ACCESO DENEGADO: falla la delegación restringida para CIFS

Al acceder a un servicio que utiliza recursos compartidos de red en un servidor de nivel medio, a los usuarios se les solicitan las credenciales y, finalmente, se encuentran con un error de acceso denegado. En la publicación de hoy, presentaremos un par de escenarios de casos, identificaremos la causa y luego proporcionaremos las posibles soluciones al problema de por qué falla la delegación restringida para CIFS con ACCESO DENEGADO error en Windows 10.

Sistema común de archivos de Internet (CIFS) es un protocolo de intercambio de archivos que proporciona un mecanismo abierto y multiplataforma para solicitar archivos y servicios del servidor de red. CIFS se basa en la versión mejorada del protocolo Server Message Block (SMB) de Microsoft para compartir archivos en Internet e intranet.

La delegación restringida para CIFS falla en Windows

La delegación restringida para CIFS falla en Windows

Puede encontrar este problema si al usuario se le solicitan las credenciales y el acceso finalmente falla con un error de acceso denegado basado en los siguientes tres escenarios.

escenario 1

  • El sitio web de IIS está configurado con el directorio de inicio apuntando al recurso compartido remoto mediante autenticación de paso a través y delegación restringida configurada para CIFS.
  • El grupo de aplicaciones de IIS que accede a ese recurso compartido se ejecuta bajo la identidad de la cuenta de servicio.
  • Se confía en la cuenta de dominio para la delegación del servicio CIFS en el servidor de archivos.

Escenario 2

  • La aplicación web está intentando acceder a un servidor de archivos como usuario.
  • El grupo de aplicaciones de IIS que accede a ese recurso compartido se ejecuta bajo la identidad de la cuenta de servicio. Se confía en la cuenta de dominio para la delegación del servicio CIFS en el servidor de archivos.
  • La delegación restringida configurada para CIFS se configura en la cuenta de servicio para el servidor de archivos.

Escenario 3

  • Cualquier aplicación del lado del servidor a la que se accede desde un cliente accede a recursos compartidos remotos como usuario.
  • La aplicación del lado del servidor se ejecuta en el contexto de una cuenta de servicio.
  • La cuenta de servicio es de confianza para la delegación y está configurada para la delegación CIFS para el servidor de archivos.

Esto se ha identificado como un problema entre MrxSmb 2.0 y Kerberos cuando se trata de una delegación restringida.

Para resolver este problema, Microsoft ofrece dos soluciones.

Solución 1

Utilice una cuenta de máquina en lugar de una cuenta de servicio como identidad para las aplicaciones que realizarán la delegación restringida para CIFS. Configure la delegación restringida cuando el nivel funcional del dominio sea Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2.

Para hacer esto en el controlador de dominio para su dominio de servidores web, haga lo siguiente:

  • Hacer clic Inicio> Herramientas administrativas> Directorio activo de usuarios y computadoras.
  • Expanda el dominio y luego expanda la carpeta Equipos.
  • En el panel derecho, haga clic con el botón derecho en el nombre de la computadora para el servidor web, seleccione Propiedadesy luego haga clic en el Delegación pestaña.
  • Selecciona el Confiar en esta computadora para la delegación a servicios específicos solamente caja.
  • Asegúrate de eso Usar solo Kerberos está seleccionado y luego haga clic en OK.
  • Haga clic en el Botón Agregar.
  • En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o computadorasy luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS.
  • Hacer clic OK.
  • En la lista Servicios disponibles, seleccione el servicio CIFS.
  • Hacer clic OK.

Solución 2

Esta solución es no recomendado porque requiere Usar cualquier delegación de protocolo de autenticación en la cuenta de la computadora. Si se selecciona la opción Usar cualquier protocolo de autenticación, la cuenta está usando delegación restringida con transición de protocolo.

Si debe utilizar la identidad de las aplicaciones como una cuenta de servicio y / o una cuenta de dominio, haga lo siguiente:

Paso 1

  • Hacer clic Comienzo > Herramientas administrativas> Directorio activo de usuarios y computadoras.
  • Expanda el dominio y luego expanda la carpeta Equipos.
  • En el panel derecho, haga clic con el botón derecho en el nombre de la computadora para el servidor web, seleccione Propiedadesy luego haga clic en el Delegación pestaña.
  • Selecciona el Confiar en esta computadora para la delegación a servicios específicos solo casilla de verificación.
  • Asegúrate de eso Utilice cualquier protocolo de autenticación está seleccionado.
  • Hacer clic OK.
  • Haga clic en el Botón Agregar.
  • En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o computadorasy luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS.
  • Hacer clic OK.
  • En la lista Servicios disponibles, seleccione el Servicio CIFS.
  • Hacer clic OK.

Paso 2

  • En el panel izquierdo, expanda la carpeta Usuarios.
  • En el panel derecho, haga clic con el botón derecho en la cuenta de servicio que es la identidad del grupo de aplicaciones, seleccione Propiedadesy luego haga clic en el Delegación pestaña.
  • Selecciona el Confiar en esta computadora para la delegación a servicios específicos solamente caja.
  • Asegúrate de eso Usar solo Kerberos está seleccionado.
  • Hacer clic OK.
  • Haga clic en el Botón Agregar.
  • En el cuadro de diálogo Agregar servicios, haga clic en Usuarios o computadorasy luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS.
  • Hacer clic OK.
  • En la lista Servicios disponibles, seleccione el Servicio CIFS.
  • Hacer clic OK.

Espero que esta publicación ayude.

ACCESO DENEGADO falla la delegacion restringida para CIFS

Te puede interesar

Deja un comentario