Freigeben über

Eingeschränkte Delegierung für CIFS schlägt mit ACCESS_DENIED Fehler fehl

  • Artikel

In diesem Artikel wird ein Fehler behoben, der beim Zugriff auf einen Dienst auftritt, der Netzwerkfreigaben auf einem Server auf mittlerer Ebene verwendet.

Ursprüngliche KB-Nummer: 2602377

Symptome

Beim Zugriff auf einen Dienst, der Netzwerkfreigaben auf einem Server auf mittlerer Ebene verwendet, werden Benutzer zur Eingabe von Anmeldeinformationen aufgefordert, und es tritt schließlich ein Fehler auf, bei dem der Zugriff verweigert wurde .

Beispielszenarien

Szenario 1

Der Benutzer wird zur Eingabe von Anmeldeinformationen aufgefordert, und der Zugriff schlägt schließlich mit einem Fehler "Zugriff verweigert" fehl, wenn die folgenden Bedingungen zutreffen:

  • Die IIS-Website ist mit dem Startverzeichnis eingerichtet, das auf die Remotefreigabe mithilfe der Pass-Through-Authentifizierung verweist und die für CIFS konfigurierte eingeschränkte Delegierung konfiguriert ist.
  • Der IIS-Anwendungspool, der auf diese Freigabe zugreift, wird unter der Identität des Dienstkontos ausgeführt.
  • Das Domänenkonto ist für die Delegierung für den Cifs-Dienst auf dem Dateiserver vertrauenswürdig.
  • Der Dateiserver und der Webserver führen ein Betriebssystem aus, das im Abschnitt "Gilt für" aufgeführt ist.

Szenario 2

  • Die Web-App versucht, als Benutzer auf einen Dateiserver zuzugreifen.
  • Der IIS-Anwendungspool, der auf diese Freigabe zugreift, wird unter der Identität des Dienstkontos ausgeführt. Das Domänenkonto ist für die Delegierung für den Cifs-Dienst auf dem Dateiserver vertrauenswürdig.
  • Die für CIFS konfigurierte eingeschränkte Delegierung wird auf dem Dienstkonto für den Dateiserver konfiguriert.
  • Die Dateiserver- und Webservertypen werden im Abschnitt "Gilt für" aufgeführt.

Szenario 3:

  • Jede serverseitige Anwendung, auf die über einen Client zugegriffen wird, greift als Benutzer auf Remotefreigaben zu.
  • Die serverseitige Anwendung wird im Kontext eines Dienstkontos ausgeführt.
  • Das Dienstkonto ist für die Delegierung vertrauenswürdig und für CIFS-Delegierung für den Dateiserver konfiguriert.
  • Die Dateiserver- und Webservertypen werden im Abschnitt "Gilt für" aufgeführt.

Ursache

Dies wurde als Problem zwischen MrxSmb 2.0 und Kerberos identifiziert, wenn die eingeschränkte Delegierung beteiligt ist.

Problemumgehung

Problemumgehung 1

Verwenden Sie ein Computerkonto anstelle eines Dienstkontos als Identität für Anwendungen, die eingeschränkte Delegierung für CIFS ausführen. Konfigurieren Sie die eingeschränkte Delegierung, wenn die Domänenfunktionsebene Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ist.

Führen Sie die folgenden Schritte aus, um dies auf dem Domänencontroller für Ihre Webserverdomäne zu tun:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Erweitern Sie den Domänenbereich und dann den Ordner "Computer".
  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen für den Webserver, wählen Sie "Eigenschaften" aus, und klicken Sie dann auf die Registerkarte "Delegierung".
  4. Aktivieren Sie das Kontrollkästchen "Diesem Computer vertrauen", um bestimmte Dienste zu delegierungieren.
  5. Stellen Sie sicher, dass nur Kerberos verwenden ausgewählt ist, und klicken Sie dann auf "OK".
  6. Klicken Sie auf die Schaltfläche Hinzufügen . Klicken Sie im Dialogfeld "Dienste hinzufügen" auf "Benutzer oder Computer", und navigieren Oder geben Sie den Namen des Dateiservers ein, der die Anmeldeinformationen des Benutzers von IIS empfängt. Klicken Sie auf OK.
  7. Wählen Sie in der Liste "Verfügbare Dienste" den CIFS-Dienst aus. Klicken Sie auf OK.

Problemumgehung 2

Wenn Sie die Identität von Anwendungen als Dienstkonto und/oder Domänenkonto verwenden müssen, verwenden Sie die folgende Problemumgehung.

Notiz

Diese Problemumgehung wird nicht empfohlen, da für das Computerkonto eine Authentifizierungsprotokolldelegierung erforderlich ist. Wenn die Option "Authentifizierungsprotokoll verwenden" ausgewählt ist, verwendet das Konto die eingeschränkte Delegierung mit Protokollübergang.

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Erweitern Sie den Domänenbereich und dann den Ordner "Computer".
  3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen für den Webserver, wählen Sie "Eigenschaften" aus, und klicken Sie dann auf die Registerkarte "Delegierung".
  4. Aktivieren Sie das Kontrollkästchen "Diesem Computer vertrauen", um bestimmte Dienste zu delegierungieren.
  5. Stellen Sie sicher, dass "Authentifizierungsprotokoll verwenden" ausgewählt ist, und klicken Sie dann auf "OK".
  6. Klicken Sie auf die Schaltfläche Hinzufügen . Klicken Sie im Dialogfeld "Dienste hinzufügen" auf "Benutzer oder Computer", und navigieren Oder geben Sie den Namen des Dateiservers ein, der die Anmeldeinformationen der Benutzer von IIS empfängt. Klicken Sie auf OK.
  7. Wählen Sie in der Liste "Verfügbare Dienste" den CIFS-Dienst aus. Klicken Sie auf OK.
  8. Erweitern Sie im linken Bereich den Ordner "Benutzer".
  9. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Dienstkonto, das die Identität des Anwendungspools ist, wählen Sie "Eigenschaften" aus, und klicken Sie dann auf die Registerkarte "Delegierung".
  10. Aktivieren Sie das Kontrollkästchen "Diesem Computer vertrauen", um bestimmte Dienste zu delegierungieren.
  11. Stellen Sie sicher, dass nur Kerberos verwenden ausgewählt ist, und klicken Sie dann auf "OK".
  12. Klicken Sie auf die Schaltfläche Hinzufügen . Klicken Sie im Dialogfeld "Dienste hinzufügen" auf "Benutzer oder Computer", und navigieren Oder geben Sie den Namen des Dateiservers ein, der die Anmeldeinformationen der Benutzer von IIS empfängt. Klicken Sie auf OK.
  13. Wählen Sie in der Liste "Verfügbare Dienste" den CIFS-Dienst aus. Klicken Sie auf OK.