Aracılığıyla paylaş

CIFS için kısıtlanmış temsilci ACCESS_DENIED hatasıyla başarısız oluyor

  • Makale

Bu makale, orta katman sunucuda ağ paylaşımları kullanan bir hizmete eriştiğinde oluşan erişim reddedildi hatasını düzeltmeye yardımcı olur.

Özgün KB numarası: 2602377

Belirtiler

Orta katman sunucuda ağ paylaşımları kullanan bir hizmete erişirken, kullanıcılardan kimlik bilgileri istenir ve sonunda erişim reddedildi hatasıyla karşılaşırlar.

Örnek senaryolar

Senaryo 1

Kullanıcıdan kimlik bilgileri istenir ve aşağıdaki koşullar doğruysa erişim sonunda erişim reddedildi hatasıyla başarısız olur:

  • IIS web sitesi, CIFS için yapılandırılmış doğrudan kimlik doğrulaması ve kısıtlanmış temsil kullanılarak uzak paylaşımı işaret eden giriş diziniyle ayarlanır.
  • Bu paylaşıma erişen IIS uygulama havuzu hizmet hesabının kimliği altında çalışıyor.
  • Etki alanı hesabı, dosya sunucusundaki cifs hizmeti için temsilci seçme için güvenilirdir.
  • Dosya sunucusu ve web sunucusu, Uygulandığı Yer bölümünde listelenen bir işletim sistemi çalıştırıyor.

Senaryo 2

  • Web uygulaması bir dosya sunucusuna kullanıcı olarak erişmeye çalışıyor.
  • Bu paylaşıma erişen IIS uygulama havuzu hizmet hesabının kimliği altında çalışıyor. Etki alanı hesabı, dosya sunucusundaki cifs hizmeti için temsilci seçme için güvenilirdir.
  • CIFS için yapılandırılmış kısıtlanmış temsil, dosya sunucusunun hizmet hesabında yapılandırılır.
  • Dosya sunucusu ve web sunucusu türleri, Uygulandığı Yer bölümünde listelenir.

Senaryo 3:

  • İstemciden erişilen tüm sunucu tarafı uygulamalar, uzak paylaşımlara kullanıcı olarak erişiyor.
  • Sunucu tarafı uygulaması bir hizmet hesabı bağlamında çalışıyor.
  • Hizmet hesabına temsilci seçme için güvenilir ve dosya sunucusu için CIFS temsilcisi için yapılandırılır.
  • Dosya sunucusu ve web sunucusu türleri, Uygulandığı Yer bölümünde listelenir.

Neden

Bu, kısıtlanmış temsil söz konusu olduğunda MrxSmb 2.0 ile Kerberos arasında bir sorun olarak tanımlanmıştır.

Geçici Çözüm

Geçici Çözüm 1

CIFS için kısıtlanmış temsil gerçekleştirecek uygulamaların kimliği olarak hizmet hesabı yerine makine hesabı kullanın. Etki alanı işlev düzeyi Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2 olduğunda kısıtlanmış temsili yapılandırın.

Bunu web sunucuları etki alanınızın etki alanı denetleyicisinde yapmak için şu adımları izleyin:

  1. Başlat'a, Yönetim Araçları'nı ve ardından Active Directory Kullanıcıları ve Bilgisayarları'nı tıklatın.
  2. Etki alanını genişletin ve ardından Bilgisayarlar klasörünü genişletin.
  3. Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler'i seçin ve temsilci seçme sekmesine tıklayın.
  4. Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven onay kutusunu seçin.
  5. Yalnızca Kerberos kullan'ın seçili olduğundan emin olun ve Tamam'a tıklayın.
  6. Ekle düğmesine tıklayın. Hizmet Ekle iletişim kutusunda, Kullanıcılar veya Bilgisayarlar'a tıklayın ve ardından IIS'den kullanıcının kimlik bilgilerini alacak dosya sunucusuna gidin veya adını girin. Tamam'a tıklayın.
  7. Kullanılabilir Hizmetler listesinde CIFS hizmetini seçin. Tamam'a tıklayın.

Geçici Çözüm 2

Uygulamaların kimliğini bir hizmet hesabı ve/veya etki alanı hesabı olarak kullanmanız gerekiyorsa aşağıdaki geçici çözümü kullanın.

Not

Bilgisayar hesabında herhangi bir kimlik doğrulama protokolü temsilcisi kullanma gerektirdiğinden bu geçici çözüm önerilmez. Herhangi bir kimlik doğrulama protokolü kullan seçeneği belirlenmişse, hesap protokol geçişiyle kısıtlanmış temsili kullanıyordur.

  1. Başlat'a, Yönetim Araçları'nı ve ardından Active Directory Kullanıcıları ve Bilgisayarları'nı tıklatın.
  2. Etki alanını genişletin ve ardından Bilgisayarlar klasörünü genişletin.
  3. Sağ bölmede, web sunucusunun bilgisayar adına sağ tıklayın, Özellikler'i seçin ve temsilci seçme sekmesine tıklayın.
  4. Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven onay kutusunu seçin.
  5. Herhangi bir kimlik doğrulama protokolü kullan'ın seçili olduğundan emin olun ve Tamam'a tıklayın.
  6. Ekle düğmesine tıklayın. Hizmet Ekle iletişim kutusunda Kullanıcılar veya Bilgisayarlar'a tıklayın ve ardından IIS'den kullanıcıların kimlik bilgilerini alacak dosya sunucusuna gidin veya adını girin. Tamam'a tıklayın.
  7. Kullanılabilir Hizmetler listesinde CIFS hizmetini seçin. Tamam'a tıklayın.
  8. Sol bölmede Kullanıcılar klasörünü genişletin.
  9. Sağ bölmede, uygulama havuzunun kimliği olan hizmet hesabına sağ tıklayın, Özellikler'i seçin ve temsilci seçme sekmesine tıklayın.
  10. Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven onay kutusunu seçin.
  11. Yalnızca Kerberos kullan'ın seçili olduğundan emin olun ve Tamam'a tıklayın.
  12. Ekle düğmesine tıklayın. Hizmet Ekle iletişim kutusunda Kullanıcılar veya Bilgisayarlar'a tıklayın ve ardından IIS'den kullanıcıların kimlik bilgilerini alacak dosya sunucusuna gidin veya adını girin. Tamam'a tıklayın.
  13. Kullanılabilir Hizmetler listesinde CIFS hizmetini seçin. Tamam'a tıklayın.