PÄÄSY ESTETTY - CIFS:n rajoitettu delegointi epäonnistuu
Käyttäessään palvelua, joka käyttää verkko-osuuksia keskitason palvelimella, käyttäjiä pyydetään antamaan valtuustietoja, ja lopulta he kohtaavat pääsy estetty -virheen. Tämän päivän viestissä esittelemme pari tapausskenaariota, tunnistamme syyn ja tarjoamme sitten mahdolliset kiertotavat ongelmaan, miksi CIFS :n rajoitettu delegointi epäonnistuu ACCESS_DENIED- virheen vuoksi Windows 10:ssä.
Common Internet File System (CIFS) on tiedostonjakoprotokolla, joka tarjoaa avoimen ja eri alustojen välisen mekanismin verkkopalvelintiedostojen ja -palveluiden pyytämiseen. CIFS perustuu Microsoftin Server Message Block (SMB) -protokollan parannettuun versioon Internet- ja intranet-tiedostojen jakamiseen.
CIFS :n rajoitettu delegointi epäonnistuu Windowsissa(Windows)
Saatat kohdata tämän ongelman, jos käyttäjää pyydetään antamaan valtuustietoja, ja pääsy epäonnistuu lopulta pääsy estetty -virheen vuoksi seuraavien kolmen skenaarion perusteella.
Skenaario 1(Scenario 1)
- IIS - verkkosivusto on määritetty siten, että kotihakemisto osoittaa etäjakoon käyttämällä läpivientitodennusta ja CIFS :ää varten määritettyä rajoitettua delegointia .
- Tätä jaettua osaa käyttävä IIS - sovelluspooli toimii palvelutilin identiteetin alla.
- Toimialuetiliin luotetaan tiedostopalvelimen CIFS -palvelun delegointia varten.(CIFS)
Skenaario 2(Scenario 2)
- Verkkosovellus yrittää käyttää tiedostopalvelinta käyttäjänä.
- IIS - sovelluspooli, joka käyttää kyseistä jakoa, toimii palvelutilin identiteetin alla. Toimialuetiliin luotetaan tiedostopalvelimen CIFS -palvelun delegointia varten.(CIFS)
- CIFS : lle määritetty rajoitettu delegointi on määritetty tiedostopalvelimen palvelutilille.
Skenaario 3(Scenario 3)
- Kaikki palvelinpuolen sovellukset, joita käytetään asiakkaasta, käyttävät etäjakeita käyttäjänä.
- Palvelinpuolen sovellus toimii palvelutilin yhteydessä.
- Palvelutili(Service) on luotettu delegoinnissa ja määritetty CIFS - delegointia varten tiedostopalvelimelle.
Tämä on tunnistettu ongelmaksi MrxSmb 2.0 :n ja Kerberosin(Kerberos) välillä, kun kyseessä on rajoitettu delegointi.
Tämän ongelman ratkaisemiseksi Microsoft tarjoaa kaksi kiertotapaa.
Ratkaisu 1
Käytä konetiliä palvelutilin sijaan identiteettinä sovelluksille, jotka suorittavat rajoitetun delegoinnin CIFS :lle . Määritä rajoitettu delegointi, kun toimialueen toimintataso on Windows Server 2003 , Windows Server 2008 tai Windows Server 2008 R2.
Voit tehdä tämän verkkopalvelinverkkotunnuksesi toimialueen ohjaimella seuraavasti:
- Napsauta Start > Administrative Tools > Active Directory - käyttäjät ja tietokoneet(Active Directory Users and Computers) .
- Laajenna(Expand) toimialue ja laajenna sitten Tietokoneet(Computers) - kansio.
- Napsauta oikeanpuoleisessa ruudussa verkkopalvelimen tietokoneen nimeä hiiren kakkospainikkeella, valitse Ominaisuudet(Properties) ja napsauta sitten Delegointi(Delegation) - välilehteä.
- Valitse Luota tähän tietokoneeseen delegoitavaksi vain tiettyihin palveluihin(Trust this computer for delegation to specified services only) -valintaruutu.
- Varmista, että Käytä vain Kerberosta(Use Kerberos only) on valittuna, ja napsauta sitten OK .
- Napsauta Lisää-painiketta(Add button) .
- Napsauta Lisää(Add) palveluja -valintaikkunassa Käyttäjät tai Tietokoneet (Users or Computers)ja(Services) selaa sitten tiedostopalvelimeen tai kirjoita sen nimi, joka vastaanottaa käyttäjän tunnistetiedot IIS :stä .
- Napsauta OK .
- Valitse Käytettävissä olevat(Available) palvelut -luettelosta(Services) CIFS- palvelu(CIFS) .
- Napsauta OK .
Ratkaisu 2
Tätä kiertotapaa ei suositella(not recommended) , koska se vaatii Käytä(Use) mitä tahansa todennusprotokollan delegointia tietokonetilillä. Jos Käytä mitä tahansa todennusprotokollaa(Use any authentication protocol) -vaihtoehto on valittuna, tili käyttää rajoitettua delegointia protokollan siirrolla.
