Я уже давно борюсь с этой проблемой и начинаю отчаянно искать решение.
Вот моя проблема: я установил корпоративный портал SAP, который публикуется через Microsoft ISA. ISA используется для публикации страницы через HTTPS (только HTTP в SAP EP), а прослушиватель настроен на анонимность, и клиент может аутентифицироваться напрямую. Затем SAP EP занимается аутентификацией.
Мы решили ввести Kerberos, чтобы упростить соединение. На стороне SAP нет проблем, мастер SPNego, один перезапуск экземпляра и вуаля. На стороне AD мы создали SPN и назначили его учетной записи службы, указанной в SAP.
Что ж, это работает как шарм (HTTP и HTTPS из IE, Firefox и Chrome), когда вы напрямую обращаетесь к SAP EP. Но когда мы пытаемся сделать это через Microsoft TMG (новый ISA) с той же настройкой, что и раньше (аутентификация на слушателе и клиенте не может проходить аутентификацию), он работает без проблем с Firefox и Chrome на HTTPS и HTTP, но в IE это работает, только если HTTP.
Кажется, что IE или TMG путают с туннелированием HTTPS -> HTTP, выполняемым TMG. Я проверил с помощью Fiddler, и IE получает 401 для Negotiate и отправляет билет KRB, но почему-то не работает и возвращается на страницу авторизации SAP.
К вашему сведению: SPN правильный, IE получает его правильно, но затем что-то не работает должным образом.
Ответ здесь: http://support.microsoft.com/kb/951509/
Ура, JD.