Condividi tramite

La delega vincolata per CIFS ha esito negativo con ACCESS_DENIED errore

  • Articolo

Questo articolo consente di correggere un errore di accesso negato che si verifica quando si accede a un servizio che usa condivisioni di rete in un server di livello intermedio.

Numero KB originale: 2602377

Sintomi

Durante l'accesso a un servizio che usa condivisioni di rete in un server di livello intermedio, agli utenti vengono richieste le credenziali e alla fine si verifica un errore di accesso negato .

Scenari di esempio

Scenario 1

All'utente vengono richieste le credenziali e l'accesso alla fine ha esito negativo e viene generato un errore di accesso negato se sono soddisfatte le condizioni seguenti:

  • Il sito Web IIS viene configurato con la home directory che punta alla condivisione remota usando l'autenticazione pass-through e la delega vincolata configurata per CIFS.
  • Il pool di applicazioni IIS che accede a tale condivisione viene eseguito con l'identità dell'account del servizio.
  • L'account di dominio è attendibile per la delega per il servizio cifs nel file server.
  • Il file server e il server Web eseguono un sistema operativo elencato nella sezione Si applica a.

Scenario 2

  • L'app Web sta tentando di accedere a un file server come utente.
  • Pool di applicazioni IIS che accede alla condivisione in esecuzione con l'identità dell'account del servizio. L'account di dominio è attendibile per la delega per il servizio cifs nel file server.
  • La delega vincolata configurata per CIFS è configurata nell'account del servizio per il file server.
  • I tipi di file server e server Web sono elencati nella sezione Si applica a.

Scenario 3:

  • Qualsiasi applicazione lato server a cui si accede da un client accede alle condivisioni remote come utente.
  • L'applicazione lato server viene eseguita nel contesto di un account del servizio.
  • L'account del servizio è attendibile per la delega e configurato per la delega CIFS per il file server.
  • I tipi di file server e server Web sono elencati nella sezione Si applica a.

Causa

Questo problema è stato identificato come un problema tra MrxSmb 2.0 e Kerberos quando è coinvolta la delega vincolata.

Soluzione alternativa

Soluzione alternativa 1

Usare un account computer anziché un account del servizio come identità per le applicazioni che eseguiranno la delega vincolata per CIFS. Configurare la delega vincolata quando il livello di funzionalità del dominio è Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2.

A tale scopo, seguire questa procedura nel controller di dominio per il dominio dei server Web:

  1. Fare clic su avviare, fare clic su Strumenti di amministrazione, quindi fare clic su Active Directory Users and Computers.
  2. Espandere il dominio e quindi espandere la cartella Computer.
  3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome del computer per il server Web, scegliere Proprietà e quindi fare clic sulla scheda Delega.
  4. Selezionare la casella di controllo Considera attendibile il computer per la delega solo ai servizi specificati.
  5. Assicurarsi che l'opzione Usa solo Kerberos sia selezionata e quindi fare clic su OK.
  6. Fare clic sul pulsante Aggiungi. Nella finestra di dialogo Aggiungi servizi fare clic su Utenti o computer, quindi selezionare o immettere il nome del file server che riceverà le credenziali dell'utente da IIS. Fare clic su OK.
  7. Nell'elenco Servizi disponibili selezionare il servizio CIFS. Fare clic su OK.

Soluzione alternativa 2

Se è necessario usare l'identità delle applicazioni come account del servizio e/o account di dominio, usare la soluzione alternativa seguente.

Nota

Questa soluzione alternativa non è consigliata perché richiede l'uso di qualsiasi delega del protocollo di autenticazione nell'account computer. Se è selezionata l'opzione Usa un protocollo di autenticazione, l'account usa la delega vincolata con transizione del protocollo.

  1. Fare clic su avviare, fare clic su Strumenti di amministrazione, quindi fare clic su Active Directory Users and Computers.
  2. Espandere il dominio e quindi espandere la cartella Computer.
  3. Nel riquadro destro fare clic con il pulsante destro del mouse sul nome del computer per il server Web, scegliere Proprietà e quindi fare clic sulla scheda Delega.
  4. Selezionare la casella di controllo Considera attendibile il computer per la delega solo ai servizi specificati.
  5. Assicurarsi che l'opzione Usa qualsiasi protocollo di autenticazione sia selezionata e quindi fare clic su OK.
  6. Fare clic sul pulsante Aggiungi. Nella finestra di dialogo Aggiungi servizi fare clic su Utenti o computer, quindi selezionare o immettere il nome del file server che riceverà le credenziali degli utenti da IIS. Fare clic su OK.
  7. Nell'elenco Servizi disponibili selezionare il servizio CIFS. Fare clic su OK.
  8. Nel riquadro sinistro espandere la cartella Utenti.
  9. Nel riquadro destro fare clic con il pulsante destro del mouse sull'account del servizio che corrisponde all'identità del pool di applicazioni, selezionare Proprietà e quindi fare clic sulla scheda Delega.
  10. Selezionare la casella di controllo Considera attendibile il computer per la delega solo ai servizi specificati.
  11. Assicurarsi che l'opzione Usa solo Kerberos sia selezionata e quindi fare clic su OK.
  12. Fare clic sul pulsante Aggiungi. Nella finestra di dialogo Aggiungi servizi fare clic su Utenti o computer, quindi selezionare o immettere il nome del file server che riceverà le credenziali degli utenti da IIS. Fare clic su OK.
  13. Nell'elenco Servizi disponibili selezionare il servizio CIFS. Fare clic su OK.