Duas explicações possíveis:
1) O atraso é causado pela replicação entre os controladores de domínio (se você tiver mais de um)
2) O atraso é causado pela não aplicação de políticas em servidores quando você tenta fazer uma verificação. As políticas da máquina são aplicadas a cada 90 minutos por padrão no w2k8r2, não sei o que o cronômetro está em w2k12.
(1) e (2) podem ser combinados. Eu sempre faço "gpupdate / force" em servidores que eu iria fazer login ao verificar certificados, você tentou?