症状
跨目录林信任边界从接收传入的 Kerberos 票证授予票证 (TGT) 的域控制器将始终从所有 PAC 筛选 Windows Server 2012 R2 组合表示它如其所在域中"域管理员"组的 SID 的域中有低数个 Rid 的已知帐户的 Sid。当域控制器是在另一个目录林和 Windows 服务器 2016年技术预览功能级别,该林包含具有一个表示已知帐户的 SID 的阴影主体组,则会出现此问题。
解决方案
若要解决此问题,请安装。
注意:此更新将添加到 Windows Server 2012 R2 域控制器TRUST_ATTRIBUTE_PIM_TRUST的新信任标志。票证使这些域控制器无法识别来自堡垒林的 Kerberos 票证。安装此更新后,域控制器将使其系统容器中,在一个受信任的域对象的属性上设置此标志,执行时,域控制器会将解释组。状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
参考资料
了解 Microsoft 用于描述软件更新。