Переключение ISA 2006 на kerberos вызывает проблемы с аутентификацией у некоторых пользователей

В нашей большой корпоративной среде у нас установлено 4 сервера ISA 2006. Пользователи (WinXP IE8) настраиваются с помощью сценария автоматической настройки прокси. Недавно PAC был изменен, чтобы возвращать полное доменное имя вместо IP-адресов серверов ISA. Это было сделано для принудительной аутентификации Kerberos вместо NTLM.

Изменения вызывают периодические проблемы для некоторых пользователей. При доступе к сайтам через SSL они получают несколько запросов на аутентификацию от прокси-сервера. Это влияет не на всех пользователей. Это влияет на разные сайты. В какой-то момент один из прокси-серверов начал извергать "Ошибка 502 прокси. Буферное пространство не поддерживается". Он был перезагружен и вернулся в бизнес.

Лучшее, что мы можем понять, это то, что это связано с большим размером токена Kerberos (мы - большая операция с сотнями / тысячами групп безопасности AD).

У некоторых пользователей MaxPacketSize и MaxTokenSize настроены для Kerberos. Некоторые нет. У двух проблемных пользователей, на которых я смотрел, были эти настройки.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

Откат PAC для использования IP-адресов (и NTLM) решает проблему для пользователей. Но прокси-администраторы все еще хотят Kerberos по следующим причинам: зачем использовать Kerberos вместо NTLM в IIS?,

Устранит ли проблему эти параметры реестра для всех пользователей, или же они являются причиной проблемы?

Есть ли на сервере ISA параметр, который необходимо настроить в соответствии с настройками размера токена на рабочих столах?

Благодарю.