症状

跨目录林信任边界从接收传入的 Kerberos 票证授予票证 (TGT) 的域控制器将始终从所有 PAC 筛选 Windows Server 2012 R2 组合表示它如其所在域中"域管理员"组的 SID 的域中有低数个 Rid 的已知帐户的 Sid。当域控制器是在另一个目录林和 Windows 服务器 2016年技术预览功能级别,该林包含具有一个表示已知帐户的 SID 的阴影主体组,则会出现此问题。

解决方案

若要解决此问题,请安装。注意:此更新将添加到 Windows Server 2012 R2 域控制器TRUST_ATTRIBUTE_PIM_TRUST的新信任标志。票证使这些域控制器无法识别来自堡垒林的 Kerberos 票证。安装此更新后,域控制器将使其系统容器中,在一个受信任的域对象的属性上设置此标志,执行时,域控制器会将解释组。

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

参考资料

了解 Microsoft 用于描述软件更新。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。