Por padrão, o seu sistema executará pesquisas de round robin, inclusive para o Kerberos.
Se você quiser solucionar isso com controladores de domínio específicos, sugiro adicionar uma entrada de arquivo HOSTS para yourdomain.com
e apontá-lo para um controlador específico. Isso tende a ser um método mais seguro do que atualizar toda a sua configuração do kerberos.
Editar:
Em resposta à edição de resposta do Andy, o sssd.conf funcionará se o sistema em questão usar o sssd e o problema estiver dentro do sssd . O perigo são outros aplicativos que também podem estar usando o nome de domínio para vincular. Como resultado, você pode obter resultados inconsistentes. É precisamente por isso que sugiro o método do arquivo hosts. Isso afeta todo o servidor, não apenas um serviço. Descobri que isso é útil em ambientes com vários administradores, especialmente quando /etc
não está sob controle de verionização.