När användarna får åtkomst till en tjänst som använder nätverksresurser på en server på mellannivå, uppmanas användarna att ange autentiseringsuppgifter, och de stöter så småningom på ett fel med nekad åtkomst. I dagens inlägg kommer vi att presentera ett par fallscenarier, identifiera orsaken och sedan tillhandahålla möjliga lösningar på frågan om varför begränsad delegering för CIFS misslyckas med ACCESS_DENIED- fel i Windows 10.

Common Internet File System (CIFS) är ett fildelningsprotokoll som tillhandahåller en öppen och plattformsoberoende mekanism för att begära nätverksserverfiler och tjänster. CIFS är baserat på den förbättrade versionen av Microsofts SMB-protokoll (Server Message Block) för fildelning på Internet och intranät.^(Internet)

Begränsad delegering för CIFS misslyckas i Windows

Du kan stöta på det här problemet om användaren uppmanas att ange autentiseringsuppgifter och åtkomsten så småningom misslyckas med ett åtkomst nekad fel baserat på följande tre scenarier.

Scenario 1

IIS - webbplatsen är inställd med hemkatalogen som pekar på fjärrresursen med pass-through-autentisering och begränsad delegering konfigurerad för CIFS .
IIS -programpoolen som får åtkomst till den resursen körs under tjänstkontots identitet.
Domänkontot är betrodd för delegering för CIFS -tjänsten på filservern.

Scenario 2

Webbappen försöker komma åt en filserver som användare.
IIS -programpoolen som får åtkomst till den resursen körs under tjänstkontots identitet. Domänkontot är betrodd för delegering för CIFS -tjänsten på filservern.
Begränsad delegering konfigurerad för CIFS konfigureras på tjänstkontot för filservern.

Scenario 3

Alla applikationer på serversidan som nås från en klient får åtkomst till fjärrresurser som användare.
Applikationen på serversidan körs inom ramen för ett tjänstkonto.
Tjänstkontot är tillförlitligt för^(Service) delegering och konfigurerat för CIFS -delegering för filservern.

Detta har identifierats som ett problem mellan MrxSmb 2.0 och Kerberos när begränsad delegering är inblandad.

För att lösa det här problemet erbjuder Microsoft två lösningar.

Lösning 1

Använd ett maskinkonto istället för ett servicekonto som identitet för applikationer som kommer att utföra begränsad delegering för CIFS . Konfigurera begränsad delegering när domänens funktionsnivå är Windows Server 2003 , Windows Server 2008 eller Windows Server 2008 R2.

För att göra detta på domänkontrollanten för din webbserverdomän, gör följande:

Klicka på Start > Administrative Tools > Active Directory-användare och -datorer^{(Active Directory Users and Computers)} .
Expandera^(Expand) domänen och expandera sedan mappen Datorer .^(Computers)
I den högra rutan högerklickar du på datornamnet för webbservern, väljer Egenskaper^(Properties) och klickar sedan på fliken Delegering .^(Delegation)
Markera kryssrutan Lita på den här datorn endast för delegering till specificerade tjänster^{(Trust this computer for delegation to specified services only)} .
Se till att Använd endast Kerberos^{(Use Kerberos only)} är markerat och klicka sedan på OK .
Klicka på knappen Lägg till^{(Add button)} .
I dialogrutan Lägg till ^(Add) tjänster klickar du på ^(Services)Användare eller datorer^{(Users or Computers)} och bläddrar sedan till eller anger namnet på filservern som ska ta emot användarens autentiseringsuppgifter från IIS .
Klicka på OK .
I listan Tillgängliga ^(Available) tjänster^(Services) väljer du CIFS^(CIFS) -tjänsten.
Klicka på OK .

Lösning 2

Den här lösningen rekommenderas inte^{(not recommended)} eftersom den kräver Använd^(Use) valfri delegering av autentiseringsprotokoll på datorkontot. Om alternativet Använd valfritt autentiseringsprotokoll^{(Use any authentication protocol)} är valt, använder kontot begränsad delegering med protokollövergång.

Om du måste använda identiteten för applikationer som ett tjänstkonto och/eller domänkonto gör du följande:

Steg 1^{(Step 1)}

Klicka på Start > Administrative Tools > Active Directory-användare och -datorer^{(Active Directory Users and Computers)} .
Expandera^(Expand) domänen och expandera sedan mappen Datorer .^(Computers)
I den högra rutan högerklickar du på datornamnet för webbservern, väljer Egenskaper^(Properties) och klickar sedan på fliken Delegering .^(Delegation)
Markera kryssrutan Lita på den här datorn endast för delegering till specificerade tjänster^{(Trust this computer for delegation to specified services)} .
Se till att Använd valfritt autentiseringsprotokoll^{(Use any authentication protocol)} är valt.
Klicka på OK .
Klicka på knappen Lägg till^{(Add button)} .
I dialogrutan Lägg till ^(Add) tjänster klickar du på ^(Services)Användare eller datorer^{(Users or Computers)} och bläddrar sedan till eller anger namnet på filservern som ska ta emot användarens autentiseringsuppgifter från IIS .
Klicka på OK .
I listan Tillgängliga ^(Available) tjänster^(Services) väljer du CIFS-tjänsten^{(CIFS service)} .
Klicka på OK .

