Orta düzey bir sunucuda ağ paylaşımlarını kullanan bir hizmete erişirken, kullanıcılardan kimlik bilgileri istenir ve sonunda bir erişim reddedildi hatasıyla karşılaşırlar. Bugünkü gönderide, birkaç vaka senaryosu sunacağız, nedenini belirleyeceğiz ve ardından CIFS için kısıtlı yetkilendirmenin Windows 10'da ACCESS_DENIED hatasıyla neden başarısız olduğu sorununa olası geçici çözümleri sunacağız.

Ortak İnternet Dosya Sistemi (CIFS)^{(Common Internet File System (CIFS))} , ağ sunucusu dosyalarını ve hizmetlerini istemek için açık ve platformlar arası bir mekanizma sağlayan bir dosya paylaşım protokolüdür. CIFS , Microsoft'un ^(CIFS)İnternet^(Internet) ve intranet dosya paylaşımı için Sunucu İleti Bloğu (SMB) protokolünün geliştirilmiş sürümünü temel alır .

CIFS için kısıtlı yetkilendirme Windows'ta başarısız oluyor

CIFS için kısıtlı yetkilendirme Windows'ta^(Windows) başarısız oluyor

Kullanıcıdan kimlik bilgileri istenirse ve aşağıdaki üç senaryoya dayalı olarak erişim reddedildi hatasıyla erişim başarısız olursa bu sorunla karşılaşabilirsiniz.

Senaryo 1^{(Scenario 1)}

IIS web sitesi , doğrudan geçişli kimlik doğrulama ve CIFS için yapılandırılmış kısıtlı yetkilendirme kullanılarak uzak paylaşıma işaret eden giriş dizini ile kurulur .
Bu paylaşıma erişen IIS uygulama havuzu, hizmet hesabının kimliği altında çalışıyor.
Etki alanı hesabına, dosya sunucusundaki CIFS hizmeti için yetkilendirme için güvenilir .

Senaryo 2^{(Scenario 2)}

Web uygulaması, kullanıcı olarak bir dosya sunucusuna erişmeye çalışıyor.
Bu paylaşıma erişen IIS uygulama havuzu, hizmet hesabının kimliği altında çalışır. ^(IIS)Etki alanı hesabına, dosya sunucusundaki CIFS hizmeti için yetkilendirme için güvenilir .
CIFS için yapılandırılan kısıtlı yetkilendirme , dosya sunucusunun hizmet hesabında yapılandırılır.

Senaryo 3^{(Scenario 3)}

Bir istemciden erişilen herhangi bir sunucu tarafı uygulaması, bir kullanıcı olarak uzak paylaşımlara erişiyor.
Sunucu tarafı uygulama, bir hizmet hesabı bağlamında çalışıyor.
Hizmet hesabına yetkilendirme için güvenilir ve dosya sunucusu için CIFS ^(Service)yetkilendirmesi^(CIFS) için yapılandırılır.

Bu, kısıtlı yetkilendirme söz konusu olduğunda MrxSmb 2.0 ve Kerberos arasında bir sorun olarak tanımlanmıştır .

Bu sorunu çözmek için Microsoft iki geçici çözüm sunar.

Geçici Çözüm 1

CIFS için kısıtlı yetkilendirme gerçekleştirecek uygulamalar için kimlik olarak hizmet hesabı yerine bir makine hesabı kullanın . Etki alanı işlev düzeyi Windows Server 2003 , Windows Server 2008 veya Windows Server 2008 R2 olduğunda kısıtlı yetkilendirmeyi yapılandırın.

Bunu web sunucuları etki alanınız için etki alanı denetleyicisinde yapmak için aşağıdakileri yapın:

Başlat Start > Administrative Tools > Active Directory Kullanıcıları ve Bilgisayarları'nı^{(Active Directory Users and Computers)} tıklayın .
Etki alanını genişletin^(Expand) ve ardından Bilgisayarlar^(Computers) klasörünü genişletin.
Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler^(Properties) öğesini seçin ve ardından Temsilci^(Delegation) sekmesine tıklayın.
Yalnızca belirtilen hizmetlere delegasyon için bu bilgisayara güven^{(Trust this computer for delegation to specified services only)} onay kutusunu seçin.
Yalnızca Kerberos'u kullan'ın^{(Use Kerberos only)} seçili olduğundan emin olun ve ardından Tamam'ı^(OK) tıklayın .
Ekle düğmesini^{(Add button)} tıklayın .
Hizmet ^(Services)Ekle^(Add) iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın ve ardından kullanıcının kimlik bilgilerini ^{(Users or Computers)}IIS'den^(IIS) alacak dosya sunucusuna gidin veya adını girin .
Tamam'ı^(OK) tıklayın .
Kullanılabilir Hizmetler^(Services) listesinde CIFS^(Available) hizmetini seçin .^(CIFS)
Tamam'ı^(OK) tıklayın .

