Delen via

Beperkte delegatie voor CIFS mislukt met ACCESS_DENIED-fout

  • Artikel

Dit artikel helpt bij het oplossen van een fout met geweigerde toegang die optreedt wanneer u toegang krijgt tot een service die gebruikmaakt van netwerkshares op een server in de middelste laag.

Oorspronkelijk KB-nummer: 2602377

Symptomen

Bij het openen van een service die gebruikmaakt van netwerkshares op een server in de middelste laag, wordt gebruikers om referenties gevraagd en krijgen ze uiteindelijk een fout met geweigerde toegang .

Voorbeeldscenario's

Scenario 1

De gebruiker wordt om referenties gevraagd en de toegang mislukt uiteindelijk met een fout met geweigerde toegang als aan de volgende voorwaarden wordt voldaan:

  • De IIS-website wordt ingesteld met de basismap die verwijst naar de externe share met behulp van passthrough-verificatie en beperkte delegatie die is geconfigureerd voor CIFS.
  • De GROEP van IIS-toepassingen die toegang heeft tot die share, wordt uitgevoerd onder de identiteit van het serviceaccount.
  • Het domeinaccount wordt vertrouwd voor delegatie voor de cifs-service op de bestandsserver.
  • Op de bestandsserver en webserver wordt een besturingssysteem uitgevoerd dat wordt vermeld in de sectie Van toepassing op.

Scenario 2

  • De web-app probeert als gebruiker toegang te krijgen tot een bestandsserver.
  • De GROEP van IIS-toepassingen die toegang heeft tot de share, wordt uitgevoerd onder de identiteit van het serviceaccount. Het domeinaccount wordt vertrouwd voor delegatie voor de cifs-service op de bestandsserver.
  • Beperkte delegering die is geconfigureerd voor CIFS, wordt geconfigureerd in het serviceaccount voor de bestandsserver.
  • De bestandsserver- en webservertypen worden vermeld in de sectie Van toepassing op.

Scenario 3:

  • Elke toepassing aan de serverzijde die vanaf een client wordt geopend, heeft toegang tot externe shares als gebruiker.
  • De toepassing aan de serverzijde wordt uitgevoerd onder de context van een serviceaccount.
  • Het serviceaccount wordt vertrouwd voor delegering en geconfigureerd voor CIFS-delegering voor de bestandsserver.
  • De bestandsserver- en webservertypen worden vermeld in de sectie Van toepassing op.

Oorzaak

Dit is geïdentificeerd als een probleem tussen MrxSmb 2.0 en Kerberos wanneer beperkte delegatie betrokken is.

Tijdelijke oplossing

Oplossing 1

Gebruik een computeraccount in plaats van een serviceaccount als identiteit voor toepassingen die beperkte delegering voor CIFS uitvoeren. Configureer beperkte delegatie wanneer het functionele domeinniveau Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 is.

Volg deze stappen om dit te doen op de domeincontroller voor uw webserverdomein:

  1. Klik op Start, klikt u op Systeembeheer, en klik vervolgens op Active Directory: gebruikers en Computers.
  2. Vouw het domein uit en vouw vervolgens de map Computers uit.
  3. Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen en klik vervolgens op het tabblad Delegatie.
  4. Schakel het selectievakje Deze computer vertrouwen in voor delegering naar opgegeven services.
  5. Zorg ervoor dat Alleen Kerberos gebruiken is geselecteerd en klik vervolgens op OK.
  6. Klik op de knop Toevoegen. Klik in het dialoogvenster Services toevoegen op Gebruikers of computers en blader naar of voer de naam in van de bestandsserver die de referenties van de gebruiker van IIS ontvangt. Klik op OK.
  7. Selecteer de CIFS-service in de lijst Beschikbare services. Klik op OK.

Oplossing 2

Als u de identiteit van toepassingen als een serviceaccount en/of domeinaccount moet gebruiken, gebruikt u de volgende tijdelijke oplossing.

Notitie

Deze tijdelijke oplossing wordt niet aanbevolen omdat hiervoor verificatieprotocoldelegering is vereist voor het computeraccount. Als de optie Verificatieprotocol gebruiken is geselecteerd, gebruikt het account beperkte delegering met protocolovergang.

  1. Klik op Start, klikt u op Systeembeheer, en klik vervolgens op Active Directory: gebruikers en Computers.
  2. Vouw het domein uit en vouw vervolgens de map Computers uit.
  3. Klik in het rechterdeelvenster met de rechtermuisknop op de computernaam voor de webserver, selecteer Eigenschappen en klik vervolgens op het tabblad Delegatie.
  4. Schakel het selectievakje Deze computer vertrouwen in voor delegering naar opgegeven services.
  5. Zorg ervoor dat Elk verificatieprotocol gebruiken is geselecteerd en klik vervolgens op OK.
  6. Klik op de knop Toevoegen. Klik in het dialoogvenster Services toevoegen op Gebruikers of computers en blader naar of voer de naam in van de bestandsserver die de referenties van de gebruikers van IIS ontvangt. Klik op OK.
  7. Selecteer de CIFS-service in de lijst Beschikbare services. Klik op OK.
  8. Vouw in het linkerdeelvenster de map Gebruikers uit.
  9. Klik in het rechterdeelvenster met de rechtermuisknop op het serviceaccount dat de identiteit van de groep van toepassingen is, selecteer Eigenschappen en klik vervolgens op het tabblad Delegatie.
  10. Schakel het selectievakje Deze computer vertrouwen in voor delegering naar opgegeven services.
  11. Zorg ervoor dat Alleen Kerberos gebruiken is geselecteerd en klik vervolgens op OK.
  12. Klik op de knop Toevoegen. Klik in het dialoogvenster Services toevoegen op Gebruikers of computers en blader naar of voer de naam in van de bestandsserver die de referenties van de gebruikers van IIS ontvangt. Klik op OK.
  13. Selecteer de CIFS-service in de lijst Beschikbare services. Klik op OK.