Al acceder a un servicio que utiliza recursos compartidos de red en un servidor de nivel medio, se solicitan las credenciales a los usuarios y, finalmente, encuentran un error de acceso denegado. En la publicación de hoy, presentaremos un par de escenarios de casos, identificaremos la causa y luego brindaremos las posibles soluciones al problema de por qué la delegación restringida para CIFS falla con el error ACCESS_DENIED en Windows 10.

Common Internet File System (CIFS) es un protocolo de intercambio de archivos que proporciona un mecanismo abierto y multiplataforma para solicitar archivos y servicios del servidor de red. CIFS se basa en la versión mejorada del protocolo Server Message Block (SMB) de Microsoft para compartir archivos en Internet e intranet.^(Internet)

La delegación restringida para CIFS falla en Windows

Puede encontrar este problema si se solicitan las credenciales al usuario y el acceso finalmente falla con un error de acceso denegado según los siguientes tres escenarios.

escenario 1^{(Scenario 1)}

El sitio web de IIS está configurado con el directorio de inicio apuntando al recurso compartido remoto mediante la autenticación de paso y la delegación restringida configurada para CIFS .
El grupo de aplicaciones de IIS que accede a ese recurso compartido se ejecuta con la identidad de la cuenta de servicio.
La cuenta de dominio es de confianza para la delegación del servicio CIFS en el servidor de archivos.

Escenario 2^{(Scenario 2)}

La aplicación web está intentando acceder a un servidor de archivos como usuario.
El grupo de aplicaciones de IIS que accede a ese recurso compartido se ejecuta con la identidad de la cuenta de servicio. La cuenta de dominio es de confianza para la delegación del servicio CIFS en el servidor de archivos.
La delegación restringida configurada para CIFS está configurada en la cuenta de servicio para el servidor de archivos.

Escenario 3^{(Scenario 3)}

Cualquier aplicación del lado del servidor a la que se accede desde un cliente accede a recursos compartidos remotos como usuario.
La aplicación del lado del servidor se ejecuta en el contexto de una cuenta de servicio.
La cuenta de servicio^(Service) es de confianza para la delegación y está configurada para la delegación de CIFS para el servidor de archivos.

Esto se ha identificado como un problema entre MrxSmb 2.0 y Kerberos cuando se trata de una delegación restringida.

Para resolver este problema, Microsoft ofrece dos soluciones alternativas.

solución 1

Utilice una cuenta de máquina en lugar de una cuenta de servicio como identidad para las aplicaciones que realizarán una delegación restringida para CIFS . Configure la delegación restringida cuando el nivel funcional del dominio sea Windows Server 2003 , Windows Server 2008 o Windows Server 2008 R2.

Para hacer esto en el controlador de dominio para su dominio de servidores web, haga lo siguiente:

Haga clic en Start > Administrative Tools > Usuarios y equipos de Active Directory^{(Active Directory Users and Computers)} .
Expanda^(Expand) el dominio y luego expanda la carpeta^(Computers) Equipos.
En el panel derecho, haga clic con el botón derecho en el nombre de la computadora para el servidor web, seleccione Propiedades^(Properties) y luego haga clic en la pestaña Delegación .^(Delegation)
Seleccione la casilla de verificación Confiar en esta computadora para la delegación solo a los servicios especificados^{(Trust this computer for delegation to specified services only)} .
Asegúrese de que Usar solo Kerberos^{(Use Kerberos only)} esté seleccionado y luego haga clic en Aceptar^(OK) .
Haga clic en el botón Agregar^{(Add button)} .
En el cuadro de diálogo Agregar ^(Add) servicios , haga clic en ^(Services)Usuarios o Equipos^{(Users or Computers)} y luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS .
Haga clic en Aceptar^(OK) .
En la lista de Servicios ^(Services)disponibles^(Available) , seleccione el servicio CIFS .
Haga clic en Aceptar^(OK) .

solución 2

No se recomienda^{(not recommended)} esta solución alternativa porque requiere Usar^(Use) cualquier delegación de protocolo de autenticación en la cuenta de la computadora. Si se selecciona la opción Usar cualquier protocolo de autenticación^{(Use any authentication protocol)} , la cuenta está usando delegación restringida con transición de protocolo.

