Realm Trust Windows AD (Win2012) и KERBEROS (Heimdal)

У меня проблемы с настройкой одностороннего внешнего доверия между областями между доменом Windows (доменными службами, работающими в Windows Server 2012) и Heimdal KDC. Я пытаюсь добиться того, чтобы клиенты Windows проходили аутентификацию через Kerberos на веб-прокси, где SPN был выдан Heimdal KDC. Принципал кросс-области в KDC был создан с использованием того же пароля для настройки доверия к области (в Windows DC), и я пробовал разные значения для ENC_TYPES (я где-то читал, что AES-256 в этом типе сценария не работает). Тем не менее, я попробовал AES-256 + AES-128 + RC4-HMAC-MD5 безуспешно, а затем только RC4-HMAC-MD5, но опять же не повезло. Во всех случаях KDC выбрасывает следующее:

TGS-REQ user@AD_DOMAIN.COM from IPv4:192.168.254.120 for HTTP/xxx@KERBEROS_DOMAIN.COM [renewable, forwardable]
Client not found in database: no such entry found in hdb
Verify PAC failed for HTTP/xxx@KERBEROS_DOMAIN.COM (user@AD_DOMAIN.COM) from IPv4:192.168.254.120 with PAC integrity check failed for hmac-md5 checksum
Failed building TGS-REP to IPv4:192.168.254.120
sending 106 bytes to IPv4:192.168.254.120

(Выходные имена изменены)

Кто-нибудь знает, что здесь происходит?