ERİŞİM REDDİ - CIFS için kısıtlı yetkilendirme başarısız

Orta düzey bir sunucuda ağ paylaşımlarını kullanan bir hizmete erişirken, kullanıcılardan kimlik bilgileri istenir ve sonunda bir erişim reddedildi hatasıyla karşılaşırlar. Bugünkü gönderide, birkaç vaka senaryosu sunacağız, nedenini belirleyeceğiz ve ardından CIFS için kısıtlı yetkilendirmenin Windows 10'da ACCESS_DENIED hatasıyla neden başarısız olduğu sorununa olası geçici çözümleri sunacağız.

Ortak İnternet Dosya Sistemi (CIFS)(Common Internet File System (CIFS)) , ağ sunucusu dosyalarını ve hizmetlerini istemek için açık ve platformlar arası bir mekanizma sağlayan bir dosya paylaşım protokolüdür. CIFS , Microsoft'un (CIFS)İnternet(Internet) ve intranet dosya paylaşımı için Sunucu İleti Bloğu (SMB) protokolünün  geliştirilmiş sürümünü temel alır .

CIFS için kısıtlı yetkilendirme Windows'ta başarısız oluyor

CIFS için kısıtlı yetkilendirme Windows'ta(Windows) başarısız oluyor

Kullanıcıdan kimlik bilgileri istenirse ve aşağıdaki üç senaryoya dayalı olarak erişim reddedildi hatasıyla erişim başarısız olursa bu sorunla karşılaşabilirsiniz.

Senaryo 1(Scenario 1)

  • IIS web sitesi , doğrudan geçişli kimlik doğrulama ve CIFS için yapılandırılmış kısıtlı yetkilendirme kullanılarak uzak paylaşıma işaret eden giriş dizini ile kurulur .
  • Bu paylaşıma erişen IIS uygulama havuzu, hizmet hesabının kimliği altında çalışıyor.
  • Etki alanı hesabına, dosya sunucusundaki CIFS hizmeti için yetkilendirme için güvenilir .

Senaryo 2(Scenario 2)

  • Web uygulaması, kullanıcı olarak bir dosya sunucusuna erişmeye çalışıyor.
  • Bu paylaşıma erişen IIS uygulama havuzu, hizmet hesabının kimliği altında çalışır. (IIS)Etki alanı hesabına, dosya sunucusundaki CIFS hizmeti için yetkilendirme için güvenilir .
  • CIFS için yapılandırılan kısıtlı yetkilendirme , dosya sunucusunun hizmet hesabında yapılandırılır.

Senaryo 3(Scenario 3)

  • Bir istemciden erişilen herhangi bir sunucu tarafı uygulaması, bir kullanıcı olarak uzak paylaşımlara erişiyor.
  • Sunucu tarafı uygulama, bir hizmet hesabı bağlamında çalışıyor.
  • Hizmet hesabına yetkilendirme için güvenilir ve dosya sunucusu için CIFS (Service)yetkilendirmesi(CIFS) için yapılandırılır.

Bu, kısıtlı yetkilendirme söz konusu olduğunda MrxSmb 2.0 ve Kerberos arasında bir sorun olarak tanımlanmıştır .

Bu sorunu çözmek için Microsoft iki geçici çözüm sunar.

Geçici Çözüm 1

CIFS için kısıtlı yetkilendirme gerçekleştirecek uygulamalar için kimlik olarak hizmet hesabı yerine bir makine hesabı kullanın . Etki alanı işlev düzeyi Windows Server 2003 , Windows Server 2008 veya Windows Server 2008 R2 olduğunda kısıtlı yetkilendirmeyi yapılandırın.

Bunu web sunucuları etki alanınız için etki alanı denetleyicisinde yapmak için aşağıdakileri yapın:

  • Başlat Start > Administrative Tools > Active Directory Kullanıcıları ve Bilgisayarları'nı(Active Directory Users and Computers) tıklayın .
  • Etki alanını genişletin(Expand) ve ardından Bilgisayarlar(Computers) klasörünü genişletin.
  • Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler(Properties) öğesini seçin ve ardından  Temsilci(Delegation)  sekmesine tıklayın.
  • Yalnızca  belirtilen hizmetlere delegasyon için bu bilgisayara güven(Trust this computer for delegation to specified services only) onay kutusunu seçin.
  • Yalnızca Kerberos'u kullan'ın(Use Kerberos only)  seçili  olduğundan emin olun  ve ardından Tamam'ı(OK) tıklayın .
  • Ekle düğmesini(Add button) tıklayın  .
  • Hizmet (Services)Ekle(Add)  iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın  ve  ardından kullanıcının kimlik bilgilerini (Users or Computers)IIS'den(IIS) alacak dosya sunucusuna gidin veya adını girin .
  • Tamam'ı(OK) tıklayın  .
  • Kullanılabilir  Hizmetler(Services)  listesinde  CIFS(Available) hizmetini seçin .(CIFS)
  • Tamam'ı(OK) tıklayın  .

