KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN
significa que o KDC não tem ideia de quem detém o SPN; no seu caso, o SPN solicitado é HTTP/self-test.example.com
As duas razões comuns para isso são:
- o SPN não existe em nenhuma conta na floresta do Active Directory (não parece ser o seu caso)
- há mais de uma conta que mantém o mesmo SPN (SPN duplicado)
Você provavelmente tem um SPN duplicado em algum lugar, portanto, duas contas ou mais estão mantendo o mesmo SPN.
Para verificar a floresta do AD, quais contas mantêm um SPN? Execute o seguinte comando:
setspn -Q HTTP/self-test.example.com
Isso deve mostrar todas as contas (se houver) que contêm esse SPN.
Um *
(curinga) também é válido se você desejar usar para uma consulta
por exemplo. setspn -Q HTTP/self-test*