А у Вас домен на W2K3?
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Thursday, May 19, 2005 1:02 PM
> To: CommuniGate Pro Russian Discussions
> Subject: [CGP] Re: Kerberos
>
> Hello Vladimir,
>
> Wednesday, May 18, 2005, 12:23:10 PM, you wrote:
>
> VAB> On Wed, 18 May 2005 11:50:34 +0400
> VAB> "Sadmin" <CGatePro@mx.ru> wrote:
> >> Hello Vladimir,
>
>
>
> >>>> 11:38:54.10 1 DOMAIN(*) Kerberos key
> >>>> imap/mail-server@REALM.ETH encType=3
> >>>>v=3 not found
> >>
> >> VAB> а) mail-server был routed на Главный Домен (*) правильно?
> >> mail-server это алиас для Главного Домена (*).
> >>
> >>
> >> VAB> б) в главном домене есть указанный Kerberos Key (с именем
> >> VAB> imap/mail-server@REALM.ETH и типом=3)?
> >> В Главном Домене есть Kerberos Key:
> >>
> >> RELAM.ETH (3)imap/mail-server 01-01-1900 00:00:00 0
DES-MD5
>
> VAB> Дело в том, что Вы эскпортировали ключ с номером версии 0
(kvno=0), а
> в AD
> VAB> оказался ключ с kvno=3. Видимо, это результат того, что в Win2003
они
> VAB> наконец исправили свои баги:
>
> VAB> http://www.webservertalk.com/archive213-2004-10-424078.html
> VAB> "
> VAB> Windows 2000 AD did not handle the kvno correctly and always used
> VAB> 1 or 0. 2003 does increment it each time it is changed. So you
may
> VAB> have changed the number.
>
> VAB> Also when you use the ktpass, 2003 will update the password and
kvno.
>
> VAB> If you have the MIT kerberos, you can verify the kvno in the AD
> VAB> by using kvno cvs/<hostname>@<realm> on the Solaris system.
>
> VAB> You can also get the kvno value by looking up the value of the
> VAB> "msDS-KeyVersionNumber" attribute of the account in Windows 2003
AD.
>
> VAB> "
>
> VAB> Если это правда, то экспортируйте ключи из AD еще раз, но не
> указывайте
> VAB> -knvo 0
>
> VAB> Введите его в CgatePro (старый с kvno=0 можно оставить) - и
> попробуйте еще
> VAB> раз сделать Kerberos Login.
>
>
> Ввел, как вы посоветовали, не помогло, поэтому сделал с -kvno 3 -
> у меня заработало и еще на нескольких машинах, на остальных никак....
> Оставил все как было, сегодня пришел - пробую, работает на всех
> машинах. Причины - устанавливаю.
>
>
> --
> Best regards,
> Sadmin mailto:f_tmp@inbox.ru
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
Получено Thu May 19 09:58:56 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:16:24 MSK