Geçici Çözüm 2

Bu geçici çözüm, bilgisayar hesabında herhangi bir kimlik doğrulama protokolü delegasyonu kullanılmasını^(Use) gerektirdiğinden önerilmez . ^{(not recommended)}Herhangi bir kimlik doğrulama protokolü kullan^{(Use any authentication protocol)} seçeneği belirlenirse hesap, protokol geçişi ile kısıtlı yetkilendirme kullanıyor.

Uygulamaların kimliğini bir hizmet hesabı ve/veya etki alanı hesabı olarak kullanmanız gerekiyorsa aşağıdakileri yapın:

Aşama 1^{(Step 1)}

Başlat > ^{(Start )}Administrative Tools > Active Directory Kullanıcıları ve Bilgisayarları'nı^{(Active Directory Users and Computers)} tıklayın .
Etki alanını genişletin^(Expand) ve ardından Bilgisayarlar^(Computers) klasörünü genişletin.
Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler^(Properties) öğesini seçin ve ardından Temsilci^(Delegation) sekmesine tıklayın.
Yalnızca belirtilen hizmetlere delegasyon için bu bilgisayara güven^{(Trust this computer for delegation to specified services)} onay kutusunu seçin.
Herhangi bir kimlik doğrulama protokolünü kullan'ın^{(Use any authentication protocol)} seçili olduğundan emin olun .
Tamam'ı^(OK) tıklayın .
Ekle düğmesini^{(Add button)} tıklayın .
Hizmet ^(Services)Ekle^(Add) iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın ve ardından kullanıcının kimlik bilgilerini ^{(Users or Computers)}IIS'den^(IIS) alacak dosya sunucusuna gidin veya adını girin .
Tamam'ı^(OK) tıklayın .
Kullanılabilir Hizmetler^(Services) listesinde CIFS ^(Available) hizmetini^{(CIFS service)} seçin .
Tamam'ı^(OK) tıklayın .

Adım 2^{(Step 2)}

Sol bölmede, Kullanıcılar klasörünü genişletin.
Sağ bölmede, uygulama havuzunun kimliği olan hizmet hesabına sağ tıklayın, Özellikler^(Properties) öğesini seçin ve ardından Temsilci^(Delegation) sekmesine tıklayın.
Yalnızca belirtilen hizmetlere delegasyon için bu bilgisayara güven^{(Trust this computer for delegation to specified services only)} onay kutusunu seçin.
Yalnızca Kerberos Kullan'ın^{(Use Kerberos only)} seçili olduğundan emin olun .
Tamam'ı^(OK) tıklayın .
Ekle düğmesini^{(Add button)} tıklayın .
Hizmet ^(Services)Ekle^(Add) iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın ve ardından kullanıcının kimlik bilgilerini ^{(Users or Computers)}IIS'den^(IIS) alacak dosya sunucusuna gidin veya adını girin .
Tamam'ı^(OK) tıklayın .
Kullanılabilir Hizmetler^(Services) listesinde CIFS ^(Available) hizmetini^{(CIFS service)} seçin .
Tamam'ı^(OK) tıklayın .

Umarım bu yazı yardımcı olur.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a servіce thаt uses network shares on а middle-tier sеrver, users are prompted for credentials, and they eventuallу encounter an accesѕ denied error. In todaу’s post, we will present a couple оf case scenarios, identify the cause and then provide the poѕsible workarounds to the issue of why constrained delegation fоr CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
The IIS application pool accessing that share is running under the identity of the service account.
The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

The web app is trying to access a file server as a user.
The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

Any server-side application that’s being accessed from a client is accessing remote shares as a user.
The server-side application is running under the context of a service account.
The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected, and then click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use any authentication protocol is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Step 2

In the left pane, expand the Users folder.
In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Hope this post helps.

