AuthZ non riesce con un accesso negato errore quando un'applicazione accedere a controlli in Windows Server

Sintomi

Si consideri lo scenario seguente:

  • Si sta lavorando in un ambiente Active Directory basato su Windows Server 2008 R2 o versione successiva.

  • Si esegue un'applicazione che utilizza l'interfaccia di autorizzazione (AuthZ). Tali applicazioni includono 2016 di Microsoft Exchange e Microsoft Exchange 2013.

In questo scenario, quando l'applicazione tenta di eseguire un controllo di accesso, AuthZ non riesce e restituisce un messaggio di errore accesso negato.

Causa

Questo problema si verifica perché il accesso alla rete: limitare i clienti autorizzati a effettuare chiamate remote a Giorgio criterio è attivato. I controlli dei criteri quali utenti è possono enumerare gli utenti e gruppi nel database Gestione account di protezione (SAM) locale e in Active Directory.

Questo criterio è stato introdotto dopo le seguenti versioni di Windows o l'installazione degli aggiornamenti di Windows:

  • 1607 versione 10 di Windows e versioni successive

  • Versione di Windows 10 1511 con KB 4103198 installato

  • Versione di Windows 10 1507 con KB 4012606 installato

  • Windows 8.1 con KB 4102219 installato

  • Windows 7 con KB 4012218 installato

  • Gruppi di risultati 1 2016 Windows Server e versioni successive

  • Windows Server 2012 R2 con KB 4012219 installato

  • Windows Server 2012 con KB 4012220 installato

  • Windows Server 2008 R2 con KB 4012218 installato

Nomi dei criteri e del Registro di sistema

Nome

Descrizione

Nome del criterio

Network access: Restrict clients allowed to make remote calls to SAM

Posizione

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Sottochiave del Registro di sistema

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictRemoteSam

Tipo di registro di sistema

REG_SZ

Valore del Registro di sistema

Stringa che contiene il formato SDDL del descrittore di protezione da distribuire.

Schermata

Quando si definiscono i criteri utilizzando gli strumenti di amministrazione di Windows Server 2016, il valore predefinito è per consentire solo agli amministratori l'accesso a questa interfaccia.

L'errore menzionato nella sezione "Sintomi" si verifica se sono vere le seguenti condizioni:

  • Il criterio è attivato sui controller di dominio.

  • L'account per il server che esegue Exchange Server è non è consentito utilizzare l'interfaccia.

Risoluzione

Per risolvere questo problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Aggiornare i criteri per consentire l'accesso

Nel gruppo, i server che sono necessario accedere all'interfaccia vengono aggiunti come membri.

Ad esempio, il gruppo universale "Exchange Servers" richiede l'accesso.

Se l'applicazione non dispone di un gruppo che contiene gli account necessari, è necessario creare e gestire un gruppo. Si tratta della soluzione consigliata in quanto fornisce accesso a un gruppo specifico all'attività.

Metodo 2: Disattivare il criterio

Deselezionare la voce del Registro di sistema RestrictRemoteSAM o rimuovere il criterio.

Nota: Nei controller di dominio, è possibile definire le autorizzazioni per oggetto per controllare la visibilità dei conti. Queste autorizzazioni vengono rispettate dalle chiamate RPC SAM remote. Non è possibile farlo per gli account di computer autonomi o di membri.

Ulteriori informazioni

Per ulteriori informazioni, vedere il seguente articolo:

Accesso di rete: limitare i clienti autorizzati a effettuare chiamate remote a Giorgio

Informazioni di supporto interne di Microsoft

https://internal.support.services.microsoft.com/en-us/help/3186112

Esempio di problema in Exchange Server

Si consideri lo scenario seguente:

  • Si utilizza Active Directory con Windows Server 2008 R2 o versione successiva.

  • Si esegue Microsoft Exchange 2016 o Microsoft Exchange 2013 come una piattaforma di collaborazione tramite posta elettronica.

Nota: Sebbene in questo esempio specifica di Exchange Server, questo problema riguarda in modo analogo alle altre applicazioni che utilizzano AuthZ in questo modo.

In questo scenario, la generazione della Rubrica (fuori rete OAB) sul server che esegue Exchange Server 2016 ha esito negativo.

Vedere anche una voce per l'evento 17004 (origine: MSExchangeIS Cassetta postale assistenti Provider) che sarà simile al seguente. Questo movimento viene registrato nel registro applicazione sul server su cui è montata la cassetta postale arbitrato "SystemMailbox {bb558c35-97f1-4cb9-8ff7-d53741dc928c}" che viene utilizzata per generare la Rubrica fuori rete.

