Lors de l'accès à un service qui utilise des partages réseau sur un serveur de niveau intermédiaire, les utilisateurs sont invités à fournir des informations d'identification et finissent par rencontrer une erreur d'accès refusé. Dans l'article d'aujourd'hui, nous présenterons quelques scénarios de cas, identifierons la cause, puis fournirons les solutions possibles au problème de l'échec de la délégation contrainte pour CIFS avec l'erreur ACCESS_DENIED dans Windows 10.

Common Internet File System (CIFS) est un protocole de partage de fichiers qui fournit un mécanisme ouvert et multiplateforme pour demander des fichiers et des services de serveur réseau. CIFS  est basé sur la version améliorée du protocole Microsoft Server Message Block (SMB) pour le partage de fichiers sur Internet et intranet.

La délégation contrainte pour CIFS échoue dans Windows

Vous pouvez rencontrer ce problème si l'utilisateur est invité à fournir des informations d'identification et que l'accès échoue finalement avec une erreur d'accès refusé basée sur les trois scénarios suivants.

Scénario 1^{(Scenario 1)}

• Le site Web IIS est configuré avec le répertoire de base pointant vers le partage distant à l'aide de l'authentification directe et de la délégation contrainte configurée pour CIFS .
• Le pool d'applications IIS accédant à ce partage s'exécute sous l'identité du compte de service.
• Le compte de domaine est approuvé pour la délégation du service CIFS sur le serveur de fichiers.

Scénario 2^{(Scenario 2)}

• L'application Web tente d'accéder à un serveur de fichiers en tant qu'utilisateur.
• Le pool d'applications IIS qui accède à ce partage s'exécute sous l'identité du compte de service. Le compte de domaine est approuvé pour la délégation du service CIFS sur le serveur de fichiers.
• La délégation contrainte configurée pour CIFS est configurée sur le compte de service pour le serveur de fichiers.

Scénario 3^{(Scenario 3)}

• Toute application côté serveur accessible à partir d'un client accède à des partages distants en tant qu'utilisateur.
• L'application côté serveur s'exécute dans le contexte d'un compte de service.
• Le compte de service^(Service) est approuvé pour la délégation et configuré pour la délégation CIFS pour le serveur de fichiers.

Cela a été identifié comme un problème entre MrxSmb 2.0 et Kerberos lorsque la délégation contrainte est impliquée.

Pour résoudre ce problème, Microsoft propose deux solutions de contournement.

Solution 1

Utilisez un compte d'ordinateur au lieu d'un compte de service comme identité pour les applications qui effectueront une délégation contrainte pour CIFS . Configurez la délégation contrainte lorsque le niveau fonctionnel du domaine est Windows Server 2003 , Windows Server 2008 ou Windows Server 2008 R2.

Pour ce faire sur le contrôleur de domaine de votre domaine de serveurs Web, procédez comme suit :

• Cliquez sur Start > Administrative Tools > Utilisateurs et ordinateurs Active Directory^{(Active Directory Users and Computers)} .
• Développez^(Expand) le domaine, puis développez le dossier Ordinateurs .^(Computers)
• Dans le volet de droite, cliquez avec le bouton droit sur le nom de l'ordinateur du serveur Web, sélectionnez Propriétés^(Properties) , puis cliquez sur l'   onglet Délégation .^(Delegation)
• Cochez la  case Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement^{(Trust this computer for delegation to specified services only)} .
• Assurez-vous que  l'option Utiliser uniquement Kerberos^{(Use Kerberos only)}  est sélectionnée, puis cliquez sur  OK .
• Cliquez sur le  bouton Ajouter^{(Add button)} .
• Dans la  boîte de dialogue Ajouter des ^(Add) services  , cliquez sur  Utilisateurs ou Ordinateurs^{(Users or Computers)} , puis recherchez ou entrez le nom du serveur de fichiers qui recevra les informations d'identification de l'utilisateur d' IIS .
• Cliquez sur  OK .
• Dans la  liste Services disponibles^(Available)  , sélectionnez le  service CIFS .
• Cliquez sur  OK .

Solution de contournement 2

Cette solution de contournement n'est pas recommandée^{(not recommended)} car elle nécessite  Utiliser^(Use) n'importe quelle délégation de protocole d'authentification sur le compte d'ordinateur. Si l'  option Utiliser n'importe quel protocole d'authentification^{(Use any authentication protocol)}  est sélectionnée, le compte utilise la délégation contrainte avec transition de protocole.

