Computer >> Máy Tính >  >> Hệ thống >> Windows

TRUY CẬP BỊ TỪ CHỐI - Ủy quyền hạn chế cho CIFS không thành công

Trong khi truy cập một dịch vụ sử dụng mạng chia sẻ trên máy chủ cấp trung, người dùng được nhắc nhập thông tin xác thực và cuối cùng họ gặp phải lỗi bị từ chối truy cập. Trong bài đăng hôm nay, chúng tôi sẽ trình bày một số tình huống trường hợp, xác định nguyên nhân và sau đó cung cấp các giải pháp khả thi cho vấn đề tại sao ủy quyền hạn chế cho CIFS không thành công với ACCESS_DENIED lỗi trong Windows 10.

Hệ thống tệp Internet chung (CIFS) là một giao thức chia sẻ tệp cung cấp cơ chế mở và đa nền tảng để yêu cầu các tệp và dịch vụ máy chủ mạng. CIFS dựa trên phiên bản nâng cao của giao thức Khối tin nhắn máy chủ (SMB) của Microsoft để chia sẻ tệp Internet và mạng nội bộ.

TRUY CẬP BỊ TỪ CHỐI - Ủy quyền hạn chế cho CIFS không thành công

Ủy quyền hạn chế cho CIFS không thành công trong Windows

Bạn có thể gặp phải sự cố này nếu người dùng được nhắc nhập thông tin xác thực và quyền truy cập cuối cùng không thành công với lỗi bị từ chối truy cập dựa trên ba trường hợp sau.

Tình huống 1

  • Trang web IIS được thiết lập với thư mục chính trỏ đến chia sẻ từ xa bằng cách sử dụng xác thực chuyển qua và ủy quyền hạn chế được định cấu hình cho CIFS.
  • Nhóm ứng dụng IIS truy cập vào phần chia sẻ đó đang chạy dưới danh tính của tài khoản dịch vụ.
  • Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.

Tình huống 2

  • Ứng dụng web đang cố gắng truy cập vào máy chủ tệp với tư cách là người dùng.
  • Nhóm ứng dụng IIS có quyền truy cập chia sẻ đang chạy dưới danh tính của tài khoản dịch vụ. Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.
  • Ủy quyền có giới hạn được định cấu hình cho CIFS được định cấu hình trên tài khoản dịch vụ cho máy chủ tệp.

Tình huống 3

  • Bất kỳ ứng dụng phía máy chủ nào đang được truy cập từ một ứng dụng khách đang truy cập vào các lượt chia sẻ từ xa với tư cách là người dùng.
  • Ứng dụng phía máy chủ đang chạy trong ngữ cảnh của tài khoản dịch vụ.
  • Tài khoản Dịch vụ được tin cậy để ủy quyền và được định cấu hình để ủy quyền CIFS cho máy chủ tệp.

Đây đã được xác định là sự cố giữa MrxSmb 2.0 và Kerberos khi liên quan đến ủy quyền hạn chế.

Để giải quyết vấn đề này, Microsoft đưa ra hai cách giải quyết.

Giải pháp 1

Sử dụng tài khoản máy thay vì tài khoản dịch vụ làm danh tính cho các ứng dụng sẽ thực hiện ủy quyền hạn chế cho CIFS. Định cấu hình ủy quyền hạn chế khi cấp chức năng miền là Windows Server 2003, Windows Server 2008 hoặc Windows Server 2008 R2.

Để thực hiện việc này trên bộ điều khiển miền cho miền máy chủ web của bạn, hãy làm như sau:

  • Nhấp vào Bắt đầu> Công cụ quản trị> Người dùng Active Directory và Máy tính .
  • Mở rộng miền, sau đó mở rộng thư mục Máy tính.
  • Trong ngăn bên phải, nhấp chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính , sau đó nhấp vào Ủy quyền tab.
  • Chọn tùy chọn Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định hộp kiểm.
  • Đảm bảo rằng Chỉ sử dụng Kerberos được chọn, sau đó nhấp vào OK .
  • Nhấp vào nút Thêm .
  • Trong hộp thoại Thêm dịch vụ, nhấp vào Người dùng hoặc Máy tính , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS.
  • Nhấp vào OK .
  • Trong danh sách Dịch vụ có sẵn, hãy chọn dịch vụ CIFS.
  • Nhấp vào OK .

Giải pháp 2

Giải pháp này không được khuyến nghị bởi vì nó yêu cầu Sử dụng bất kỳ ủy quyền giao thức xác thực nào trên tài khoản máy tính. Nếu Sử dụng bất kỳ giao thức xác thực nào tùy chọn được chọn, tài khoản đang sử dụng ủy quyền hạn chế với chuyển đổi giao thức.

Nếu bạn phải sử dụng danh tính của các ứng dụng làm tài khoản dịch vụ và / hoặc tài khoản miền, hãy thực hiện như sau:

Bước 1

  • Nhấp vào Bắt đầu > Công cụ quản trị> Người dùng Active Directory và Máy tính .
  • Mở rộng miền, sau đó mở rộng thư mục Máy tính.
  • Trong ngăn bên phải, nhấp chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính , sau đó nhấp vào Ủy quyền tab.
  • Chọn Tin cậy máy tính này để ủy quyền cho các dịch vụ được chỉ định hộp kiểm duy nhất.
  • Đảm bảo rằng Sử dụng bất kỳ giao thức xác thực nào được chọn.
  • Nhấp vào OK .
  • Nhấp vào nút Thêm .
  • Trong hộp thoại Thêm dịch vụ, nhấp vào Người dùng hoặc Máy tính , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS.
  • Nhấp vào OK .
  • Trong danh sách Dịch vụ Có sẵn, hãy chọn Dịch vụ CIFS .
  • Nhấp vào OK .

Bước 2

  • Trong ngăn bên trái, hãy mở rộng thư mục Người dùng.
  • Trong ngăn bên phải, nhấp chuột phải vào tài khoản dịch vụ là danh tính của nhóm ứng dụng, chọn Thuộc tính , sau đó nhấp vào Ủy quyền tab.
  • Chọn tùy chọn Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định hộp kiểm.
  • Đảm bảo rằng Chỉ sử dụng Kerberos được chọn.
  • Nhấp vào OK .
  • Nhấp vào nút Thêm .
  • Trong hộp thoại Thêm dịch vụ, nhấp vào Người dùng hoặc Máy tính và sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS.
  • Nhấp vào OK .
  • Trong danh sách Dịch vụ Có sẵn, hãy chọn Dịch vụ CIFS .
  • Nhấp vào OK .

Hy vọng bài đăng này hữu ích.

TRUY CẬP BỊ TỪ CHỐI - Ủy quyền hạn chế cho CIFS không thành công