ACCESS DENIED - Falha na delegação restrita para CIFS

Ao acessar um serviço que usa compartilhamentos de rede em um servidor de camada intermediária, os usuários são solicitados a fornecer credenciais e, eventualmente, encontram um erro de acesso negado. Na postagem de hoje, apresentaremos alguns cenários de casos, identificaremos a causa e forneceremos as possíveis soluções alternativas para o problema de por que a delegação restrita para CIFS falha com o erro ACCESS_DENIED no Windows 10.

O Common Internet File System (CIFS)(Common Internet File System (CIFS)) é um protocolo de compartilhamento de arquivos que fornece um mecanismo aberto e multiplataforma para solicitar arquivos e serviços do servidor de rede. O CIFS(CIFS)  é baseado na versão aprimorada do protocolo SMB (Server Message Block) da Microsoft para compartilhamento de arquivos na Internet e na intranet.

A delegação restrita para CIFS falha no Windows

A delegação restrita para CIFS falha no Windows

Você pode encontrar esse problema se o usuário for solicitado a fornecer credenciais e o acesso eventualmente falhar com um erro de acesso negado com base nos três cenários a seguir.

Cenário 1(Scenario 1)

  • O site do IIS é configurado com o diretório inicial apontando para o compartilhamento remoto usando autenticação de passagem e delegação restrita configurada para CIFS .
  • O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado com a identidade da conta de serviço.
  • A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.

Cenário 2(Scenario 2)

  • O aplicativo Web está tentando acessar um servidor de arquivos como usuário.
  • O pool de aplicativos do IIS que acessa esse compartilhamento está sendo executado sob a identidade da conta de serviço. A conta de domínio é confiável para delegação do serviço CIFS no servidor de arquivos.
  • A delegação restrita configurada para CIFS é configurada na conta de serviço do servidor de arquivos.

Cenário 3(Scenario 3)

  • Qualquer aplicativo do lado do servidor que está sendo acessado de um cliente está acessando compartilhamentos remotos como usuário.
  • O aplicativo do lado do servidor está sendo executado no contexto de uma conta de serviço.
  • A conta de serviço(Service) é confiável para delegação e configurada para delegação CIFS para o servidor de arquivos.

Isso foi identificado como um problema entre MrxSmb 2.0 e Kerberos quando a delegação restrita está envolvida.

Para resolver esse problema, a Microsoft oferece duas soluções alternativas.

Solução alternativa 1

Use uma conta de máquina em vez de uma conta de serviço como a identidade para aplicativos que executarão delegação restrita para CIFS . Configure a delegação restrita quando o nível funcional do domínio for Windows Server 2003 , Windows Server 2008 ou Windows Server 2008 R2.

Para fazer isso no controlador de domínio do domínio dos servidores da Web, faça o seguinte:

  • Clique em Start > Administrative Tools > Usuários e Computadores do Active Directory(Active Directory Users and Computers) .
  • Expanda(Expand) domínio e, em seguida, expanda a pasta Computadores .(Computers)
  • No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades(Properties) e clique na   guia Delegação .(Delegation)
  • Marque a  caixa de seleção Confiar neste computador para delegação apenas a serviços especificados(Trust this computer for delegation to specified services only) .
  • Certifique-se de que  Usar apenas Kerberos(Use Kerberos only)  esteja selecionado e clique em  OK .
  • Clique no  botão Adicionar(Add button) .
  • Na  caixa de diálogo Adicionar (Add) serviços(Services)  , clique em  Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
  • Clique  em OK(OK) .
  • Na  lista Serviços (Services)Disponíveis(Available)  , selecione o  serviço CIFS .
  • Clique  em OK(OK) .

Solução alternativa 2

Essa solução alternativa não é recomendada(not recommended) porque requer  usar(Use) qualquer delegação de protocolo de autenticação na conta do computador. Se a  opção Usar qualquer protocolo de autenticação(Use any authentication protocol)  estiver selecionada, a conta está usando delegação restrita com transição de protocolo.

Se você precisar usar a identidade dos aplicativos como uma conta de serviço e/ou conta de domínio, faça o seguinte:

Passo 1(Step 1)

  • Clique em Iniciar(Start )Administrative Tools > Usuários e Computadores do Active Directory(Active Directory Users and Computers) .
  • Expanda(Expand) domínio e, em seguida, expanda a pasta Computadores .(Computers)
  • No painel direito, clique com o botão direito do mouse no nome do computador do servidor da Web, selecione Propriedades(Properties) e clique na   guia Delegação .(Delegation)
  • Marque a  caixa de seleção Confiar neste computador para delegação(Trust this computer for delegation to specified services) apenas a serviços especificados.
  • Certifique-se de que  Usar qualquer protocolo de autenticação(Use any authentication protocol) esteja selecionado.
  • Clique em OK(OK) .
  • Clique no  botão Adicionar(Add button) .
  • Na  caixa de diálogo Adicionar (Add) serviços(Services)  , clique em  Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
  • Clique  em OK(OK) .
  • Na  lista Serviços (Services)Disponíveis(Available)  , selecione o serviço CIFS(CIFS service) .
  • Clique  em OK(OK) .

Passo 2(Step 2)

  • No painel esquerdo, expanda a pasta Usuários.
  • No painel direito, clique com o botão direito do mouse na conta de serviço que é a identidade do pool de aplicativos, selecione  Propriedades(Properties) e clique na   guia Delegação .(Delegation)
  • Marque a  caixa de seleção Confiar neste computador para delegação apenas a serviços especificados(Trust this computer for delegation to specified services only) .
  • Certifique-se de que  Usar apenas Kerberos(Use Kerberos only) esteja selecionado.
  • Clique em OK(OK) .
  • Clique no  botão Adicionar(Add button) .
  • Na caixa de diálogo Adicionar (Add) serviços(Services)  , clique em  Usuários ou Computadores(Users or Computers) e navegue até ou digite o nome do servidor de arquivos que receberá as credenciais do usuário do IIS .
  • Clique  em OK(OK) .
  • Na  lista Serviços (Services)Disponíveis(Available)  , selecione o serviço CIFS(CIFS service) .
  • Clique  em OK(OK) .

Espero que este post ajude.(Hope this post helps.)



About the author

Eu sou um engenheiro de windows,ios,pdf,errors,gadgets com mais de 10 anos de experiência. Trabalhei em muitos aplicativos e estruturas do Windows de alta qualidade, como OneDrive for Business, Office 365 e muito mais. Meu trabalho recente incluiu desenvolver o leitor de pdf para a plataforma Windows e trabalhar para tornar as mensagens de erro mais claras para os usuários. Além disso, estou envolvido no desenvolvimento da plataforma ios há alguns anos e estou muito familiarizado com seus recursos e peculiaridades.



Related posts