Dela via

Begränsad delegering för CIFS misslyckas med ACCESS_DENIED-fel

  • Artikel

Den här artikeln hjälper dig att åtgärda ett fel med nekad åtkomst som inträffar när du får åtkomst till en tjänst som använder nätverksresurser på en mellannivåserver.

Ursprungligt KB-nummer: 2602377

Symptom

Vid åtkomst till en tjänst som använder nätverksresurser på en mellannivåserver uppmanas användarna att ange autentiseringsuppgifter, och de får till slut ett felmeddelande om nekad åtkomst.

Exempelscenarier

Scenario 1

Användaren uppmanas att ange autentiseringsuppgifter och åtkomst misslyckas till slut med ett felmeddelande om nekad åtkomst om följande villkor är uppfyllda:

  • IIS-webbplatsen har konfigurerats med hemkatalogen som pekar på fjärrresursen med direktautentisering och begränsad delegering som konfigurerats för CIFS.
  • IIS-programpoolen som kommer åt resursen körs under identiteten för tjänstkontot.
  • Domänkontot är betrott för delegering för cifs-tjänsten på filservern.
  • Filservern och webbservern kör ett operativsystem som visas i avsnittet Gäller för.

Scenario 2

  • Webbappen försöker komma åt en filserver som användare.
  • IIS-programpoolen som har åtkomst till den resursen körs under identiteten för tjänstkontot. Domänkontot är betrott för delegering för cifs-tjänsten på filservern.
  • Begränsad delegering som konfigurerats för CIFS konfigureras på tjänstkontot för filservern.
  • Filserver- och webbservertyperna visas i avsnittet Gäller för.

Scenario 3:

  • Alla program på serversidan som nås från en klient har åtkomst till fjärrresurser som användare.
  • Programmet på serversidan körs i kontexten för ett tjänstkonto.
  • Tjänstkontot är betrott för delegering och konfigurerat för CIFS-delegering för filservern.
  • Filserver- och webbservertyperna visas i avsnittet Gäller för.

Orsak

Detta har identifierats som ett problem mellan MrxSmb 2.0 och Kerberos när begränsad delegering är inblandad.

Lösning

Lösning 1

Använd ett datorkonto i stället för ett tjänstkonto som identitet för program som ska utföra begränsad delegering för CIFS. Konfigurera begränsad delegering när domänens funktionsnivå är Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2.

Gör detta på domänkontrollanten för din webbserverdomän genom att följa dessa steg:

  1. Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Active Directory - användare och datorer.
  2. Expandera domänen och expandera sedan mappen Datorer.
  3. Högerklicka på webbserverns datornamn i den högra rutan, välj Egenskaper och klicka sedan på fliken Delegering.
  4. Markera kryssrutan Lita på den här datorn för delegering till angivna tjänster.
  5. Kontrollera att Använd Endast Kerberos är markerat och klicka sedan på OK.
  6. Klicka på knappen Lägg till. I dialogrutan Lägg till tjänster klickar du på Användare eller Datorer och bläddrar sedan till eller anger namnet på den filserver som ska ta emot användarens autentiseringsuppgifter från IIS. Klicka på OK.
  7. I listan Tillgängliga tjänster väljer du CIFS-tjänsten. Klicka på OK.

Lösning 2

Om du måste använda identiteten för program som ett tjänstkonto och/eller domänkonto använder du följande lösning.

Kommentar

Den här lösningen rekommenderas inte eftersom den kräver Använd alla delegeringar av autentiseringsprotokoll på datorkontot. Om alternativet Använd valfritt autentiseringsprotokoll är valt använder kontot begränsad delegering med protokollövergång.

  1. Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Active Directory - användare och datorer.
  2. Expandera domänen och expandera sedan mappen Datorer.
  3. Högerklicka på webbserverns datornamn i den högra rutan, välj Egenskaper och klicka sedan på fliken Delegering.
  4. Markera kryssrutan Lita på den här datorn för delegering till angivna tjänster.
  5. Kontrollera att Använd alla autentiseringsprotokoll är markerat och klicka sedan på OK.
  6. Klicka på knappen Lägg till. I dialogrutan Lägg till tjänster klickar du på Användare eller Datorer och bläddrar sedan till eller anger namnet på den filserver som ska ta emot användarnas autentiseringsuppgifter från IIS. Klicka på OK.
  7. I listan Tillgängliga tjänster väljer du CIFS-tjänsten. Klicka på OK.
  8. Expandera mappen Användare i den vänstra rutan.
  9. Högerklicka på det tjänstkonto som är programpoolens identitet i den högra rutan, välj Egenskaper och klicka sedan på fliken Delegering.
  10. Markera kryssrutan Lita på den här datorn för delegering till angivna tjänster.
  11. Kontrollera att Använd Endast Kerberos är markerat och klicka sedan på OK.
  12. Klicka på knappen Lägg till. I dialogrutan Lägg till tjänster klickar du på Användare eller Datorer och bläddrar sedan till eller anger namnet på den filserver som ska ta emot användarnas autentiseringsuppgifter från IIS. Klicka på OK.
  13. I listan Tillgängliga tjänster väljer du CIFS-tjänsten. Klicka på OK.