Geçici Çözüm 2

Bu geçici çözüm, bilgisayar hesabında herhangi bir kimlik doğrulama protokolü delegasyonu kullanılmasını(Use) gerektirdiğinden  önerilmez . (not recommended)Herhangi  bir kimlik doğrulama protokolü kullan(Use any authentication protocol)  seçeneği belirlenirse hesap, protokol geçişi ile kısıtlı yetkilendirme kullanıyor.

Uygulamaların kimliğini bir hizmet hesabı ve/veya etki alanı hesabı olarak kullanmanız gerekiyorsa aşağıdakileri yapın:

Aşama 1(Step 1)

  • Başlat > (Start )Administrative Tools >  Active  Directory Kullanıcıları ve Bilgisayarları'nı(Active Directory Users and Computers) tıklayın .
  • Etki alanını genişletin(Expand) ve ardından Bilgisayarlar(Computers) klasörünü genişletin.
  • Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler(Properties) öğesini seçin ve ardından  Temsilci(Delegation)  sekmesine tıklayın.
  • Yalnızca  belirtilen hizmetlere delegasyon için bu bilgisayara güven(Trust this computer for delegation to specified services) onay kutusunu seçin.
  • Herhangi bir kimlik doğrulama protokolünü kullan'ın(Use any authentication protocol) seçili olduğundan emin olun  .
  • Tamam'ı(OK) tıklayın .
  • Ekle düğmesini(Add button) tıklayın  .
  • Hizmet (Services)Ekle(Add)  iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın  ve  ardından kullanıcının kimlik bilgilerini (Users or Computers)IIS'den(IIS) alacak dosya sunucusuna gidin veya adını girin .
  • Tamam'ı(OK) tıklayın  .
  • Kullanılabilir  Hizmetler(Services)  listesinde CIFS (Available) hizmetini(CIFS service) seçin .
  • Tamam'ı(OK) tıklayın  .

Adım 2(Step 2)

  • Sol bölmede, Kullanıcılar klasörünü genişletin.
  • Sağ bölmede, uygulama havuzunun kimliği olan hizmet hesabına sağ tıklayın,  Özellikler(Properties) öğesini seçin ve ardından  Temsilci(Delegation)  sekmesine tıklayın.
  • Yalnızca  belirtilen hizmetlere delegasyon için bu bilgisayara güven(Trust this computer for delegation to specified services only) onay kutusunu seçin.
  • Yalnızca Kerberos Kullan'ın(Use Kerberos only) seçili olduğundan emin olun  .
  • Tamam'ı(OK) tıklayın .
  • Ekle düğmesini(Add button) tıklayın  .
  • Hizmet (Services)Ekle(Add)  iletişim kutusunda, Kullanıcılar veya Bilgisayarlar öğesine tıklayın  ve ardından kullanıcının kimlik bilgilerini (Users or Computers)IIS'den(IIS) alacak dosya sunucusuna gidin veya adını girin .
  • Tamam'ı(OK) tıklayın  .
  • Kullanılabilir  Hizmetler(Services)  listesinde CIFS (Available) hizmetini(CIFS service) seçin .
  • Tamam'ı(OK) tıklayın  .

Umarım bu yazı yardımcı olur.(Hope this post helps.)



About the author

Ben bir bilgisayar uzmanıyım ve iOS cihazlarında uzmanım. 2009'dan beri insanlara yardım ediyorum ve Apple ürünleriyle olan deneyimim, onların teknoloji ihtiyaçlarına yardımcı olmak için beni mükemmel bir insan yapıyor. Becerilerim şunları içerir: - iPhone'ları ve iPod'ları onarma ve yükseltme - Apple yazılımını yükleme ve kullanma - İnsanların iPhone'ları ve iPod'ları için en iyi uygulamaları bulmalarına yardımcı olma - Çevrimiçi projeler üzerinde çalışma



Related posts