Samba/Kerberos：无法联系任何 KDC，Kerberos 没有监听？

新建独立 AD DC（测试平台，准备替换老旧的 NT4 安装）。16.04LTS 上全新且完全更新的 4.3.11。遵循 Samba wikis，非常简单。

还没有弄乱 smb.conf，根据警告：

[global]
        workgroup = REALM
        realm = REALM.DOMAIN.TLD
        netbios name = ADDC
        server role = active directory domain controller
        dns forwarder = 1.0.0.1
        idmap_ldb:use rfc2307 = yes

我继续使用 Samba 的内部 DNS 后端和 Kerberos 实现。我直接将配置期间生成的 krb5.conf 复制到 /etc，如下所示：

[libdefaults]
        default_realm = REALM.DOMAIN.TLD
        dns_lookup_realm = false
        dns_lookup_kdc = true

通过所有“将 Samba 设置为 Active Directory 域控制器”wiki 测试中的“验证文件服务器”和“验证 DNS”。我的意思是查询 _ldap 和 _Kerberos SRV 记录以及 ADDC 的 A 记录成功，并且解析双向有效：

$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.

但是“验证 Kerberos”测试仍然失败：

$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials

显然 Kerberos 是无法访问的。$netstat 显示没有“krb”进程在任何端口（包括端口 88）上监听。没有防火墙正在运行。

但是对于所有的故障排除建议，以验证 Kerberos 是否在监听端口 88，如果没有，我找不到该怎么做！

如何让 Samba 的 Kerberos 运行？