Hello,<br><br>thanx to all that helped me. Problem solved.<br><br>The main reason was this posted by phil<br><br> 1. Ensure there is a prinicpal in your kerberos realm "DNS/<a href="http://hostname.domain.com/" target="_blank">hostname.domain.com</a>",
 matching the hostname of your DNS server<br><br>This is why I always got a wrong principal name.<br><br>Have a nice weekend,<br>cheers,<br>Juergen<br><br><br><div class="gmail_quote">2010/12/9 Sergiu Bivol <span dir="ltr"><<a href="mailto:sbivol@bluecatnetworks.com">sbivol@bluecatnetworks.com</a>></span><br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">> I do this now the 3rd week. I was reading a lot of books and manuals, doing<br>
> a lot of configuration and sniffering etc. I looked in google for hours but<br>
> I could not find anyone that says - yes it works.<br>
<br>
It does work, but setting it up is very-very painful. Even if you do get it working, and document every step, a slightest mistake is at least an hour or two spent in troubleshooting. When configured properly it works, with a few limitations (in 9.7.2 at least).<br>

<div class="im"><br>
>Do you mean the policy in the active directory?<br>
<br>
</div>No, I meant the update-policy option in BIND. It allows you to grant/deny ddns update permission to kerberos principals.<br>
<div class="im"><br>
>Btw. did you try to do it your own and succeeded?<br>
<br>
</div>Yes, we succeeded and got GSS-TSIG in BIND working with Windows clients, Windows DHCP, and implemented our own GSS-TSIG client.<br>
<br>
Regards<br>
<font color="#888888">Sergiu<br>
</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</div></div></blockquote></div><br>