TRUY CẬP BỊ TỪ CHỐI - Ủy quyền hạn chế cho CIFS không thành công
Trong khi truy cập dịch vụ sử dụng mạng chia sẻ trên máy chủ cấp trung, người dùng được nhắc nhập thông tin xác thực và cuối cùng họ gặp phải lỗi bị từ chối truy cập. Trong bài đăng hôm nay, chúng tôi sẽ trình bày một số tình huống trường hợp, xác định nguyên nhân và sau đó đưa ra các giải pháp khả thi cho vấn đề tại sao ủy quyền hạn chế cho CIFS không thành công với lỗi ACCESS_DENIED trong Windows 10.
Hệ thống tệp Internet chung (CIFS)(Common Internet File System (CIFS)) là một giao thức chia sẻ tệp cung cấp cơ chế mở và đa nền tảng để yêu cầu các tệp và dịch vụ máy chủ mạng. CIFS dựa trên phiên bản nâng cao của (CIFS)giao thức Khối tin nhắn máy chủ (SMB) của Microsoft để chia sẻ tệp Internet và mạng nội bộ.
Ủy quyền hạn chế cho CIFS không thành công trong Windows
Bạn có thể gặp sự cố này nếu người dùng được nhắc nhập thông tin xác thực và quyền truy cập cuối cùng không thành công với lỗi bị từ chối truy cập dựa trên ba trường hợp sau.
cảnh 1(Scenario 1)
- Trang web IIS được thiết lập với thư mục chính trỏ đến chia sẻ từ xa bằng cách sử dụng xác thực chuyển qua và ủy quyền hạn chế được định cấu hình cho CIFS .
- Nhóm ứng dụng IIS truy cập chia sẻ đó đang chạy dưới danh tính của tài khoản dịch vụ.
- Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.
Tình huống 2(Scenario 2)
- Ứng dụng web đang cố gắng truy cập máy chủ tệp với tư cách là người dùng.
- Nhóm ứng dụng IIS có quyền truy cập chia sẻ đang chạy dưới danh tính của tài khoản dịch vụ. Tài khoản miền được tin cậy để ủy quyền cho dịch vụ CIFS trên máy chủ tệp.
- Ủy quyền giới hạn được định cấu hình cho CIFS được định cấu hình trên tài khoản dịch vụ cho máy chủ tệp.
Tình huống 3(Scenario 3)
- Bất kỳ ứng dụng phía máy chủ nào đang được truy cập từ máy khách đang truy cập các chia sẻ từ xa với tư cách là người dùng.
- Ứng dụng phía máy chủ đang chạy trong ngữ cảnh của tài khoản dịch vụ.
- Tài khoản Dịch vụ(Service) được tin cậy để ủy quyền và được định cấu hình cho ủy quyền CIFS cho máy chủ tệp.
Đây đã được xác định là một vấn đề giữa MrxSmb 2.0 và Kerberos khi liên quan đến ủy quyền hạn chế.
Để giải quyết vấn đề này, Microsoft đưa ra hai cách giải quyết.
Cách giải quyết 1
Sử dụng tài khoản máy thay vì tài khoản dịch vụ làm danh tính cho các ứng dụng sẽ thực hiện ủy quyền hạn chế cho CIFS . Định cấu hình ủy quyền hạn chế khi cấp chức năng miền là Windows Server 2003 , Windows Server 2008 hoặc Windows Server 2008 R2.
Để thực hiện việc này trên bộ điều khiển miền cho miền máy chủ web của bạn, hãy làm như sau:
- Bấm Start > Administrative Tools > Người dùng và Máy tính Active Directory(Active Directory Users and Computers) .
- Mở rộng(Expand) miền, rồi mở rộng thư mục Máy tính(Computers) .
- Trong ngăn bên phải, bấm chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính(Properties) , sau đó bấm vào tab Ủy quyền(Delegation) .
- Chọn hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services only) .
- Đảm bảo rằng Chỉ sử dụng Kerberos(Use Kerberos only) được chọn, sau đó bấm OK .
- Nhấp vào nút Thêm(Add button) .
- Trong hộp thoại Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
- Bấm OK .
- Trong danh sách Dịch vụ (Services)Có sẵn(Available) , hãy chọn dịch vụ CIFS .
