アクセスが拒否されました–CIFSの制限された委任が失敗します
中間層サーバーでネットワーク共有を使用するサービスにアクセスしているときに、ユーザーは資格情報の入力を求められ、最終的にアクセス拒否エラーが発生します。本日の投稿では、いくつかのケースシナリオを提示し、原因を特定してから、CIFSの制約付き委任が ACCESS_DENIEDで失敗する理由の問題に対する可能な回避策を提供します。 Windows10でのエラー。
共通インターネットファイルシステム(CIFS) は、ネットワークサーバーのファイルとサービスをリクエストするためのオープンでクロスプラットフォームのメカニズムを提供するファイル共有プロトコルです。 CIFS これは、インターネットおよびイントラネットファイル共有用のMicrosoftのサーバーメッセージブロック(SMB)プロトコルの拡張バージョンに基づいています。
WindowsでCIFSの制約付き委任が失敗する
ユーザーに資格情報の入力を求められた場合にこの問題が発生する可能性があり、次の3つのシナリオに基づいて、アクセスが最終的に失敗し、アクセス拒否エラーが発生します。
シナリオ1
- IIS Webサイトは、パススルー認証とCIFS用に構成された制約付き委任を使用してリモート共有を指すホームディレクトリでセットアップされます。
- その共有にアクセスするIISアプリケーションプールは、サービスアカウントのIDで実行されています。
シナリオ2
- その共有にアクセスするIISアプリケーションプールは、サービスアカウントのIDで実行されています。ドメインアカウントは、ファイルサーバー上のCIFSサービスの委任について信頼されています。
シナリオ3
- サーバー側アプリケーションは、サービスアカウントのコンテキストで実行されています。
- サービスアカウントは委任に対して信頼されており、ファイルサーバーのCIFS委任用に構成されています。
これは、制約付きの委任が関係している場合のMrxSmb2.0とKerberosの間の問題として識別されています。
この問題を解決するために、Microsoftは2つの回避策を提供しています。
回避策1
CIFSの制約付き委任を実行するアプリケーションのIDとして、サービスアカウントの代わりにマシンアカウントを使用します。ドメインの機能レベルがWindowsServer2003、Windows Server 2008、またはWindows Server 2008 R2の場合、制約付き委任を構成します。
Webサーバードメインのドメインコントローラーでこれを行うには、次の手順を実行します。
- [開始>]をクリックします 管理ツール> ActiveDirectoryユーザーとコンピューター 。
- ドメインを展開してから、Computersフォルダーを展開します。
- 右側のペインで、Webサーバーのコンピューター名を右クリックし、[プロパティ]を選択します。 、次に[委任]をクリックします タブ。
- 指定されたサービスへの委任についてのみこのコンピューターを信頼するを選択します チェックボックス。
- Kerberosのみを使用することを確認してください を選択し、[ OK ]をクリックします 。
- 追加ボタンをクリックします 。
- [サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします 、次に、IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [OK]をクリックします 。
- [利用可能なサービス]リストで、CIFSサービスを選択します。
- [OK]をクリックします 。
回避策2
この回避策は推奨されません コンピュータアカウントで認証プロトコルの委任を使用する必要があるためです。 任意の認証プロトコルを使用する場合 オプションが選択されている場合、アカウントはプロトコル移行を伴う制約付き委任を使用しています。
アプリケーションのIDをサービスアカウントやドメインアカウントとして使用する必要がある場合は、次の手順を実行します。
ステップ1
- [開始]をクリックします>管理ツール> ActiveDirectoryユーザーとコンピューター 。
- ドメインを展開してから、Computersフォルダーを展開します。
- 右側のペインで、Webサーバーのコンピューター名を右クリックし、[プロパティ]を選択します。 、次に[委任]をクリックします タブ。
- 指定されたサービスへの委任についてこのコンピューターを信頼するを選択します チェックボックスのみ。
- 必ず任意の認証プロトコルを使用してください が選択されています。
- [ OK]をクリックします 。
- 追加ボタンをクリックします 。
- [サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします 、次に、IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [OK]をクリックします 。
- [利用可能なサービス]リストで、[CIFSサービス]を選択します 。
- [OK]をクリックします 。
ステップ2
- 左側のペインで、[ユーザー]フォルダーを展開します。
- 右側のペインで、アプリケーションプールのIDであるサービスアカウントを右クリックし、[プロパティ]を選択します 、次に[委任]をクリックします タブ。
- 指定されたサービスへの委任についてのみこのコンピューターを信頼するを選択します チェックボックス。
- Kerberosのみを使用することを確認してください が選択されています。
- [ OK]をクリックします 。
- 追加ボタンをクリックします 。
- [サービスの追加]ダイアログボックスで、[ユーザーまたはコンピューター]をクリックします 、次に、IISからユーザーの資格情報を受け取るファイルサーバーの名前を参照または入力します。
- [OK]をクリックします 。
- [利用可能なサービス]リストで、[CIFSサービス]を選択します 。
- [OK]をクリックします 。
この投稿がお役に立てば幸いです。
-
Windows 11 でフォルダ アクセス拒否エラーを修正する方法
Windows 11 でフォルダー アクセス拒否エラーが発生しますか?フォルダのコンテンツまたはファイルにアクセスできず、画面に「アクセスが拒否されました」というアラートが表示されますか?この投稿では、Windows 11 でのフォルダー アクセス拒否エラーを修正するために使用できるいくつかのソリューションをリストしました。 特定のフォルダーまたはファイルを表示する権限がないと Windows が通知する場合、管理者権限が制限されているか、フォルダーの権限設定が正しく構成されていない可能性があります。このアラートをトリガーする別の理由として、Google ドライブとの競合、暗号化/パスワー
-
「Unable To Terminate Process Access Is Denied」エラーを修正する方法
「ブラウザを起動するたびに、メモリを消費し続けます。最近、タスク マネージャーでバックグラウンド プロセスを停止する「タスクの終了」を実行できないため、状況が悪化しています。どうしたらいいですか?」 – 動揺する Windows ユーザー。 アプリケーションまたはその他のサービスに関連するプロセスを終了できないことは、多くの Windows ユーザーが直面する一般的な問題です。取り組むべき大きな問題ではないかもしれないと思うかもしれません。しかし、上記のケースから明らかなように、ブラウザは必要以上に PC のメモリを消費していました。場合によっては、悪意のあるアプリケーション (セキュリ