Pri prístupe k službe, ktorá používa sieťové zdieľania na serveri strednej vrstvy, sa používateľom zobrazí výzva na zadanie poverení a nakoniec sa im zobrazí chyba odmietnutia prístupu. V dnešnom príspevku predstavíme niekoľko prípadových scenárov, identifikujeme príčinu a potom poskytneme možné riešenia problému, prečo obmedzené delegovanie pre CIFS zlyhá s chybou ACCESS_DENIED v systéme Windows 10.

Common Internet File System (CIFS) je protokol na zdieľanie súborov, ktorý poskytuje otvorený a medziplatformový mechanizmus na vyžiadanie súborov a služieb sieťového servera. CIFS je založený na vylepšenej verzii protokolu Server Message Block (SMB) spoločnosti Microsoft na zdieľanie súborov na internete a intranete.^(Internet)

V systéme Windows zlyhá obmedzené delegovanie pre CIFS

V systéme Windows^(Windows) zlyhá obmedzené delegovanie pre CIFS

Tento problém sa môže vyskytnúť, ak sa používateľovi zobrazí výzva na zadanie poverení a prístup nakoniec zlyhá s chybou odmietnutia prístupu na základe nasledujúcich troch scenárov.

1. scenár^{(Scenario 1)}

Webová lokalita IIS je nastavená tak, že domovský adresár ukazuje na vzdialený zdieľaný priečinok pomocou overenia totožnosti a obmedzeného delegovania nakonfigurovaného pre CIFS .
Fond aplikácií IIS pristupujúci k tomuto zdieľaniu beží pod identitou konta služby.
Účet domény je dôveryhodný pre delegovanie pre službu CIFS na súborovom serveri.

Scenár 2^{(Scenario 2)}

Webová aplikácia sa pokúša o prístup k súborovému serveru ako používateľ.
Fond aplikácií IIS , ktorý pristupuje k tomuto zdieľaniu, beží pod identitou konta služby. Účet domény je dôveryhodný pre delegovanie pre službu CIFS na súborovom serveri.
Obmedzené delegovanie nakonfigurované pre CIFS je nakonfigurované na účte služby pre súborový server.

Scenár 3^{(Scenario 3)}

Každá aplikácia na strane servera, ku ktorej sa pristupuje z klienta, pristupuje k vzdialeným zdieľaným priečinkom ako používateľ.
Aplikácia na strane servera je spustená v kontexte konta služby.
Účet služby^(Service) je dôveryhodný pre delegovanie a je nakonfigurovaný na delegovanie CIFS pre súborový server.

Toto bolo identifikované ako problém medzi MrxSmb 2.0 a Kerberos , keď ide o obmedzené delegovanie.

Na vyriešenie tohto problému spoločnosť Microsoft^(Microsoft) ponúka dve riešenia.

Riešenie 1

Použite konto počítača namiesto konta služby ako identitu pre aplikácie, ktoré budú vykonávať obmedzené delegovanie pre CIFS . Nakonfigurujte obmedzené delegovanie, keď je funkčná úroveň domény Windows Server 2003 , Windows Server 2008 alebo Windows Server 2008 R2.

Ak to chcete urobiť na radiči domény pre doménu webových serverov, postupujte takto:

Kliknite Start > Administrative Tools > Používatelia a počítače služby Active Directory^{(Active Directory Users and Computers)} .
Rozbaľte^(Expand) doménu a potom rozbaľte priečinok Počítače .^(Computers)
Na pravej table kliknite pravým tlačidlom myši na názov počítača pre webový server, vyberte položku Vlastnosti^(Properties) a potom kliknite na kartu Delegovanie^(Delegation) .
Začiarknite políčko Dôverovať tomuto počítaču na delegovanie iba na určené služby^{(Trust this computer for delegation to specified services only)} .
Uistite sa, že je vybratá možnosť Použiť iba Kerberos^{(Use Kerberos only)} a potom kliknite na tlačidlo OK .
Kliknite na tlačidlo Pridať^{(Add button)} .
V dialógovom okne Pridať ^(Add) služby kliknite na položku ^(Services)Používatelia alebo Počítače^{(Users or Computers)} a potom vyhľadajte alebo zadajte názov súborového servera, ktorý získa poverenia používateľa zo služby IIS .
Kliknite na tlačidlo OK^(OK) .
V zozname Dostupné ^(Available) služby^(Services) vyberte službu CIFS .
Kliknite na tlačidlo OK^(OK) .

