Po długiej walce z keytabami w końcu okazało się, że narzędzie do tworzenia keytabów, czyli ktpass w W2k3SP1 po prostu nie działa. Na szczęście firma css-security napisala program (css_adkadmin), który może być bezpośrednio wykorzystywany z poziomu Linuxa i który radzi sobie z generacją kont w AD dla hostów i usług linuxowych, a także z wyciąganiem keytabów. Co ciekawe, Microsoft w dokumencie "Windows Security and Directory Services Guide for Unix v1.0" w ogóle nie wspomina o ktpass, polecając tylko css_adkadmin.
Korzystanie z programu jest w miarę miłe, trzeba mieć tylko wcześniej skonfigurowanego kerberosa i mieć ticket na użytkownika, który ma uprawnienia do zakładania kont w AD (ew. można jawnie podać nazwę użytkownika i hasło). Jedynym zgrzytem jest to, że keytaby są domyślnie generowane z encrypcją RC4 (która jest domyślna dla W2k3) zamiast DES-a (domyślnego dla W2k i wcześniejszych i kompatybilnego z Linuxami), co wymusza stosowanie flagi +desonly w opcji ank.