來自受信任域的用戶的Kerberos委派失敗

Question

我已成功設置了ASP.Net網站和SQL Server之間的Kerberos委派。 IIS應用程序池帳戶和SQL Server服務帳戶的同一個域中的所有用戶都可以從網站委派給SQL服務器。現在我們有來自雙向受信任域的用戶嘗試使用該網站，並且在SQL Server端出現以下錯誤：「用戶'NT AUTHORITY \ ANONYMOUS LOGON'登錄失敗，這意味着代表團失敗了。

該網站是IIS 6在Windows 2003上

我檢查從受信任域的用戶，而「userAccountControl的」是512這樣的代表團不會被阻斷。在用戶IE瀏覽器設置，我可以「本地Intranet」已配置權。

誰能告訴我怎樣才能解決這個問題呢？

謝謝！

理查德

Answer 1

也許這可以幫助你： http://social.technet.microsoft.com/Forums/en-US/sharepoint2010setup/thread/c43260a9-6791-4572-a7f2-1547467d89bb/

下面是引用（由SenthilSK書面）

Kerberos協議支持兩種委派，基本（約束）和約束的。 基本Kerberos委派可以跨越單個林中的域邊界，但無法跨越森林邊界而不考慮信任關係。 在任何情況下，Kerberos約束委派都無法跨越域或森林邊界。 有關您的方案的KCD配置的更多詳細信息，我可以建議參考Kerberos上的白皮書 http://www.microsoft.com/download/en/details.aspx?id=23176