Adicionando novos SPNs aos IDs de serviço existentes

Temos um servidor tomcat usando kerberos de segurança de mola para autenticar usuários na página da Web em relação ao diretório ativo.

Existem cerca de 25 controladores de domínio.

O site tem dois aliases DNS baseados em CNAME.

Atualmente, o site tem um ID de serviço com SPNs registrados para o registro DNS A e para cada um dos CNAMEs.

Enquanto tudo está funcionando agora, não sei como alterar de forma confiável essa configuração sem possível tempo de inatividade.

A razão é que os clientes armazenam em cache os tickets do kerberos:

link

The 'kerbtray.exe' program is helpful for viewing and deleting Kerberos tickets on the endpoint. Old tickets must be purged from the endpoint if SPNs are updated or passwords are changed (assuming the endpoint still has a cached copy of the ticket from a prior SPNEGO request to the MAG Series device. During testing, you should purge tickets before each authentication request.

Descrição do programa "klist" usado para inspecionar / excluir tickets armazenados em cache: link

Portanto, se cada um dos clientes (usuários que executam janelas) que se conectam ao meu servidor web tiverem tickets kerberos inválidos assim que eu atualizar os SPNs ou senhas, como garantir que as alterações sejam perfeitas? Há alguma operação que possa ser feita com segurança? Não posso pedir a todos os usuários que instalem o klist e excluam seus tickets antigos.