Машина Windows может пройти проверку подлинности против Samba с Kerberos, когда пользователи хранятся в AD?
Пара идей:
Дуплексное несоответствие. Я предполагаю, что у Вас есть набор портов сервера и портов коммутатора для автосогласования. Удостоверьтесь, что autoneg работает правильно и что они договариваются 100/полный дуплекс. Если они не соглашаются правильно, то каждый, вероятно, отступает к 10/полудуплекс. Это обычно - лучшая практика, чтобы просто оставить весь набор портов для автосогласования, но если это не работает, Вы, возможно, должны вынудить их к 100/полный.
Дрянной переключатель. Какой переключатель - это? Возможно, что это - дешевый переключатель на уровне конечного пользователя и что его основная плата действительно только способна к передающим 10 Мбит.
Я решил проблему. Проблема заключалась в том, что клиент Windows не знал, что subnet.example.com принадлежит другой области. Решение - сообщить об этом клиенту. Это можно сделать с помощью следующих двух команд, которые, как мне кажется, похожи на добавление информации о домене в krb5.conf в системе Unix:
ksetup /addkdc SUBNET.EXAMPLE.COM hostname.of.kerberos.server
ksetup /addhosttorealmmap .subnet.example.com SUBNET.EXAMPLE.COM
После того, как я это сделал, аутентификация клиента работала должным образом.