CIFS 的限制委派失敗,並顯示 ACCESS_DENIED 錯誤
本文有助於修正 存取拒絕 存取錯誤,當您存取使用仲介層伺服器上網路共用的服務時所發生的錯誤。
原始 KB 編號: 2602377
徵兆
存取在仲介層伺服器上使用網路共享的服務時,系統會提示使用者輸入認證,最後遇到 拒絕 存取錯誤。
範例案例
案例 1
系統會提示使用者輸入認證,如果下列條件成立,存取最終會失敗,並出現拒絕存取錯誤:
- IIS 網站會使用指向遠端共用的主目錄來設定,並使用針對 CIFS 設定的傳遞驗證和限制委派。
- 存取該共用的 IIS 應用程式集區正在服務帳戶的身分識別下執行。
- 網域帳戶受信任,以便委派文件伺服器上的 cifs 服務。
- 檔伺服器和網頁伺服器正在執行 [套用至] 區段中所列的操作系統。
案例 2
- Web 應用程式正嘗試以使用者身分存取檔案伺服器。
- 存取共用的 IIS 應用程式集區是在服務帳戶的身分識別下執行。 網域帳戶受信任,以便委派文件伺服器上的 cifs 服務。
- 針對 CIFS 設定的限制委派是在檔伺服器的服務帳戶上設定。
- 檔案伺服器和網頁伺服器類型會列在 [套用至] 區段中。
案例 3:
- 從用戶端存取的任何伺服器端應用程式,都是以使用者身分存取遠端共用。
- 伺服器端應用程式是在服務帳戶的內容下執行。
- 服務帳戶可信任委派,並針對文件伺服器設定 CIFS 委派。
- 檔案伺服器和網頁伺服器類型會列在 [套用至] 區段中。
原因
當涉及限制委派時,這已識別為 MrxSmb 2.0 與 Kerberos 之間的問題。
因應措施
因應措施 1
使用電腦帳戶而非服務帳戶作為將針對 CIFS 執行限制委派的應用程式身分識別。 當網域功能等級為 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 時,請設定限制委派。
若要在網頁伺服器網域的域控制器上執行此動作,請遵循下列步驟:
- 依序按一下 [開始]、[系統管理工具] 及 [Active Directory 使用者和電腦]。
- 展開網域,然後再展開 [電腦] 資料夾。
- 在右窗格中,以滑鼠右鍵按下網頁伺服器的計算機名稱,選取 [屬性],然後按兩下 [委派] 索引標籤。
- 選取 [信任這部計算機僅委派至指定的服務] 複選框。
- 請確定只選取 [使用 Kerberos],然後按兩下 [確定]。
- 按一下 [新增] 按鈕。 在 [新增服務] 對話框中,按兩下 [使用者或計算機],然後流覽至或輸入將從 IIS 接收使用者認證的檔案伺服器名稱。 按一下 [確定]。
- 在 [可用的服務] 列表中,選取 CIFS 服務。 按一下 [確定]。
因應措施 2
如果您必須使用應用程式的身分識別作為服務帳戶和/或網域帳戶,請使用下列因應措施。
注意
不建議使用此因應措施,因為它需要在計算機帳戶上使用任何驗證通訊協定委派。 如果選取 [ 使用任何驗證通訊協定 ] 選項,則帳戶會搭配通訊協議轉換使用限制委派。
- 依序按一下 [開始]、[系統管理工具] 及 [Active Directory 使用者和電腦]。
- 展開網域,然後再展開 [電腦] 資料夾。
- 在右窗格中,以滑鼠右鍵按下網頁伺服器的計算機名稱,選取 [屬性],然後按兩下 [委派] 索引標籤。
- 選取 [信任這部計算機僅委派至指定的服務] 複選框。
- 請確定已選取 [使用任何驗證通訊協定],然後按兩下 [確定]。
- 按一下 [新增] 按鈕。 在 [新增服務] 對話框中,按兩下 [使用者或計算機],然後流覽至或輸入將從 IIS 接收使用者認證的檔案伺服器名稱。 按一下 [確定]。
- 在 [可用的服務] 列表中,選取 CIFS 服務。 按一下 [確定]。
- 在左窗格中,展開 [使用者] 資料夾。
- 在右窗格中,以滑鼠右鍵按兩下應用程式集區身分識別的服務帳戶,選取 [屬性],然後按兩下 [委派] 索引卷標。
- 選取 [信任這部計算機僅委派至指定的服務] 複選框。
- 請確定只選取 [使用 Kerberos],然後按兩下 [確定]。
- 按一下 [新增] 按鈕。 在 [新增服務] 對話框中,按兩下 [使用者或計算機],然後流覽至或輸入將從 IIS 接收使用者認證的檔案伺服器名稱。 按一下 [確定]。
- 在 [可用的服務] 列表中,選取 CIFS 服務。 按一下 [確定] 。