Можно также протестировать записи DNS на Linux и Mac OS X при помощи "вырыть" команды
выройте @YOUR_NAMESERVER_ADDRESS foo.com
выройте @YOUR_NAMESERVER_ADDRESS www.foo.com
Отвечать на Ваши вопросы,
Да, веб-сервер и Браузер/клиент должны соединиться с KDC для проверки билетов. Необходимо сделать вход в систему kinit/domain для получения TGT, и далее webbrowser заставит сервисный билет HTTP получать доступ к веб-серверу.
Представление kerberos/domaincontroller в Интернете не является хорошей практикой. Попытайтесь использовать webauth.
Firefox уже поддерживает gss-api, согласовывают методы. Все, что необходимо сделать, делают kinit и настраивают согласовывать-автора в about:config http://grolmsnet.de/kerbtut/firefox.html и получают доступ веб-странице. Если Вы используете апачскую проверку mod_auth_kerb. Lighttpd также имеет некоторую поддержку kerberos.