Мое двухстороннее доверие с выборочным автором, кажется, ведет себя напротив одностороннего доверия

Я не уверен, почему я - единственный, сталкивающийся с этим, я думаю, что это - большая проблема с Сервером 2012 и протоколы RDS... С 2 008 машинами можно использовать, используют один путь доверие для аутентификации через домены с сервисом TSGateway, но с 2012 это повреждается при натыкании на один путь доверие. Я пытаюсь реализовать два пути доверие, которое действует как один путь доверие для всего, но kerberos автор для вещей как TSGateway и сервисы RDS...

Немного предыстории, я в настоящее время получал два домена (A и B) с одним путем, внешним доверием. (Исходящий доверие на A, пользователи в B могут получить доступ к устройствам в A),

В данный момент я могу войти в компьютер в домене A и добавить пользователя от домена B с GUI. (Я могу также сделать это от CLI, но это не релевантно здесь),

Когда я создаю свой тестовый домен, я могу воссоздать это поведение. Если я создаю тестовый домен с двухсторонней доверительной, аутентификацией всего домена в обоих направлениях, это поведение не изменяется, хотя это действительно разрешает меня автору в обратном направлении (понятное дело), которое я не хочу.

Когда я изменяю Домен B на 'выборочную аутентификацию' по некоторым причинам Пользователи и Компьютеры, GUI прекращает работать как ожидалось.

• Для Домена B компьютеры, я могу все еще просмотреть GUI как нормальный, и даже добавить Домен пользователи, хотя им не позволяют войти в систему, из-за выборочной Подлинной установки.
• Для Домена компьютеры, просматривая GUI не позволяют выбор пользователей или групп, и расширенный поиск поднимает ошибку, которая говорит: "Следующая ошибка предотвратила дисплей любых объектов: Неустановленная ошибка"
• Для Домена компьютеры, если я знаю имя пользователя от Домена B, я могу добавить учетную запись с помощью 'сети localgroup' команды, и все работает просто великолепно, но GUI повреждается, и это, вероятно, не будет применимым решением для большинства наших пользователей...

Мой вопрос (Извините, что заняли много времени для получения до него) состоит в том, почему выборочный автор изменяет поведение доверия так, чтобы это вело себя по-другому, чем одностороннее доверие и было там некоторой простой вещью, которую я пропускаю?

Когда я получаю 'неуказанную' ошибку от GUI, я получаю ошибку на DC для Домена B:

Сервисный билет Kerberos требовали.

Сведения об учетной записи: имя учетной записи: домен учетной записи bob@DOMAINA: вход в систему DOMAINA GUID: {00000000-0000-0000-0000-000000000000}

Информация о сервисе: Сервисное Название: Сервисный идентификатор ldap/DC.DOMAINB/DOMAINB: ПУСТОЙ SID

Информация о сети: клиентский адрес::: клиентский порт ffff:192.168.18.70: 62103

Дополнительная информация: опции билета: тип шифрования билета 0x40800000: код неисправности 0xFFFFFFFF: 0xC переданные транзитом сервисы: -

Это событие сгенерировано каждый раз, когда доступ запрашивается к ресурсу, такому как компьютер или служба Windows. Сервисное название указывает на ресурс, к которому был запрошен доступ.

Это событие может коррелироваться с событиями входа в систему Windows путем сравнения полей Logon GUID в каждом событии. Событие входа в систему имеет место на машине, к которой получили доступ, который часто является другой машиной, чем контроллер домена, который выпустил сервисный билет.

Опции билета, типы шифрования и коды неисправности определяются в RFC 4120.

Я не понимаю, почему это пытается пройти проверку подлинности против DomainB с помощью 'боба' от DomainA, когда я обеспечил учетные данные DomainB...

Спасибо за любую справку можно обеспечить, я барабанил в это в течение 3 дней прямо и ничто еще не нашел полезным.