Делегирование Kerberos Double Hop продолжает работать после одиночного сбоя (Navision/MSSQL)

Question

Делегирование Kerberos Double Hop продолжает работать после одиночного сбоя (Navision/MSSQL)

Я настроил делегирование между сервером Microsoft Dynamics Navision 2009 R2 и MS SQL Server 2014. Это включает добавление имен участников-служб и предоставление прав делегирования соответствующей учетной записи. При отправке запроса в веб-службу, предоставляемую Navision с помощью этого инструмента: http://blog.michelbarneveld.nl/michel/archive/2009/12/05/kerberos-authentication-tester.aspx все работает просто отлично.

Если я сделаю запрос, который не удается, хотя, например, из другого домена, то первоначальный запрос (который работал) также начинает сбой. Он продолжает сбой в течение некоторого времени (от 10 минут до часа) для ВСЕХ попыток веб-службы, даже с другой учетной записью, пока он внезапно не начнет работать снова для всех учетных записей. У меня есть теория, что во время делегирования что-то кэшируется, даже неудачные попытки, но я не знаю достаточно о Kerberos, чтобы это проверить.

Я использовал Network Monitor для перехвата трафика аутентификации на сервере промежуточного программного обеспечения (Navision), и вот три снимка экрана. Первый - это начальный успешный запрос, второй - тот, который предназначен для сбоя (и делает), а последний - точно такой же запрос, как и первый, но на этот раз он терпит неудачу. По-видимому, он даже не пытается Kerberos, он просто использует NTML, что заставляет меня подозревать какое-то кэширование.