なんでだっけなーと思って調べたら
Windowsの「Kerberos認証」に発見された脆弱性の詳細が明らかに - ZDNet Japan

ユーザーがKDCにPACを返信すると、Windowsサービス認証用のサービスチケットが引き替えに発行される。問題はここで発生する。KDCは返信されたPAC内のデジタル署名を正しく検証せずにサービスチケットを発行する場合がある。

いや、ちゃんと検証してからチケット発行しろよ。
単純にWindows Server 2008 R2のバグだったのね。