W2K3 meerdere vragen DNS/Time/Trust

Hallo, sinds kort ben ik in een testomgeving aan het spelen met een W2K3 domein. Ik heb meerdere vragen:

1. We gebruiken het netwerk 10.73.164.0 met subnet 255.255.252.0. In DNS heb ik een forward lookup geconfigureerd, dat werkt. Standaard zijn er geen reverse lookup zones, dus die moet ik met de hand aanmaken. Maar klopt het dat ik er 4 moet aanmaken (164.73.10 en 165.73.10 en 166.73.10 en 167.73.10)? Is DNS niet slim genoeg om dit met 1 reverse lookup zone te kunnen doen?

2. We hebben een one-way-trust met domein X. Ik wil namelijk resources van mijn eigen domein beschikbaar stellen aan de gebruikers van domein X. De trust is aangemaakt en getest en OK. Ik heb nu echter ook de mogelijkheid om met een gebruiker van domein X aan te melden. In het aanmeldvenster kan ik bij domein mbv het pulldownmenutje domein X selecteren). Ik krijg dan echter ook de user policies dan domein X over me heen (die zijn met "No override" geforceerd). Hoe kan ik er voor zorgen dat alleen gebruikers van mijn eigen domein kunnen aanmelden?

3. De windows time services staat op automatisch. Client PC's uit het domein synchroniseren netjes de systeemtijd met de DC. Ik heb echter ook een unix machine, waarmee ik de tijd wil kunnen synchroniseren met de DC. Ik krijg echter de foutmelding "rdate: connect: connection refused". Moet ik nog iets veranderen opdat de DC ook voor unix als time server kan dienen?

sanfranjake schreef op vrijdag 30 november 2007 @ 17:01:
2. Door de rechten goed in te stellen, en je wat te verdiepen in de complexiteit van trusts, die zijn nu niet goed ingericht.
3. Windows Time Server is standaard niet geconfigureerd en clients updaten via Active Directory. Je zal een tijdserver moeten configureren.
Wat heb je al ondernomen om dit op te lossen? Want de vragen die je stelt zijn door wat moeite te doen ook zelf wel te beantwoorden.

tav 2. Ik heb alleen user rechten op domein X, dus aanpassingen aan domein X is niet mogelijk. De oplossing moet dus in mijn eigen domein gevonden worden. Ik heb al gekeken in 'AD Domains and trusts', maar daar vind ik geen opties om dit in te stellen. Ik denk dat ik de oplossing moet zoeken in het aanmaken van een nieuwe GPO, deze te linken op het domein. Ik kan daar kiezen voor:
- allow log on locally in te stellen op "Domain users"
- allow log on trough terminal services in te stellen op "Domain users"
Ik wil echter zeker weten of dit juist is, want anders kan ik het mijzelf onmogelijk maken om aan te melden vrees is.
tav 3. bij de server roles vind ik geen optie om de server in te stellen als time server. In services.msc lees ik dat het draaien van de service voldoende is om de tijd te synchroniseren binnen het AD domein, en dit werkt voor de client pc's prima. Echter dus niet vanaf de unix pc. Ik heb inmiddels wel de volgende link gevonden: How to configure an authoritative time server in Windows Server 2003. Maar dan moet je van alles in de registry instellen, en ik hoopte dat het ook ergens middels een wizard ingesteld kan worden.

schopje.

Kan iemand mij helpen met puntje 2? Ik kom hier echt niet uit...