И ещё один «довесок» — если настраивается подчинённый узел, то в «web» keytab-файл также добавлять ТОЛЬКО то SPN, которое ссылается на «системное» имя подчинённого узла (hostnamectl status)! А FQDN-ы на DNS-серверах для него публикуются только в том случае, если они отличаются от тех, которые были опубликованы для основного…