TRUY CẬP BỊ TỪ CHỐI - Ủy quyền hạn chế cho CIFS không thành công

Trong khi truy cập dịch vụ sử dụng mạng chia sẻ trên máy chủ cấp trung, người dùng được nhắc nhập thông tin xác thực và cuối cùng họ gặp phải lỗi bị từ chối truy cập. Trong bài đăng hôm nay, chúng tôi sẽ trình bày một số tình huống trường hợp, xác định nguyên nhân và sau đó đưa ra các giải pháp khả thi cho vấn đề tại sao ủy quyền hạn chế cho CIFS không thành công với lỗi ACCESS_DENIED trong Windows 10.

Hệ thống tệp Internet chung (CIFS)(Common Internet File System (CIFS)) là một giao thức chia sẻ tệp cung cấp cơ chế mở và đa nền tảng để yêu cầu các tệp và dịch vụ máy chủ mạng. CIFS dựa trên phiên bản nâng cao của (CIFS)giao thức Khối tin nhắn máy chủ (SMB)  của Microsoft để chia sẻ tệp Internet và mạng nội bộ.

Ủy quyền hạn chế cho CIFS không thành công trong Windows

Ủy quyền hạn chế cho CIFS không thành công trong Windows

Bạn có thể gặp sự cố này nếu người dùng được nhắc nhập thông tin xác thực và quyền truy cập cuối cùng không thành công với lỗi bị từ chối truy cập dựa trên ba trường hợp sau.

cảnh 1(Scenario 1)

  • Trang web IIS được thiết lập với thư mục chính trỏ đến chia sẻ từ xa bằng cách sử dụng xác thực chuyển qua và ủy quyền hạn chế được định cấu hình cho CIFS .
  • Nhóm ứng dụng IIS truy cập chia sẻ đó đang chạy dưới danh tính của tài khoản dịch vụ.
  • Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.

Tình huống 2(Scenario 2)

  • Ứng dụng web đang cố gắng truy cập máy chủ tệp với tư cách là người dùng.
  • Nhóm ứng dụng IIS có quyền truy cập chia sẻ đang chạy dưới danh tính của tài khoản dịch vụ. Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.
  • Ủy quyền giới hạn được định cấu hình cho CIFS được định cấu hình trên tài khoản dịch vụ cho máy chủ tệp.

Tình huống 3(Scenario 3)

  • Bất kỳ ứng dụng phía máy chủ nào đang được truy cập từ máy khách đang truy cập các chia sẻ từ xa với tư cách là người dùng.
  • Ứng dụng phía máy chủ đang chạy trong ngữ cảnh của tài khoản dịch vụ.
  • Tài khoản Dịch vụ(Service) được tin cậy để ủy quyền và được định cấu hình cho ủy quyền CIFS cho máy chủ tệp.

Đây đã được xác định là một vấn đề giữa MrxSmb 2.0 và Kerberos khi liên quan đến ủy quyền hạn chế.

Để giải quyết vấn đề này, Microsoft đưa ra hai cách giải quyết.

Cách giải quyết 1

Sử dụng tài khoản máy thay vì tài khoản dịch vụ làm danh tính cho các ứng dụng sẽ thực hiện ủy quyền hạn chế cho CIFS . Định cấu hình ủy quyền hạn chế khi cấp chức năng miền là Windows Server 2003 , Windows Server 2008 hoặc Windows Server 2008 R2.

Để thực hiện việc này trên bộ điều khiển miền cho miền máy chủ web của bạn, hãy làm như sau:

  • Bấm Start > Administrative Tools > Người dùng và Máy tính Active Directory(Active Directory Users and Computers) .
  • Mở rộng(Expand) miền, rồi mở rộng thư mục Máy tính(Computers) .
  • Trong ngăn bên phải, bấm chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính(Properties) , sau đó bấm vào  tab Ủy quyền(Delegation)  .
  • Chọn  hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services only) .
  • Đảm bảo rằng  Chỉ sử dụng Kerberos(Use Kerberos only)  được chọn, sau đó bấm  OK .
  • Nhấp  vào nút Thêm(Add button) .
  • Trong   hộp thoại  Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
  • Bấm  OK .
  • Trong  danh sách Dịch vụ (Services)Có sẵn(Available)  , hãy chọn  dịch vụ CIFS .
  • Bấm  OK .

Cách giải quyết 2

Cách giải quyết này không được khuyến nghị(not recommended) vì nó yêu cầu  Sử dụng(Use) bất kỳ ủy quyền giao thức xác thực nào trên tài khoản máy tính. Nếu  tùy chọn Sử dụng bất kỳ giao thức xác thực nào(Use any authentication protocol)  được chọn, tài khoản đang sử dụng ủy quyền hạn chế với chuyển đổi giao thức.

Nếu bạn phải sử dụng danh tính của các ứng dụng làm tài khoản dịch vụ và / hoặc tài khoản miền, hãy làm như sau:

Bước 1(Step 1)

  • Bấm Bắt đầu(Start )Administrative Tools > Người dùng và Máy tính Active Directory(Active Directory Users and Computers) .
  • Mở rộng(Expand) miền, rồi mở rộng thư mục Máy tính(Computers) .
  • Trong ngăn bên phải, bấm chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính(Properties) , sau đó bấm vào  tab Ủy quyền(Delegation)  .
  • Chọn  hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services) .
  • Đảm bảo rằng  Sử dụng bất kỳ giao thức xác thực nào(Use any authentication protocol) được chọn.
  • Bấm OK .
  • Nhấp  vào nút Thêm(Add button) .
  • Trong   hộp thoại  Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
  • Bấm  OK .
  • Trong  danh sách Dịch vụ (Services)Có sẵn(Available)  , hãy chọn dịch vụ CIFS(CIFS service) .
  • Bấm  OK .

Bước 2(Step 2)

  • Trong ngăn bên trái, hãy mở rộng thư mục Người dùng.
  • Trong ngăn bên phải, bấm chuột phải vào tài khoản dịch vụ là danh tính của nhóm ứng dụng, chọn  Thuộc tính(Properties) , rồi bấm vào  tab Ủy quyền(Delegation)  .
  • Chọn  hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services only) .
  • Đảm bảo rằng  Chỉ sử dụng Kerberos(Use Kerberos only) được chọn.
  • Bấm OK .
  • Nhấp  vào nút Thêm(Add button) .
  • Trong  hộp thoại  Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
  • Bấm  OK .
  • Trong  danh sách Dịch vụ (Services)Có sẵn(Available)  , hãy chọn dịch vụ CIFS(CIFS service) .
  • Bấm  OK .

Hy vọng bài viết này sẽ giúp ích.(Hope this post helps.)



Hạnh Huyền

About the author

Tôi là nhà phát triển phần mềm miễn phí và là người ủng hộ Windows Vista / 7. Tôi đã viết hàng trăm bài báo về các chủ đề khác nhau liên quan đến hệ điều hành, bao gồm các mẹo và thủ thuật, hướng dẫn sửa chữa và các phương pháp hay nhất. Tôi cũng cung cấp các dịch vụ tư vấn liên quan đến văn phòng thông qua công ty của tôi, Dịch vụ Bộ phận Trợ giúp. Tôi hiểu sâu về cách hoạt động, các tính năng của Office 365 và cách sử dụng chúng hiệu quả nhất.


Related posts