Ao acessar um serviço que usa compartilhamentos de rede em um servidor de camada intermediária, os usuários são solicitados a fornecer credenciais e, eventualmente, encontram um erro de acesso negado. Na postagem de hoje, apresentaremos alguns cenários de casos, identificaremos a causa e forneceremos as possíveis soluções alternativas para o problema de por que a delegação restrita para CIFS falha com o erro ACCESS_DENIED no Windows 10.

O Common Internet File System (CIFS)^{(Common Internet File System (CIFS))} é um protocolo de compartilhamento de arquivos que fornece um mecanismo aberto e multiplataforma para solicitar arquivos e serviços do servidor de rede. O CIFS^(CIFS)  é baseado na versão aprimorada do protocolo SMB (Server Message Block) da Microsoft para compartilhamento de arquivos na Internet e na intranet.

A delegação restrita para CIFS falha no Windows

Você pode encontrar esse problema se o usuário for solicitado a fornecer credenciais e o acesso eventualmente falhar com um erro de acesso negado com base nos três cenários a seguir.

Cenário 1^{(Scenario 1)}

• O site do IIS é configurado com o diretório inicial apontando para o compartilhamento remoto usando autenticação de passagem e delegação restrita configurada para CIFS .
• O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado com a identidade da conta de serviço.
• A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.

Cenário 2^{(Scenario 2)}

• O aplicativo Web está tentando acessar um servidor de arquivos como usuário.
• O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado sob a identidade da conta de serviço. A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.
• A delegação restrita configurada para CIFS é configurada na conta de serviço do servidor de arquivos.

Cenário 3^{(Scenario 3)}

• Qualquer aplicativo do lado do servidor que está sendo acessado de um cliente está acessando compartilhamentos remotos como usuário.
• O aplicativo do lado do servidor está sendo executado no contexto de uma conta de serviço.
• A conta de serviço^(Service) é confiável para delegação e configurada para delegação CIFS para o servidor de arquivos.

Isso foi identificado como um problema entre MrxSmb 2.0 e Kerberos quando a delegação restrita está envolvida.

Para resolver esse problema, a Microsoft oferece duas soluções alternativas.

Solução alternativa 1

Use uma conta de máquina em vez de uma conta de serviço como a identidade para aplicativos que executarão delegação restrita para CIFS . Configure a delegação restrita quando o nível funcional do domínio for Windows Server 2003 , Windows Server 2008 ou Windows Server 2008 R2.

Para fazer isso no controlador de domínio do domínio dos servidores da Web, faça o seguinte:

• Clique em Start > Administrative Tools > Usuários e Computadores do Active Directory^{(Active Directory Users and Computers)} .
• Expanda^(Expand) domínio e, em seguida, expanda a pasta Computadores .^(Computers)
• No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades^(Properties) e clique na   guia Delegação .^(Delegation)
• Marque a  caixa de seleção Confiar neste computador para delegação apenas a serviços especificados^{(Trust this computer for delegation to specified services only)} .
• Certifique-se de que  Usar apenas Kerberos^{(Use Kerberos only)}  esteja selecionado e clique em  OK .
• Clique no  botão Adicionar^{(Add button)} .
• Na  caixa de diálogo Adicionar ^(Add) serviços^(Services)  , clique em  Usuários ou Computadores^{(Users or Computers)} e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
• Clique  em OK^(OK) .
• Na  lista Serviços ^(Services)Disponíveis^(Available)  , selecione o  serviço CIFS .
• Clique  em OK^(OK) .

Solução alternativa 2

Essa solução alternativa não é recomendada^{(not recommended)} porque requer  usar^(Use) qualquer delegação de protocolo de autenticação na conta do computador. Se a  opção Usar qualquer protocolo de autenticação^{(Use any authentication protocol)}  estiver selecionada, a conta está usando delegação restrita com transição de protocolo.

Se você precisar usar a identidade dos aplicativos como uma conta de serviço e/ou conta de domínio, faça o seguinte:

Passo 1^{(Step 1)}

• Clique em Iniciar^{(Start )} >  Administrative Tools > Usuários e Computadores do Active Directory^{(Active Directory Users and Computers)} .
• Expanda^(Expand) domínio e, em seguida, expanda a pasta Computadores .^(Computers)
• No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades^(Properties) e clique na   guia Delegação .^(Delegation)
• Marque a  caixa de seleção Confiar neste computador para delegação^{(Trust this computer for delegation to specified services)} apenas a serviços especificados.
• Certifique-se de que  Usar qualquer protocolo de autenticação^{(Use any authentication protocol)} esteja selecionado.
• Clique em OK^(OK) .
• Clique no  botão Adicionar^{(Add button)} .
• Na  caixa de diálogo Adicionar ^(Add) serviços^(Services)  , clique em  Usuários ou Computadores^{(Users or Computers)} e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
• Clique  em OK^(OK) .
• Na  lista Serviços ^(Services)Disponíveis^(Available)  , selecione o serviço CIFS^{(CIFS service)} .
• Clique  em OK^(OK) .

Passo 2^{(Step 2)}

• No painel esquerdo, expanda a pasta Usuários.
• No painel direito, clique com o botão direito do mouse na conta de serviço que é a identidade do pool de aplicativos, selecione  Propriedades^(Properties) e clique na   guia Delegação .^(Delegation)
• Marque a  caixa de seleção Confiar neste computador para delegação apenas a serviços especificados^{(Trust this computer for delegation to specified services only)} .
• Certifique-se de que  Usar apenas Kerberos^{(Use Kerberos only)} esteja selecionado.
• Clique em OK^(OK) .
• Clique no  botão Adicionar^{(Add button)} .
• Na caixa de diálogo Adicionar ^(Add) serviços^(Services)  , clique em  Usuários ou Computadores^{(Users or Computers)} e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
• Clique  em OK^(OK) .
• Na  lista Serviços ^(Services)Disponíveis^(Available)  , selecione o serviço CIFS^{(CIFS service)} .
• Clique  em OK^(OK) .

Espero que este post ajude.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that usеs network shares on a middle-tier server, users are prompted for credentials, and they eventually encounter an аccess dеniеd error. In today’s post, we will present a couple of cаse scenarios, idеntify the cause and then provide the possible workarounds to the issue of why cоnstrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Fix Error 1005 Access Denied message Enquanto visita sites

• DHCP Client Service dá Access Denied error em Windows 11/10

• Como personalizar a mensagem Access Denied error no Windows 10

• Access Denied, você não tem permissão para acessar este servidor

• Fix Access Control Entry é erro corrupto em Windows 10

• Fix Destination Folder Access Denied Error

• Fix Windows Installer Access Denied Error

• Install Realtek HD Audio Driver Failure, Error OxC0000374 em Windows 10

• Fix Crypt32.dll Não encontrado ou erro ausente em Windows 11/10

• Fix ShellExecuteEx falhou; Código error 8235 em Windows10

• Event ID 158 Erro - disco idêntico GUIDs assignment em Windows 10

• Como Fix Google Drive Access Denied Error

• Como corrigir o acesso negado, o arquivo pode estar em uso ou compartilhar erros de violação no Windows

• Como corrigir Disk Signature Collision problem em Windows 10

• SFC Falha ao Repair and DISM mostra error 0x800f081f no Windows 10

• Como corrigir o acesso negado no Windows 10

• System error 6118, a lista de servidores para este grupo de trabalho não está disponível

• Fix Microsoft Store Login error 0x801901f4 no Windows 11/10

• Como Fix uTorrent Access é Denied (Write no disco)

• Fix Microsoft Store Error 0x87AF0001