A resposta está aqui: link
Felicidades, JD.
Eu tenho lutado com esse problema desde há algum tempo e começo a ficar desesperado para encontrar uma solução.
Aqui está o meu problema: eu configurei um SAP Enterprise Portal que é publicado via Microsoft ISA. O ISA é usado para publicar a página via HTTPS (somente HTTP no SAP EP) e o ouvinte é configurado com anônimo e o cliente pode autenticar diretamente. O SAP EP está lidando com a autenticação.
Decidimos introduzir o Kerberos para simplificar a conexão. No lado da SAP não há problema, o SPNego Wizard, um reinício da instância e voila. No lado AD, criamos o SPN e o atribuímos à conta de serviço especificada no SAP.
Bem, funciona como um encanto (HTTP e HTTPS do IE, Firefox e Chrome) quando você se dirige diretamente ao SAP EP. Mas, quando tentamos fazer isso através do Microsoft TMG (o novo ISA) com a mesma configuração que antes (nenhuma autenticação no ouvinte e no cliente podem autenticar) ele funciona sem problemas com o Firefox, e o Chrome em HTTPS e HTTP, mas no IE só funciona se HTTP.
Parece que o IE ou o TMG se confunde com o HTTPS - > Túnel HTTP feito pelo TMG. Eu verifiquei com o Fiddler, e o IE está recebendo o 401 para Negotiate e está postando o ticket do KRB, mas ele falha de alguma forma e volta para a página de autenticação do SAP.
FYI: o SPN está correto, o IE o recebe corretamente, mas algo não está rolando corretamente.
Tags kerberos isa-server sap