Нужно очень внимательно и аккуратно рыть.
Переустановка, оно конечно да, но сродни покупке новой машине, если пробилось колесо на предыдущей...
Работала года 3-4 схематика, отличная от Вашей, примерно такая:
Код: Выделить всё
[samba+ipfw2]->[win pdc1]->[win isa20041]->[freebsd1-racoon2]->inet->[freebsd2-racoon2]->[win isa20042]->[win pdc2 (another win domain)]->[another users cpu winxp&win7]
Конфигурация кошмарная, но сам придумал, сам и построил - пенять не на кого, никому такого не пожелаю...
Каждая цепочка очень тщательно выстраивалась и вылизывалась.
Каждый компьютер в сети был строго ограничен на "железно/логическом" уровне (железки cisco SG300-52).
Т.е. даже соседние win компы не могли подключиться друг к другу хотя и видели их в сетевом окружении.
Каждый компьютер в сети видел только свой pdc и только шары на нем.
Плюс кому-то давался доступ из другой сети к самбе.
Вин домены были разные, но в доверительном отношении друг к другу.
Это давало возможность авторизации "с другим" доменом "в своей" сети, т.е. избегать прямого контакта через проброшенную сеть к удаленному вин домену.
Эта схематика имеет свои плюсы и минусы, но тем не менее работала.
Виртуалок не было, за исключением работы bind'a в джайл-моде.
Моменты (поверхостно) на которые нужно обратить внимание:
1. Маршрутизация (вся, т.е. и на клиентах тоже).
2. Прохождение пакетов в общем смысле.
3. Прохождение пакетов керберос.
4. Отстройка днс, как внутренних, так и периферийных.
5. Отстройка самбы+винбинд.
6. Генерация правил политик в соответстующих доменах.
Надеюсь написанное более-менее, примерно, понятно.
В самой самбе нужно было определять, разрешать, несколько моментов,
в том числе: ip-сети, домены, разные блоки id.
Код: Выделить всё
[global]
security = ads
domain master = no
client ldap sasl wrapping = sign
client ntlmv2 auth = yes
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind expand groups = 12
server schannel = yes
server signing = mandatory
restrict anonymous = 2
allow trusted domains = yes
Перечисленные ключи НЕ решают Ваших проблем, но возможно дают направление поиска.
К тому-же оные немного не о том.
Т.к. пока проблема только с днс...
Сложно как-то все это досконально описать (это целый трактат выйдет),
но то, что Ваш случай можно заставить работать - точно.
Даже и не знаю имело-ли смысл об этом всем писать.
Что-то все молчат.
А DNS (SAMBA_INTERNAL) - это что такое?