На микроуровне ограниченное делегирование связано со многими решениями и операциями обмена информацией, которые начинаются с обращения клиента во внешний KDC.
KDC в версиях, предшествующих Server 2012. Получив S4U2 Proxy TGS - REQ для целевого SPN вне своего домена, KDC возвращает внешней службе ошибку Kerberos KDC_ERR_BADOPT10N (13) в сообщении TGS-REP. Такой ответ объясняется неспособностью KDC в версиях, предшествующих Server 2012, предоставить ссылочный TGT для S4U2 Proxy TGT_REQ для целевого SPN, находящегося вне собственного домена. До появления Server 2012 ограниченное делегирование между доверительными доменами и лесами было невозможно. KDC версии Server 2012. KDC получает S4U2 Proxy TGS-REQ и определяет, находится ли целевое имя SPN в его домене. В данном сценарии целевое имя SPN находится в другом домене. Поэтому KDC версии Server 2012 - обеспечивающий ограниченное делегирование на основе ресурсов - предоставляет ссылочный TGT для внешней службы в TGS-REP.
Поведение внешней службы при получении TGS-REP
Внешняя служба получает TGS-REP из KDC. Следующее действие внешней службы зависит от ответа, полученного KDC из S4U2 Proxy TGS-REP. TGS-REP от KDC версий, предшествующих Server 2012. Внешняя служба получает сообщение TGS-REP в ответ на S4U2 Proxy TGS-REQ. Ответ от КОС - ошибка Kerberos ERROR - KDC_ERR_BADOPTION (13). Внешняя служба функционирует на сервере Server 2012, члене домена. Server 2012 - клиент Kerberos, учитывающий возможности ограниченного делегирования между доменами; поэтому, когда внешняя служба получает S4U2 Proxy TGS-REP с ошибкой KDC_ERR_ BADOPTION (13), ей известно, что, возможно, установлена связь с KDC, не поддерживающим ограниченное делегирование между доменами. В ответ сервер, член домена Server 2012, на котором выполняется внешняя служба, пытается обнаружить контроллер домена (DC) Server 2012. После того как контроллер домена обнаружен, член-сервер, функционирующий на внешней службе, отправляет то же сообщение S4U2 Proxy TGS-REQ в контроллер домена Server 2012. TGS-REP от KDC Server 2012. Внешняя служба получает TGS-REP в ответ на S4U2 Proxy TGS-REQ. Ответ от KDC - ссылочный TGT на домен, ответственный за проверку подлинности для целевого SPN. Server 2012 - клиент Kerberos, учитывающий возможности ограниченного делегирования между доменами. Сервер, член домена, на котором выполняется внешняя служба, следует по ссылкам к домену, указанному в ссылочном TGT. Важное замечание: при переходе по доверительным отношениям с использованием ограниченного делегирования на основе ресурсов компьютер должен пройти проверку подлинности. Поэтому предполагается, что компьютер выполнит TGS-REQ для TGT в каждом домене, а также первый S4U2 Proxy TGS-REQ, выполненный внешней службой. Ссылочный процесс TGS-REQ продолжается до тех пор, пока не будет обнаружен контроллер домена Server 2012 в домене, в котором находится целевое имя SPN.