Добрый день!

Имеем squid с авторизацией клиентов в AD с помощью winbind. AD организована в дерево доменов. Все поддомены (4 штуки) представляют собой домены филиалов компании, находящихся за территорией центрального офиса (ЦО). Кол-во пользователей ~ по 500 в каждом домене.

Сам сквид стоит в ЦО и обслуживает только пользователей находящихся на площадке ЦО. Т.к. в ЦО находятся представители всех филиалов и они заходят на рабочие компьютеры под учётной записью в своём домене - необходимо, чтобы squid (а точнее winbind) обеспечивал доступ пользователям со всех поддоменов.

сервер с squid+winbind введён в домен ЦО.

# wbinfo  --online-status
BUILTIN : online
PROXY2 : online
DOM1 : online
DOM2 : online
DOM3 : online
DOM4 : online

мы видим все домены. wbinfo -p, -t - работают нормально.

Проблема состоит в том, что поддомен DOM2 очень часто "отваливается".
Это проявляется в том, что в лог /var/log/samba/log.wb-DOM2 попадают строчки вида:

[2009/12/10 13:33:57,  1] libads/ldap_utils.c:111(ads_do_search_retry_internal)
  ads reopen failed after error Time limit exceeded

при этом команда wbinfo -u --domain=DOM2 выдаёт пустой список.
Сразу оговорюсь, что проблемы не с сетью, так как пинги на контроллер поддомена в момент  "отвала" ходят быстро и ровно.

пока это носит стихийный характер, достаточно несколько раз потыкать команду wbinfo -u --domain=DOM2 и она выдаст список пользователей, после чего (видимо из-за того, что результат закэшировался) она некоторое время работает нормально, затем всё по-новой.

ip доступ с сервера squid+winbind открыт на все контроллеры всех доменов.

конфиг smb.conf
[global]
   workgroup = DOM1
   server string = SQUID Server
   netbios name = PROXY2
   security = ads
   hosts allow = 192.168.1. 127.0.0.1
   log file = /var/log/samba/log.%m
   max log size = 500
   password server = 192.168.1.1 192.168.1.2 *
   realm = dom1.local
   passdb backend = tdbsam
   socket options =  TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=65536 SO_SNDBUF=65536
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   encrypt passwords = true
   winbind use default domain = no
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind enable local accounts = no
   winbind separator = +

помогите советом :)