Добрый день,

такая проблема — есть ДОМЕН1, в нем есть под-домен (child domain) ДОМЕН2. В главном, родительском, домене живет IIS_SERVER на котором крутится сайт. Также в ДОМЕН1 есть почтовый сервер ExchangeServer1. IIS настроен на Windows Authentication, и сервер IIS_SERVER сделан trusted для SPN http/ExchangeServer1 — в итоге, пользователи сайта могут видеть свои календари с почтового сервера. Всё это дело прекрасно расширяется на другие почтовые сервера — но только те, что живут в ДОМЕН1.

Потом админ добавил новый почтовый сервер ExchangeServer2 в ДОМЕН2 — и вот тут вот и случился затык. В лоб это не работает, Керберос возвращает ошибку KerberosV5:KRB_ERROR — KDC_ERR_BADOPTION (13). Ну такую ошибку я уже видел, и знаю, что бы её пофиксить, надо добавить ExchangeServer2 в список доверенных сервисов:

AD Users and Computers -> Computers -> IIS_SERVER properties -> Delegation tab -> Trust This computer for delegation (specific services) -> Add

но в этом диалоге НЕТ возможности выбрать ДОМЕН2 и/или ExchangeServer2 — там есть ДОМЕН1 с плюсиком и всё. Плюсик разворачиваешь, и он исчезает, остается единственная запись ДОМЕН1.

КАК заставить IIS_SERVER аутентифицироваться на сервере ExchangeServer2??


Надеюсь, что внятно изложил проблему — если нет, пишите, что не понятно, попробую получше объяснить.


Заранее спасибо!

Kuzmit4Возможно у Вас доверительные отношения однонаправленные

а не подскажете, куда смотреть?


Немного добавлю по теме (см. картинку) - если идти в свойства, например, папки и попытаться добавить пользователя - то ЕСТЬ возможность выбрать его из другого домена - т.е. если я нажму плюсик (см. левую часть картинки) - то там появятся OU и поддомены. Когда же я пытаюсь сделать это для делегации - то я вижу только ТЕКУЩИЙ домен, без возможность выбора поддомена - и, соответсвенно, нет возможности добавить сервер из поддомена.

Спасибо!

Kuzmit4,

спасибо большое за ответы. К сожалению, я ни разу ни админ, мы просто деплоим интранет-сайт, решая возникающие проблемы.

Насчет

Kuzmit4А Type Objects при делегирование не ограничивает область видимости одним доменом?


Я попробовал погуглить type object delegation single domain, но ничего не нашел подходящего. Я не знаю ответа на этот вопрос, и я, если честно не понял, это был вопрос-вопрос, или же вопрос-утверждение Если не сложно, то был бы очень благодарен ссылке на документ, или просто нужные ключевые слова которые можно гуглить.

Спасибо,

Алексей