Eu tenho um aplicativo da Web do IIS com autenticação e representação do Windows. Este aplicativo se conecta ao servidor SQL. Neste caso, o Kerberos funciona bem.
Mas há um problema. O aplicativo da Web executa o aplicativo do Windows (COM), que também se conecta ao servidor SQL. O aplicativo do Windows é executado com credenciais de usuário do aplicativo IIS e representa o usuário do site atual para se conectar ao servidor SQL.
esquema: link
Quando a delegação para o usuário do IIS está definida como "Confie neste computador para delegação a qualquer serviço", tudo funciona bem. Mas não posso usar esse tipo de delegação de acordo com os requisitos de segurança.
Quando defino a delegação como "Serviços específicos" e escolho MSSQLSvc SPN, a conexão do aplicativo do Windows falha com a falha "ANONIMOUS". WireShark mostra o pacote "KRB5KDC_ERR_BADOPTION".
O que estou fazendo de errado?
Tags sql kerberos iis iis-7.5 delegation