Samba ADS и проблемы с обновлением групп

["Sapytsky Ilya" <sova00@gmail.com>]

Добрый день!
есть сервер samba Version 3.0.14a-Debian
smb.conf
[global]
   panic action = "" %d
   workgroup = JPK
   server string = %h
   load printers = no
   invalid users = root
   log level = 2
   max log size = 10000
   syslog = 0
   security = ads
   realm = JPK.LOCAL
   encrypt passwords = true
   passdb backend = smbpasswd guest
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   wins support = no
   wins server = 192.168.100.10
   dns proxy = no
   name resolve order = lmhosts host wins bcast
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
   unix charset = koi8-r
   dos charset = CP866
create mode = 644
directory mode = 755
smb ports = 139
winbind cache time = 60
idmap uid = 10000-20000
idmap gid = 10000-20000
nt acl support = yes
username map = /etc/samba/username.map

[share]
   comment = Origs
   path = /mount/big/orig
   browseable = yes
   dos charset = CP866
   valid users = @JPK\orig
   force create mode = 0664
   force directory mode = 0775
   force group = JPK\orig-rw
   write list = @JPK\orig-rw

/etc/nsswitch.conf
passwd:         files winbind
group:          files winbind
shadow:         files winbind

/etc/krb5.conf
[libdefaults]
        default_realm = JPK.LOCAL
        ticket_lifetime = 24000
        forwardable = true
        proxiable = true
        dns_lookup_realm = true
        dns_lookup_kdc = true

[realms]
OMEGA.JPK.LOCAL = {
        kdc = OMEGA.JPK.LOCAL
        admin_server = OMEGA.JPK.LOCAL
}

[domain_realms]
        .JPK.LOCAL = OMEGA.JPK.LOCAL
        JPK.LOCAL = OMEGA.JPK.LOCAL

[pam]
    debug = false
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false

пользователи зайти могут, но только те, которым дали доступ до время ввода самбы в домен. (Занесли в группу в домене)
А после ввода самбы в домен добавляю пользователю группу для входа на шару и получаю:
[2007/08/27 11:50:52, 2] smbd/sesssetup.c:setup_new_vc_session(608)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2007/08/27 11:50:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
и если добавить пользователя в группу - самба не видит эту группу по
wbinfo -r JPK\\user

но wbinfo -u и -g нормально работают
Подскажите, пожалуйста, что тут может быть и чего делать?