asp.net通过kerberos集成windows身份验证到sql server

我们有clientMachine> webServer> DATABASESERVER.客户端坚持认为该站点必须提取Windows登录而不提示,因此需要Kerberos和集成身份验证.它还必须模拟用户进入数据库服务器,从而产生双跳.

我们的域名是Windows 2003域名,据我所知,这意味着Kerberos已启用.在加入域的计算机上,当登录时,kerbtray告诉我我有一大堆门票,所以它显然正在工作.

AD中的Web和数据库服务器计算机帐户都“受信任以进行委派”.
必须访问系统的AD用户帐户都“被委托信任”.
当它全部工作时,我会添加更多用户,现在两个就是它.

Sql Server实例在数据库服务器上的LocalSystem下运行,尽管我可以在网上告诉它,但这意味着它根本不需要搞乱这些SPN的东西.

然而,当我尝试使用任一用户登录时,我得到了

Login failed for user 'NT AUTHORITYANONYMOUS LOGON'.

表示双跳失败.在数据库服务器上的应用程序日志中,有一些来自“MSSQL”的条目说同样的事情,这进一步推动了这一点.

我真的不敢相信这有多难……我的意思是,IIS,SQL和Windows都是微软,他们不能说得更好吗???

总而言之,我有
>一个kerberos域名,
> db和Web服务器都受信任以进行委派
>用户信任委派
> AD组中的用户
> AD组作为sql登录(和db中的用户)
> IIS匿名关闭,集成打开,基本和摘要关闭
> IE启用集成功能