Внимание! Данная настройка должна быть выполнена поэтапно и полностью. При не завершенной конфигурации не гарантируется корректная работа системы.

1. Создайте пользователей, которые будут использоваться в качестве сервисных учетных записей для серверов AM и EMC. Учетные записи будут использованы в качестве удостоверения для пула соответствующего сервера. В качестве примера созданы следующие учетные записи: emc_service и am_service.

2. Настройте Service Principal Names для созданный учетных записей. Для этого выполните следующие команды (Для выполнения команд консоль должна быть запущена от имени Администратора):

Команды для учетной записи сервера EMC (В данном примере используется учетная запись с именем emc_service):

• setspn /s HTTP/EMC12 BAL\emc_service
• setspn /s HTTP/EMC12.bal.local BAL\emc_service
• setspn /s HTTP/am-server.bal.local BAL\emc_service
• setspn /s HTTP/am-server BAL\emc_service

HTTP/EMC12 - Указывается метод и имя машины где установлена консоль EMC.

HTTP/EMC12.bal.local - Указывается метод и полное имя машины где установлена консоль EMC.

HTTP/am-server.bal.local - Указывается полное доменное имя созданного алиаса или балансировщика.

HTTP/am-server - Указывается имя созданного алиаса или балансировщика.

BAL\emc_service - Указывается имя учетной записи, созданной для сервера EMC, в формате DOMAIN\USERNAME.

Команды для учетной записи сервера AM(В данном примере используется учетная запись с именем am_service):

• setspn /s HTTP/AM12 BAL\am_service
• setspn /s HTTP/am12.bal.local BAL\am_service

HTTP/AM12 - Указывается метод и имя машины где установлен AM сервер.

HTTP/AM12.bal.local - Указывается метод и полное имя машины где установлен AM сервер.

BAL\am_service - Указывается имя учетной записи, созданной для сервера AM, в формате DOMAIN\USERNAME.

3. Включите делегирование для созданных сервисных учетных записей.

4. Выполните следующие настройки на серверах AM и EMC.

1. Откройте "Диспетчер служб IIS" и выберете пулы приложений. 
2. Для пула IndeedEMC или IndeedEA в панели "Действия" выберете "Дополнительные параметры".
3. В окне "Дополнительные параметры" измените параметр "Удостоверение". Для этого нажмите на значок "..." с право.                                           
4. В окне "Удостоверение пула приложений" выберете "Особая учетная запись" и нажмите "Установить". Укажите в окне "Задание учетных данных" данные учетной записи для соответствующего сервера (Имя пользователя необходимо указывать в формате DOMAIN\USERNAME). Для сервера EMC - emc_service, для сервера AM - am_service.                                                                                                                                                       
5. После изменений параметров для пула приложений IndeedEMC или IndeedEA, выполните перезагрузку пула. Для этого выберите пул IndeedEMC или IndeedEA и нажмите "Перезапуск..." в окне "Действия".
6. Выберете приложение iidemc или easerver, в пункте "Управление" откройте "Редактор конфигурация".
7. Откройте конфигурацию system.webServer/security/authentication/windowsAuthentication и измените параметр "useAppPoolCredentials" в "true". Нажмите "Применить".
8. Проверьте провайдеры для Windows аутентификиации и их порядок. Для этого откройте приложение iidemc или easerver, в пункте "IIS" выберете "Проверка подлинности". Выберете "Проверка подлинности Windows" и нажмите "Поставщики".                               
9. В окне "Поставщики" провайдеры должны располагаться как на скриншоте. Если один или оба провайдера отсутствуют или располагаются в другом порядке, то необходимо изменить/добавить, выбрав в пункте "Доступные поставщики".
10. После выполнения всех действий сделайте перезагрузку IIS и выполните команду: klist purge. Команда выполняет сброс билетов Kerberos на компьютере.