Não consigo ver como conceder a delegação restrita de Kerberos para um serviço identificado por uma conta de serviço gerenciado.
Eu tenho uma floresta única de domínio único no nível funcional do Windows 2008 R2, dois DCs do SP2 2008 R2, recém-criada.
Instalei minha nova instância do SQL Server 2012 no servidor "SQL-01" para executar em uma conta de serviço gerenciado, "MsaSqlServer".
Tudo bem até agora.
A conta de serviço gerenciado possui atributos: cn = MsaSqlServer sAMAccountName = MsaSqlServer $ servicePrincipleName = MSSQLSvc / SQL-01.fasttrac.local, MSSQLSvc / SQL-01.fasttrac.local: 1433
Agora tenho um site IIS no servidor APP-02 (no mesmo domínio). Eu posso configurar a delegação restrita no ADUC com bastante facilidade na guia Delegação da caixa de diálogo Propriedades do servidor da Web, APP-02, por exemplo acesso a arquivos em um servidor de arquivos, clicando em add, localizando o servidor de arquivos e selecionando o tipo de serviço "cifs". No entanto, eu quero ter delegação para o SQL Server, então eu clico em Adicionar, localize o SQL server, SQL-01, e não há SQL ou MSSQLSvc ou serviço similar. Isso é normal, porque o MSSQLSvc SPN é registrado para a conta que o SQL Server é executado como e só apareceria na conta do computador se ele fosse executado como sistema local. Com o SQL 2008 sendo executado em uma conta de usuário de domínio normal, simplesmente insiro esse nome de usuário de domínio e seleciono o MSSQLSvc SPN e lá vamos nós, mas não consigo obter a caixa "Selecionar Usuários ou Computadores" para localizar minha Conta de Serviço Gerenciado (com ou sem o sufixo $).
Acho que posso obter o efeito necessário cortando o atributo msDS-AllowedToDelegateTo do objeto AD do servidor Web (APP-02) diretamente e adicionando "MSSQLSvc / MsaSqlServer" e "MSSQLSvc / MsaSqlServer.domain.local", mas não sei se incluir o treinamento $ (ou seja, "MSSQLSvc / MsaSqlServer $") e realmente, eu acho que a GUI deve funcionar. Alguém sabe o que devo fazer?