Identidades do IIS: pool de aplicativos vs conectar como nas configurações básicas

Eu especularia que isso pode estar relacionado à capacidade do computador para representar a identidade do pool de aplicativos na rede. O "Conectar como" tem as credenciais salvas (e criptografadas), para que possa criar um token primário completo e acessar recursos como essa identidade do usuário. Com "Usuário do aplicativo (autenticação de passagem)", seria um token existente e tentaria usar esse token para representação. Nesse cenário, se o computador que está executando a representação não é confiável para delegação, ele não terá êxito.

Isso deve ser fácil de testar e validar.

O computador é confiável para delegação? Em Usuários e Computadores do Active Directory > Computador > Propriedades > Guia Delegação. Selecione "Confiar neste computador para delegação a qualquer serviço (somente Kerberos)".

Você também pode precisar definir a configuração do IIS7 como "useAppPoolCredentials". Isso pode ser definido com o seguinte comando:

appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true  

useAppPoolCredentials = Verdadeiro com a delegação do Kerberos em 2008
link

Possivelmente relacionado:

link

Descobri o motivo pelo qual você pode ter o seguinte erro ao usar a Segurança Integrada para uma cadeia de conexão do MSSSQL Server, apesar de definir a identidade do pool de aplicativos como uma conta de usuário capaz de efetuar login e ter a autenticação Pass Through ativada as configurações básicas do site:

Microsoft SQL Server Native Client 10.0 error '80040e4d'

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Vá para Autenticação e edite o Usuário Anônimo - mude de usar a conta IUSR por padrão para usar a Identidade do Pool de Aplicativos.