ACCESSO NEGATO - La delega vincolata per CIFS non riesce
Durante l'accesso a un servizio che utilizza condivisioni di rete su un server di livello intermedio, agli utenti vengono richieste le credenziali e alla fine riscontrano un errore di accesso negato. Nel post di oggi, presenteremo un paio di scenari di casi, identificheremo la causa e quindi forniremo le possibili soluzioni alternative al problema del motivo per cui la delega vincolata per CIFS non riesce con l'errore ACCESS_DENIED in Windows 10.
Common Internet File System (CIFS) è un protocollo di condivisione file che fornisce un meccanismo aperto e multipiattaforma per la richiesta di file e servizi del server di rete . (network server)CIFS si basa sulla versione avanzata del protocollo Server Message Block ( SMB ) di Microsoft per la condivisione di file su Internet e Intranet(Internet and intranet file sharing) .
La delega vincolata per CIFS non riesce in Windows
È possibile che si verifichi questo problema se all'utente vengono richieste le credenziali e l'accesso alla fine non riesce con un errore di accesso negato in base ai tre scenari seguenti.
scenario 1
- Il sito Web IIS(IIS website) è configurato con la directory home(home directory) che punta alla condivisione remota utilizzando l'autenticazione pass-through e la delega vincolata configurate per CIFS .
- Il pool di applicazioni IIS(IIS application) che accede a tale condivisione è in esecuzione con l'identità dell'account del servizio(service account) .
- L' account di dominio(domain account) è considerato attendibile per la delega per il servizio CIFS(CIFS service) sul file server .
Scenario 2
- L' app Web(web app) sta tentando di accedere a un file server come utente.
- Il pool di applicazioni IIS(IIS application) che accede a tale condivisione è in esecuzione con l'identità dell'account del servizio(service account) . L' account di dominio(domain account) è considerato attendibile per la delega per il servizio CIFS(CIFS service) sul file server .
- La delega vincolata configurata per CIFS è configurata nell'account del servizio(service account) per il file server .
Scenario 3
- Qualsiasi applicazione lato server a cui si accede da un client accede a condivisioni remote come utente.
- L'applicazione lato server è in esecuzione nel contesto di un account di servizio(service account) .
- L' account del servizio(Service account) è attendibile per la delega e configurato per la delega CIFS(CIFS delegation) per il file server .
Questo è stato identificato come un problema tra MrxSmb 2.0 e Kerberos quando è coinvolta la delega vincolata.
Per risolvere questo problema, Microsoft offre due soluzioni alternative.
Soluzione 1
Utilizzare un account macchina(machine account) invece di un account di servizio(service account) come identità per le applicazioni che eseguiranno la delega vincolata per CIFS . Configurare la delega vincolata quando il livello di funzionalità del dominio è Windows Server 2003 , Windows Server 2008 o Windows Server 2008 R2.
Per eseguire questa operazione sul controller di dominio(domain controller) per il dominio dei server Web, procedere come segue:
- Fare clic su Start > Administrative Tools > Utenti e computer di Active Directory(Active Directory Users and Computers) .
- Espandi dominio(Expand domain) , quindi espandi la cartella Computer .(Computers)
- Nel riquadro di destra fare clic con il pulsante destro del mouse sul nome del computer(computer name) per il server Web, selezionare Proprietà(Properties) e quindi fare clic sulla scheda Delega .(Delegation)
- Selezionare la casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services only)
- Assicurati che Usa solo Kerberos(Use Kerberos only) sia selezionato, quindi fai clic su OK .
- Fare clic sul pulsante Aggiungi(Add button) .
- Nella finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services) fare clic su Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS .
- Fare clic su OK .
- Nell'elenco Servizi (Services)disponibili(Available) , seleziona il servizio CIFS(CIFS service) .
- Fare clic su OK .
Soluzione 2
Questa soluzione non è consigliata(not recommended) perché richiede l' uso(Use) di una delega del protocollo di autenticazione nell'account del computer(computer account) . Se l' opzione Usa qualsiasi protocollo di autenticazione(Use any authentication protocol) è selezionata, l'account sta usando la delega vincolata con la transizione del protocollo.
Se devi utilizzare l'identità delle applicazioni come account di servizio(service account) e/o account di dominio(domain account) , procedi come segue:
Passo 1(Step 1)
- Fare clic su Start > Administrative Tools > Utenti e computer di Active Directory(Active Directory Users and Computers) .
- Espandi dominio(Expand domain) , quindi espandi la cartella Computer .(Computers)
- Nel riquadro di destra fare clic con il pulsante destro del mouse sul nome del computer(computer name) per il server Web, selezionare Proprietà(Properties) e quindi fare clic sulla scheda Delega .(Delegation)
- Selezionare la casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services)
- Assicurati che Usa qualsiasi protocollo di autenticazione(Use any authentication protocol) sia selezionato.
- Fare clic su OK .
- Fare clic sul pulsante Aggiungi(Add button) .
- Nella finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services) fare clic su Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS .
- Fare clic su OK .
- Nell'elenco Servizi (Services)disponibili(Available) , seleziona il servizio CIFS(CIFS service) .
- Fare clic su OK .
Passo 2(Step 2)
- Nel riquadro di sinistra(left pane) , espandi la cartella Utenti.
- Nel riquadro destro fare clic con il pulsante destro del mouse sull'account del servizio(service account) che rappresenta l'identità del pool di applicazioni(application pool) , selezionare Proprietà(Properties) e quindi fare clic sulla scheda Delega .(Delegation)
- Selezionare la casella di controllo Considera attendibile questo computer per la delega solo a servizi specificati .(Trust this computer for delegation to specified services only)
- Assicurati che Usa solo Kerberos(Use Kerberos only) sia selezionato.
- Fare clic su OK .
- Fare clic sul pulsante Aggiungi(Add button) .
- Nella finestra di dialogo (dialog box)Aggiungi (Add) servizi(Services) fare clic su Utenti o Computer(Users or Computers) , quindi individuare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS .
- Fare clic su OK .
- Nell'elenco Servizi (Services)disponibili(Available) , seleziona il servizio CIFS(CIFS service) .
- Fare clic su OK .
Spero che questo post aiuti.(Hope this post helps.)
Related posts
Fix Error 1005 Access Denied message Durante la visita di siti Web
DHCP Client Service dà Access Denied error in Windows 11/10
Come personalizzare il messaggio Access Denied error su Windows 10
Access Denied, non hai il permesso di accedere a questo server
Fix Access Control Entry è un errore corrotto in Windows 10
Windows non può avviare Service, Error 0x80070005, Access Is Denied
Fix Destination Folder Access Denied Error
MBR2GPT Impossibile abilitare i privilegi di backup / ripristino su Windows 10
Fix Windows Installer Access Denied Error
Apri Blocco note come amministratore per evitare "Accesso negato"
Remove Access Denied error Quando si accede a file o cartelle in Windows
operating system non può essere avviato a causa degli errori system driver
Come Fix Google Drive Access Denied Error
Setup non è stato in grado di creare un nuovo system partition error su Windows 10
L'applicazione non riesce a trovare Scanner - WIA_ERROR_OFFLINE, 0x80210005
Il conducente ha rilevato un interno driver error su \ Device \ VBoxNetLWF
Errore Event ID 158 - Disco identico GUIDs assignment in Windows 10
Error 2738, Could Non accesso VBScript runtime per custom action
Fix Microsoft Store Error 0x87AF0001
Come risolvere l'accesso è negato Windows 10