Beim Zugriff auf einen Dienst, der Netzwerkfreigaben auf einem Middle-Tier-Server verwendet, werden Benutzer zur Eingabe von Anmeldeinformationen aufgefordert und erhalten schließlich einen Zugriffsverweigerungsfehler. Im heutigen Beitrag werden wir einige Fallbeispiele vorstellen, die Ursache ermitteln und dann mögliche Problemumgehungen für das Problem bereitstellen, warum die eingeschränkte Delegierung für CIFS mit dem ACCESS_DENIED-^{(ACCESS_DENIED)} Fehler in Windows 10 fehlschlägt.

Common Internet File System (CIFS) ist ein Dateifreigabeprotokoll, das einen offenen und plattformübergreifenden Mechanismus zum Anfordern von Netzwerkserverdateien und -diensten bereitstellt. CIFS  basiert auf der erweiterten Version des Server Message Block (SMB)-Protokolls von Microsoft für die Dateifreigabe im Internet und Intranet.^(Internet)

Die eingeschränkte Delegierung für CIFS schlägt in Windows fehl^(Windows)

Dieses Problem kann auftreten, wenn der Benutzer zur Eingabe von Anmeldeinformationen aufgefordert wird und der Zugriff schließlich mit einem Fehler „Zugriff verweigert“ fehlschlägt, der auf den folgenden drei Szenarien basiert.

Szenario 1^{(Scenario 1)}

• Die IIS -Website wird so eingerichtet, dass das Home-Verzeichnis auf die Remote-Freigabe verweist, wobei Pass-Through-Authentifizierung und eingeschränkte Delegierung für CIFS konfiguriert werden .
• Der IIS -Anwendungspool, der auf diese Freigabe zugreift, wird unter der Identität des Dienstkontos ausgeführt.
• Dem Domänenkonto wird für die Delegierung für den CIFS -Dienst auf dem Dateiserver vertraut.

Szenario 2^{(Scenario 2)}

• Die Web-App versucht, als Benutzer auf einen Dateiserver zuzugreifen.
• Der IIS -Anwendungspool, der auf diese Freigabe zugreift, wird unter der Identität des Dienstkontos ausgeführt. Dem Domänenkonto wird für die Delegierung für den CIFS -Dienst auf dem Dateiserver vertraut.
• Die für CIFS^(CIFS) konfigurierte eingeschränkte Delegierung ist auf dem Dienstkonto für den Dateiserver konfiguriert.

Szenario 3^{(Scenario 3)}

• Jede serverseitige Anwendung, auf die von einem Client aus zugegriffen wird, greift als Benutzer auf Remotefreigaben zu.
• Die serverseitige Anwendung wird im Kontext eines Dienstkontos ausgeführt.
• Dem Dienstkonto^(Service) wird für die Delegierung vertraut und es ist für die CIFS -Delegierung für den Dateiserver konfiguriert.

Dies wurde als Problem zwischen MrxSmb 2.0 und Kerberos identifiziert, wenn die eingeschränkte Delegierung beteiligt ist.

Um dieses Problem zu beheben, bietet Microsoft zwei Problemumgehungen an.

Problemumgehung 1

Verwenden Sie anstelle eines Dienstkontos ein Computerkonto als Identität für Anwendungen, die eine eingeschränkte Delegierung für CIFS durchführen . Konfigurieren Sie die eingeschränkte Delegierung, wenn die Domänenfunktionsebene Windows Server 2003 , Windows Server 2008 oder Windows Server 2008 R2 ist.

Gehen Sie dazu auf dem Domänencontroller für die Domäne Ihres Webservers wie folgt vor:

• Klicken Sie auf Start > Administrative Tools > Active Directory-Benutzer und -Computer^{(Active Directory Users and Computers)} .
• Erweitern Sie^(Expand) Domäne und dann den Ordner Computer .^(Computers)
• Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen für den Webserver, wählen Sie Eigenschaften^(Properties) aus und klicken Sie dann auf die   Registerkarte Delegierung .^(Delegation)
• Aktivieren Sie das  Kontrollkästchen Diesem Computer nur für die Delegierung an bestimmte Dienste vertrauen^{(Trust this computer for delegation to specified services only)} .
• Stellen Sie sicher, dass  Nur Kerberos verwenden^{(Use Kerberos only)}  ausgewählt ist, und klicken Sie dann auf  OK .
• Klicken Sie auf die  Schaltfläche Hinzufügen^{(Add button)} .
• Klicken Sie im   Dialogfeld  Dienste ^(Services)hinzufügen auf ^(Add) Benutzer oder Computer und navigieren Sie dann zum Dateiserver, der die Anmeldeinformationen des Benutzers von ^{(Users or Computers)}IIS erhalten soll, oder geben Sie den Namen des Dateiservers ein .
• Klicken Sie auf  OK .
• Wählen Sie in der   Liste  Verfügbare ^(Available) Dienste den ^(Services)CIFS -Dienst aus.
• Klicken Sie auf  OK .

Problemumgehung 2

Diese Problemumgehung wird nicht empfohlen, da sie die ^{(not recommended)}Verwendung^(Use) einer beliebigen Authentifizierungsprotokolldelegierung für das Computerkonto erfordert  . Wenn die  Option Beliebiges Authentifizierungsprotokoll verwenden^{(Use any authentication protocol)}  ausgewählt ist, verwendet das Konto die eingeschränkte Delegierung mit Protokollübergang.

