ACCESSO NEGATO - La delega vincolata per CIFS non riesce

Durante l'accesso a un servizio che utilizza condivisioni di rete su un server di livello intermedio, agli utenti vengono richieste le credenziali e alla fine riscontrano un errore di accesso negato. Nel post di oggi, presenteremo un paio di scenari di casi, identificheremo la causa e quindi forniremo le possibili soluzioni alternative al problema del motivo per cui la delega vincolata per CIFS non riesce con l'errore ACCESS_DENIED in Windows 10.

Common Internet File System (CIFS) è un protocollo di condivisione file che fornisce un meccanismo aperto e multipiattaforma per la richiesta di file e servizi  del server di rete . (network server)CIFS  si basa sulla versione avanzata del protocollo Server Message Block ( SMB ) di Microsoft per la condivisione di file su Internet e Intranet(Internet and intranet file sharing) .

La delega vincolata per CIFS non riesce in Windows

La delega vincolata per CIFS non riesce in Windows

È possibile che si verifichi questo problema se all'utente vengono richieste le credenziali e l'accesso alla fine non riesce con un errore di accesso negato in base ai tre scenari seguenti.

scenario 1

  • Il sito Web IIS(IIS website) è configurato con la directory home(home directory) che punta alla condivisione remota utilizzando l'autenticazione pass-through e la delega vincolata configurate per CIFS .
  • Il pool di applicazioni IIS(IIS application) che accede a tale condivisione è in esecuzione con l'identità dell'account del servizio(service account) .
  • L' account di dominio(domain account) è considerato attendibile per la delega per il servizio CIFS(CIFS service) sul file server .

Scenario 2

  • L' app Web(web app) sta tentando di accedere a un file server come utente.
  • Il pool di applicazioni IIS(IIS application) che accede a tale condivisione è in esecuzione con l'identità dell'account del servizio(service account) . L' account di dominio(domain account) è considerato attendibile per la delega per il servizio CIFS(CIFS service) sul file server .
  • La delega vincolata configurata per CIFS è configurata nell'account del servizio(service account) per il file server .

Scenario 3

  • Qualsiasi applicazione lato server a cui si accede da un client accede a condivisioni remote come utente.
  • L'applicazione lato server è in esecuzione nel contesto di un account di servizio(service account) .
  • L' account del servizio(Service account) è attendibile per la delega e configurato per la delega CIFS(CIFS delegation) per il file server .

Questo è stato identificato come un problema tra MrxSmb 2.0 e Kerberos quando è coinvolta la delega vincolata.

Per risolvere questo problema, Microsoft offre due soluzioni alternative.

Soluzione 1

Utilizzare un account macchina(machine account) invece di un account di servizio(service account) come identità per le applicazioni che eseguiranno la delega vincolata per CIFS . Configurare la delega vincolata quando il livello di funzionalità del dominio è Windows Server 2003 , Windows Server 2008 o Windows Server 2008 R2.

Per eseguire questa operazione sul controller di dominio(domain controller) per il dominio dei server Web, procedere come segue:

  • Fare clic su Start > Administrative Tools > Utenti e computer di Active Directory(Active Directory Users and Computers) .
  • Espandi dominio(Expand domain) , quindi espandi la cartella Computer .(Computers)
  • Nel riquadro di destra fare clic con il pulsante destro del mouse sul nome del computer(computer name) per il server Web, selezionare Proprietà(Properties) e quindi fare clic sulla   scheda Delega .(Delegation)
  • Selezionare la  casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services only)
  • Assicurati che  Usa solo Kerberos(Use Kerberos only)  sia selezionato, quindi fai  clic su OK .
  • Fare clic sul  pulsante Aggiungi(Add button) .
  • Nella  finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services)  fare clic su  Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del  file server  che riceverà le credenziali dell'utente da IIS .
  • Fare  clic su OK .
  • Nell'elenco  Servizi (Services)disponibili(Available)  , seleziona il  servizio CIFS(CIFS service) .
  • Fare  clic su OK .

Soluzione 2

Questa soluzione non è consigliata(not recommended) perché richiede l'  uso(Use) di una delega del protocollo di autenticazione nell'account del computer(computer account) . Se l'  opzione Usa qualsiasi protocollo di autenticazione(Use any authentication protocol)  è selezionata, l'account sta usando la delega vincolata con la transizione del protocollo.

Se devi utilizzare l'identità delle applicazioni come account di servizio(service account) e/o account di dominio(domain account) , procedi come segue:

Passo 1(Step 1)

  • Fare clic su StartAdministrative Tools > Utenti e computer di Active Directory(Active Directory Users and Computers) .
  • Espandi dominio(Expand domain) , quindi espandi la cartella Computer .(Computers)
  • Nel riquadro di destra fare clic con il pulsante destro del mouse sul nome del computer(computer name) per il server Web, selezionare Proprietà(Properties) e quindi fare clic sulla   scheda Delega .(Delegation)
  • Selezionare la  casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services)
  • Assicurati che  Usa qualsiasi protocollo di autenticazione(Use any authentication protocol) sia selezionato.
  • Fare clic su OK .
  • Fare clic sul  pulsante Aggiungi(Add button) .
  • Nella  finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services)  fare clic su  Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS .
  • Fare  clic su OK .
  • Nell'elenco  Servizi (Services)disponibili(Available)  , seleziona il servizio CIFS(CIFS service) .
  • Fare  clic su OK .

Passo 2(Step 2)

  • Nel riquadro di sinistra(left pane) , espandi la cartella Utenti.
  • Nel riquadro destro fare clic con il pulsante destro del mouse sull'account del servizio(service account) che rappresenta l'identità del pool di applicazioni(application pool) , selezionare  Proprietà(Properties) e quindi fare clic sulla   scheda Delega .(Delegation)
  • Selezionare la  casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services only)
  • Assicurati che  Usa solo Kerberos(Use Kerberos only) sia selezionato.
  • Fare clic su OK .
  • Fare clic sul  pulsante Aggiungi(Add button) .
  • Nella finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services)  fare clic su  Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS .
  • Fare  clic su OK .
  • Nell'elenco  Servizi (Services)disponibili(Available)  , seleziona il servizio CIFS(CIFS service) .
  • Fare  clic su OK .

Spero che questo post aiuti.(Hope this post helps.)



Caterina Mancini

About the author

Sono un ingegnere del software con esperienza in Xbox Explorer, Microsoft Excel e Windows 8.1 Explorer. Nel tempo libero mi piace giocare ai videogiochi e guardare la TV. Ho una laurea presso l'Università dello Utah e attualmente lavoro come ingegnere del software per un'azienda internazionale.


Related posts