Riešenie 2

Toto riešenie sa neodporúča^{(not recommended)} , pretože vyžaduje použitie^(Use) akéhokoľvek delegovania overovacieho protokolu na konte počítača. Ak je vybratá možnosť Použiť akýkoľvek autentifikačný protokol^{(Use any authentication protocol)} , účet používa obmedzené delegovanie s prechodom protokolu.

Ak musíte použiť identitu aplikácií ako účet služby a/alebo účet domény, postupujte takto:

Krok 1^{(Step 1)}

Kliknite na Štart^{(Start )} > Administrative Tools > Používatelia a počítače služby Active Directory^{(Active Directory Users and Computers)} .
Rozbaľte^(Expand) doménu a potom rozbaľte priečinok Počítače .^(Computers)
Na pravej table kliknite pravým tlačidlom myši na názov počítača pre webový server, vyberte položku Vlastnosti^(Properties) a potom kliknite na kartu Delegovanie^(Delegation) .
Začiarknite políčko Dôverovať tomuto počítaču na delegovanie^{(Trust this computer for delegation to specified services)} iba na určené služby.
Uistite sa, že je vybratá možnosť Použiť akýkoľvek overovací protokol .^{(Use any authentication protocol)}
Kliknite na tlačidlo OK^(OK) .
Kliknite na tlačidlo Pridať^{(Add button)} .
V dialógovom okne Pridať ^(Add) služby kliknite na položku ^(Services)Používatelia alebo Počítače^{(Users or Computers)} a potom vyhľadajte alebo zadajte názov súborového servera, ktorý získa poverenia používateľa zo služby IIS .
Kliknite na tlačidlo OK^(OK) .
V zozname Dostupné ^(Available) služby^(Services) vyberte službu CIFS^{(CIFS service)} .
Kliknite na tlačidlo OK^(OK) .

Krok 2^{(Step 2)}

Na ľavej table rozbaľte priečinok Používatelia.
Na pravej table kliknite pravým tlačidlom myši na konto služby, ktoré je identitou oblasti aplikácií, vyberte položku Vlastnosti^(Properties) a potom kliknite na kartu Delegovanie^(Delegation) .
Začiarknite políčko Dôverovať tomuto počítaču na delegovanie iba na určené služby^{(Trust this computer for delegation to specified services only)} .
Uistite sa, že je vybratá možnosť Použiť iba Kerberos .^{(Use Kerberos only)}
Kliknite na tlačidlo OK^(OK) .
Kliknite na tlačidlo Pridať^{(Add button)} .
V dialógovom okne Pridať ^(Add) služby kliknite na položku ^(Services)Používatelia alebo Počítače^{(Users or Computers)} a potom vyhľadajte alebo zadajte názov súborového servera, ktorý získa poverenia používateľa zo služby IIS .
Kliknite na tlačidlo OK^(OK) .
V zozname Dostupné ^(Available) služby^(Services) vyberte službu CIFS^{(CIFS service)} .
Kliknite na tlačidlo OK^(OK) .

Dúfam, že tento príspevok pomôže.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that uses network shares on а middle-tier server, users are рromрted for сredentials, and theу eventually encounter an access denied error. In today’s post, we will present a couple of caѕe scenarios, identify the cause and then provide the possible workarounds to the issue оf why constraіned delegatіon for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
The IIS application pool accessing that share is running under the identity of the service account.
The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

The web app is trying to access a file server as a user.
The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

Any server-side application that’s being accessed from a client is accessing remote shares as a user.
The server-side application is running under the context of a service account.
The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected, and then click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use any authentication protocol is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Step 2

In the left pane, expand the Users folder.
In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Hope this post helps.

Roman Tatárka

About the author

Som inžinier windows,ios,pdf,errors,gadgets s viac ako 10-ročnými skúsenosťami. Pracoval som na mnohých vysokokvalitných Windows aplikáciách a frameworkoch, ako sú OneDrive for Business, Office 365 a ďalšie. Moja nedávna práca zahŕňala vývoj čítačky súborov PDF pre platformu Windows a prácu na tom, aby boli chybové správy zrozumiteľnejšie pre používateľov. Okrem toho sa už niekoľko rokov podieľam na vývoji platformy ios a veľmi dobre poznám jej funkcie a zvláštnosti.

