ACCESS DENIED - Falha na delegação restrita para CIFS
Ao acessar um serviço que usa compartilhamentos de rede em um servidor de camada intermediária, os usuários são solicitados a fornecer credenciais e, eventualmente, encontram um erro de acesso negado. Na postagem de hoje, apresentaremos alguns cenários de casos, identificaremos a causa e forneceremos as possíveis soluções alternativas para o problema de por que a delegação restrita para CIFS falha com o erro ACCESS_DENIED no Windows 10.
O Common Internet File System (CIFS)(Common Internet File System (CIFS)) é um protocolo de compartilhamento de arquivos que fornece um mecanismo aberto e multiplataforma para solicitar arquivos e serviços do servidor de rede. O CIFS(CIFS) é baseado na versão aprimorada do protocolo SMB (Server Message Block) da Microsoft para compartilhamento de arquivos na Internet e na intranet.
A delegação restrita para CIFS falha no Windows
Você pode encontrar esse problema se o usuário for solicitado a fornecer credenciais e o acesso eventualmente falhar com um erro de acesso negado com base nos três cenários a seguir.
Cenário 1(Scenario 1)
- O site do IIS é configurado com o diretório inicial apontando para o compartilhamento remoto usando autenticação de passagem e delegação restrita configurada para CIFS .
- O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado com a identidade da conta de serviço.
- A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.
Cenário 2(Scenario 2)
- O aplicativo Web está tentando acessar um servidor de arquivos como usuário.
- O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado sob a identidade da conta de serviço. A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.
- A delegação restrita configurada para CIFS é configurada na conta de serviço do servidor de arquivos.
Cenário 3(Scenario 3)
- Qualquer aplicativo do lado do servidor que está sendo acessado de um cliente está acessando compartilhamentos remotos como usuário.
- O aplicativo do lado do servidor está sendo executado no contexto de uma conta de serviço.
- A conta de serviço(Service) é confiável para delegação e configurada para delegação CIFS para o servidor de arquivos.
Isso foi identificado como um problema entre MrxSmb 2.0 e Kerberos quando a delegação restrita está envolvida.
Para resolver esse problema, a Microsoft oferece duas soluções alternativas.
Solução alternativa 1
Use uma conta de máquina em vez de uma conta de serviço como a identidade para aplicativos que executarão delegação restrita para CIFS . Configure a delegação restrita quando o nível funcional do domínio for Windows Server 2003 , Windows Server 2008 ou Windows Server 2008 R2.
Para fazer isso no controlador de domínio do domínio dos servidores da Web, faça o seguinte:
- Clique em Start > Administrative Tools > Usuários e Computadores do Active Directory(Active Directory Users and Computers) .
- Expanda(Expand) domínio e, em seguida, expanda a pasta Computadores .(Computers)
- No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades(Properties) e clique na guia Delegação .(Delegation)
- Marque a caixa de seleção Confiar neste computador para delegação apenas a serviços especificados(Trust this computer for delegation to specified services only) .
- Certifique-se de que Usar apenas Kerberos(Use Kerberos only) esteja selecionado e clique em OK .
- Clique no botão Adicionar(Add button) .
- Na caixa de diálogo Adicionar (Add) serviços(Services) , clique em Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
- Clique em OK(OK) .
- Na lista Serviços (Services)Disponíveis(Available) , selecione o serviço CIFS .
- Clique em OK(OK) .
Solução alternativa 2
Essa solução alternativa não é recomendada(not recommended) porque requer usar(Use) qualquer delegação de protocolo de autenticação na conta do computador. Se a opção Usar qualquer protocolo de autenticação(Use any authentication protocol) estiver selecionada, a conta está usando delegação restrita com transição de protocolo.
Se você precisar usar a identidade dos aplicativos como uma conta de serviço e/ou conta de domínio, faça o seguinte:
Passo 1(Step 1)
- Clique em Iniciar(Start ) > Administrative Tools > Usuários e Computadores do Active Directory(Active Directory Users and Computers) .
- Expanda(Expand) domínio e, em seguida, expanda a pasta Computadores .(Computers)
- No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades(Properties) e clique na guia Delegação .(Delegation)
- Marque a caixa de seleção Confiar neste computador para delegação(Trust this computer for delegation to specified services) apenas a serviços especificados.
- Certifique-se de que Usar qualquer protocolo de autenticação(Use any authentication protocol) esteja selecionado.
- Clique em OK(OK) .
- Clique no botão Adicionar(Add button) .
- Na caixa de diálogo Adicionar (Add) serviços(Services) , clique em Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
- Clique em OK(OK) .
- Na lista Serviços (Services)Disponíveis(Available) , selecione o serviço CIFS(CIFS service) .
- Clique em OK(OK) .
Passo 2(Step 2)
- No painel esquerdo, expanda a pasta Usuários.
- No painel direito, clique com o botão direito do mouse na conta de serviço que é a identidade do pool de aplicativos, selecione Propriedades(Properties) e clique na guia Delegação .(Delegation)
- Marque a caixa de seleção Confiar neste computador para delegação apenas a serviços especificados(Trust this computer for delegation to specified services only) .
- Certifique-se de que Usar apenas Kerberos(Use Kerberos only) esteja selecionado.
- Clique em OK(OK) .
- Clique no botão Adicionar(Add button) .
- Na caixa de diálogo Adicionar (Add) serviços(Services) , clique em Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
- Clique em OK(OK) .
- Na lista Serviços (Services)Disponíveis(Available) , selecione o serviço CIFS(CIFS service) .
- Clique em OK(OK) .
Espero que este post ajude.(Hope this post helps.)
Related posts
Fix Error 1005 Access Denied message Enquanto visita sites
DHCP Client Service dá Access Denied error em Windows 11/10
Como personalizar a mensagem Access Denied error no Windows 10
Access Denied, você não tem permissão para acessar este servidor
Fix Access Control Entry é erro corrupto em Windows 10
Fix Destination Folder Access Denied Error
Fix Windows Installer Access Denied Error
Install Realtek HD Audio Driver Failure, Error OxC0000374 em Windows 10
Fix Crypt32.dll Não encontrado ou erro ausente em Windows 11/10
Fix ShellExecuteEx falhou; Código error 8235 em Windows10
Event ID 158 Erro - disco idêntico GUIDs assignment em Windows 10
Como Fix Google Drive Access Denied Error
Como corrigir o acesso negado, o arquivo pode estar em uso ou compartilhar erros de violação no Windows
Como corrigir Disk Signature Collision problem em Windows 10
SFC Falha ao Repair and DISM mostra error 0x800f081f no Windows 10
Como corrigir o acesso negado no Windows 10
System error 6118, a lista de servidores para este grupo de trabalho não está disponível
Fix Microsoft Store Login error 0x801901f4 no Windows 11/10
Como Fix uTorrent Access é Denied (Write no disco)
Fix Microsoft Store Error 0x87AF0001