アクセスが拒否されました-CIFSの制限された委任が失敗します
中間層サーバーでネットワーク共有を使用するサービスにアクセスしているときに、ユーザーは資格情報の入力を求められ、最終的にアクセス拒否エラーが発生します。今日の投稿では、いくつかのケースシナリオを示し、原因を特定してから、Windows10でCIFSの制約付き委任が(CIFS)ACCESS_DENIEDエラーで失敗する理由の問題に対する可能な回避策を提供します。
Common Internet File System(CIFS)は、ネットワークサーバーのファイルとサービスを要求するためのオープンでクロスプラットフォームのメカニズムを提供するファイル共有プロトコルです。 CIFSは、(CIFS)インターネット(Internet)およびイントラネットファイル共有用のMicrosoftのサーバーメッセージブロック(SMB)プロトコル の拡張バージョンに基づいています。
CIFSの制約付き委任がWindowsで失敗する
ユーザーに資格情報の入力を求められた場合にこの問題が発生する可能性があり、次の3つのシナリオに基づいて、アクセスが最終的に失敗し、アクセス拒否エラーが発生します。
シナリオ1(Scenario 1)
- IIS Webサイトは、パススルー認証とCIFS用に構成された制約付き委任を使用してリモート共有を指すホームディレクトリでセットアップされます。
- その共有にアクセスするIISアプリケーションプールは、サービスアカウントのIDで実行されています。(IIS)
- ドメインアカウントは、ファイルサーバー上のCIFSサービスの委任について信頼されています。
シナリオ2(Scenario 2)
- Webアプリは、ユーザーとしてファイルサーバーにアクセスしようとしています。
- その共有にアクセスするIISアプリケーションプールは、サービスアカウントのIDで実行されています。(IIS)ドメインアカウントは、ファイルサーバー上のCIFSサービスの委任について信頼されています。
- CIFS用に構成された制約付き委任は、ファイルサーバーのサービスアカウントで構成されます。
シナリオ3(Scenario 3)
- クライアントからアクセスされているサーバー側アプリケーションはすべて、ユーザーとしてリモート共有にアクセスしています。
- サーバー側アプリケーションは、サービスアカウントのコンテキストで実行されています。
- サービス(Service)アカウントは委任に対して信頼されており、ファイルサーバーのCIFS委任用に構成されています。(CIFS)
これは、制約された委任が関係している場合のMrxSmb2.0とKerberosの間の問題として識別されています。(Kerberos)
この問題を解決するために、Microsoftは2つの回避策を提供しています。
回避策1
CIFSの制約付き委任を実行するアプリケーションのIDとして、サービスアカウントの代わりにマシンアカウントを使用します。ドメインの機能レベルがWindowsServer2003(Windows Server 2003)、Windows Server 2008、またはWindows Server 2008 R2の場合は、制約付き委任を構成します。
Webサーバードメインのドメインコントローラーでこれを行うには、次の手順を実行します。
- [Start > Administrative Tools > ActiveDirectoryユーザーとコンピューター(Active Directory Users and Computers)]をクリックします。
- (Expand)ドメインを展開し、[コンピューター(Computers)]フォルダーを展開します。
- 右側のウィンドウで、Webサーバーのコンピューター名を右クリックし、[プロパティ]を選択して、[(Properties)委任(Delegation)]タブをクリックし ます。
- [ 指定したサービスのみに委任するためにこのコンピューターを信頼する(Trust this computer for delegation to specified services only)]チェックボックスをオンにします。
- [ Kerberosのみ(Use Kerberos only)を使用する]が選択されていることを確認し 、[ OK ]をクリックします 。
- [ 追加]ボタンを(Add button)クリックします。
- [サービス(Services)の 追加(Add) ]ダイアログボックスで、[ ユーザー]または[コンピューター]をクリックし、 (Users or Computers)IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [ OK]をクリックします。
- [ 利用可能な(Available) サービス](Services) リストで、 CIFSサービスを選択します。
- [ OK]をクリックします。
回避策2
この回避策は、コンピューターアカウントで認証プロトコルの委任を使用(Use)する必要があるため、 お勧めしません。(not recommended)[認証プロトコルを使用する(Use any authentication protocol)]オプションが選択されている場合 、アカウントはプロトコル移行を伴う制約付き委任を使用しています。
アプリケーションのIDをサービスアカウントやドメインアカウントとして使用する必要がある場合は、次の手順を実行します。