- Bấm OK .
Cách giải quyết 2
Cách giải quyết này không được khuyến nghị(not recommended) vì nó yêu cầu Sử dụng(Use) bất kỳ ủy quyền giao thức xác thực nào trên tài khoản máy tính. Nếu tùy chọn Sử dụng bất kỳ giao thức xác thực nào(Use any authentication protocol) được chọn, tài khoản đang sử dụng ủy quyền hạn chế với chuyển đổi giao thức.
Nếu bạn phải sử dụng danh tính của các ứng dụng làm tài khoản dịch vụ và / hoặc tài khoản miền, hãy làm như sau:
Bước 1(Step 1)
- Bấm Bắt đầu(Start ) > Administrative Tools > Người dùng và Máy tính Active Directory(Active Directory Users and Computers) .
- Mở rộng(Expand) miền, rồi mở rộng thư mục Máy tính(Computers) .
- Trong ngăn bên phải, bấm chuột phải vào tên máy tính cho máy chủ web, chọn Thuộc tính(Properties) , sau đó bấm vào tab Ủy quyền(Delegation) .
- Chọn hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services) .
- Đảm bảo rằng Sử dụng bất kỳ giao thức xác thực nào(Use any authentication protocol) được chọn.
- Bấm OK .
- Nhấp vào nút Thêm(Add button) .
- Trong hộp thoại Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
- Bấm OK .
- Trong danh sách Dịch vụ (Services)Có sẵn(Available) , hãy chọn dịch vụ CIFS(CIFS service) .
- Bấm OK .
Bước 2(Step 2)
- Trong ngăn bên trái, hãy mở rộng thư mục Người dùng.
- Trong ngăn bên phải, bấm chuột phải vào tài khoản dịch vụ là danh tính của nhóm ứng dụng, chọn Thuộc tính(Properties) , rồi bấm vào tab Ủy quyền(Delegation) .
- Chọn hộp kiểm Tin cậy máy tính này để chỉ ủy quyền cho các dịch vụ được chỉ định(Trust this computer for delegation to specified services only) .
- Đảm bảo rằng Chỉ sử dụng Kerberos(Use Kerberos only) được chọn.
- Bấm OK .
- Nhấp vào nút Thêm(Add button) .
- Trong hộp thoại Thêm (Add) dịch vụ , bấm (Services)Người dùng hoặc Máy tính(Users or Computers) , sau đó duyệt đến hoặc nhập tên của máy chủ tệp sẽ nhận thông tin đăng nhập của người dùng từ IIS .
- Bấm OK .
- Trong danh sách Dịch vụ (Services)Có sẵn(Available) , hãy chọn dịch vụ CIFS(CIFS service) .
- Bấm OK .
Hy vọng bài viết này sẽ giúp ích.(Hope this post helps.)
Related posts
Fix Error 1005 Access Denied message trang web khi đến thăm
DHCP Client Service cung cấp Access Denied error trong Windows 11/10
Cách tùy chỉnh tin nhắn Access Denied error trên Windows 10
Access Denied, bạn không có quyền truy cập trên máy chủ này
Fix Access Control Entry là lỗi tham nhũng trong Windows 10
Setup không thể tạo system partition error mới trên Windows 10
Tính năng này yêu cầu phương tiện di động - Lỗi đặt lại Password
Làm thế nào để sửa chữa Disk Signature Collision problem trong Windows 10
IPersistFile Save thất bại, Code 0x80070005, Access bị từ chối
Fix ShellExecuteEx Lỗi không thành công trong Windows 10
Không thể đặt Owner mới trên OS, Access bị từ chối trên Windows 10
Cách khắc phục quyền truy cập bị từ chối, tệp có thể được sử dụng hoặc lỗi vi phạm chia sẻ trong Windows
Làm thế nào để Fix Google Drive Access Denied Error
Cách khắc phục quyền truy cập bị từ chối Windows 10
Fix Microsoft Store Error 0x87AF0001
Fix Windows Installer Access Denied Error
Install Realtek HD Audio Driver Failure, Error OxC0000374 trên Windows 10
Stub nhận một data error message xấu trên Windows 10
Fix ShellExecuteEx không thành công; Mã error 8235 trên Windows10
Fix Application Load Error 5:0000065434 trên Windows 10