Steg 2^{(Step 2)}

Expandera mappen Användare i den vänstra rutan.
I den högra rutan högerklickar du på det tjänstkonto som är identiteten för programpoolen, väljer Egenskaper^(Properties) och klickar sedan på fliken Delegering .^(Delegation)
Markera kryssrutan Lita på den här datorn endast för delegering till specificerade tjänster^{(Trust this computer for delegation to specified services only)} .
Se till att Använd endast Kerberos^{(Use Kerberos only)} är markerat.
Klicka på OK .
Klicka på knappen Lägg till^{(Add button)} .
I dialogrutan Lägg till ^(Add) tjänster klickar du på ^(Services)Användare eller datorer^{(Users or Computers)} och bläddrar sedan till eller anger namnet på filservern som ska ta emot användarens autentiseringsuppgifter från IIS .
Klicka på OK .
I listan Tillgängliga ^(Available) tjänster^(Services) väljer du CIFS-tjänsten^{(CIFS service)} .
Klicka på OK .

Hoppas detta inlägg hjälper.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that usеs network shares on a middle-tier server, υsers are prompted for credentials, and they eventually encountеr an access denied error. Іn today’s post, we will present a сouple of case scenarios, identify the cаuse аnd then provide the possible workarounds to the issue of why constrained delegation fоr CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
The IIS application pool accessing that share is running under the identity of the service account.
The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

The web app is trying to access a file server as a user.
The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

Any server-side application that’s being accessed from a client is accessing remote shares as a user.
The server-side application is running under the context of a service account.
The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected, and then click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use any authentication protocol is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Step 2

In the left pane, expand the Users folder.
In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Hope this post helps.

Lucas Fransson

About the author

När det kommer till teknik är inget viktigare än noggrannhet och kvalitet. På Microsoft är vi stolta över vår förmåga att ge våra kunder den bästa möjliga upplevelsen. Våra Windows- och iOS-produkter är några av de mest innovativa i branschen, och vi arbetar ständigt med att förbättra dem. Våra felfria PDF-filer är en annan anledning till att våra produkter är så framgångsrika. Vi vet att kvalitetskontroll är viktigt när det kommer till arbetsflöden och kommunikation, så vi är noga med att säkerställa att alla våra PDF-filer är felfria. Och slutligen, som en prylälskare förstår vi att att göra livet enklare alltid är en nyckelprioritet. Vi ser till att alla våra Lumia-enheter kommer med funktioner som NFC och CarPlay så att du enkelt kan dela filer med vänner och familj. Med dessa färdigheter,

ÅTKOMST NEKAD - Begränsad delegering för CIFS misslyckas

Begränsad delegering för CIFS misslyckas i Windows

Lösning 1

Lösning 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Lucas Fransson

About the author

Related posts

Åtgärda fel 1005 Åtkomst nekad meddelande när du besöker webbplatser

DHCP Client Service ger Access Denied-fel i Windows 11/10

Hur man anpassar åtkomst nekad felmeddelande på Windows 10

Åtkomst nekad, du har inte behörighet att få åtkomst på den här servern

Fix Access Control Entry är korrupt fel i Windows 10

Åtgärda programladdningsfel 5:0000065434 på Windows 10

Fix Arkivet är antingen i ett okänt format eller skadat fel

Åtgärda Microsoft Store-inloggningsfel 0x801901f4 på Windows 11/10

Hur man fixar uTorrent-åtkomst nekas (skriv till disk)

Applikationen kan inte hitta skanner - WIA_ERROR_OFFLINE, 0x80210005

hoppsan! Vi kunde inte spara den - Windows Photos App

Stubben fick ett dåligt datafelmeddelande på Windows 10

Windows kunde inte starta tjänsten, fel 0x80070005, åtkomst nekas

Hur man får åtkomst till nekad begränsad mapp i Windows 11/10

Åtgärda felet nekad åtkomst till målmapp

Åtgärda programfel 0xc0150004 på Windows 11/10

MBR2GPT kunde inte aktivera säkerhetskopierings-/återställningsprivilegier på Windows 10

Fix Det gick inte att ladda steamui.dll-felet på Windows 11/10

Hur man öppnar en krypterad fil om åtkomst nekas i Windows 11/10

Systemfel 6118, listan över servrar för den här arbetsgruppen är inte tillgänglig