防火墙之外的客户端的 Kerberos 委派

Question

我正在尝试运行 SQL Server Reporting Services，其中报表数据位于不同服务器上的 SQL Server 数据库上。 报表服务器和报表的集成身份验证均已打开。 我通过使用 Internet Explorer 从网络内部运行报告来确认 Kerberos 委派工作正常。

但是，当我通过防火墙打开报表服务器时，无法运行报表。 我收到以下错误：报告处理期间发生错误。 无法创建与数据源“frattoxppro2”的连接。 用户“NT AUTHORITY\ANONYMOUS LOGON”登录失败。

Kerberos 身份验证在防火墙之外无法工作吗？

Answer 1

Kerberos 需要通过端口 88 连接到 KDC，在本例中，很可能是您的 DC。

您可能想要查看的是 HTTPS + 基本身份验证 + 协议转换，以获取基本身份验证并将其转换为基于 DC 的 Kerberos 票证，以进行委派和后端身份验证。

• 协议转换
  约束委派技术
  补充

• 如何：使用协议转换和
  受限委派
  ASP.NET

并不是最容易设置的，但是当它工作时，它的工作效果非常好。

Answer 2

我确实无法告诉您为什么 kerberos 不适合您，但确实对您的配置有替代建议。 您可以使用 ISA 服务来公开报告服务器，而不是简单地在防火墙上戳一个洞。 这是我们公司已经成功完成的事情 - 它重新发布报告服务站点，以便浏览器与 ISA 对话，而不是直接与服务器对话。 ISA Services 也非常乐意传递您的凭据。