A mudança do ISA 2006 para o kerberos causa problemas de autenticação para alguns usuários

Em nosso grande ambiente corporativo, temos 4 servidores ISA 2006 configurados. Os usuários (WinXP IE8) são configurados com um script de configuração automática de proxy. Recentemente, o PAC foi modificado para retornar o FQDN em vez dos endereços IP dos servidores ISA. Isso foi feito para forçar a autenticação Kerberos em vez do NTLM.

A alteração tem causado problemas intermitentes para alguns usuários. Ao acessar sites por SSL, eles recebem vários prompts de autenticação do servidor proxy. Nem todos os usuários são afetados. Sites diferentes são afetados. Em um ponto, um dos servidores proxy começou a emitir um "Erro de Proxy 502. Nenhum espaço de buffer é suportado". Foi reiniciado e voltou aos negócios.

O melhor que podemos imaginar é que isso tem a ver com o grande tamanho de token do Kerberos (somos uma grande operação com centenas / milhares de grupos de segurança do AD).

Alguns dos usuários têm MaxPacketSize e MaxTokenSize configurados para o Kerberos. Alguns não. Os dois usuários problemáticos que eu examinei tinham essas configurações.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

Revertendo o PAC para usar endereços IP (e NTLM) resolve o problema para os usuários. Mas os administradores de proxy ainda querem o Kerberos por esses motivos: Por que usar o Kerberos em vez do NTLM no IIS? .

O envio dessas configurações do registro para todos os usuários corrigirá o problema ou essas configurações são a raiz do problema?

Existe uma configuração no servidor ISA que precisa ser ajustada para corresponder às configurações de tamanho do token nos desktops?

Obrigado.