Mens de får adgang til en tjeneste, der bruger netværksshares på en mellemliggende server, bliver brugere bedt om legitimationsoplysninger, og de støder til sidst på en adgangs nægtet fejl. I dagens indlæg vil vi præsentere et par case-scenarier, identificere årsagen og derefter give de mulige løsninger på spørgsmålet om, hvorfor begrænset delegering til CIFS mislykkes med ACCESS_DENIED- fejl i Windows 10.

Common Internet File System (CIFS) er en fildelingsprotokol, der giver en åben og tværplatformsmekanisme til at anmode om netværksserverfiler og -tjenester. CIFS  er baseret på den forbedrede version af Microsofts Server Message Block (SMB) protokol til internet- og intranetfildeling.

Begrænset delegering til CIFS mislykkes i Windows

Du kan støde på dette problem, hvis brugeren bliver bedt om legitimationsoplysninger, og adgang til sidst mislykkes med en adgang nægtet fejl baseret på følgende tre scenarier.

Scenario 1

• IIS - webstedet er konfigureret med hjemmebiblioteket, der peger på fjerndelingen ved hjælp af pass-through-godkendelse og begrænset delegering konfigureret til CIFS .
• IIS - applikationspuljen, der får adgang til den share, kører under identiteten af ​​tjenestekontoen.
• Domænekontoen er betroet til uddelegering for CIFS -tjenesten på filserveren.

Scenarie 2^{(Scenario 2)}

• Webappen forsøger at få adgang til en filserver som bruger.
• IIS - applikationspuljen, der får adgang til den share, kører under identiteten af ​​tjenestekontoen. Domænekontoen er betroet til uddelegering for CIFS -tjenesten på filserveren.
• Begrænset delegering konfigureret til CIFS er konfigureret på servicekontoen for filserveren.

Scenarie 3^{(Scenario 3)}

• Enhver applikation på serversiden, der tilgås fra en klient, får adgang til fjernshares som bruger.
• Applikationen på serversiden kører under konteksten af ​​en tjenestekonto.
• Servicekontoen er betroet til delegering og konfigureret til CIFS -delegering ^(CIFS)for^(Service) filserveren.

Dette er blevet identificeret som et problem mellem MrxSmb 2.0 og Kerberos , når begrænset delegation er involveret.

For at løse dette problem tilbyder Microsoft to løsninger.

Løsning 1

Brug en maskinkonto i stedet for en servicekonto som identitet for applikationer, der skal udføre begrænset delegering for CIFS . Konfigurer begrænset delegering, når domænets funktionsniveau er Windows Server 2003 , Windows Server 2008 eller Windows Server 2008 R2.

For at gøre dette på domænecontrolleren til dit webserverdomæne skal du gøre følgende:

• Klik Start > Administrative Tools > Active Directory-brugere og -computere^{(Active Directory Users and Computers)} .
• Udvid^(Expand) domænet, og udvid derefter mappen Computere^(Computers) .
• I højre rude skal du højreklikke på computernavnet for webserveren, vælge Egenskaber^(Properties) og derefter klikke på  fanen Delegation  .
• Marker afkrydsningsfeltet  Stol på denne computer til kun at delegere til specificerede tjenester^{(Trust this computer for delegation to specified services only)} .
• Sørg for, at  Brug kun Kerberos^{(Use Kerberos only)}  er valgt, og klik derefter på  OK .
• Klik på  knappen Tilføj^{(Add button)} .
• I dialogboksen  Tilføj ^(Add) tjenester^(Services)  skal du klikke på  Brugere eller computere^{(Users or Computers)} og derefter gå til eller indtaste navnet på den filserver, der vil modtage brugerens legitimationsoplysninger fra IIS .
• Klik  på OK^(OK) .
• På listen  Tilgængelige ^(Available) tjenester^(Services)  skal du vælge  CIFS -tjenesten.
• Klik  på OK^(OK) .

Løsning 2

Denne løsning anbefales ikke,^{(not recommended)} fordi den kræver  Brug^(Use) enhver godkendelsesprotokoldelegering på computerkontoen. Hvis indstillingen  Brug enhver godkendelsesprotokol^{(Use any authentication protocol)}  er valgt, bruger kontoen begrænset delegering med protokolovergang.

