Добавление новых имен SPN в существующие идентификаторы услуг

У нас есть сервер Tomcat, использующий Spring-Kerberos для аутентификации пользователей на веб-странице в активном каталоге.

Есть около 25 контроллеров домена.

На сайте есть два псевдонима DNS на основе CNAME.

В настоящее время на сайте есть один идентификатор службы с именами SPN, зарегистрированными для записи DNS A, а также для каждого из CNAME.

Пока все работает, я не знаю, как надежно изменить эту конфигурацию без возможного простоя.

Причина в том, что клиенты кэшируют билеты Kerberos:

http://www.juniper.net/techpubs/en_US/uac4.2/topics/concept/user-role-active-directory-about.html

Программа kerbtray.exe полезна для просмотра и удаления билетов Kerberos на конечной точке. Old tickets must be purged from the endpoint if SPNs are updated or passwords are changed (assuming the endpoint still has a cached copy of the ticket from a prior SPNEGO request to the MAG Series device. During testing, you should purge tickets before each authentication request.

Description of "klist" program used to inspect/delete cached tickets: http://technet.microsoft.com/en-us/library/hh134826.aspx

So if each of the clients (users running windows) who connect to my web server have kerberos tickets that become invalid as soon as I update the SPNs or passwords, how do I ensure changes are seamless? Are there any operations that can be done safely? I can't just ask all of the users to install klist and delete their old tickets.