Уважаемые коллеги!

Разрабатываю многоуровневое приложение, как показано на схеме. Никак не могу настроить, чтобы веб-запрос от front-end сервера к Remoting-объекту back-end сервера выполнялся, от имеи того, пользователя, который зашёл на сайт. Настройки следующие. Для front-end сервера в Active Directory стоит галка "Trust computer for delegation". В web.config на front-end сервере содержится строчка

В результате ASP.NET-приложение на front-end сервере на строчке создания удалённого объекта вылетает с ошибкой "Server Error in '/webreport' Application. The remote server returned an error: (401) Unauthorized." В логах IIS видно, что запрос выполнялся от анонимного пользователя.

Измучался весь   

Присоединённый файл ( Кол-во скачиваний: 10 )
 delegate.gif 21,88 Kb

Самый важный док по теме - Troubleshooting Kerberos Delegation. Здоровый, собака - читать неперечитать. 

Но с твоей архитектурой даже не знаю. Лично я настраивал только в локальной сети с доменными пользователями. Там, при условии запуска SQL Server под доменным логином, а IIS под NetworkService, нужно всего лишь поставить SPN для логина SQL Server и в Active Directory на вкладке "делегирование" (Win2003 Server) учетной записи компа с ИИС-ом добавить эти SPN. Хотя там есть пункт что-то вроде "Использовать какой-нибудь левый метод" как раз для аутентификации по Интернету, но я его не пробовал. 

ЗЫ. Для тех, кто не в курсе - это способ аутентификации пользователей веб сервера (IIS) на SQL Server, если сервера стоят на разных машинах. 

На самом деле в моём случае есть VPN через Internet, так что можно считать, что я в локальной сети, только подсети разные. И работаю я, также, с доменными пользователями. Только домены опять же разные. Но это не столь важно, я думаю. Специфика моей ситуации в том, что IIS обращается не к MS SQL, а к другому IIS-у! И тот второй IIS видит это обращение как анонимное :(

А что касается ссылки - да, действительно основательная статья. Обязательно прочитаю, спасибо.

Хммм... Может один домен должен доверять другому (настраивается в ActiveDirectory)? 

Это нифига не специфика. Схема та же. А анонимное обращение - следствие отката к стандартной NTLM-аутентификации из-за невозможности разрешить все керберосом. По идее ты прав - под Win2000 в ActiveDirectory достаточно поставить "Trust computer for delegation" для среднего компа с иисом. Если ИИСы работают под NetworkService, все SPN уже зарегены, хотя явно и не отображаются. Специфику как раз составляет VPN и два разных домена. Kerberos должен передавать "билеты" (tickets) и не известно, сможет ли он на одном поезде домене опознать, что билет, выданный пассажиру другого поезда пользователю другого домена, работает и в этом 

Это сообщение отредактировал(а) Zakonnic - 28.11.2007, 14:02