Proxy Kerberos Authentication - Проблемы с билетом службы Kerberos

У меня есть BlueCoat ProxySG, который может аутентифицировать пользователей через Kerberos. Для него установлено значение "Прокси", поэтому для каждого нового TCP-соединения требуется аутентификация пользователя. Пользователи имеют единый вход, и их ПК автоматически передают свои учетные данные для входа в Windows при запросе сетевых служб. Проблема заключается в том, что на сайте с множеством фоновых подключений (в данном случае www.bbc.com) пользователь начнет получать всплывающие окна с учетными данными спустя очень долгое время (к этому времени большинство страниц и изображений уже загружено). Я считаю, что это происходит с каждым пользователем, использующим этот сайт.

При захвате пакета с ПК пользователя аутентификация Kerberos, похоже, работает при каждой попытке подключения (запросы GET и CONNECT), когда пользователь правильно передает билет службы с запросами GET/CONNECT. Но внезапно начинает обращаться к KDC за новым билетом службы... в этом случае он фактически выдает ошибку PRE_AUTH_REQUIRED и должен получить новый KRBTGT от KDC, прежде чем снова попытаться TGS_REQ для прокси. Это когда всплывающие окна для учетных данных, кажется, происходит.

• Насколько я понимаю, билет на услугу хранится в лотке Curb пользователя и может использоваться повторно до тех пор, пока не потребуется его продление (как указано в дате обновления на самом билете). Это правильное понимание?
• Зачем прокси-серверу вдруг понадобиться другой билет?
• Предполагается, что BlueCoat ProxySG автоматически переключается на NTLM, когда Kerberos не работает, почему он этого не делает? (NTLM отлично работает, когда Kerberos не используется в качестве основного метода аутентификации)

Заранее спасибо!