Прохождение Kerberos с Microsoft ISA/TMG и SAP EP - Internet Explorer смущен, если https

Некоторое время я боролся с этой проблемой, и я начинаю отчаянно пытаться найти решение.

Вот моя проблема: я настроил SAP Enterprise Portal, который публикуется через Microsoft ISA. ISA используется для публикации страницы через HTTPS (только HTTP на SAP EP), а слушатель настроен на анонимность, и клиент может проходить аутентификацию напрямую. Затем SAP EP занимается аутентификацией.

Мы решили ввести Kerberos, чтобы упростить соединение. На стороне SAP нет проблем, SPNego Wizard, один перезапуск экземпляра и вуаля. На стороне AD мы создали SPN и присвоили его служебной учетной записи, указанной в SAP.

Ну, это работает как шарм (HTTP & HTTPS от IE, Firefox и Chrome), когда вы обращаетесь непосредственно к SAP EP. Но когда мы пытаемся сделать это через Microsoft TMG (новый ISA) с той же настройкой, что и раньше (без аутентификации на слушателе и клиенте может аутентифицироваться), это работает без проблем с Firefox и Chrome на HTTPS и HTTP, но на IE это работает только если HTTP.

Похоже, что IE или TMG путают с туннелированием HTTPS -> HTTP, выполняемым TMG. Я проверил с Fiddler, и IE получает 401 для согласования и публикует тикет KRB, но он как-то терпит неудачу и возвращается к странице авторизации SAP.

К вашему сведению: SPN верен, IE получает его правильно, но что-то не работает должным образом.