Всем привет!

Проблема с Double hop Кербероса, когда он не может авторизовать пользователя на "вложенном" сервере.

Дано:
Сервер SERVER1 в домене DOMAIN1
Сервер SERVER2 в домене DOMAIN1
Рабочая машина DESKTOP1 в домене DOMAIN2
На сервере SERVER1 создан Linked на SERVER2
Между доменами никаких трастов не настроено, но днс реплицируется, т.е. я вижу имена серверов и т.д.
На машине DESKTOP1 в Windows Credential Manager прописаны учетные данные к SERVER1 и SERVER2.
Я могу подключится к обоим машинам без проблем, используя Windows-аутентификацию из Credential Manager.

Проблема:
Если я подключусь по RDP на SERVER1 и открою Linked-сервер - всё откроется без проблем.
Если я локально на DESKTOP1 открою SSMS, подключусь к SERVER1 и попытаюсь на нем открыть Linked-сервер SERVER2 - будет облом.
Ошибка Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Что сделано:
Зарегистрированы все нужные SPN в DOMAIN1
Для учетки SQL выданы все права на делегирование в DOMAIN1
Для компьютеров SERVER1 и SERVER2 также выданы фулл права на делегирование в DOMAIN1
Локально на SERVER1 и SERVER2 KerberosConfigMgr не выдает каких-либо проблем.
Выдано право PrincipalsAllowedToDelegateToAccount с SERVER1 на SERVER2

Вопрос:
Вообще, реально настроить двойной прыжок в нашей конфигурации?
Или для этого обязательно находится в доверенном/дочернем домене?

При коннекте со своей локальной машины до SERVER1, я ввожу запрос
select auth_scheme from sys.dm_exec_connections where session_id=@@spid
и он возвращает NTLM.