Jos sinun on käytettävä sovellusten identiteettiä palvelutilinä ja/tai toimialueen tilinä, toimi seuraavasti:
Vaihe 1(Step 1)
- Napsauta Käynnistä(Start ) > Administrative Tools > Active Directory - käyttäjät ja tietokoneet(Active Directory Users and Computers) .
- Laajenna(Expand) toimialue ja laajenna sitten Tietokoneet(Computers) - kansio.
- Napsauta oikeanpuoleisessa ruudussa verkkopalvelimen tietokoneen nimeä hiiren kakkospainikkeella, valitse Ominaisuudet(Properties) ja napsauta sitten Delegointi(Delegation) - välilehteä.
- Valitse Luota tähän tietokoneeseen delegoitavaksi vain tiettyihin palveluihin(Trust this computer for delegation to specified services) -valintaruutu.
- Varmista, että Käytä mitä tahansa todennusprotokollaa(Use any authentication protocol) on valittuna.
- Napsauta OK .
- Napsauta Lisää-painiketta(Add button) .
- Napsauta Lisää(Add) palveluja -valintaikkunassa Käyttäjät tai Tietokoneet (Users or Computers)ja(Services) selaa sitten tiedostopalvelimeen tai kirjoita sen nimi, joka vastaanottaa käyttäjän tunnistetiedot IIS :stä .
- Napsauta OK .
- Valitse Käytettävissä olevat(Available) palvelut -luettelosta(Services) CIFS- palvelu(CIFS service) .
- Napsauta OK .
Vaihe 2(Step 2)
- Laajenna vasemmassa ruudussa Käyttäjät-kansio.
- Napsauta oikeanpuoleisessa ruudussa hiiren kakkospainikkeella palvelutiliä, joka on sovellusvarannon identiteetti, valitse Ominaisuudet(Properties) ja napsauta sitten Delegointi(Delegation) - välilehteä.
- Valitse Luota tähän tietokoneeseen delegoitavaksi vain tiettyihin palveluihin(Trust this computer for delegation to specified services only) -valintaruutu.
- Varmista, että Käytä vain Kerberosta(Use Kerberos only) on valittuna.
- Napsauta OK .
- Napsauta Lisää-painiketta(Add button) .
- Napsauta Lisää(Add) palveluja -valintaikkunassa Käyttäjät tai Tietokoneet (Users or Computers)ja(Services) selaa sitten tiedostopalvelimeen tai kirjoita sen nimi, joka vastaanottaa käyttäjän tunnistetiedot IIS :stä .
- Napsauta OK .
- Valitse Käytettävissä olevat(Available) palvelut -luettelosta(Services) CIFS- palvelu(CIFS service) .
- Napsauta OK .
Toivottavasti tämä viesti auttaa.(Hope this post helps.)
About the author
Olen ohjelmistosuunnittelija ja Windows 10 -asiantuntija. Minulla on yli kahden vuoden kokemus älypuhelimien, Windows 10:n ja Microsoft Edgein kanssa työskentelystä. Pääpaino on saada laitteesi toimimaan paremmin ja nopeammin. Olen työskennellyt erilaisissa projekteissa yrityksille, kuten Verizon, IMac, HP, Comcast ja monet muut. Olen myös sertifioitu ohjaaja Microsoft Azure -pilvikoulutuksessa.
Related posts
Korjaa Error 1005 Access Denied -viesti vieraillessasi verkkosivustoilla
DHCP-asiakaspalvelu antaa Access Denied -virheen Windows 11/10:ssä
Pääsy kielletty -virhesanoman mukauttaminen Windows 10:ssä
Pääsy kielletty. Sinulla ei ole käyttöoikeuksia tälle palvelimelle
Korjaa Access Control Entry on vioittunut virhe Windows 10:ssä
Avaa Muistio järjestelmänvalvojana välttääksesi "Pääsy estetty"
Jotain meni pieleen. Sammuta virustorjuntaohjelmisto, 0x8007045d
IPersistFile Tallennus epäonnistui, koodi 0x80070005, pääsy on estetty
Käyttöoikeus on estetty, tiedosto saattaa olla käytössä tai jakamisvirheiden korjaaminen Windowsissa
Korjaa ShellExecuteEx epäonnistui virhe Windows 11/10:ssä
Poista Access Denied -virhe käytettäessä tiedostoja tai kansioita Windowsissa
Kiellettyjen rajoitettujen kansioiden käyttäminen Windows 11/10:ssä
Korjaa sovellusvirhe 0xc0150004 Windows 11/10:ssä
Korjaa Arkisto on joko tuntemattomassa muodossa tai vioittunut virhe
Ajuri havaitsi sisäisen ohjainvirheen DeviceVBoxNetLwf:ssä
Windows ei voi vahvistaa digitaalista allekirjoitusta (koodi 52)
Oho! Emme voineet tallentaa sitä - Windows Photos App
Korjaa Windows Installer Access Denied -virhe
Korjaa Bdeunlock.exe huono kuva, järjestelmävirhe tai ei vastaa -virheet
Korjaa Logitech Setpoint Runtime -virhe Windows 10:ssä