Eu criei um novo sistema WS 2008 R2 SP1 do DVD, associei-me ao domínio, apliquei a diretiva de grupo, reiniciei e instalei o NPS e o RRAS. Um teste de um host remoto prova que o NPS e o Kerberos.dll estavam funcionando corretamente neste momento.
Eu, então, instalei o KB2871997 sozinho e o lsass travou com a conexão VPN, então está bem claro que este é um bug no KB2871997.
De acordo com seu comunicado de segurança acompanhado , essa atualização parece ser um aprimoramento de segurança que não é uma correção de bug, por isso Eu acho que pode ser removido se quebrar as coisas. Eu o removi do meu servidor WS2008 R2 e agora está funcionando novamente.
(Eu não o excluiria da lista de atualização automática, no caso de o M $ publicar uma nova versão. A versão atual já é v2 ......)
No entanto, esta atualização não é lançada separadamente para o WS2012 R2, mas como parte de um pacote de segurança. Ainda estou tentando descobrir como desinstalá-lo para esse SO.