Autenticação proxy Kerberos - Problemas do tíquete de serviço Kerberos

Eu tenho um BlueCoat ProxySG que é capaz de autenticar usuários via Kerberos. Está definido para "Proxy", pelo que requer autenticação de utilizador para cada nova ligação TCP. Os usuários têm um Single Sign On e seus PCs passam automaticamente suas credenciais de login do Windows quando solicitados pelos serviços de rede. A questão, é que em um site com muitas conexões de fundo (www.bbc.com neste caso), o usuário começará a receber popups de credenciais depois de tanto tempo (a maior parte da página e das imagens já foram carregadas por esta altura). Eu acredito que isso acontece com todos os usuários que usam este site.

Em uma captura de pacote do PC do usuário, a autenticação Kerberos parece estar funcionando em todas as tentativas de conexão (solicitações GET e CONNECT) à medida que o usuário passa o tíquete de serviço adequadamente com as solicitações GET / CONNECT. Mas, de repente, começa a procurar o novo KDC para um novo ticket de serviço ... e, na verdade, ele comete um erro PRE_AUTH_REQUIRED e precisa obter um novo KRBTGT do KDC antes de tentar o TGS_REQ para o proxy novamente. É quando os popups de credenciais parecem acontecer.

• Meu entendimento é que o tíquete de serviço é armazenado na bandeja de Curb do usuário e pode ser reutilizado até que seja necessário renová-lo (conforme indicado pela data de renovação no próprio ticket). Esta compreensão correta?
• Por que o proxy de repente exigiria um ticket diferente?
• O BlueCoat ProxySG deve retornar automaticamente ao NTLM quando o Kerberos não funciona, por que ele não está funcionando? (O NTLM funciona bem quando não está usando o Kerberos como método principal de autenticação)

Obrigado antecipadamente!