ACCESS DENIED - CIFS에 대한 제한된 위임 실패

중간 계층 서버에서 네트워크 공유를 사용하는 서비스에 액세스하는 동안 사용자에게 자격 증명을 묻는 메시지가 표시되고 결국 액세스 거부 오류가 발생합니다. 오늘의 게시물에서는 몇 가지 사례 시나리오를 제시하고 원인을 확인한 다음 Windows 10에서 CIFS 에 대한 제한 위임이 실패하고 ACCESS_DENIED 오류가 발생하는 문제에 대한 가능한 해결 방법을 제공합니다.(ACCESS_DENIED)

CIFS(Common Internet File System)(Common Internet File System (CIFS)) 는 네트워크 서버 파일 및 서비스를 요청하기 위한 개방형 교차 플랫폼 메커니즘을 제공하는 파일 공유 프로토콜입니다. CIFS 는 (CIFS)인터넷(Internet) 및 인트라넷 파일 공유 를 위한 Microsoft SMB(Server Message Block) 프로토콜  의 향상된 버전을 기반으로 합니다 .

Windows에서 CIFS에 대한 제한된 위임이 실패함

Windows 에서 (Windows)CIFS 에 대한 제한된 위임이 실패 함

사용자에게 자격 증명을 묻는 메시지가 표시되고 다음 세 가지 시나리오에 따라 액세스 거부 오류와 함께 결국 액세스가 실패하는 경우 이 문제가 발생할 수 있습니다.

시나리오 1(Scenario 1)

  • IIS 웹 사이트 는 통과 인증 및 CIFS 용으로 구성된 제한된 위임을 사용하여 원격 공유를 가리키는 홈 디렉토리로 설정됩니다 .
  • 해당 공유에 액세스하는 IIS 응용 프로그램 풀은 서비스 계정의 ID로 실행됩니다.
  • 도메인 계정은 파일 서버 의 CIFS 서비스에 대한 위임을 위해 신뢰할 수 있습니다.

시나리오 2(Scenario 2)

  • 웹 앱이 사용자로 파일 서버에 액세스하려고 합니다.
  • 해당 공유에 액세스하는 IIS 응용 프로그램 풀은 서비스 계정의 ID로 실행됩니다. 도메인 계정은 파일 서버 의 CIFS 서비스에 대한 위임을 위해 신뢰할 수 있습니다.
  • CIFS 에 대해 구성된 제한된 위임 은 파일 서버의 서비스 계정에 구성됩니다.

시나리오 3(Scenario 3)

  • 클라이언트에서 액세스하는 모든 서버 측 응용 프로그램은 사용자로 원격 공유에 액세스합니다.
  • 서버 측 애플리케이션이 서비스 계정 컨텍스트에서 실행 중입니다.
  • 서비스(Service) 계정은 위 임용으로 신뢰되며 파일 서버에 대한 CIFS 위임용으로 구성됩니다.(CIFS)

이는 제한된 위임이 포함될 때 MrxSmb 2.0 과 Kerberos 간의 문제로 확인되었습니다 .

이 문제를 해결하기 위해 Microsoft 는 두 가지 해결 방법을 제공합니다.

해결 방법 1

CIFS 에 대한 제한된 위임을 수행할 응용 프로그램의 ID로 서비스 계정 대신 시스템 계정을 사용합니다 . 도메인 기능 수준이 Windows Server 2003 , Windows Server 2008 또는 Windows Server 2008 R2인 경우 제한 위임을 구성합니다.

웹 서버 도메인의 도메인 컨트롤러에서 이 작업을 수행하려면 다음을 수행합니다.

  • Start > Administrative Tools > Active Directory 사용자 및 컴퓨터를(Active Directory Users and Computers) 클릭 합니다 .
  • (Expand)도메인을 확장한 다음 컴퓨터 폴더(Computers) 를 확장합니다.
  • 오른쪽 창에서 웹 서버의 컴퓨터 이름을 마우스 오른쪽 버튼으로 클릭하고 속성 을 선택한 다음 (Properties)위임(Delegation)  탭 을 클릭합니다  .
  • 지정된 서비스에 대한 위임을 위해 이 컴퓨터만 신뢰(Trust this computer for delegation to specified services only) 확인란 을 선택  합니다.
  • Kerberos만 사용(Use Kerberos only)  이 선택되어  있는지 확인한  다음 확인 을 클릭 합니다(OK) .
  • 추가 버튼을(Add button) 클릭  합니다 .
  • 서비스 (Services)추가(Add)  대화 상자에서 사용자 또는 컴퓨터 를 클릭  한  다음 (Users or Computers)IIS 에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다 .
  • 확인(OK) 을 클릭  합니다.
  • 사용 가능한 (Available) 서비스(Services)  목록에서  CIFS  서비스(CIFS) 를 선택합니다 .
  • 확인(OK) 을 클릭  합니다.