Si vous devez utiliser l'identité des applications en tant que compte de service et/ou compte de domaine, procédez comme suit :

Étape 1^{(Step 1)}

• Cliquez sur Démarrer^{(Start )} >  Administrative Tools > Utilisateurs et ordinateurs Active Directory^{(Active Directory Users and Computers)} .
• Développez^(Expand) le domaine, puis développez le dossier Ordinateurs .^(Computers)
• Dans le volet de droite, cliquez avec le bouton droit sur le nom de l'ordinateur du serveur Web, sélectionnez Propriétés^(Properties) , puis cliquez sur l'   onglet Délégation .^(Delegation)
• Cochez la  case Faire confiance à cet ordinateur pour la délégation aux services spécifiés^{(Trust this computer for delegation to specified services)} uniquement.
• Assurez-vous que  Utiliser n'importe quel protocole d'authentification^{(Use any authentication protocol)} est sélectionné.
• Cliquez sur OK .
• Cliquez sur le  bouton Ajouter^{(Add button)} .
• Dans la  boîte de dialogue Ajouter des ^(Add) services  , cliquez sur  Utilisateurs ou Ordinateurs^{(Users or Computers)} , puis recherchez ou entrez le nom du serveur de fichiers qui recevra les informations d'identification de l'utilisateur d' IIS .
• Cliquez sur  OK .
• Dans la  liste Services disponibles^(Available)  , sélectionnez le service CIFS^{(CIFS service)} .
• Cliquez sur  OK .

Étape 2^{(Step 2)}

• Dans le volet de gauche, développez le dossier Utilisateurs.
• Dans le volet de droite, cliquez avec le bouton droit sur le compte de service qui correspond à l'identité du pool d'applications, sélectionnez  Propriétés^(Properties) , puis cliquez sur l'   onglet Délégation .^(Delegation)
• Cochez la  case Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement^{(Trust this computer for delegation to specified services only)} .
• Assurez-vous que  Utiliser uniquement Kerberos^{(Use Kerberos only)} est sélectionné.
• Cliquez sur OK .
• Cliquez sur le  bouton Ajouter^{(Add button)} .
• Dans la boîte de dialogue Ajouter des ^(Add) services  , cliquez sur  Utilisateurs ou Ordinateurs^{(Users or Computers)} , puis recherchez ou entrez le nom du serveur de fichiers qui recevra les informations d'identification de l'utilisateur d' IIS .
• Cliquez sur  OK .
• Dans la  liste Services disponibles^(Available)  , sélectionnez le service CIFS^{(CIFS service)} .
• Cliquez sur  OK .

J'espère que ce message vous aidera.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a service that uѕes network shares оn a mіddle-tier server, users аrе prompted for credentialѕ, and they eventually encounter an access denied error. In today’s post, we will present а coυple of case scenarios, identify the cause and then provide the possible workarоυnds to thе issuе of why constrained delegatіon for CІFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

• The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
• The IIS application pool accessing that share is running under the identity of the service account.
• The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

• The web app is trying to access a file server as a user.
• The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
• Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

• Any server-side application that’s being accessed from a client is accessing remote shares as a user.
• The server-side application is running under the context of a service account.
• The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected, and then click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

• Click Start > Administrative Tools > Active Directory Users and Computers.
• Expand domain, and then expand the Computers folder.
• In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use any authentication protocol is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Step 2

• In the left pane, expand the Users folder.
• In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
• Select the Trust this computer for delegation to specified services only checkbox.
• Make sure that Use Kerberos only is selected.
• Click OK.
• Click the Add button.
• In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
• Click OK.
• In the Available Services list, select the CIFS service.
• Click OK.

Hope this post helps.

Related posts

• Fix Error 1005 Access Denied message Tout en visitant des sites Web

• DHCP Client Service donne Access Denied error dans Windows 11/10

• Comment personnaliser le message Access Denied error sur Windows 10

• Access Denied, vous n'avez pas la permission d'accéder à ce serveur

• Fix Access Control Entry est une erreur corrompue dans Windows 10

• Fix Logitech Setpoint Runtime error sur Windows 10

• Windows ne pouvait pas démarrer Service, Error 0x80070005, Access Is Denied

• Fix ShellExecuteEx a échoué; code error 8235 sur Windows10

• Cette fonction nécessite un support amovible - erreur de réinitialisation Password

• Windows ne peut pas vérifier la signature numérique (Code 52)

• System error 6118, la liste des serveurs de ce groupe de travail est indisponible

• IPersistFile Save a échoué, Code 0x80070005, Access est refusée

• Le talon a reçu un mauvais data error message sur Windows 10

• Comment 08166895

• L'application ne peut pas trouver Scanner - WIA_ERROR_OFFLINE, 0x80210005

• Remove Access Denied error lors de l'accès des fichiers ou des dossiers dans Windows

• Error 2738, Could Non accès VBScript runtime pour custom action

• Install Realtek HD Audio Driver Failure, Error OxC0000374 sur Windows 10

• Fix Application Error 0xc0150004 sur Windows 11/10

• Comment réparer Disk Signature Collision problem dans Windows 10