ステップ1(Step 1)
- [スタート](Start ) >[ Administrative Tools > ActiveDirectoryユーザーとコンピューター(Active Directory Users and Computers)]をクリックします。
- (Expand)ドメインを展開し、[コンピューター(Computers)]フォルダーを展開します。
- 右側のウィンドウで、Webサーバーのコンピューター名を右クリックし、[プロパティ]を選択して、[(Properties)委任(Delegation)]タブをクリックし ます。
- [ 指定したサービスのみに委任するためにこのコンピューターを信頼する]チェックボックスをオンにします。(Trust this computer for delegation to specified services)
- [任意の認証プロトコルを使用する](Use any authentication protocol)が選択されていることを確認して ください。
- [ OK]をクリックします。
- [ 追加]ボタンを(Add button)クリックします。
- [サービス(Services)の 追加(Add) ]ダイアログボックスで、[ ユーザー]または[コンピューター]をクリックし、 (Users or Computers)IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [ OK]をクリックします。
- [ 利用可能な(Available) サービス](Services) リストで、CIFSサービス(CIFS service)を選択します。
- [ OK]をクリックします。
ステップ2(Step 2)
- 左側のウィンドウで、[ユーザー]フォルダーを展開します。
- 右側のウィンドウで、アプリケーションプールのIDであるサービスアカウントを右クリックし、[ プロパティ]を選択して、[(Properties)委任(Delegation)]タブをクリックし ます。
- [ 指定したサービスのみに委任するためにこのコンピューターを信頼する(Trust this computer for delegation to specified services only)]チェックボックスをオンにします。
- [ Kerberosのみを使用する](Use Kerberos only)が選択されていることを確認して ください。
- [ OK]をクリックします。
- [ 追加]ボタンを(Add button)クリックします。
- [サービス(Services)の追加(Add) ]ダイアログボックスで、[ ユーザー]または[コンピューター]をクリックし、 (Users or Computers)IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [ OK]をクリックします。
- [ 利用可能な(Available) サービス](Services) リストで、CIFSサービス(CIFS service)を選択します。
- [ OK]をクリックします。
この投稿がお役に立てば幸いです。(Hope this post helps.)
Related posts
Webサイトを訪問しながらFix Error 1005 Access Denied message
DHCP Client ServiceはWindows 11/10でAccess Denied errorを与えます
Windows 10上のAccess Denied errorメッセージをカスタマイズする方法
Access Denied、このサーバー上のアクセス権限がありません
Fix Access Control EntryはWindows 10の壊れたエラーです
おっとっと! Windows Photos Appを保存できませんでした
プログラムをインストールまたはアンインストールするときは、Error 1327 Invalid Drive
Windows 10のFix Logitech Setpoint Runtime error
スタブはWindows 10でBad data error messageを受け取りました
WindowsはService、Error 0x80070005、Access Is Deniedを起動できませんでした
Fix Bdeunlock.exe Bad image、System Errorまたは応答しないエラーのない
アクセスを修正する方法が拒否されたWindows10
アーカイブを修正しているフォーマットまたは破損したエラーのどちらか
SFC Repair and DISMに失敗しましたWindows 10のerror 0x800f081fを示します
OSで新しいOwnerを設定できません、AccessはWindows 10で拒否されました
Fix Google Drive Access Denied Errorの方法
Access Is Denied場合Windows 10にEncrypted Fileを開く方法
Setupは、Windows 10上で新しいsystem partition errorを作成することができませんでした
Error 2738、Could custom actionの場合はVBScript runtimeにアクセスしない
このPCはParity StorageスペースのためにWindows 10にアップグレードすることはできません