењу ради под идентитетом налога услуге. Налогу домена се верује за делегирање за ЦИФС^(CIFS) услугу на серверу датотека.
• Ограничено делегирање конфигурисано за ЦИФС^(CIFS) је конфигурисано на налогу услуге за сервер датотека.

Сценарио 3^{(Scenario 3)}

• Свака апликација на страни сервера којој се приступа са клијента приступа удаљеним дељењима као корисник.
• Апликација на страни сервера ради у контексту налога услуге.
• Налог услуге^(Service) је поуздан за делегирање и конфигурисан за ЦИФС^(CIFS) делегирање за сервер датотека.

Ово је идентификовано као проблем између МркСмб 2.0 и Кербероса^(Kerberos) када је укључена ограничена делегација.

Да би решио овај проблем, Мицрософт^(Microsoft) нуди два решења.

Заобилазно решење 1

Користите машински налог уместо услужног налога као идентитет за апликације које ће обављати ограничено делегирање за ЦИФС^(CIFS) . Конфигуришите ограничено делегирање када је функционални ниво домена Виндовс Сервер 2003^{(Windows Server 2003)} , Виндовс Сервер 2008^{(Server 2008)} или Виндовс Сервер 2008^{(Server 2008)} Р2.

Да бисте то урадили на контролеру домена за домен вашег веб сервера, урадите следеће:

• Кликните на Start > Administrative Tools > Корисници и рачунари Ацтиве Дирецтори-а^{(Active Directory Users and Computers)} .
• Проширите^(Expand) домен, а затим проширите фасциклу Рачунари .^(Computers)
• У десном окну кликните десним тастером миша на име рачунара за веб сервер, изаберите Својства^(Properties) , а затим кликните на  картицу Делегирање^(Delegation)  .
• Означите поље  за потврду Веруј овом рачунару за делегирање само одређеним услугама .^{(Trust this computer for delegation to specified services only)}
• Уверите се да  је изабрано Користи само Керберос^{(Use Kerberos only)}  , а затим кликните на  ОК^(OK) .
• Кликните на  дугме Додај^{(Add button)} .
• У  дијалогу Додавање ^(Add) услуга^(Services)  кликните на  Корисници или рачунари^{(Users or Computers)} , а затим потражите или унесите име сервера датотека који ће примити корисничке акредитиве од ИИС^(IIS) -а .
• Кликните  на ОК^(OK) .
• На листи  Доступне ^(Available) услуге^(Services)  изаберите  ЦИФС^(CIFS) услугу.
• Кликните  на ОК^(OK) .

Заобилазно решење 2

Ово решење се не препоручује^{(not recommended)} јер захтева  делегирање^(Use) било којег протокола за потврду идентитета на налогу рачунара. Ако  је изабрана опција Користи било који протокол за потврду идентитета^{(Use any authentication protocol)}  , налог користи ограничено делегирање са транзицијом протокола.

Ако морате да користите идентитет апликација као налог услуге и/или налог домена, урадите следеће:

Корак 1^{(Step 1)}

• Кликните на Старт^{(Start )} >  Administrative Tools > Корисници и рачунари Ацтиве Дирецтори-а^{(Active Directory Users and Computers)} .
• Проширите^(Expand) домен, а затим проширите фасциклу Рачунари .^(Computers)
• У десном окну кликните десним тастером миша на име рачунара за веб сервер, изаберите Својства^(Properties) , а затим кликните на  картицу Делегирање^(Delegation)  .
• Означите поље  за потврду Веруј овом рачунару за делегирање само одређеним услугама .^{(Trust this computer for delegation to specified services)}
• Уверите се да  је изабрано Користи било који протокол за потврду идентитета .^{(Use any authentication protocol)}
• Кликните на ОК^(OK) .
• Кликните на  дугме Додај^{(Add button)} .
• У  дијалогу Додавање ^(Add) услуга^(Services)  кликните на  Корисници или рачунари^{(Users or Computers)} , а затим потражите или унесите име сервера датотека који ће примити корисничке акредитиве од ИИС^(IIS) -а .
• Кликните  на ОК^(OK) .
• На листи  Доступне ^(Available) услуге^(Services)  изаберите ЦИФС услугу^{(CIFS service)} .
• Кликните  на ОК^(OK) .

Корак 2^{(Step 2)}

• У левом окну проширите фасциклу Корисници.
• У десном окну кликните десним тастером миша на налог услуге који је идентитет скупа апликација, изаберите  Својства^(Properties) , а затим кликните на  картицу Делегирање^(Delegation)  .
• Означите поље  за потврду Веруј овом рачунару за делегирање само одређеним услугама .^{(Trust this computer for delegation to specified services only)}
• Уверите се да  је изабрано Користи само Керберос .^{(Use Kerberos only)}
• Кликните на ОК^(OK) .
• Кликните на  дугме Додај^{(Add button)} .
• У дијалогу Додавање ^(Add) услуга^(Services)  кликните на  Корисници или рачунари^{(Users or Computers)} , а затим потражите или унесите име сервера датотека који ће примити корисничке акредитиве од ИИС^(IIS) -а .
• Кликните  на ОК^(OK) .
• На листи  Доступне ^(Available) услуге^(Services)  изаберите ЦИФС услугу^{(CIFS service)} .
• Кликните  на ОК^(OK) .

Надам се да ће овај пост помоћи.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a servіce that uses netwоrk shares on a middle-tier ѕerver, users are prompted for credentials, and they еνentually encounter an access denied error. In today’s post, we will prеsent a couple оf case scenarios, identify the cause and then provide the possible wоrkarounds to the iѕsue of whу constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Поправи поруку о грешци 1005 Приступ одбијен док посећујете веб локације

• ДХЦП клијентска услуга даје грешку Приступ одбијен у оперативном систему Виндовс 11/10

• Како прилагодити поруку о грешци Приступ одбијен на Виндовс 10

• Приступ одбијен, немате дозволу за приступ овом серверу

• Поправите грешку у уносу контроле приступа у оперативном систему Виндовс 10

• Поправите грешку учитавања апликације 5:0000065434 на Виндовс 10

• Поправи грешку одбијеног приступа одредишној фасцикли

• Исправите грешку при пријављивању у Мицрософт Сторе 0к801901ф4 на Виндовс 11/10

• Отворите Нотепад као администратор да бисте избегли „Приступ је одбијен“

• Поправи Бдеунлоцк.еке Лошу слику, системску грешку или грешке не реаговања

• МБР2ГПТ није успео да омогући привилегије за прављење резервних копија/враћање на Виндовс 10

• Како да поправите уТоррент приступ је одбијен (уписивање на диск)

• Како да поправите приступ одбијен у Виндовс 10

• Инсталација није успела да направи нову грешку системске партиције у оперативном систему Виндовс 10

• Како да решите проблем колизије диска у потпису у оперативном систему Виндовс 11/10

• ИПерсистФиле Чување није успело, код 0к80070005, приступ је одбијен

• ЕРР МРЕЖИ ПРИСТУП ЗАБРАН | ЕРР ИНТЕРНЕТ ЈЕ ИСПОРУЧЕН

• Системска грешка 6118, листа сервера за ову радну групу је недоступна

• Грешка 2738, није могуће приступити времену извођења ВБСцрипт-а за прилагођену радњу

• Грешка ИД-а догађаја 158 – Додела идентичних ГУИД-ова диска у оперативном систему Виндовс 10