تم رفض الوصول - فشل التفويض المقيد لـ CIFS

أثناء الوصول إلى خدمة تستخدم مشاركات الشبكة على خادم الطبقة الوسطى ، تتم مطالبة المستخدمين ببيانات الاعتماد ، ويواجهون في النهاية خطأ رفض الوصول. في منشور اليوم ، سنقدم اثنين من سيناريوهات الحالة ، ونحدد السبب ثم نقدم الحلول الممكنة لمشكلة سبب فشل التفويض المقيد لـ CIFS مع خطأ ACCESS_DENIED في نظام التشغيل Windows 10.(ACCESS_DENIED)

نظام ملفات الإنترنت المشترك (CIFS)(Common Internet File System (CIFS)) هو بروتوكول لمشاركة الملفات يوفر آلية مفتوحة ومتعددة الأنظمة لطلب ملفات وخدمات خادم الشبكة. يعتمد CIFS(CIFS)  على الإصدار المحسن من بروتوكول Microsoft Server Message Block (SMB) لمشاركة ملفات الإنترنت(Internet) والإنترانت.

فشل التفويض المقيد لـ CIFS في Windows

فشل التفويض المقيد لـ CIFS في (CIFS)Windows

قد تواجه هذه المشكلة إذا تمت مطالبة المستخدم ببيانات الاعتماد ، وفشل الوصول أخيرًا مع خطأ رفض الوصول استنادًا إلى السيناريوهات الثلاثة التالية.

السيناريو 1(Scenario 1)

  • تم إعداد موقع IIS مع الدليل الرئيسي الذي يشير إلى المشاركة البعيدة باستخدام المصادقة التمريرية والتفويض المقيد المكون لـ CIFS .
  • يتم تشغيل تجمع تطبيقات IIS الذي يصل إلى تلك المشاركة بهوية حساب الخدمة.
  • حساب المجال موثوق به للتفويض لخدمة CIFS على خادم الملفات.

السيناريو 2(Scenario 2)

  • يحاول تطبيق الويب الوصول إلى خادم الملفات كمستخدم.
  • يتم تشغيل تجمع تطبيقات IIS الذي يصل إلى تلك المشاركة تحت هوية حساب الخدمة. حساب المجال موثوق به للتفويض لخدمة CIFS على خادم الملفات.
  • تم تكوين التفويض المقيد المكون لـ CIFS على حساب الخدمة لخادم الملفات.

السيناريو 3(Scenario 3)

  • يقوم أي تطبيق من جانب الخادم يتم الوصول إليه من عميل بالوصول إلى المشاركات البعيدة كمستخدم.
  • يتم تشغيل التطبيق من جانب الخادم ضمن سياق حساب الخدمة.
  • حساب الخدمة(Service) موثوق به للتفويض وتكوينه لتفويض CIFS لخادم الملفات.

تم تحديد هذا على أنه مشكلة بين MrxSmb 2.0 و Kerberos عند تضمين التفويض المقيد.

لحل هذه المشكلة ، تقدم Microsoft حلين.

الحل 1

استخدم حساب جهاز بدلاً من حساب خدمة كهوية للتطبيقات التي ستقوم بتنفيذ التفويض المقيد لـ CIFS . قم بتكوين التفويض المقيد عندما يكون مستوى عمل المجال هو Windows Server 2003 أو Windows Server 2008 أو Windows Server 2008 R2.

للقيام بذلك على وحدة التحكم بالمجال لمجال خوادم الويب ، قم بما يلي:

  • انقر فوق Start > Administrative Tools > Active Directory Users and Computers .
  • قم بتوسيع(Expand) المجال ثم قم بتوسيع مجلد أجهزة الكمبيوتر .(Computers)
  • في الجزء الأيسر ، انقر بزر الماوس الأيمن فوق اسم الكمبيوتر لخادم الويب ، وحدد خصائص(Properties) ، ثم انقر فوق   علامة التبويب التفويض .(Delegation)
  • حدد خانة الاختيار  الوثوق بهذا الكمبيوتر للتفويض إلى الخدمات المحددة فقط(Trust this computer for delegation to specified services only) .
  • تأكد من  تحديد استخدام Kerberos فقط(Use Kerberos only)  ، ثم انقر فوق  موافق(OK) .
  • انقر فوق  الزر "إضافة(Add button) " .
  • في   مربع الحوار  إضافة (Add) خدمات ، انقر فوق (Services)المستخدمون أو أجهزة الكمبيوتر(Users or Computers) ، ثم استعرض أو أدخل اسم خادم الملفات الذي سيتلقى بيانات اعتماد المستخدم من IIS .
  • انقر فوق  "موافق"(OK) .
  • في  قائمة الخدمات (Services)المتاحة(Available)  ، حدد  خدمة CIFS .
  • انقر فوق  "موافق"(OK) .

