Делегация Kerberos для клиентов за брандмауэром

Question

Я пытаюсь запустить службы отчетов SQL Server, где данные для отчета находятся в базе данных SQL Server, которая находится на другом сервере. Интегрированная аутентификация включена как для сервера отчетов, так и для отчета. Я подтвердил, что делегирование Kerberos работает нормально, используя Internet Explorer для запуска отчета из сети.

Однако, когда я открываю сервер отчетов через брандмауэр, я не могу запустить отчет. Я получаю следующую ошибку: во время обработки отчета произошла ошибка. Невозможно создать соединение с источником данных «frattoxppro2». Не удалось войти в систему для пользователя 'NT AUTHORITY \ ANONYMOUS LOGON'.

Аутентификация Kerberos не работает вне брандмауэра?

Answer 1

Kerberos требует подключения 88 порта к KDC, в этом случае, скорее всего, ваш DC.

Возможно, вы захотите взглянуть на HTTPS + базовую аутентификацию + переход по протоколу, чтобы взять базовую аутентификацию и преобразовать ее в билет Kerberos на основе DC для делегирования и внутренней аутентификации.

• Протокол перехода с Ограниченная Делегация Техническая Дополнение

• Как: использовать протокол перехода и Ограниченная делегация в ASP.NET

Не совсем легко настроить, но когда он работает, он работает на удивление хорошо.

Answer 2

Я не могу сказать вам, почему Kerberos не работает для вас, но у вас есть альтернативное предложение для вашей конфигурации. Вы можете использовать службы ISA для предоставления сервера отчетов, а не просто пробивать дыру в брандмауэре. Это то, что наша компания успешно выполнила - она ​​перепечатывает сайт служб отчетов, поэтому браузеры обращаются к ISA, а не напрямую к серверу. ISA Services также с удовольствием пройдет проверку ваших учетных данных.