Generazione della Rubrica fuori rete "\Default Rubrica non in linea" non riuscita.
DN: CN = Default Offline Address Book, CN = elenchi, CN indirizzo Elenca Container, CN = Companyname, CN = = Microsoft Exchange, CN = Services, CN = Configuration, DC = company, DC = com ObjectGuid: 543b7f18-2750-4969-9afd-e333a0542406
Stats:        
S:EXP=Microsoft.Exchange.Security.Authorization.AuthzException: AuthzInitializeContextFromSid non riuscito per l'utente SID: S-1-5-21-...---> System.ComponentModel.Win32Exception: accesso negato
---Fine dell'analisi dello stack dell'eccezione interna--
in Microsoft.Exchange.Security.Authorization.ClientSecurityContext.InitializeContextFromSecurityAccessToken (flag AuthzFlags)
in Microsoft.Exchange.Security.Authorization.ClientSecurityContext... costruttore (ISecurityAccessToken securityAccessToken, AuthzFlags flag)
in Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.PropertyManager... costruttore (OfflineAddressBook offlineAddressBook, userSid SecurityIdentifier, userDomain stringa, booleano habEnabled, ordinalSortedMultivaluedProperties Boolean, Int32 httpHomeMdbFixRate, IOABLogger logger)
in Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.OABGenerator.Initialize()
in Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.OABGeneratorAssistant.BeginProcessingOAB (AssistantTaskContext assistantTaskContext)
in Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.OABGeneratorAssistant. <> c__DisplayClass12. b__e() < SafeExecuteOabTask >
in Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch (azione tryDelegate, filterDelegate Func'2, catchDelegate l'azione ' 1)
in Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.OABGeneratorAssistant.SafeExecuteOabTask (OABGeneratorTaskContext contesto)
in <> c__DisplayClassc. < ProcessAssistantStep > b__9() Microsoft.Exchange.MailboxAssistants.Assistants.OABGenerator.OABGeneratorAssistant.
in Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch (azione tryDelegate, filterDelegate Func'2, catchDelegate l'azione ' 1)


Quando viene generata la Rubrica fuori rete, Exchange verifica se l'Assistente di cassetta postale è autorizzato a eseguire l'attività. La cassetta postale di sistema di SystemMailbox {bb558c35-97f1-4cb9-8ff7-d53741dc928c} è un account utente disabilitato nel contenitore users del dominio radice della foresta. Exchange utilizza il motore di AuthZ di Windows per questa attività.

Quando si esamina la traccia di rete dell'attività del server che esegue Exchange Server, si nota una richiesta Kerberos S4U errore analogo al seguente:

KerberosV5 10.10.10.11 16268 10.10.10.10 Kerberos(88) KRB_TGS_REQ, area di autenticazione: e. CORP, Sname: XXXXX


PA PADataType-FOR-USER (129) 12408 48 Int64

UserRealm e 56 296 stringa

KerberosV5.PrincipalName SM_0ddc5cc213b943a5b 16 280 nome utente

-> In questo modo si tenta Kerberos S4U autorizz.

2017-10-27T16:34:52.1334577 0,0041316 10772 15016 KerberosV5 10.10.10.10 10.10.10.11 Kerberos(88) 16268 KRB_ERROR, KDC_ERR_CLIENT_REVOKED: client credenziali sono state revocate, stato: STATUS_ACCOUNT_DISABLED

-> è previsto come account di cassetta postale di sistema è disattivato.


AuthZ tenta di risolvere il problema eseguendo una query l'attributo tokenGroupsGlobalAndUniversal della cassetta postale di sistema e quindi continuare a enumerare i gruppi di dominio locale. Crittografia della sessione LDAP. Pertanto, è possibile visualizzare il risultato in una traccia di rete.

Vedere che il recupero dell'attributo venga eseguita correttamente quando si traccia attività LDAP della " MSExchangeMailboxAssistants.exe " processo utilizzando le seguenti linee guida:

2221529 event Tracing for Windows Vista/2008 LDAP

Il passaggio successivo consiste nel recuperare i gruppi di dominio locale. AuthZ utilizza RPC SAM per recuperare le appartenenze ai gruppi. Quando il programma si connette al controller di dominio, viene visualizzato un avviso di errore analogo al seguente:

12035 SAMR 10.10.10.11 6457 10.10.10.16 SMB(445) _SamrConnect5Request{ServerName=\\Cont-DC1.company.com,DesiredAccess=32,InVersion=1,InRevisionInfo=SAMPR_REVISION_INFO{V1=SAMPR_REVISION_INFO_V1{Revision=3,SupportedFeatures=0}}}
FileId permanente = 0x0000002800008761, Volatile = 128 576 0x0000002800000005 SMB2. SMB2Fileid


Questa operazione non riesce e restituisce il seguente messaggio:

12036 MSRPCE SMB(445) 10.10.10.16 0 10.10.10.11 RpcconnFaultHdrT 6457, chiamata: 0x00000002, contesto: 0x0001, stato:ERROR_ACCESS_DENIED, Annulla: 0x00
SMB2 10.10.10.16 0 SMB(445) 10.10.10.11 IoctlResponse 6457, stato: riuscito, il nome del file: samr@#0x0000002800008761, CtlCode: FSCTL_PIPE_TRANSCEIVE


Nel registro eventi di sistema del controller di dominio, l'evento 16969 viene registrato, come segue:

Nome registro: sistema
Origine: Microsoft-Windows-Directory-servizi-SAM
ID evento: 16969
Livello: avviso
Descrizione:
8 chiamate remote al database SAM sono state negate negli ultimi 900 secondi la limitazione della finestra.
Per ulteriori informazioni, vedere http://go.microsoft.com/fwlink/?LinkId=787651.


Se hai disattivato la limitazione, verrà visualizzato uno 16965 evento per ogni incidente negazione di accesso con le informazioni sul client.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×