Kerberos ограниченное делегирование

Существует небольшая проблема с настройкой ограниченного делегирования Kerberos в Active Directory.

Схема работает следующим образом: 1. Клиентская рабочая станция. 2. Веб-сервер с установленным IIS Windows 2008 Ent (iis.domain.lab). Является интерфейсным сервером, служба W3SVC запускается под учетной записью LocalSystem. 3. Сервер приложений на основе Windows Server 2008 Ent (app.domain.lab). Является ли внутренний сервер, служба приложений работает на учетной записи домена svc_app_usr 4. Контроллер домена (dc.domain.lab)

На сервере IIS размещается конкретное приложение, которое конечный пользователь открывает в браузере. Поскольку приложения сервера IIS на разных серверах - мне нужно настроить ограниченное делегирование Kerberos.

Я сделал следующее: 1. Для svc_app_usr зарегистрирован SPN типа SERVICE_NAME/APP и SERVICE_NAME/APP.domain.lab 2. Чтобы настроить сервер iber с ограниченным делегированием Kerberos, используя учетную запись домена svc_app_usr

Но есть следующая проблема: Когда я пытаюсь открыть приложение через браузер - этого не происходит. После Wireshark я вижу, что сервер - IIS, TGS, запрашивающий контроллер домена, получает ошибку ответа:

KRB5KDC_ERR_BADOPTION NT Статус: STATUS_NO_MATCH NT Статус: STATUS_NO_MATCH (0xc0000272) Неизвестный: 0x00000000 Неизвестный: 0x00000003

Скажите, пожалуйста, где я ошибся?