Configurei um controlador de domínio samba 4, temos quatro clientes Windows 7/8 no domínio. Esta configuração funcionou nos últimos 6 meses.
Recentemente, não consegui fazer login com minhas credenciais de duas dessas máquinas. O estranho é que tentei remover uma dessas máquinas do domínio e me juntei novamente usando minhas credenciais. Mas, novamente, o login com as mesmas credenciais não funcionou.
Eu também usei uma ferramenta userauth do codeplex para verificar a autenticação no Active Directory, ele funcionava em uma única máquina enquanto ela não funcionava do outro.
Eu suspeito que, de alguma forma, a "confiança" entre o cliente e o controlador de domínio está quebrada (a única alteração ativa que lembro foi atribuir um endereço IP fixo ao cliente, às vezes também estamos tendo problemas de DNS), mas estou longe de ter certeza disso.
Não sendo um especialista nesses assuntos, eu apreciaria muito qualquer dica que pudesse dar errado e / ou o que tentar / checar para diagnosticar / resolver o problema.
Após algumas horas sem dormir, finalmente encontrei o erro: O tempo do sistema nas duas máquinas estava desligado a mais de 5 minutos do horário do servidor. Isso fez com que o sistema de autenticação do kerberos falhasse.
Ainda não tenho certeza, por que essas máquinas não recebem a atualização automática de hora (afinal, o servidor samba 4 deve estar atuando como servidor NTP), mas o principal problema está resolvido.