Verifique sua configuração do PAM, especificamente acredito que o problema é que os usuários locais também têm senhas do kerberos, e que a verificação do kerberos vem antes do unix nos arquivos pam e que você tem mais de um kdc (implementado pelo seu domínio do AD controladores) e que você está usando um kdc diferente para atualizar a senha do que o kdc que está verificando a senha, resultando no atraso à medida que a senha é distribuída pelos múltiplos controladores.