해결 방법 2

이 해결 방법은 컴퓨터 계정에 대한 모든 인증 프로토콜 위임 사용(Use) 이 필요하기 때문에  권장되지 않습니다 . (not recommended)모든 인증 프로토콜 사용(Use any authentication protocol)  옵션을 선택한 경우 계정은 프로토콜 전환과 함께 제한된 위임을 사용하고 있습니다 . 

응용 프로그램의 ID를 서비스 계정 및/또는 도메인 계정으로 사용해야 하는 경우 다음을 수행합니다.

1 단계(Step 1)

  • 시작(Start )Administrative Tools > Active Directory 사용자 및 컴퓨터를(Active Directory Users and Computers) 클릭 합니다 .
  • (Expand)도메인을 확장한 다음 컴퓨터 폴더(Computers) 를 확장합니다.
  • 오른쪽 창에서 웹 서버의 컴퓨터 이름을 마우스 오른쪽 버튼으로 클릭하고 속성 을 선택한 다음 (Properties)위임(Delegation)  탭 을 클릭합니다  .
  • 지정된 서비스에 대한 위임을 위해 이 컴퓨터(Trust this computer for delegation to specified services) 만 신뢰 확인란 을 선택  합니다.
  • 모든 인증 프로토콜 사용(Use any authentication protocol) 이 선택 되어 있는지 확인합니다  .
  • 확인(OK) 을 클릭 합니다.
  • 추가 버튼을(Add button) 클릭  합니다 .
  • 서비스 (Services)추가(Add)  대화 상자에서 사용자 또는 컴퓨터 를 클릭  한  다음 (Users or Computers)IIS 에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다 .
  • 확인(OK) 을 클릭  합니다.
  • 사용 가능한 (Available) 서비스(Services)  목록에서 CIFS  서비스(CIFS service) 를 선택합니다 .
  • 확인(OK) 을 클릭  합니다.

2 단계(Step 2)

  • 왼쪽 창에서 사용자 폴더를 확장합니다.
  • 오른쪽 창에서 응용 프로그램 풀의 ID인 서비스 계정을 마우스 오른쪽 단추로 클릭하고  속성 을 선택한 다음 (Properties)위임(Delegation)  탭 을 클릭합니다  .
  • 지정된 서비스에 대한 위임을 위해 이 컴퓨터만 신뢰(Trust this computer for delegation to specified services only) 확인란 을 선택  합니다.
  • Kerberos만 사용(Use Kerberos only) 이 선택 되어 있는지 확인합니다  .
  • 확인(OK) 을 클릭 합니다.
  • 추가 버튼을(Add button) 클릭  합니다 .
  • 서비스 (Services)추가(Add)  대화 상자에서 사용자 또는 컴퓨터 를 클릭  한 다음 (Users or Computers)IIS 에서 사용자의 자격 증명을 받을 파일 서버의 이름을 찾거나 입력합니다 .
  • 확인(OK) 을 클릭  합니다.
  • 사용 가능한 (Available) 서비스(Services)  목록에서 CIFS  서비스(CIFS service) 를 선택합니다 .
  • 확인(OK) 을 클릭  합니다.

이 게시물이 도움이 되기를 바랍니다.(Hope this post helps.)



민성 송

About the author

저는 10년 이상의 Windows 및 Mac 소프트웨어 작업 경험을 가진 정규 소프트웨어 엔지니어입니다. 저는 두 플랫폼 모두에서 애플리케이션을 설계, 테스트 및 배포하는 방법을 알고 있습니다. 보안 및 시스템 관리 경험도 있습니다. 나의 기술과 지식은 더 나은, 더 효율적인 컴퓨터 시스템을 구축하는 데 도움이 될 수 있습니다.


Related posts