Ограниченное делегирование Kerberos не работает
У меня есть типичный сценарий двойного прыжка, Пользователь -> IIS-> SQL.
Я использую IIS 7.5, который использует аутентификацию модели ядра, поэтому я настраиваю учетную запись сервера IIS для делегирования.
Если я установил для этого параметра «Доверять этому компьютеру для делегирования любой службе» 
Тогда нормально работает. Однако я бы хотел использовать для работы ограниченное делегирование. Я установил SPN для SQL-сервера (как для SQLServer, так и для SQLServer.domain.com) и протестировал установку, используя DelegConfig, в котором говорится, что это нормально, но не работает.
Кто-нибудь знает способ узнать, какое SPN используется, когда я запускаю это с неограниченным делегированием, чтобы я мог настроить это для ограниченного? Или любые другие решения?
Можете ли вы опубликовать SPN, которые вы установили для SQL? Подтвердили ли вы, что они установлены для учетной записи компьютера (если SQL работает как сетевая служба / локальная система) или учетной записи службы в противном случае?
Я бы включил ведение журнала Kerberos на машине IIS. Это открывает много полезной информации, включая SPN и связанные ошибки. Вступает в силу без перезагрузки в Windows Server 2008.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"LogLevel"=dword:00000001
NetMon также может отображать SPN.
Находятся ли серверы IIS и SQL в одном домене AD?