チャブーンです。

まず、「error_code: KRB5KRB_ERR_RESPONSE_TOO_BIG (52)」ですが、直接的には "kerberos 認証に許された時間のずれが大きすぎる" となりますが、これは kerberos で必要なコンピュータ同士のシステム時刻がずれすぎている、ことに起因していることが多いです。まずは、ドメインコントローラ、VPN サーバ、クライアント全部がきちんと時刻を揃えていることを確認してみてはどうでしょう？

また、「0xd KDC_ERR_BADOPTION」ですが、直接の原因は TGT チケットの属性(オプション)が不正で無効となってしまっている、ことを指していると思うのですが、細かいことはわかりません (時刻ずれが原因の可能性は高いです)。まずは時刻の確認から始めるとよいでしょう。

ユーザ名が 15 文字を超えると問題がおこる、というところですが、認証できているといっても kerberos ではなく NTLM で認証を行なっている可能性があります。ただし、ユーザ名が 15 文字以上で問題が起こる、ということは普通 Windows 上ではありませんので、Cisco 側のソフトの実装をベンダに確認した方がいいと思いますよ。

ありがとうございます。
時刻ずれに関してですが、同じPCから１５文字以下のユーザでログオンがOKで、１６文字以上のユーザの場合はNGのため、時刻ずれに関する認証不可ではないと思います。
Ciscoの実装に関してベンダーに確認してみます。

チャブーンです。

＃こんな回答してるようでは、...

ごめんなさい。思い違いをしていたようです。答えを示しておきます。

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx

KRB_ERR_RESPONSE_TOO_BIG とは kerberos のパケットサイズが大きすぎて UDP ベースでの認証が失敗した、ということです。Windows の kerberos では 1465 bytes 以上のパケットサイズは UDP ではなく TCP ベースで通信を行ないます。

Windows Server 2003 が 88/tcp (場合によっては 464/tcp も必要になるかもしれません) で認証できるよう、まわりの環境 (ファイアウォール等) を整え直したら直るかもしれません。

チャブーンさん。再度ご連絡ありがとうございます。以前この問題でCiscoにUDPではなくTCPによる接続及びポートを確認したところ、Cisco製のVPN製品ではTCPをサポートしておらず、今後もサポートしないとのつれない返事がありました。

チャブーンさんの回答を見た後に、再度検索をしたところ、Ciscoのホームページに、
http://www.cisco.com/warp/public/110/aa-svrgrps-asdm.htmlのTroubleshootの２項
AD側のアカウントで「Kerberos事前認証しない」にチェックを入れろ、という項目があり、この内容について現在ベンダーに確認しています。
この「Kerberos事前認証しない」ことによる影響はどの程度あるのかが不明で心配です。

チャブーンです。

申しわけなかったです。

まず、直近で問題を「緩和」(解決ではありません)する方法についてですが、UDP と TCP を切り替える閾値を変更するレジストリ (MaxPacketSize) を操作することで 2000 bytes までは増やすことができるでしょう (それ以上の大きさ設定が可能かどうかはやってみないとわかりません)。

http://support.microsoft.com/kb/244474/ja

あと、「Kerberos事前認証しない」についてですが、直接パケットサイズには関連しないと思いますので、問題の解決には結びつかない気がします。

チャブーンさん
ありがとうございました。UDPのパケットサイズを１０００〜１００００まで（ちょっと無謀？）まで１０００単位に変更してみましたが、やはり現象は変りませんでした。

そうこうしているうちにベンダーから回答があり、
「Cisco製品においては、”Kerberos事前認証を行なわない”をONにしないと接続できない」
とのことでした。また、OFFにするような要望はあるが、いまのところ構築する予定はないとの事でした。

ご回答ありがとうございました。

今後も宜しくお願い致します。