问无法从信任域中更改受信任用户的密码

EN

在单向信任设置中，我遇到了一个非常奇怪的问题:来自受信任域(域A)的用户可以成功地登录到信任域(域B)，但是密码更改尝试失败，因为“无法从域控制器读取配置信息，因为计算机不可用，或者访问被拒绝”。

设置为:域A- 2x Win 2012 R2和1 x Win 2008 R2*域控制器(运行在Win 2008 R2 AD级别)域B-2x Win 2016域控制器(运行在Win 2016 AD级别)

*是的，我知道，EOL，它很快就要关机了。

我也不认为功能广告水平与问题有任何关系。

通常，用户建立VPN连接，然后使用其域A帐户将RDP连接到域B中的2016终端服务器上。到目前为止还不错。它们可以在登录到域B终端服务器时从域A访问资源。还是很好。但是，一旦密码在帐户上过期，用户就无法更改它。我已经验证了信任是正确工作的，并且DNS正在运行，因为我可以使用域A服务器从域B查询它们的FQDN，并且向我报告它们的本地IP。

我坐在活动DC上观看安全日志，并试图从域B更改密码，但我什么也没看到。我可以看到我的用户登录并打开应用程序。

我对这一切的想法正确吗？域B终端服务器>域A域控制器

我们运行Splunk，它具有两个域的可见性，我还在终端服务器上运行了Wireshark的本地实例，但我不太擅长过滤掉这些应用程序中的噪声，以缩小正确的通信范围。我在Wireshark中看到的是从终端服务器到另一端DC的CLDAP条目。

我已经用尽了这里和其他地方的搜索。2012年的DC没有安装KB4012219来限制对SAM的远程调用。事实上，我没有看到任何错误的领域A do告诉我，这些请求甚至没有从域B，但我没有看到任何明显的否认在Splunk。

我所做的其他测试是使用来自域B终端服务器的"nltest /dsgetdc：“，它的错误无法找到域。

有什么想法吗？