Есть небольшая проблема с настройкой ограниченного делегирования Kerberos в Active Directory.
Схема работает следующим образом: 1. Клиентское рабочее место. 2. Веб-сервер с Windows 2008 Ent установлен IIS (iis.domain.lab). Это интерфейсный сервер, служба W3SVC запускается под учетной записью LocalSystem. 3. Сервер приложений на базе Windows Server 2008 Ent (app.domain.lab). Является внутренним сервером, служба приложения работает на учетной записи домена svc_app_usr 4. Контроллер домена (dc.domain.lab)
На сервере IIS размещается определенное приложение, которое конечный пользователь открывает в браузере. Поскольку серверные приложения IIS на разных серверах - мне нужно настроить ограниченное делегирование Kerberos.
Я сделал следующее: 1. Для svc_app_usr зарегистрированного SPN типа SERVICE_NAME / APP и SERVICE_NAME / APP.domain.lab 2. Для настройки сервера iis ограниченное делегирование Kerberos, используя учетную запись домена svc_app_usr
Но возникает следующая проблема: когда я пытаюсь открыть приложение через браузер - этого не происходит. После Wireshark я вижу, что сервер - это IIS, TGS, запрашивающий контроллер домена, получает ошибку ответа:
KRB5KDC_ERR_BADOPTION Состояние NT: STATUS_NO_MATCH Состояние NT: STATUS_NO_MATCH (0xc0000272) Неизвестно: 0x00000000 Неизвестно: 0x00000003
Подскажите, пожалуйста, где я ошибся?