Проблемы с билетами Kerberos для компьютеров, подключенных к домену AD с помощью Ansible

У нас есть домен Windows, разбросанный по нескольким сайтам, и мы используем Ansible для организации процесса восстановления Windows. Во время перестройки мы наблюдаем некоторые проблемы, связанные с Kerberos, которые, как мы подозреваем, могут быть связаны с тем, как работает наш рабочий процесс.

Процесс восстановления работает следующим образом:

• Поскольку это перестройка, объект компьютера уже существует в AD.
• Билет Kerberos создан
• Начинается процесс перестройки, диски очищаются, Windows устанавливается и компьютер снова подключается к Active Directory.
• Когда компьютер включен и работает, Ansible генерирует новый билет Kerberos для подключения к этому компьютеру.

Однако в некоторых случаях мы можем видеть, что Ansible не может подключиться к восстановленному серверу.
Я пытаюсь понять, что происходит на этом этапе, что может вызвать проблему. Я вижу процесс следующим образом:

• Мы создаем TGT-билет в начале Ansible play
• Сервер перестроен и снова присоединен к домену
• Репликация AD выполняется, и вновь созданная учетная запись компьютера не реплицируется на все KDC (DC)
• Ansible подключается к одному из KDC, который не получил обновления о повторном подключении компьютера, и использует TGT для получения билета службы для подключения к новому серверу через WinRM. В результате он получает билет службы WinRM, подписанный с использованием пароля для старой учетной записи компьютера.
• Ansible пытается подключиться к новому серверу с помощью этого билета, и соединение не удается с ошибкой «WINRM CONNECTION ERROR: указанные учетные данные были отклонены сервером»

Чтобы изолировать проблему репликации, мы настраиваем клиент Ansible kerberos для использования контроллера домена клиента в качестве KDC. Это действительно улучшило процесс, но мы все еще время от времени видим ошибку.

Может ли кто-нибудь прокомментировать правильность наших предположений и исправлений?