Добрый день! Не знаю в каку ветку адресовать данный вопрос, но так как это больше относиться CSP 3.0, пишу сюда.

Есть задача, часть которой решена:
1) Часть разбросанных филиалов организации объединить в сеть VPN, с использованием сертификатов.
2) Обеспечить доступ удаленным филиалам, к ресурсам головного ( а именно SQL сервер), причем контролер домена находиться только в головном офисе. Т.е контекст безопасности компьютеров удаленных филиалов относится к локальным учетным записям.Таким образом основной задачей являеться обеспечить доступ SQL клиентов удаленных филиалов к SQL серверу головного офиса используя IntegrateSecurity. Сертификаты имеют расширение "Дополнительное имя субъекта" (principal_name)

//Выдача сертификата: установка доменного пользователя
string principial_name = CreateDomainUser(f, i, o,login,pass,org,dep,job);
if (principial_name != null)
{
object value_ext = CryptAPI.GetAsnCode(principial_name);
cert_admin.SetCertificateExtension(LabelInfoCfg.Text, id_Request, "2.5.29.17", 3, 0, ref value_ext);
}

Что имеем:
Пункт 1 выполняеться на ура. Устанавливаем соединение VPN PTPP из филиала к головному серверу.
Параметры соединения VPN:
Адрес клиента: 192.168.20.10
Адрес сервера: 192.168.20.1

SQL Server: 192.168.20.5 (port 1433) - ping OK
Active Directory:192.168.20.2 (port all) - ping OK

Пункт 2. Далее нужно запустить ПО клиента SQL Сервера от имени доменнего пользователя указанного в сертификате (principal_name).

>>runas /user:mydomain\user1 c:\Client\client.exe
>>Введите пароль:12345
>>ОШИБКА RUNAS: Не удается запустить c:\Client\client.exe
>>1787: База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.

Я так понимаю, компьютер удаленного офиса должен быть включен в Active Directory, но нет возможности постоянно отслеживать парк компьютеров удаленных офисов и добавлять их в ActiveDirectory.
Судя по ошибке здесь работает SSPI, ознокомился с его работой, но как заставить работать приложение на компьютере удаленного офиса (Logon на которой выполнен под учетной записью локального Администратора), работать от доменной учетной записи, так и не понял.
Каждый процесс как я понял работает со своим дескриптором безопасности, и выполняю runas я пытаюсь решить задачу, но наступаю на грабли SSPI.
Вообще есть ли возможность подменить контекст безопасности, на контекст доменного пользователя используя только сертификат?????

Кто имел опыт, или сталкивался с такой задачей отзовитесь, буду очень признателен!

Отредактировано пользователем 29 октября 2009 г. 8:38:17(UTC)  | Причина: Не указана

Спасибо за ссылку, действительно в случае /netonly всё работает, но вот режим /smartcard почему то валится.
Пишет: Системная ошибка 1223 Операция была отменена пользователем.
Хотя глазом видно что обращение к контейнеру идет. Знать бы что там внутри net use и runas когда они запускаються с параметром /smartcard или этот режим не подразумевает работы с сертификатами?

Отредактировано пользователем 29 октября 2009 г. 13:08:13(UTC)  | Причина: Не указана