Compartir a través de

Error de delegación restringida para CIFS con error de ACCESS_DENIED

  • Artículo

Este artículo ayuda a corregir un error de acceso denegado que se produce cuando se accede a un servicio que usa recursos compartidos de red en un servidor de nivel intermedio.

Número de KB original: 2602377

Síntomas

Al acceder a un servicio que usa recursos compartidos de red en un servidor de nivel intermedio, se solicita a los usuarios credenciales y, finalmente, se produce un error de acceso denegado .

Escenarios de ejemplo

Escenario 1

Se solicita al usuario las credenciales y, finalmente, se produce un error de acceso denegado si se cumplen las condiciones siguientes:

  • El sitio web de IIS se configura con el directorio principal que apunta al recurso compartido remoto mediante la autenticación de paso a través y la delegación restringida configurada para CIFS.
  • El grupo de aplicaciones de IIS que accede a ese recurso compartido se ejecuta en la identidad de la cuenta de servicio.
  • La cuenta de dominio es de confianza para la delegación del servicio cifs en el servidor de archivos.
  • El servidor de archivos y el servidor web ejecutan un sistema operativo que aparece en la sección Se aplica a.

Escenario 2

  • La aplicación web intenta acceder a un servidor de archivos como usuario.
  • El grupo de aplicaciones de IIS que tiene acceso a ese recurso compartido se ejecuta en la identidad de la cuenta de servicio. La cuenta de dominio es de confianza para la delegación del servicio cifs en el servidor de archivos.
  • La delegación restringida configurada para CIFS se configura en la cuenta de servicio del servidor de archivos.
  • Los tipos de servidor de archivos y servidor web aparecen en la sección Se aplica a.

Escenario 3:

  • Cualquier aplicación del lado servidor a la que se accede desde un cliente es acceder a recursos compartidos remotos como usuario.
  • La aplicación del lado servidor se ejecuta en el contexto de una cuenta de servicio.
  • La cuenta de servicio es de confianza para la delegación y está configurada para la delegación CIFS para el servidor de archivos.
  • Los tipos de servidor de archivos y servidor web aparecen en la sección Se aplica a.

Causa

Esto se ha identificado como un problema entre MrxSmb 2.0 y Kerberos cuando interviene la delegación restringida.

Solución alternativa

Solución alternativa 1

Use una cuenta de equipo en lugar de una cuenta de servicio como identidad para las aplicaciones que realizarán la delegación restringida para CIFS. Configure la delegación restringida cuando el nivel funcional del dominio sea Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2.

Para hacerlo en el controlador de dominio del dominio de los servidores web, siga estos pasos:

  1. Haga clic en Inicio, luego en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  2. Expanda el dominio y, a continuación, expanda la carpeta Equipos.
  3. En el panel derecho, haga clic con el botón derecho en el nombre del equipo del servidor web, seleccione Propiedades y, a continuación, haga clic en la pestaña Delegación.
  4. Active la casilla Confiar en este equipo para la delegación solo en los servicios especificados.
  5. Asegúrese de que use Kerberos only (Usar Kerberos solo) esté seleccionado y, a continuación, haga clic en Aceptar.
  6. Haga clic en el botón Agregar. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos y, a continuación, busque o escriba el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS. Haga clic en Aceptar.
  7. En la lista Servicios disponibles, seleccione el servicio CIFS. Haga clic en Aceptar.

Solución alternativa 2

Si debe usar la identidad de las aplicaciones como una cuenta de servicio o una cuenta de dominio, use la siguiente solución alternativa.

Nota:

Esta solución alternativa no se recomienda porque requiere Usar cualquier delegación de protocolo de autenticación en la cuenta de equipo. Si se selecciona la opción Usar cualquier protocolo de autenticación, la cuenta usa la delegación restringida con la transición de protocolo.

  1. Haga clic en Inicio, luego en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
  2. Expanda el dominio y, a continuación, expanda la carpeta Equipos.
  3. En el panel derecho, haga clic con el botón derecho en el nombre del equipo del servidor web, seleccione Propiedades y, a continuación, haga clic en la pestaña Delegación.
  4. Active la casilla Confiar en este equipo para la delegación solo en los servicios especificados.
  5. Asegúrese de que Use any authentication protocol is selected (Usar cualquier protocolo de autenticación) y, a continuación, haga clic en Aceptar.
  6. Haga clic en el botón Agregar. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos y, a continuación, busque o escriba el nombre del servidor de archivos que recibirá las credenciales de los usuarios de IIS. Haga clic en Aceptar.
  7. En la lista Servicios disponibles, seleccione el servicio CIFS. Haga clic en Aceptar.
  8. En el panel izquierdo, expanda la carpeta Usuarios.
  9. En el panel derecho, haga clic con el botón derecho en la cuenta de servicio que es la identidad del grupo de aplicaciones, seleccione Propiedades y, a continuación, haga clic en la pestaña Delegación.
  10. Active la casilla Confiar en este equipo para la delegación solo en los servicios especificados.
  11. Asegúrese de que use Kerberos only (Usar Kerberos solo) esté seleccionado y, a continuación, haga clic en Aceptar.
  12. Haga clic en el botón Agregar. En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o equipos y, a continuación, busque o escriba el nombre del servidor de archivos que recibirá las credenciales de los usuarios de IIS. Haga clic en Aceptar.
  13. En la lista Servicios disponibles, seleccione el servicio CIFS. Haga clic en Aceptar.