Eu estou trabalhando com um sistema que implementa delegação restrita para um salto duplo do Firefox 38.2.1 (ou IE 11) acessando um aplicativo da Web de intranet .NET 4.5.1 em execução no Windows Server 2012 (IIS 8.5) para o SQL Server 2008 R2 em um servidor diferente. O cenário de delegação está funcionando: as credenciais do AD do usuário são passadas para o banco de dados em um servidor separado do servidor da web. Os controladores de domínio são o Windows Server 2008 R2 e usamos SPNs.
No entanto, existem cenários, como a falta de configuração do Firefox, em que o Kerberos falhará; e os downgrades do protocolo de autenticação para o NTLM. A delegação não funciona mais por um período de tempo até que o protocolo de autenticação Kerberos seja automaticamente restabelecido (algumas fontes dizem 5 minutos; é mais como 10-12 minutos com nosso teste). Além disso, a delegação com falha afeta todos os usuários que acessam o aplicativo após o downgrade do protocolo entrar em vigor até que o Kerberos seja reinstalado automaticamente. Em outras palavras, suas sessões usam o NTLM e são impedidas de acessar o banco de dados por 10 a 12 minutos.
Existe uma maneira através dos DCs, ou código (c #), ou IIS / Firefox / IE para restaurar manualmente o protocolo de autenticação para o Kerberos, encurtando assim a janela na qual o NTLM é o protocolo sendo usado?