Я имел точное некоторая проблема и работал вокруг этого путем отключения регистрации аннулирования сертификата сервера IE и перезапуска Outlook. Это имеет смысл мне, так как мы используем сертификат сервера, выпущенный CA, который только доступен на внутренней LAN, для идентификации сервера публично. Поэтому клиенты на LAN могут достигнуть CA и получить информацию об аннулировании, в то время как внешние клиенты не могут.
Путем следования инструкциям (выключающий проверку аннулирования сервера) я смог импортировать календари SharePoint и списки задач с полномочиями записи.
Сделайте все эти сетевые/удаленные ресурсы локальными любой репликацией SQL / Передача журналов, и/или синхронизация файлов (Синхронизирующая Платформа Microsoft является опцией, хотя простота cygwin + rsync является более привлекательной, IMO).
Конечно, все это зависит от того, как часто данные изменяются и/или нужны ли Вам двухсторонняя синхронизация или просто зеркальное отражение.
Если Вы предпочитаете не использовать Kerberos, можно исполнить роль пользователя при доступе к ресурсу, использовании их маркера, созданного, когда они аутентифицировались с аутентификацией на основе форм. Это должно использовать сертификат SSL, по крайней мере, во время входа в систему.
Я лично предлагаю пройти через аутентификацию и олицетворение .net с использованием уникальной учетной записи домена для каждого приложения. Как вы говорите, это узкое место у администратора домена, но если каждое изменение разрешений на доступ должно проходить через администратора, на самом деле это хорошо.
Предположительно, как только общие ресурсы будут настроены для каждого приложения (часть четко определенного настроить процесс?) они не особо меняются?
Администратор может иметь четко определенный процесс, который нужно пройти, который включает документацию о предоставлении доступа с авторизацией от руководства. Таким образом, все будет надежно и безопасно и очень удобно для внешнего аудита, если вы работаете в нормативной среде.
Предполагая, что у вас нет требований к безопасности для прохождения аутентификации от внешнего интерфейса к внутренним ресурсам, я бы поискал способы получить сетевые ресурсы, к которым это приложение должно получить доступ через один корень безопасности. Что-то вроде общего ресурса DFS может быть идеальным для этого.
Во-вторых, я бы назначил безопасность группе безопасности AD, а не отдельной учетной записи службы или компьютеру.
Оттуда я, вероятно, использовал бы учетные записи служб и имена компьютеров, поскольку они имеют смысл. Например, вы можете просто добавить учетную запись службы сервера базы данных (DOMAIN / MACHINENAME $) в группу, но если у вас есть кластер серверов веб-приложений, вы должны использовать общую учетную запись службы.