No meu ambiente eu tenho duas florestas separadas, FA.COM e FB.COM, e dois domínios filhos, DA.FA.COM e DB.FB.com. Não há confiança de floresta, mas confiança externa bidirecional entre DA.FA.COM e DB.FB.com.
Eu tenho um servidor IIS (IIS8.5 no Windows 2012r2) no DB.FB.com e segui as instruções aqui link para configurar o Kerberos SSO para um site estático no servidor IIS e fazê-lo funcionar para clientes que acessam a partir do banco de dados. FB.COM.
No entanto, preciso estender o acesso para permitir que usuários do DA.FA.COM façam login em suas máquinas cliente (também no DA.FA.COM) para acessar o site estático (no DB.FB.COM) via Kerberos. Atualmente, os usuários e clientes do DA.FA.COM são capazes de usar o SSO, mas via NTLM em vez de kerberos. (Observação: eu verifico se o SSO está funcionando via Kerberos ou NTLM usando o Fiddler e a Klist para verificar)
A minha pergunta é, se eu fiz o kerberos sso funcionar dentro do domínio DB.FB.COM, eu preciso de configurações adicionais no servidor IIS para suportar kerberos entre florestas ou é uma questão de configurações entre os controladores de domínio? em DA.FA.COM e DB.FB.com para suportar kerberos entre florestas?