AKSES DITOLAK - Delegasi terbatas untuk CIFS gagal

Saat mengakses layanan yang menggunakan jaringan berbagi di server tingkat menengah, pengguna diminta memasukkan kredensial, dan mereka akhirnya menemukan kesalahan akses ditolak. Dalam posting hari ini, kami akan menyajikan beberapa skenario kasus, mengidentifikasi penyebabnya dan kemudian memberikan solusi yang mungkin untuk masalah mengapa delegasi terbatas untuk CIFS gagal dengan kesalahan ACCESS_DENIED di Windows 10.

Common Internet File System (CIFS) adalah protokol file-sharing yang menyediakan mekanisme terbuka dan lintas platform untuk meminta file dan layanan server jaringan. CIFS  didasarkan pada versi yang disempurnakan dari protokol Server Message Block (SMB) Microsoft untuk berbagi file Internet dan intranet.(Internet)

Delegasi terbatas untuk CIFS gagal di Windows

Delegasi terbatas untuk CIFS gagal di Windows

Anda mungkin mengalami masalah ini jika pengguna dimintai kredensial, dan akses akhirnya gagal dengan galat akses ditolak berdasarkan tiga skenario berikut.

skenario 1(Scenario 1)

  • Situs web IIS diatur dengan direktori home yang menunjuk ke berbagi jarak jauh menggunakan otentikasi pass-through dan delegasi terbatas yang dikonfigurasi untuk CIFS .
  • Kumpulan aplikasi IIS yang mengakses bagian tersebut berjalan di bawah identitas akun layanan.
  • Akun domain dipercaya untuk delegasi layanan CIFS di server file.

Skenario 2(Scenario 2)

  • Aplikasi web mencoba mengakses server file sebagai pengguna.
  • Kumpulan aplikasi IIS yang mengakses berbagi itu berjalan di bawah identitas akun layanan. Akun domain dipercaya untuk delegasi layanan CIFS di server file.
  • Delegasi terbatas dikonfigurasi untuk CIFS dikonfigurasi pada akun layanan untuk file server.

Skenario 3(Scenario 3)

  • Aplikasi sisi server apa pun yang sedang diakses dari klien mengakses berbagi jarak jauh sebagai pengguna.
  • Aplikasi sisi server berjalan di bawah konteks akun layanan.
  • Akun Layanan(Service) dipercaya untuk delegasi dan dikonfigurasi untuk delegasi CIFS untuk server file.

Ini telah diidentifikasi sebagai masalah antara MrxSmb 2.0 dan Kerberos ketika delegasi dibatasi terlibat.

Untuk mengatasi masalah ini, Microsoft menawarkan dua solusi.

Solusi 1

Gunakan akun mesin alih-alih akun layanan sebagai identitas untuk aplikasi yang akan melakukan delegasi terbatas untuk CIFS . Konfigurasikan delegasi terbatas saat tingkat fungsional domain adalah Windows Server 2003 , Windows Server 2008 , atau Windows Server 2008 R2.

Untuk melakukannya di pengontrol domain untuk domain server web Anda, lakukan hal berikut:

  • Klik Start > Administrative Tools > Pengguna dan Komputer Direktori Aktif(Active Directory Users and Computers) .
  • Perluas(Expand) domain, lalu luaskan folder Komputer .(Computers)
  • Di panel kanan, klik kanan nama komputer untuk server web, pilih Properti(Properties) , lalu klik   tab Delegasi .(Delegation)
  • Pilih  kotak centang Percayai komputer ini untuk didelegasikan ke layanan tertentu saja(Trust this computer for delegation to specified services only) .
  • Pastikan  Gunakan Kerberos only(Use Kerberos only)  dipilih, lalu klik  OK .
  • Klik  tombol Tambah(Add button) .
  • Di   kotak dialog  Tambahkan (Add) Layanan , klik (Services)Pengguna atau Komputer(Users or Computers) , lalu telusuri atau masukkan nama server file yang akan menerima kredensial pengguna dari IIS .
  • Klik  Oke(OK) .
  • Dalam  daftar Layanan yang (Services)Tersedia(Available)  , pilih  layanan CIFS .
  • Klik  Oke(OK) .

Solusi 2

Pemecahan masalah ini tidak disarankan(not recommended) karena memerlukan  delegasi(Use) protokol autentikasi apa pun di akun komputer. Jika opsi  Gunakan protokol otentikasi apa pun(Use any authentication protocol)  dipilih, akun menggunakan delegasi terbatas dengan transisi protokol.

Jika Anda harus menggunakan identitas aplikasi sebagai akun layanan dan/atau akun domain, lakukan hal berikut:

Langkah 1(Step 1)

  • Klik Mulai(Start )Administrative Tools > Pengguna dan Komputer Direktori Aktif(Active Directory Users and Computers) .
  • Perluas(Expand) domain, lalu luaskan folder Komputer .(Computers)
  • Di panel kanan, klik kanan nama komputer untuk server web, pilih Properti(Properties) , lalu klik   tab Delegasi .(Delegation)
  • Pilih  kotak centang Percayai komputer ini untuk didelegasikan ke layanan tertentu(Trust this computer for delegation to specified services) saja.
  • Pastikan  Gunakan protokol otentikasi apa pun(Use any authentication protocol) dipilih.
  • Klik Oke(OK) .
  • Klik  tombol Tambah(Add button) .
  • Di   kotak dialog  Tambahkan (Add) Layanan , klik (Services)Pengguna atau Komputer(Users or Computers) , lalu telusuri atau masukkan nama server file yang akan menerima kredensial pengguna dari IIS .
  • Klik  Oke(OK) .
  • Dalam  daftar Layanan yang (Services)Tersedia(Available)  , pilih layanan CIFS(CIFS service) .
  • Klik  Oke(OK) .

Langkah 2(Step 2)

  • Di panel kiri, perluas folder Pengguna.
  • Di panel kanan, klik kanan akun layanan yang merupakan identitas kumpulan aplikasi, pilih  Properti(Properties) , lalu klik   tab Delegasi .(Delegation)
  • Pilih  kotak centang Percayai komputer ini untuk didelegasikan ke layanan tertentu saja(Trust this computer for delegation to specified services only) .
  • Pastikan  Use Kerberos only dipilih.
  • Klik Oke(OK) .
  • Klik  tombol Tambah(Add button) .
  • Di  kotak dialog  Tambahkan (Add) Layanan , klik (Services)Pengguna atau Komputer(Users or Computers) , lalu telusuri atau masukkan nama server file yang akan menerima kredensial pengguna dari IIS .
  • Klik  Oke(OK) .
  • Dalam  daftar Layanan yang (Services)Tersedia(Available)  , pilih layanan CIFS(CIFS service) .
  • Klik  Oke(OK) .

Semoga postingan ini membantu.(Hope this post helps.)



About the author

Saya seorang insinyur perangkat lunak dan ahli Windows 10. Saya memiliki lebih dari dua tahun pengalaman bekerja dengan smartphone, windows 10, dan Microsoft edge. Fokus utama saya adalah membuat perangkat Anda bekerja lebih baik dan lebih cepat. Saya telah mengerjakan berbagai proyek untuk perusahaan seperti Verizon, IMac, HP, Comcast, dan banyak lainnya. Saya juga seorang instruktur bersertifikat dalam pelatihan cloud Microsoft Azure.



Related posts