Делегирование Multihop Kerberos в IIS7 / Windows 2008

Итак, здесь я снова имею дело, вероятно, с вопросом номер один о поддержке IIS, SPN. Я не новичок, когда дело доходит до этого, поскольку за последние несколько лет я испытал на себе все трудности, связанные с получением внешних интерфейсов SSRS для делегирования для серверных компонентов SQL и SSAS в различных средах.

Но теперь Microsoft повысила ставку, представив обновленный интерфейс IIS7 и Windows 2008 с режимом ядра, и я тут же вернулся к работе и бьюсь головой о стол.

В прошлом я успешно использовал инструмент DelegConfig Брайана Бута, чтобы быстро разобраться в проблемах, но в моем текущем случае я получаю результаты, которым я не уверен, которым я доверяю, и сомневаюсь в том, что инструмент точно отображает проблемы или просто зря трачу время на несуществующие проблемы.

Так что, может быть, пришло время получить второе (третье и четвертое) мнение.

На высоком уровне у меня есть веб-сервер, который будет запускать приложения, которые должны действовать как делегаты для доступа к внутренним экземплярам SQL и SSAS. На первый взгляд звучит достаточно просто.

Хорошая новость в том, что серверные инстансы уже настроены и работают. Это именованные экземпляры, работающие на учетных записях служб домена, с соответствующими именами участников-служб уже на месте.

Внешний вид сервера выглядит так:

Операционная система: Windows Server 2008 R2 Enterprise IIS: 7.5.7600.16385

Учетная запись машины

• NetbiosName: COLOVWEB
• ServerFQDN: colovweb.co.local

Использование заголовков хоста

• IISSiteName: CONET
• IISSiteNameFQDN: conet.co.local

Пул приложений

• PoolName: CONET
• Идентичность: СЕТЕВОЙ СЕРВИС

На веб-сайте [CONET] размещено ~ 50 «приложений» и ~ 20 «виртуальных каталогов». Для этого упражнения есть одно (1) интересное приложение, назовем его «MyApplication». Приложение DelegConfig пока также живет на этом веб-сайте.

На верхнем уровне [CONET] включены «Анонимная аутентификация» и «Аутентификация Windows {kernelModeAuthentication = true}».

На уровне MyApplication включена проверка подлинности Windows {kernelModeAuthentication = true}. То же самое и с DelegConfig.

Насколько я понимаю, для учетной записи компьютера домена сервера [CO \ COLOVWEB $] требуется следующее:

ServicePrincipalName:

• HTTP / conet.co.local
• HTTP / conet

msDS-AllowedToDelegateTo:

• MSOLAPSvc.3 / colosql3.co.local: MyInstance
• MSOLAPSvc.3 / colosql3: MyInstance
• MSOLAPDisco.3 / colosql3.co.local
• MSOLAPDisco.3 / colosql3
• MSSQLSvc / colosql3.co.local
• MSSQLSvc / colosql3
• MSSQLSvc / colosql3.co.local: MyInstance
• MSSQLSvc / colosql3: MyInstance

Насколько я понимаю, следующее, хотя и не требуется в данном случае, также уместно:

ServicePrincipalName:

• HTTP / colovweb.co.local
• HTTP / colovweb

И все должно работать, да?

Что ж, это не так. В зависимости от точного синтаксиса, который я использую для имени хоста внешнего интерфейса, DelegConfig жалуется на:

The domain or workstation membership of NETWORK SERVICE (http://conet$) could not be determined.

ИЛИ

Service account NETWORK SERVICE (COLOVWEB$) is not a domain account. 

Я знаю, что борюсь с проблемой делегирования Kerberos, но не уверен, помогает ли DelegConfig или мешает. Ответы на любой оцененный.

РЕДАКТИРОВАТЬ - 20130403

Приложение ConnectString было проверено и показано ниже:

Data Source=colosql3\MyInstance;Catalog=OurCatalog;Integrated Security=SSPI;SSPI=negotiate;Impersonation Level=Delegate;SspropInitAppName=MyApplication

Имя входа, попадающее на сервер OLAP, все еще CO \ COLOVWEB $, а не учетная запись пользователя.

Я запускаю elmah на сервере в корневом вебе, чтобы получить хороший снимок сеанса пользователя:

AUTH_TYPE negotiate
AUTH_USER CO\user
HTTP_AUTHORIZATION Negotiate YIIKMwYGKwYBBQ....

Итак, клиентский браузер явно отправляет соответствующий запрос.