Eylül Özer

About the author

Ben bir bilgisayar uzmanıyım ve iOS cihazlarında uzmanım. 2009'dan beri insanlara yardım ediyorum ve Apple ürünleriyle olan deneyimim, onların teknoloji ihtiyaçlarına yardımcı olmak için beni mükemmel bir insan yapıyor. Becerilerim şunları içerir: - iPhone'ları ve iPod'ları onarma ve yükseltme - Apple yazılımını yükleme ve kullanma - İnsanların iPhone'ları ve iPod'ları için en iyi uygulamaları bulmalarına yardımcı olma - Çevrimiçi projeler üzerinde çalışma

ERİŞİM REDDİ - CIFS için kısıtlı yetkilendirme başarısız

CIFS için kısıtlı yetkilendirme Windows'ta^(Windows) başarısız oluyor

Geçici Çözüm 1

Geçici Çözüm 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Eylül Özer

About the author

Related posts

Fix Error 1005 Access Denied message ziyaret ederken web siteleri

DHCP Client Service Access Denied error Windows 11/10'da veriyor

Windows 10'da Access Denied error mesajını nasıl özelleştirirsiniz

Access Denied, bu sunucuya erişme izniniz yok

Fix Access Control Entry Windows 10'de Bozuk Hata

Fix Microsoft Store Error 0x87AF0001

Event ID 158 HATA - Windows 10'de GUIDs assignment'ler

Bir şey anti-virus software, 0x8007045D kapalı, Turn ters gitti

Error 2738, Could custom action için VBScript runtime erişimi değil

Sürücü, \ Cihaz \ VBOBOXNETLWF'de bir dahili driver error algıladı

Bu özellik çıkarılabilir medya gerektirir - Password Sıfırlama hatası

Setup, Windows 10'da yeni bir system partition error oluşturulamadı

Erişim Reddedildi Windows 10 Nasıl Onarılır

Windows 10'da Fix Logitech Setpoint Runtime error

operating system, system driver hataları nedeniyle önyüklenemez

Access Is Denied Windows 10'de Access Is Denied ise Nasıl Açılır

Nasıl Fix Google Drive Access Denied Error

Fix ShellExecuteEx başarısız oldu; Windows10'de Kod error 8235

Windows Service, Error 0x80070005, Access Is Denied başlatılamadı

Fix, Windows 10 steamui.dll hatayı yüklenemedi

ERİŞİM REDDİ - CIFS için kısıtlı yetkilendirme başarısız

CIFS için kısıtlı yetkilendirme Windows'ta(Windows) başarısız oluyor

Geçici Çözüm 1

Geçici Çözüm 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Eylül Özer

About the author

Related posts

Fix Error 1005 Access Denied message ziyaret ederken web siteleri

DHCP Client Service Access Denied error Windows 11/10'da veriyor

Windows 10'da Access Denied error mesajını nasıl özelleştirirsiniz

Access Denied, bu sunucuya erişme izniniz yok

Fix Access Control Entry Windows 10'de Bozuk Hata

Fix Microsoft Store Error 0x87AF0001

Event ID 158 HATA - Windows 10'de GUIDs assignment'ler

Bir şey anti-virus software, 0x8007045D kapalı, Turn ters gitti

Error 2738, Could custom action için VBScript runtime erişimi değil

Sürücü, \ Cihaz \ VBOBOXNETLWF'de bir dahili driver error algıladı

Bu özellik çıkarılabilir medya gerektirir - Password Sıfırlama hatası

Setup, Windows 10'da yeni bir system partition error oluşturulamadı

Erişim Reddedildi Windows 10 Nasıl Onarılır

Windows 10'da Fix Logitech Setpoint Runtime error

operating system, system driver hataları nedeniyle önyüklenemez

Access Is Denied Windows 10'de Access Is Denied ise Nasıl Açılır

Nasıl Fix Google Drive Access Denied Error

Fix ShellExecuteEx başarısız oldu; Windows10'de Kod error 8235

Windows Service, Error 0x80070005, Access Is Denied başlatılamadı

Fix, Windows 10 steamui.dll hatayı yüklenemedi

CIFS için kısıtlı yetkilendirme Windows'ta^(Windows) başarısız oluyor