Други! Помогите, кто чем может, советом, пинком в нужном направлении.

Что есть:
1. Домен с АД W2008R2
2. Сервер с SAP на AIX
3. Клиенты на W7
Настроено:
Сервер с сап поднимается, работает, по керберосу пускает. Вроде бы все хорошо, но
ktpass генерился с опцией KRB5_NT_SRV_HST, при попытке подключиться из другого домена гуи не может найти принципал нейм. Траст включен.
1. Что крутить, чтобы можно было ходить из трастовых доменов?
Попытка настроить с использованием авторизации через учетную запись в АД. Сервер стартует, тикеты получает, клиент валит ошибку "Не поддерживаемый метод шифрования" (-ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT)
2. Какой метод шифрования нужен для того, чтобы заработало?
В обоих случаях, кроме керберос клиента для AIX, никакого стороннего ПО не используется. gsskrb5.dll на клиентах Вин 7, самая последняя. Бьюсь уже 5 дней. Надо запустить по какому - то из сценариев.
HELP!

А на чем подняты другие домены?

все домены на W2008R2

Нет ни у кого идей?

А пользователи других доменов имеют доступ к контроллеру "главного" домена (на пользователя которого выписан ключ керберос)?

Не совсем понятно, что имелось ввиду.
Шары созданные на "главном" контроллере доступны пользователям из доверенного домена, а вот в обратную сторону, что - то не работает. Есть ряд ошибок в логах системы. В общем отдал клиенту разбирательство с трастами и нормально ли функционирует керберос между доменами.
По сути все должно работать, с типом шифрования вроде наступила ясность после прочтения ряда статей майкрософта.

В обратную не обязательно. Я имел ввиду именно сетевую доступность именно контроллера "главного" домена с компьютеров других доменов. В принципе даже достаточно не полной доступности, а некоторых портов типа 139 (точно не могу сказать - не проверял). Если сетевые шары расположены на обычном сервере-члене главного домена (не контроллере) и они доступны с компьютеров других доменов, то этого недостаточно.

Ещё можете попробовать SAP NWSSO. Он, правда, платный, но зато поддерживается сапом и все такие вопросы можно задавать в мессаджах. Плюс при использовании NWSSO не требуется физической доступности контроллера домена для сервера САП. Фактически у меня получалась SNC-регистрация с виртуальной машины, которая вместе с контроллером своего домена вообще ничего не видела, кроме сапроутера на хост-компьютере. И ещё плюс в том, что система САП в этом случае может использовать несколько ключей от разных, даже не связанных трастовыми отношениями доменов и все пользователи этих доменов будут аутентифицироваться (хотя это может быть не документированная возможность NWSSO). Удобно для внешних консультантов, которые подключаются по впн через сапроутер. Вы можете запросить у них логин/пароль технического пользователя их домена и настроить для всех их беспарольный вход, даже не имея прямой связи с их контроллером домена.

Апну свою же тему. В общем разобрались с SSO, проблема была с керберосом между доменами, ABAP работает, все хорошо. Появилась необходимость пустить по керберосу ещё и Java, как это завязать в уже настроенный ABAP стэк? Кто нибудь сталкивался? У меня уже мозг взрывается, платное SSO от SAP использовать нет возможности (читай дополнительных денег, слишком дорого получается) пните в нужном направлении, желательно степ бай степ, NW 7.02. Использовать SPnego или как - то можно ABAP назначить рулящим за предоставление аутентификации?

кстати насколько?

Чего на сколько?
В текущем раскладе клиенту насчитали 6 лимонов не деревянных. Приходится использовать альтернативные варианты.