الحل 2

هذا الحل غير مستحسن(not recommended) لأنه يتطلب  استخدام(Use) أي تفويض لبروتوكول مصادقة على حساب الكمبيوتر. إذا تم تحديد  الخيار استخدام أي بروتوكول مصادقة(Use any authentication protocol)  ، فإن الحساب يستخدم التفويض المقيد مع انتقال البروتوكول.

إذا كان يجب عليك استخدام هوية التطبيقات كحساب خدمة و / أو حساب مجال ، فقم بما يلي:

الخطوة 1(Step 1)

  • انقر فوق ابدأ(Start )Administrative Tools > Active Directory Users and Computers .
  • قم بتوسيع(Expand) المجال ثم قم بتوسيع مجلد أجهزة الكمبيوتر .(Computers)
  • في الجزء الأيسر ، انقر بزر الماوس الأيمن فوق اسم الكمبيوتر لخادم الويب ، وحدد خصائص(Properties) ، ثم انقر فوق   علامة التبويب التفويض .(Delegation)
  • حدد خانة الاختيار  الوثوق بهذا الكمبيوتر للتفويض إلى الخدمات المحددة(Trust this computer for delegation to specified services) فقط.
  • تأكد من تحديد  استخدام أي بروتوكول مصادقة(Use any authentication protocol) .
  • انقر فوق "موافق"(OK) .
  • انقر فوق  الزر "إضافة(Add button) " .
  • في   مربع الحوار  إضافة (Add) خدمات ، انقر فوق (Services)المستخدمون أو أجهزة الكمبيوتر(Users or Computers) ، ثم استعرض أو أدخل اسم خادم الملفات الذي سيتلقى بيانات اعتماد المستخدم من IIS .
  • انقر فوق  "موافق"(OK) .
  • في  قائمة الخدمات (Services)المتوفرة(Available)  ، حدد خدمة CIFS(CIFS service) .
  • انقر فوق  "موافق"(OK) .

الخطوة 2(Step 2)

  • في الجزء الأيمن ، قم بتوسيع مجلد المستخدمون.
  • في الجزء الأيسر ، انقر بزر الماوس الأيمن فوق حساب الخدمة الذي يمثل هوية تجمع التطبيقات ، وحدد  خصائص(Properties) ، ثم انقر فوق   علامة التبويب التفويض .(Delegation)
  • حدد خانة الاختيار  الوثوق بهذا الكمبيوتر للتفويض إلى الخدمات المحددة فقط(Trust this computer for delegation to specified services only) .
  • تأكد من  تحديد استخدام Kerberos فقط(Use Kerberos only) .
  • انقر فوق "موافق"(OK) .
  • انقر فوق  الزر "إضافة(Add button) " .
  • في  مربع الحوار  إضافة (Add) خدمات ، انقر فوق (Services)المستخدمون أو أجهزة الكمبيوتر(Users or Computers) ، ثم استعرض أو أدخل اسم خادم الملفات الذي سيتلقى بيانات اعتماد المستخدم من IIS .
  • انقر فوق  "موافق"(OK) .
  • في  قائمة الخدمات (Services)المتوفرة(Available)  ، حدد خدمة CIFS(CIFS service) .
  • انقر فوق  "موافق"(OK) .

آمل أن يساعد هذا المنشور.(Hope this post helps.)



مسعد صابر

About the author

أنا مهندس برمجيات لديه خبرة في Xbox Explorer و Microsoft Excel و Windows 8.1 Explorer. في أوقات فراغي ، أحب ممارسة ألعاب الفيديو ومشاهدة التلفزيون. لديّ درجة علمية من جامعة يوتا وأعمل حاليًا كمهندس برمجيات لشركة دولية.


Related posts