Проксируйте аутентификацию Kerberos - сервисные выдачи билетов Kerberos

У меня есть BlueCoat ProxySG, который может аутентифицировать пользователей через Kerberos. Это установлено "Проксировать" так, это требует аутентификации пользователя для каждого нового соединения TCP. У пользователей есть Единая точка входа, и их ПК автоматически передают их данные для входа в систему Windows при запросе сетевыми службами. Проблема, то, что на сайте со многими фоновыми соединениями (www.bbc.com в этом случае), пользователь начнет получать всплывающие окна для учетных данных после так долго (Большая часть страницы, и изображения уже загрузились к этому времени). Я полагаю, что это происходит с каждым пользователем, использующим этот сайт.

В захвате пакетов от ПК Пользователя аутентификация Kerberos, кажется, работает над каждой попыткой подключения (ПОЛУЧИТЕ и СОЕДИНИТЕ запросы), поскольку пользователь передает сервисный билет правильно с ПОЛУЧИТЬ/СОЕДИНИТЬ запросами. Но внезапно начинает обращаться к KDC для нового сервисного билета...., в этом случае это на самом деле ошибки с ошибкой PRE_AUTH_REQUIRED и должен получить новый KRBTGT от KDC прежде, чем делать попытку TGS_REQ для прокси снова. Это - когда всплывающие окна для учетных данных, кажется, происходят.

• Мое понимание - то, что сервисный билет хранится в лотке Обочины пользователя и может быть снова использован, пока он не должен быть возобновлен (как отмечено возобновить датой на самом билете). Это корректное понимание?
• Почему прокси внезапно потребовал бы другого билета?
• BlueCoat ProxySG, как предполагается, автоматически отступает к NTLM, когда Kerberos не работает, почему это не делающий так? (NTLM хорошо работает если не с помощью Kerberos в качестве основного метода аутентификации),

Заранее спасибо!