다음을 통해 공유

CIFS에 대한 제한된 위임이 ACCESS_DENIED 오류와 함께 실패함

  • 아티클

이 문서는 중간 계층 서버에서 네트워크 공유를 사용하는 서비스에 액세스할 때 발생하는 액세스 거부 오류를 해결하는 데 도움이 됩니다.

원래 KB 번호: 2602377

증상

중간 계층 서버에서 네트워크 공유를 사용하는 서비스에 액세스하는 동안 사용자에게 자격 증명을 묻는 메시지가 표시되고 결국 액세스 거부 오류가 발생합니다.

예제 시나리오

시나리오 1

사용자에게 자격 증명을 묻는 메시지가 표시되고, 다음 조건이 충족되면 액세스 거부 오류와 함께 액세스가 실패합니다.

  • IIS 웹 사이트는 CIFS에 대해 구성된 통과 인증 및 제한된 위임을 사용하여 원격 공유를 가리키는 홈 디렉터리로 설정됩니다.
  • 해당 공유에 액세스하는 IIS 애플리케이션 풀이 서비스 계정의 ID로 실행되고 있습니다.
  • 도메인 계정은 파일 서버의 cifs 서비스에 대한 위임에 대해 신뢰할 수 있습니다.
  • 파일 서버와 웹 서버는 적용 대상 섹션에 나열된 운영 체제를 실행하고 있습니다.

시나리오 2

  • 웹앱이 사용자로 파일 서버에 액세스하려고 합니다.
  • 공유에 액세스하는 IIS 애플리케이션 풀이 서비스 계정의 ID로 실행되고 있습니다. 도메인 계정은 파일 서버의 cifs 서비스에 대한 위임에 대해 신뢰할 수 있습니다.
  • CIFS에 대해 구성된 제한된 위임은 파일 서버의 서비스 계정에 구성됩니다.
  • 파일 서버 및 웹 서버 유형은 적용 대상 섹션에 나열됩니다.

시나리오 3:

  • 클라이언트에서 액세스되는 모든 서버 쪽 애플리케이션은 사용자로 원격 공유에 액세스합니다.
  • 서버 쪽 애플리케이션은 서비스 계정의 컨텍스트에서 실행됩니다.
  • 서비스 계정은 위임에 대해 신뢰할 수 있으며 파일 서버에 대한 CIFS 위임에 대해 구성됩니다.
  • 파일 서버 및 웹 서버 유형은 적용 대상 섹션에 나열됩니다.

원인

제한된 위임이 관련된 경우 MrxSmb 2.0과 Kerberos 간의 문제로 확인되었습니다.

해결 방법

해결 방법 1

CIFS에 대해 제한된 위임을 수행할 애플리케이션의 ID로 서비스 계정 대신 컴퓨터 계정을 사용합니다. 도메인 기능 수준이 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2인 경우 제한된 위임을 구성합니다.

웹 서버 도메인의 도메인 컨트롤러에서 이 작업을 수행하려면 다음 단계를 수행합니다.

  1. 클릭 시작, 클릭 관리 도구, 를 클릭 하 고 Active Directory 사용자 및 컴퓨터합니다.
  2. 도메인을 확장한 다음 컴퓨터 폴더를 확장합니다.
  3. 오른쪽 창에서 웹 서버의 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 위임 탭을 클릭합니다.
  4. 지정된 서비스에 대한 위임에 대해 이 컴퓨터의 신뢰만 확인란을 선택합니다.
  5. Kerberos 사용만 선택되어 있는지 확인한 다음 확인을 클릭합니다.
  6. +추가 단추를 클릭합니다. 서비스 추가 대화 상자에서 사용자 또는 컴퓨터를 클릭한 다음 IIS에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다. 확인을 클릭합니다.
  7. 사용 가능한 서비스 목록에서 CIFS 서비스를 선택합니다. 확인을 클릭합니다.

해결 방법 2

애플리케이션의 ID를 서비스 계정 및/또는 도메인 계정으로 사용해야 하는 경우 다음 해결 방법을 사용합니다.

참고 항목

이 해결 방법은 컴퓨터 계정에서 인증 프로토콜 위임을 사용해야 하므로 권장되지 않습니다. 인증 프로토콜 사용 옵션을 선택한 경우 계정은 프로토콜 전환과 함께 제한된 위임을 사용하고 있습니다.

  1. 클릭 시작, 클릭 관리 도구, 를 클릭 하 고 Active Directory 사용자 및 컴퓨터합니다.
  2. 도메인을 확장한 다음 컴퓨터 폴더를 확장합니다.
  3. 오른쪽 창에서 웹 서버의 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 위임 탭을 클릭합니다.
  4. 지정된 서비스에 대한 위임에 대해 이 컴퓨터의 신뢰만 확인란을 선택합니다.
  5. 인증 프로토콜 사용이 선택되어 있는지 확인한 다음 확인을 클릭합니다.
  6. +추가 단추를 클릭합니다. 서비스 추가 대화 상자에서 사용자 또는 컴퓨터를 클릭한 다음 IIS에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다. 확인을 클릭합니다.
  7. 사용 가능한 서비스 목록에서 CIFS 서비스를 선택합니다. 확인을 클릭합니다.
  8. 왼쪽 창에서 사용자 폴더를 확장합니다.
  9. 오른쪽 창에서 애플리케이션 풀의 ID인 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 위임 탭을 클릭합니다.
  10. 지정된 서비스에 대한 위임에 대해 이 컴퓨터의 신뢰만 확인란을 선택합니다.
  11. Kerberos 사용만 선택되어 있는지 확인한 다음 확인을 클릭합니다.
  12. +추가 단추를 클릭합니다. 서비스 추가 대화 상자에서 사용자 또는 컴퓨터를 클릭한 다음 IIS에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다. 확인을 클릭합니다.
  13. 사용 가능한 서비스 목록에서 CIFS 서비스를 선택합니다. 확인을 클릭합니다.