Moin,

Was habe ich hier übersehen? - ich finde den "Hund" nicht...
Ein Samba3-Server (SuSE 10.0 mit allen Updates) soll in einer Win2k3-Domäne (einheitlicher Modus, alle Updates) "mitspielen":

Die Anforderung des Session-Tickets geht problemlos:

root@samba: kinit -5 -V Administrator@<default_realm>

log@pdc: Authentifizierungsticketanforderung:
Benutzername: Administrator
Angegebener Bereichsname: <default_realm>
Benutzerkennung: <domain>\Administrator
Dienstname: krbtgt
Dienstkennung: <domain>\krbtgt
Ticketoptionen: 0x10
Ergebniscode: -
Ticketverschlüsselungstyp: 0x17
Vorauthentifizierungstyp: 2
Clientadresse: <computer_ipaddr>
Zertifikatherausgebername:
Zertifikatseriennummer:
Zertifikatfingerabdruck:

... und die Anmeldung zur Domäne bleibt dann "stecken":

root@samba: net ADS JOIN -I <ntdspdc_ipaddr> -U Administrator%<password>

log@pdc: Authentifizierungsticketanforderung:
Benutzername: <computer_name>$
Angegebener Bereichsname: <default_realm>
Benutzerkennung: <domain>\<computer_name>$
Dienstname: krbtgt
Dienstkennung: <domain>\krbtgt
Ticketoptionen: 0x10
Ergebniscode: -
Ticketverschlüsselungstyp: 0x17
Vorauthentifizierungstyp: 2
Clientadresse: <computer_ipaddr>
Zertifikatherausgebername:
Zertifikatseriennummer:
Zertifikatfingerabdruck:

log@pdc: Source: KDC, Type: Error, EventID: 27
Während der Verarbeitung einer TGS-Anforderung für den Zielserver <computer_name>$ verfügte das Konto <computer_name>$@<default_realm> über keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat die Kennung 8.)

... was läuft hier schief?

"net ADS TESTJOIN" meint allerdings es wäre alles in Ordnung.

TIA, Thomas