"Аутентификация Kerberos предотвращает повторную атаку с использованием двух механизмов:
Клиент Kerberos на локальном компьютере зашифровывает временную метку внутри аутентификатора и затем отправляет ее в Центр распространения ключей (KDC). Если KDC проверяет, что время, которое он расшифровывает с помощью средства проверки подлинности, находится в пределах указанного количества локального времени на KDC (по умолчанию - пять минут), система может предположить, что представленные учетные данные являются подлинными.
Все билеты, выпущенные KDC, имеют срок действия. Таким образом, если билет скомпрометирован, его нельзя использовать за пределами указанного временного диапазона - обычно достаточно короткого, чтобы минимизировать риск повторной атаки.
Из-за этих механизмов аутентификация Kerberos основывается на дате и времени, которые установлены на KDC и клиенте. Если между KDC и клиентом, запрашивающим билеты, существует слишком большая разница во времени, KDC не может определить, является ли запрос законным или повторным. "
Источник: https://technet.microsoft.com/en-us/library/cc780011%28v=ws.10%29.aspx
Вот почему так важно синхронизировать ваши часы - билеты Kerberos TGT, которые вы получаете, являются ограниченным по времени предложением. Срок действия предложения начинается со времени, указанного на отметке времени. Неправильное время - это худший грех, который вы можете совершить, поэтому Kerberos настаивает на том, чтобы синхронизировать время ваших часов.