Je ne connais rien à Windows, notamment pas les équivalents de kinit et klist, désolé.

Sur un Ubuntu cliente, si tu te connectes avec succès, tu dois avoir la trace dans klist. Ça permet d'être sûr que la phase Kerberos a bien fonctionné et que ce n'est pas autre chose (genre une clef privée qui traîne…)

Tu *dois* être authentifié en Kerberos sur A (ça tombe bien, l'authentification AD sur un Windows récent fait du Kerberos), sur le même AD (ou sur un AD du même domaine) que S.
Le principe de Kerberos est de t'authentifier (à partir de A) sur S : il faut donc fournir une identité. Cette pièce identité t'est fournie par le KDC quand tu te loggues sur A (ou que tu fais un kinit).
Tu vas la retransmettre à S pour prouver ton identité… mais ça veut dire que S a le même dealer d'identité KDC que A. L'avantage est que tu ne fournis à S qu'un token fait sur mesure pour lui : il n'a aucun accès à ton vrai secret (que tu ne donnes qu'à ton KDC).
Sinon S te voit arriver avec une pièce d'identité en laquelle il n'a aucune raison de faire confiance…


Le keytab n'est pas lisible facilement, il faut regarder ce qu'il y a dedans avec ktutil (la syntaxe dépend de MIT ou Heimdal).