Si debe usar la identidad de las aplicaciones como una cuenta de servicio y/o una cuenta de dominio, haga lo siguiente:

Paso 1^{(Step 1)}

Haga clic en Inicio^{(Start )} > Administrative Tools > Usuarios y equipos de Active Directory^{(Active Directory Users and Computers)} .
Expanda^(Expand) el dominio y luego expanda la carpeta^(Computers) Equipos.
En el panel derecho, haga clic con el botón derecho en el nombre de la computadora para el servidor web, seleccione Propiedades^(Properties) y luego haga clic en la pestaña Delegación .^(Delegation)
Seleccione la casilla de verificación Confiar en esta computadora para la delegación solo a los servicios especificados^{(Trust this computer for delegation to specified services)} .
Asegúrese de que Usar cualquier protocolo de autenticación^{(Use any authentication protocol)} esté seleccionado.
Haga clic en Aceptar^(OK) .
Haga clic en el botón Agregar^{(Add button)} .
En el cuadro de diálogo Agregar ^(Add) servicios , haga clic en ^(Services)Usuarios o Equipos^{(Users or Computers)} y luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS .
Haga clic en Aceptar^(OK) .
En la lista de Servicios ^(Services)disponibles^(Available) , seleccione el servicio CIFS^{(CIFS service)} .
Haga clic en Aceptar^(OK) .

Paso 2^{(Step 2)}

En el panel izquierdo, expanda la carpeta Usuarios.
En el panel derecho, haga clic con el botón derecho en la cuenta de servicio que es la identidad del grupo de aplicaciones, seleccione Propiedades^(Properties) y luego haga clic en la pestaña Delegación .^(Delegation)
Seleccione la casilla de verificación Confiar en esta computadora para la delegación solo a los servicios especificados^{(Trust this computer for delegation to specified services only)} .
Asegúrese de que Usar solo Kerberos^{(Use Kerberos only)} esté seleccionado.
Haga clic en Aceptar^(OK) .
Haga clic en el botón Agregar^{(Add button)} .
En el cuadro de diálogo Agregar ^(Add) servicios , haga clic en ^(Services)Usuarios o Equipos^{(Users or Computers)} y luego busque o ingrese el nombre del servidor de archivos que recibirá las credenciales del usuario de IIS .
Haga clic en Aceptar^(OK) .
En la lista de Servicios ^(Services)disponibles^(Available) , seleccione el servicio CIFS^{(CIFS service)} .
Haga clic en Aceptar^(OK) .

Espero que esta publicación ayude.^{(Hope this post helps.)}

ACCESS DENIED - Constrained delegation for CIFS fails

While accessing a serviсe that uses network shares on a middle-tier server, users are promрted for credentiаls, and thеy еventually encounter an access denied error. In today’s рost, we will present a couple of case scenarios, identify the cause аnd then provide the possible workarounds to thе issue of why constrained delegation for CIFS fails with ACCESS_DENIED error in Windows 10.

Common Internet File System (CIFS) is a file-sharing protocol that provides an open and cross-platform mechanism for requesting network server files and services. CIFS is based on the enhanced version of Microsoft’s Server Message Block (SMB) protocol for Internet and intranet file sharing.

Constrained delegation for CIFS fails in Windows

You may encounter this issue if the user is prompted for credentials, and access eventually fails with an access denied error based on the following three scenarios.

Scenario 1

The IIS website is set up with the home directory pointing to the remote share using pass-through authentication and constrained delegation configured for CIFS.
The IIS application pool accessing that share is running under the identity of the service account.
The domain account is trusted for delegation for the CIFS service on the file server.

