Ограниченное делегирование Microsoft Device Center в Windows Server. Падение внутреннего KDC

Из внутренней службы KDC получает S2U2 Proxy TGS-REQ.  В состав TGS-REQ входят:

1. утвержденный билет, который представляет собой билет службы от начальной проверки, которая выполняется во внешней службе;
2. межобластной TGT, который получен при обмене с KDC.

Первое, что выполняет KDC – это проверка. В ходе проверки выясняется, находится или нет целевое имя SPN в его домене. В случае если он целевое имя не будет находиться в том же домене, KDC создаст ссылочный TGS-REP. В том случае, когда целевое имя находится в том же домене, KDC сможет предоставить билет службы для целевой службы. Ответ в этом случае пойдет напрямую, не используя ссылку на другой домен.

После этого KDC будет выполнено считывание атрибута msDS-AllowedT в субъекте безопасности. Субъект безопасности зарегистрирован для целевого внутреннего SPN. В том случае, когда атрибут является пустым, контроллер домена Server 2012 будет пользоваться традиционной логикой ограниченного делегирования.

В том случае, если при проверке доступа KDC возникает ошибка, то KDC будет использовать традиционную логику.  Это даст выяснить, разрешено или нет ограниченное делегирование. В случае если проверка доступа пройдет отлично, то это значит что внутренняя служба дает разрешение внешней службе на запрос билета от имени других субъектов. Эти субъекты безопасности используются в случае проверки подлинности во внешней службе. После того, как KDC сформирует билет службы, предназначенный для внутренней службы, он возвращает билет службы, а так же сеансовый ключ для внешней службы. Это делается с целью задействовать его, когда будет проводиться проверка подлинности во внутренней службе.