Vou em frente e envio meus comentários anteriores como resposta. Espero que seja o que o OP queria.
Como você já sabe, você pode usar o klist.exe para limpar seus tíquetes do Kerberos.
Então ligue o Wireshark e comece um rastro. Em seguida, limpe seus tíquetes Kerberos. Em seguida, em um prompt de comando, digite net stop netlogon & net start netlogon
. (Ou faça algo como tentar acessar um compartilhamento de arquivos de rede.) Isso fará com que o computador solicite novos tickets do Kerberos do KDC / Domain Controller. Agora pare seu traço Wireshark. Você capturou com sucesso um rastreamento de rede contendo a interação entre o membro do domínio e o controlador de domínio.