PRISTUP ODBIJEN - Ograničeno delegiranje za CIFS ne uspijeva

Dok pristupaju usluzi koja koristi mrežne dijeljenja na poslužitelju srednje razine, od korisnika se traži vjerodajnice i na kraju nailaze na pogrešku odbijenog pristupa. U današnjem postu predstavit ćemo nekoliko scenarija slučajeva, identificirati uzrok, a zatim ponuditi moguća rješenja za problem zašto ograničeno delegiranje za CIFS ne uspije s pogreškom ACCESS_DENIED u sustavu Windows 10.

Zajednički internetski datotečni sustav (CIFS)(Common Internet File System (CIFS)) je protokol za dijeljenje datoteka koji pruža otvoreni i višeplatformski mehanizam za traženje datoteka i usluga mrežnog poslužitelja. CIFS  se temelji na poboljšanoj verziji Microsoftovog protokola Server Message Block (SMB) za dijeljenje datoteka na Internetu i intranetu.(Internet)

Ograničeno delegiranje za CIFS ne uspijeva u sustavu Windows

Ograničeno delegiranje za CIFS ne uspijeva u sustavu Windows(Windows)

Na ovaj problem možete naići ako se od korisnika zatraže vjerodajnice, a pristup na kraju ne uspije uz pogrešku odbijenog pristupa na temelju sljedeća tri scenarija.

Scenarij 1(Scenario 1)

  • IIS web - mjesto postavljeno je s početnim direktorijem koji upućuje na udaljeno dijeljenje koristeći prolaznu autentifikaciju i ograničeno delegiranje konfigurirano za CIFS .
  • Skupina IIS aplikacija koja pristupa tom dijeljenju radi pod identitetom računa usluge.
  • Račun domene je pouzdan za delegiranje za CIFS uslugu na poslužitelju datoteka.

Scenarij 2(Scenario 2)

  • Web-aplikacija pokušava pristupiti poslužitelju datoteka kao korisnik.
  • Skup IIS aplikacija koji pristupa tom dijeljenju radi pod identitetom računa usluge. Račun domene je pouzdan za delegiranje za CIFS uslugu na poslužitelju datoteka.
  • Ograničeno delegiranje konfigurirano za CIFS konfigurirano je na servisnom računu za poslužitelj datoteka.

Scenarij 3(Scenario 3)

  • Svaka aplikacija na strani poslužitelja kojoj se pristupa s klijenta pristupa udaljenim dijeljenjima kao korisnik.
  • Aplikacija na strani poslužitelja radi u kontekstu računa usluge.
  • Račun usluge(Service) pouzdan je za delegiranje i konfiguriran za CIFS delegiranje za poslužitelj datoteka.

Ovo je identificirano kao problem između MrxSmb 2.0 i Kerberosa(Kerberos) kada je uključeno ograničeno delegiranje.

Kako bi riješio ovaj problem, Microsoft nudi dva rješenja.

Zaobilazno rješenje 1

Koristite račun stroja umjesto računa usluge kao identitet za aplikacije koje će izvoditi ograničeno delegiranje za CIFS . Konfigurirajte ograničeno delegiranje kada je funkcionalna razina domene Windows Server 2003 , Windows Server 2008 ili Windows Server 2008 R2.

Da biste to učinili na kontroleru domene za domenu vašeg web poslužitelja, učinite sljedeće:

  • Kliknite Start > Administrative Tools > Korisnici i računala Active Directory(Active Directory Users and Computers) .
  • Proširite(Expand) domenu, a zatim proširite mapu Računala .(Computers)
  • U desnom oknu desnom tipkom miša kliknite naziv računala za web poslužitelj, odaberite Svojstva(Properties) , a zatim kliknite  karticu Delegiranje(Delegation)  .
  • Označite potvrdni okvir  Vjerujte ovom računalu samo za delegiranje određenih usluga(Trust this computer for delegation to specified services only) .
  • Provjerite  je li odabrana opcija Koristi samo Kerberos(Use Kerberos only)  , a zatim kliknite  U redu(OK) .
  • Kliknite  gumb Dodaj(Add button) .
  • U   dijaloškom okviru  Dodaj (Add) usluge kliknite (Services)Korisnici ili računala(Users or Computers) , a zatim potražite ili unesite naziv datotečnog poslužitelja koji će primiti korisničke vjerodajnice od IIS -a .
  • Kliknite  OK .
  • Na popisu  Dostupne (Available) usluge(Services)  odaberite  uslugu CIFS .
  • Kliknite  OK .

Zaobilazno rješenje 2

Ovo zaobilazno rješenje se ne preporučuje(not recommended) jer zahtijeva  delegiranje(Use) bilo kojeg protokola za provjeru autentičnosti na račun računala. Ako  je odabrana opcija Koristi bilo koji protokol provjere autentičnosti(Use any authentication protocol)  , račun koristi ograničeno delegiranje s prijelazom protokola.

Ako morate koristiti identitet aplikacija kao račun usluge i/ili račun domene, učinite sljedeće:

Korak 1(Step 1)

  • Kliknite StartAdministrative Tools > Korisnici i računala Active Directory(Active Directory Users and Computers) .
  • Proširite(Expand) domenu, a zatim proširite mapu Računala .(Computers)
  • U desnom oknu desnom tipkom miša kliknite naziv računala za web poslužitelj, odaberite Svojstva(Properties) , a zatim kliknite  karticu Delegiranje(Delegation)  .
  • Označite potvrdni okvir  Vjerujte ovom računalu samo za delegiranje određenih usluga(Trust this computer for delegation to specified services) .
  • Provjerite  je li odabran Use any autentication protocol .(Use any authentication protocol)
  • Kliknite OK .
  • Kliknite  gumb Dodaj(Add button) .
  • U   dijaloškom okviru  Dodaj (Add) usluge kliknite (Services)Korisnici ili računala(Users or Computers) , a zatim potražite ili unesite naziv datotečnog poslužitelja koji će primiti korisničke vjerodajnice od IIS -a .
  • Kliknite  OK .
  • Na popisu  Dostupne (Available) usluge(Services)  odaberite uslugu CIFS(CIFS service) .
  • Kliknite  OK .

Korak 2(Step 2)

  • U lijevom oknu proširite mapu Korisnici.
  • U desnom oknu desnom tipkom kliknite račun usluge koji je identitet skupa aplikacija, odaberite  Svojstva(Properties) , a zatim kliknite  karticu Delegiranje(Delegation)  .
  • Označite potvrdni okvir  Vjerujte ovom računalu samo za delegiranje određenih usluga(Trust this computer for delegation to specified services only) .
  • Provjerite  je li odabrana opcija Koristi samo Kerberos .(Use Kerberos only)
  • Kliknite OK .
  • Kliknite  gumb Dodaj(Add button) .
  • U  dijaloškom okviru  Dodaj (Add) usluge kliknite (Services)Korisnici ili računala(Users or Computers) , a zatim potražite ili unesite naziv datotečnog poslužitelja koji će primiti korisničke vjerodajnice od IIS -a .
  • Kliknite  OK .
  • Na popisu  Dostupne (Available) usluge(Services)  odaberite uslugu CIFS(CIFS service) .
  • Kliknite  OK .

Nadam se da će ovaj post pomoći.(Hope this post helps.)



About the author

Ja sam softverski inženjer i istraživač. Imam iskustva s Microsoft Xbox 360 i Google Explorerom. U mogućnosti sam pružiti stručne preporuke za određene alate za razvoj softvera, kao i pomoći ljudima u otklanjanju uobičajenih pogrešaka Explorera.



Related posts