Hvis du skal bruge identiteten af ​​applikationer som en tjenestekonto og/eller domænekonto, skal du gøre følgende:

Trin 1^{(Step 1)}

• Klik på Start^{(Start )} >  Administrative Tools > Active Directory-brugere og -computere^{(Active Directory Users and Computers)} .
• Udvid^(Expand) domænet, og udvid derefter mappen Computere^(Computers) .
• I højre rude skal du højreklikke på computernavnet for webserveren, vælge Egenskaber^(Properties) og derefter klikke på  fanen Delegation  .
• Marker afkrydsningsfeltet  Stol på denne computer til kun at delegere til specificerede tjenester^{(Trust this computer for delegation to specified services)} .
• Sørg for, at  Brug enhver godkendelsesprotokol^{(Use any authentication protocol)} er valgt.
• Klik på OK^(OK) .
• Klik på  knappen Tilføj^{(Add button)} .
• I dialogboksen  Tilføj ^(Add) tjenester^(Services)  skal du klikke på  Brugere eller computere^{(Users or Computers)} og derefter gå til eller indtaste navnet på den filserver, der vil modtage brugerens legitimationsoplysninger fra IIS .
• Klik  på OK^(OK) .
•  Vælg CIFS-tjenesten^{(CIFS service)} på listen  Tilgængelige ^(Available) tjenester^(Services) .
• Klik  på OK^(OK) .

Trin 2^{(Step 2)}

• Udvid mappen Brugere i venstre rude.
• I højre rude skal du højreklikke på den servicekonto, der er identiteten for applikationspuljen, vælge  Egenskaber^(Properties) og derefter klikke på  fanen Delegation  .
• Marker afkrydsningsfeltet  Stol på denne computer til kun at delegere til specificerede tjenester^{(Trust this computer for delegation to specified services only)} .
• Sørg for, at  Brug kun Kerberos^{(Use Kerberos only)} er valgt.
• Klik på OK^(OK) .
• Klik på  knappen Tilføj^{(Add button)} .
• I dialogboksen Tilføj ^(Add) tjenester^(Services)  skal du klikke på  Brugere eller computere^{(Users or Computers)} og derefter gå til eller indtaste navnet på den filserver, der vil modtage brugerens legitimationsoplysninger fra IIS .
• Klik  på OK^(OK) .
•  Vælg CIFS-tjenesten^{(CIFS service)} på listen  Tilgængelige ^(Available) tjenester^(Services) .
• Klik  på OK^(OK) .

Håber dette indlæg hjælper.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While aсcеssing a service that uses network shares on a middle-tier ѕerver, users are рrompted for crеdentials, and they eνentually encounter an access denied еrror. In today’s post, we will present a couple of case scenarios, identify the cause and then provide the possible workarounds to the issue of why constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Ret fejl 1005 Adgang nægtet besked, mens du besøger websteder

• DHCP Client Service giver adgang nægtet fejl i Windows 11/10

• Sådan tilpasses Adgang nægtet fejlmeddelelse på Windows 10

• Adgang nægtet. Du har ikke adgangstilladelse på denne server

• Fix adgangskontrolindtastning er korrupt fejl i Windows 10

• Ret Microsoft Store-fejl 0x87AF0001

• Sådan får du adgang til nægtet begrænset mappe i Windows 11/10

• FEJL NETVÆRKSADGANG NEGET | FEJL INTERNET AFBRUDT

• Fix ShellExecuteEx mislykkedes; kodefejl 8235 på Windows10

• Sådan rettes Adgang nægtet, fil kan være i brug eller delingsfejl i Windows

• Fejl 2738, kunne ikke få adgang til VBScript-runtime til tilpasset handling

• Ret Windows Installer Adgang nægtet fejl

• IPersistFile Save mislykkedes, Kode 0x80070005, Adgang nægtes

• Fejl 1327 Ugyldigt drev ved installation eller afinstallation af programmer

• Fjern adgang nægtet fejl ved adgang til filer eller mapper i Windows

• Fix Smart Check bestået, Short DST Failed fejl på HP-computer

• Ret Logitech Setpoint Runtime-fejl på Windows 10

• Applikationen kan ikke finde scanner - WIA_ERROR_OFFLINE, 0x80210005

• SFC kunne ikke repareres, og DISM viser fejl 0x800f081f i Windows 10

• Denne funktion kræver flytbare medier - Fejl ved nulstilling af adgangskode