IE 10 não está autenticando o Cross Realm (Window AD para Unix / MIT Kerberos) via SPNego

Configuração:

1. Domain1 - Win Server 2016 DC - PATRICA.COM

2. O Win 7 Client ingressou no Domínio 1 - exibindo compartilhamentos na multa de trabalho do DC. www.thomas.com é adicionado à 'rede local' no IE 10

3. Domínio2 - MIT Kerberos KDC - THOMAS.COM

4. Apache WWW / Mod_auth_kerb - keytabs para HTTP/[email protected] e outros formulários relevantes.
5. Cliente Unix / Ubuntu

Tudo em 192.168.0.X - rede de teste.

Configuração de confiança transitiva bidirecional com a mesma senha.

O cliente unix pode fazer uma conexão Kerberized OK para WWW.

O cliente do Windows parece não procurar como encontrar o THOMAS.COM. Ele procura seu nome DNS e obtém uma 401 Negoatiate de volta do servidor WWW e depois tenta o ntlm. Eu tentei executar "ksetup / addkdc REALM IP" no cliente windows e no win 2016 DC. Como o cliente descobre www.thomas.com faz parte do THOMAS.COM?