PRÍSTUP ODMIETNUTÝ - Obmedzené delegovanie pre CIFS zlyhá

V systéme Windows^(Windows) zlyhá obmedzené delegovanie pre CIFS

Riešenie 1

Riešenie 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Roman Tatárka

About the author

Related posts

Opravte správu s chybou 1005 Prístup odmietnutý pri návšteve webových stránok

Klientská služba DHCP poskytuje v systéme Windows 11/10 chybu Access Denied

Ako prispôsobiť chybové hlásenie Access Denied v systéme Windows 10

Prístup odmietnutý, nemáte povolenie na prístup na tento server

Opraviť poškodenú položku kontroly prístupu v systéme Windows 10

Oprava Archív je buď v neznámom formáte alebo je poškodený

Opravte chybu Logitech Setpoint Runtime v systéme Windows 10

Ako získať prístup k odmietnutému obmedzenému priečinku v systéme Windows 11/10

Nainštalujte Realtek HD Audio Driver Failure, Error OxC0000374 na Windows 10

Ako vyriešiť problém s kolíziou podpisu disku v systéme Windows 11/10

Ojoj! Nepodarilo sa nám to uložiť – aplikácia Windows Photos

Odstrániť chybu Access Denied pri prístupe k súborom alebo priečinkom v systéme Windows

Operačný systém nie je možné zaviesť z dôvodu chýb systémového ovládača

Ako opraviť odmietnutie prístupu uTorrent (zápis na disk)

Opravte chybu načítania aplikácie 5:0000065434 v systéme Windows 10

Chyba 1327 Neplatná jednotka pri inštalácii alebo odinštalovaní programov

Ako opraviť odmietnutie prístupu Windows 10

CHYBA PRÍSTUP K SIETI ZAMIETNUTÝ | CHYBA INTERNET ODPOJENÝ

SFC sa nepodarilo opraviť a DISM zobrazuje chybu 0x800f081f v systéme Windows 10

Táto funkcia vyžaduje vymeniteľné médium – chyba resetovania hesla

PRÍSTUP ODMIETNUTÝ - Obmedzené delegovanie pre CIFS zlyhá

V systéme Windows(Windows) zlyhá obmedzené delegovanie pre CIFS

Riešenie 1

Riešenie 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Roman Tatárka

About the author

Related posts

Opravte správu s chybou 1005 Prístup odmietnutý pri návšteve webových stránok

Klientská služba DHCP poskytuje v systéme Windows 11/10 chybu Access Denied

Ako prispôsobiť chybové hlásenie Access Denied v systéme Windows 10

Prístup odmietnutý, nemáte povolenie na prístup na tento server

Opraviť poškodenú položku kontroly prístupu v systéme Windows 10

Oprava Archív je buď v neznámom formáte alebo je poškodený

Opravte chybu Logitech Setpoint Runtime v systéme Windows 10

Ako získať prístup k odmietnutému obmedzenému priečinku v systéme Windows 11/10

Nainštalujte Realtek HD Audio Driver Failure, Error OxC0000374 na Windows 10

Ako vyriešiť problém s kolíziou podpisu disku v systéme Windows 11/10

Ojoj! Nepodarilo sa nám to uložiť – aplikácia Windows Photos

Odstrániť chybu Access Denied pri prístupe k súborom alebo priečinkom v systéme Windows

Operačný systém nie je možné zaviesť z dôvodu chýb systémového ovládača

Ako opraviť odmietnutie prístupu uTorrent (zápis na disk)

Opravte chybu načítania aplikácie 5:0000065434 v systéme Windows 10

Chyba 1327 Neplatná jednotka pri inštalácii alebo odinštalovaní programov

Ako opraviť odmietnutie prístupu Windows 10

CHYBA PRÍSTUP K SIETI ZAMIETNUTÝ | CHYBA INTERNET ODPOJENÝ

SFC sa nepodarilo opraviť a DISM zobrazuje chybu 0x800f081f v systéme Windows 10

Táto funkcia vyžaduje vymeniteľné médium – chyba resetovania hesla

V systéme Windows^(Windows) zlyhá obmedzené delegovanie pre CIFS