現象
フォレストの信頼の境界を越えてから、受信した Kerberos チケット保証チケット (TGT) を受け取るドメイン コント ローラーがすべての PAC からフィルターは常に、Windows Server 2012 R2 では、Sid はそのドメイン内の"Domain Admins"グループの SID など、そのドメインの Rid の低数がある既知のアカウントを表すグループ化します。この問題は、ドメイン コント ローラーが別のフォレストと Windows Server 2016 のテクニカル プレビューの機能レベルにして、そのフォレストを表すよく知られたアカウントの SID を持つシャドウ プリンシパル グループに発生します。
解決策
この問題を解決するには、をインストールします。
注 この更新プログラムは、Windows Server 2012 R2 のドメイン コント ローラーに新しい信頼フラグTRUST_ATTRIBUTE_PIM_TRUSTを追加します。チケットは、要塞のフォレストからの Kerberos チケットを認識するようにそれらのドメイン コント ローラーを有効にします。この更新プログラムをインストールした後のシステム コンテナーで、信頼されたドメイン オブジェクトの属性を設定するには、このフラグによって、ドメイン コント ローラーと、 を実行するとき、ドメイン コント ローラーのグループは解釈します。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
関連情報
Microsoft がソフトウェア更新プログラムを説明するために使用されるについて説明します。