Scenario 2

The web app is trying to access a file server as a user.
The IIS application pool that accesses that share is running under the identity of the service account. The domain account is trusted for delegation for the CIFS service on the file server.
Constrained delegation configured for CIFS is configured on the service account for the file server.

Scenario 3

Any server-side application that’s being accessed from a client is accessing remote shares as a user.
The server-side application is running under the context of a service account.
The Service account is trusted for delegation and configured for CIFS delegation for the file server.

This has been identified as a problem between MrxSmb 2.0 and Kerberos when constrained delegation is involved.

To resolve this issue, Microsoft offers two workarounds.

Workaround 1

Use a machine account instead of a service account as the identity for applications that will be performing constrained delegation for CIFS. Configure constrained delegation when the domain functional level is Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2.

To do this on the domain controller for your web servers domain, do the following:

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected, and then click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Workaround 2

This workaround is not recommended because it requires Use any authentication protocol delegation on the computer account. If the Use any authentication protocol option is selected, the account is using constrained delegation with protocol transition.

If you must use the identity of applications as a service account and/or domain account, then do the following:

Step 1

Click Start > Administrative Tools > Active Directory Users and Computers.
Expand domain, and then expand the Computers folder.
In the right pane, right-click the computer name for the webserver, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use any authentication protocol is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Step 2

In the left pane, expand the Users folder.
In the right pane, right-click the service account that’s the identity of the application pool, select Properties, and then click the Delegation tab.
Select the Trust this computer for delegation to specified services only checkbox.
Make sure that Use Kerberos only is selected.
Click OK.
Click the Add button.
In the Add Services dialog box, click Users or Computers, and then browse to or enter the name of the file server that will receive the user’s credentials from IIS.
Click OK.
In the Available Services list, select the CIFS service.
Click OK.

Hope this post helps.

Consuelo Diez

About the author

Soy ingeniero de windows, ios, pdf, errores, gadgets con más de 10 años de experiencia. He trabajado en muchas aplicaciones y marcos de trabajo de Windows de alta calidad, como OneDrive for Business, Office 365 y más. Mi trabajo reciente ha incluido el desarrollo del lector de pdf para la plataforma Windows y trabajar para que los mensajes de error sean más claros para los usuarios. Además, he estado involucrado en el desarrollo de la plataforma ios durante algunos años y estoy muy familiarizado con sus características y peculiaridades.

ACCESO DENEGADO: falla la delegación restringida para CIFS

La delegación restringida para CIFS falla en Windows

solución 1

solución 2

ACCESS DENIED - Constrained delegation for CIFS fails

Constrained delegation for CIFS fails in Windows

Workaround 1

Workaround 2

Consuelo Diez

About the author

Related posts

Fix Error 1005 Access Denied message Mientras visite sitios web

DHCP Client Service da Access Denied error en Windows 11/10

Cómo personalizar el mensaje Access Denied error en Windows 10

Access Denied, no tiene permiso para acceder a este servidor

Fix Access Control Entry es un error corrupto en Windows 10

Fix Application Load Error 5:0000065434 en Windows 10

Fix Error al cargar el error Steamui.dll en Windows 10

Cómo Access Denied Restricted Folder en Windows 10

¡UPS! No pudimos guardar eso - Windows Photos App

La aplicación no puede encontrar Scanner - WIA_ERROR_OFFLINE, 0x80210005

Setup no pudo crear un nuevo system partition error en Windows 10

Fix Windows Installer Access Denied Error

Arreglar el archivo está en un formato desconocido o en un error dañado

Event ID 158 Error - Disco idéntico GUIDs assignment en Windows 10

MBR2GPT no se puede permitir la copia de seguridad / restauración de privilegios en Windows 10

Fix Microsoft Store Iniciar sesión error 0x801901f4 en Windows 11/10

Esta función requiere medios extraíbles - Error de restablecimiento Password

ERR NETWORK ACCESS DENIED | ERR INTERNET DISCONNECTED

Algo salió mal, Turn OFF anti-virus software, 0x8007045D

Fix Destination Folder Access Denied Error