temat wraca raz na jakiś czas jak boomerang, a ponieważ walczyłem z tym trochę dzisiaj, kilka lików dla potomności, które mogą się przy takich sprawach przydać:

  • na początek link do toola DelegConfig – nie znałem, a bardzo przydatne narzędzie. Proste i sqteczne.
  • jak powinny być skonfigurowane SPNy dla IIS
  • dość fajny zbiór informacji o kerberosie na technecie
  • lista zmian w obsłudze kerberosa
  • ..które to każą pamiętać o jednym z dwóch ostatecznych wniosków z dzisiejszej walki: różnica pomiędzy w2k i w2k3 jest w tej materii dość istotna jeśli chodzi o autentykację cross-forest. Dla ‘external trust’ jest ona niemożliwa, pełna obsługa pojawiła się wraz z ‘forest trust’ dostępnym od wersji w2k3 [i taki musi być poziom funkcjonalny root domain w obu lasach!]
  • drugi wniosek po walce jest taki: wiele zależy od tych najprostszych mechanizmów jak DHCP czy DNS, ponieważ zła konfiguracja na tym etapie powoduje poważne trudności w bardzo podstawowych czynnościach – jak rozwiązywanie nazw
  • na koniec przestroga z ostatnich kilq doświadczeń: LUDZIE, UŻYWAJCIE NAZW FQDN! (;