Microsoft ISA / TMGおよびSAPEPを使用したKerberosパススルー-httpsの場合、InternetExplorerは混乱します

私はしばらくの間この問題に苦しんでいて、解決策を見つけるために必死になり始めています。

これが私の問題です。MicrosoftISA経由で公開されているSAPEnterprisePortalをセットアップしました。 ISAはHTTPS（SAP EPではHTTPのみ）を介してページを公開するために使用され、リスナーは匿名で構成され、クライアントは直接認証できます。その後、SAPEPが認証を処理します。

接続を簡素化するためにKerberosを導入することにしました。 SAP側では問題ありません、SPNego Wizard、インスタンスの1回の再起動と出来上がり。 AD側では、SPNを作成し、SAPで指定されたサービスアカウントに割り当てました。

SAP EPを直接アドレス指定すると、チャーム（IE、Firefox、およびChromeのHTTPおよびHTTPS）のように機能します。しかし、以前と同じセットアップでMicrosoft TMG（新しいISA）を介してそれを実行しようとすると（リスナーとクライアントの認証が認証されない可能性があります）、Firefoxで問題なく動作し、Chrome HTTPSおよびHTTPでは、ただしIEでは、HTTPの場合にのみ機能します。

IEまたはTMGがHTTPS-> TMGによって実行されるHTTPトンネリングと混同されているようです。Fiddlerに確認したところ、IEはNegotiateの401を受信して​​いますKRBチケットを投稿していますが、なんらかの理由で失敗し、SAPの認証ページにフォールバックします。

参考：SPNは正しいです、IEは正しく取得しますが、何かが正しくローリングしていません。