Wenn Sie die Identität von Anwendungen als Dienstkonto und/oder Domänenkonto verwenden müssen, gehen Sie wie folgt vor:

Schritt 1^{(Step 1)}

• Klicken Sie auf Start >  Administrative Tools > Active Directory-Benutzer und -Computer^{(Active Directory Users and Computers)} .
• Erweitern Sie^(Expand) Domäne und dann den Ordner Computer .^(Computers)
• Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen für den Webserver, wählen Sie Eigenschaften^(Properties) aus und klicken Sie dann auf die   Registerkarte Delegierung .^(Delegation)
• Aktivieren Sie das  Kontrollkästchen Diesem Computer nur für die Delegierung an bestimmte Dienste vertrauen^{(Trust this computer for delegation to specified services)} .
• Stellen Sie sicher, dass  Beliebiges Authentifizierungsprotokoll verwenden^{(Use any authentication protocol)} ausgewählt ist.
• Klicken Sie auf OK .
• Klicken Sie auf die  Schaltfläche Hinzufügen^{(Add button)} .
• Klicken Sie im   Dialogfeld  Dienste ^(Services)hinzufügen auf ^(Add) Benutzer oder Computer und navigieren Sie dann zum Dateiserver, der die Anmeldeinformationen des Benutzers von ^{(Users or Computers)}IIS erhalten soll, oder geben Sie den Namen des Dateiservers ein .
• Klicken Sie auf  OK .
• Wählen Sie in der   Liste Verfügbare ^(Available) Dienste den ^(Services)CIFS-Dienst aus^{(CIFS service)} .
• Klicken Sie auf  OK .

Schritt 2^{(Step 2)}

• Erweitern Sie im linken Bereich den Ordner Benutzer.
• Klicken Sie im rechten Bereich mit der rechten Maustaste auf das Dienstkonto, das die Identität des Anwendungspools darstellt, wählen Sie  Eigenschaften^(Properties) aus, und klicken Sie dann auf die   Registerkarte Delegierung .^(Delegation)
• Aktivieren Sie das  Kontrollkästchen Diesem Computer nur für die Delegierung an bestimmte Dienste vertrauen^{(Trust this computer for delegation to specified services only)} .
• Stellen Sie sicher, dass  Nur Kerberos verwenden^{(Use Kerberos only)} ausgewählt ist.
• Klicken Sie auf OK .
• Klicken Sie auf die  Schaltfläche Hinzufügen^{(Add button)} .
• Klicken Sie im  Dialogfeld  Dienste ^(Services)hinzufügen auf ^(Add) Benutzer oder Computer und navigieren Sie dann zum Dateiserver, der die Anmeldeinformationen des Benutzers von ^{(Users or Computers)}IIS erhalten soll, oder geben Sie den Namen des Dateiservers ein .
• Klicken Sie auf  OK .
• Wählen Sie in der   Liste Verfügbare ^(Available) Dienste den ^(Services)CIFS-Dienst aus^{(CIFS service)} .
• Klicken Sie auf  OK .

Hoffe, dieser Beitrag hilft.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that uses network shаres on a middle-tier server, users arе prompted for credentials, and they eventually encounter an access denied error. In today’s poѕt, we will рresent a couple of case scenarios, identify the cause and then provide the possible workarounds to the issue of why constrained delegation for CІFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Beheben Sie die Fehlermeldung „Zugriff verweigert“ beim Besuch von Websites

• Der DHCP-Clientdienst gibt in Windows 11/10 den Fehler „Zugriff verweigert“ aus

• So passen Sie die Fehlermeldung „Zugriff verweigert“ unter Windows 10 an

• Zugriff verweigert, Sie sind nicht berechtigt, auf diesen Server zuzugreifen

• Fix Access Control Entry ist ein beschädigter Fehler in Windows 10

• Beheben Sie den Anwendungsladefehler 5:0000065434 unter Windows 10

• Beheben Sie den Fehler „Zugriff verweigert“ des Windows-Installationsprogramms

• MBR2GPT konnte Sicherungs-/Wiederherstellungsrechte unter Windows 10 nicht aktivieren

• Beheben Sie den Fehler „Smart Check bestanden, Short DST Failed“ auf dem HP-Computer

• So beheben Sie „Zugriff verweigert“, „Datei wird möglicherweise verwendet“ oder „Freigabeverstoß“ in Windows

• So beheben Sie Zugriff verweigert Windows 10

• Beheben Sie den ShellExecuteEx-Fehler in Windows 11/10

• So greifen Sie auf den verweigerten eingeschränkten Ordner in Windows 11/10 zu

• Systemfehler 6118, Die Liste der Server für diese Arbeitsgruppe ist nicht verfügbar

• Behebung des Microsoft Store-Anmeldefehlers 0x801901f4 unter Windows 11/10

• So beheben Sie den Fehler „Zugriff auf Google Drive verweigert“.

• Beheben Sie den Logitech Setpoint Runtime-Fehler unter Windows 10

• Fehler 1327 Ungültiges Laufwerk beim Installieren oder Deinstallieren von Programmen

• Fix Bdeunlock.exe Schlechtes Bild, Systemfehler oder Fehler, der nicht reagiert

• Die Anwendung kann den Scanner nicht finden – WIA_ERROR_OFFLINE, 0x80210005