有沒有辦法讓 Kerberos 憑證委託兩次？為什麼不？

在我的書呆子生活中，我一直在處理 Windows 域的這種限制

1. 登錄 - 控制台
2. 集成身份驗證（通常是網路應用程序）
3. 我的憑據不能移動到另一台伺服器（例如數據庫或文件系統）。他們必須信任機器 2。

是否有改變這種行為的配置？在許多情況下，3 跳會非常方便。

憑據不應委託兩次（客戶端->伺服器->伺服器）的具體原因是什麼？

絕對 - 這是 Kerberos 委託，它非常強大。

您需要先閱讀幾篇 TechNet 文章：

• Windows Server 2003 中的 Kerberos 身份驗證
• Kerberos 協議轉換和約束委派

然後閱讀Ken Schaefer關於 Kerberos 的精彩部落格文章：

• IIS（Internet 資訊服務）和 Kerberos 常見問題解答

但基本上，一旦您的 SPN 設置好並且您知道 Kerberos 正在工作，您可以轉到 Active Directory 中的電腦對象，然後在委派選項卡上選擇“信任此電腦以進行委派”單選按鈕。

（來源：s-msft.com）

Ken 關於簡單委託的文章應該涵蓋您需要的所有內容。

順便說一句：您非常接近正確的搜尋：“雙跳身份驗證”將引導您訪問來自詢問目錄服務團隊部落格的這篇文​​章：了解 Kerberos 雙跳

引用自：https://serverfault.com/questions/16364