Согласно этой статье TechNet https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/ Учетные записи компьютеров (объекты компьютеров) сбрасывают внутренние пароли каждые 30 дней.
Предположим, что на этом сервере работает IIS с единым входом Kerberos, поэтому он имеет SPN HTTP / server.domain.com, а клиент имеет кэшированный билет Kerberos, который он использует для доступа к ресурсам на этом сервере.
Если учетная запись компьютера для пароля сервера IIS сбрасывается каждые 30 дней - это приведет к аннулированию кэшированного билета Kerberos на клиенте и запрета доступа до истечения срока действия билета или его очистки вручную на клиенте с помощью «очистки klist».
Есть ли обходной путь для этого? Может ли сервер IIS заставить клиента продлить билет Kerberos?
Сервер IIS не сможет расшифровать билет, в результате чего будет сгенерирован закодированный ответ, содержащий код ошибки, указывающий, что ключ неверен. Это укажет клиенту, что ему нужно выполнить очистку и повторить попытку.
Редко бывает ситуация, когда klist purge действительно необходимо.
Нет. Билеты Kerberos не проверяются по паролю учетной записи. По сути, это причина создания Kerberos, поэтому учетные данные не нужно проверять при каждом запросе доступа. Билеты Kerberos можно создавать и использовать даже для несуществующих учетных записей.