DC01,DC02是在192网段,在Main站点。DC03在10网段,是RODC,在Part站点,防火墙限制10网段除了 DC03可以与DC01 DC02通讯外,其他的地址一律禁止通讯。如果我在10网段心客户端加入域,是否能够成功?

回答:Q: 如果我在10网段心客户端加入域,是否能够成功?

A: 是可以成功的。如果此台RODC能够联系到可写的DC,那么是可以成功的。原因是:

RODC有下面的功能:

缓存密码;RODC筛选器(只是复制一些属性值被复制到RODC);单向复制;只读ADDS。

所以当用户请求加域时,RODC会把请求发送给可读域控,这样先在可读域控上建立账户,然后把账户在复制到RODC上。

请看下面的文章:

RODC 常见问题解答
http://technet.microsoft.com/zh-cn/library/cc754956(WS.10).aspx

文章中提到:

如果分支机构中 WAN 脱机,但 RODC 联机,哪些操作会失败?

如果 RODC 无法连接到中心站点中运行 Windows Server 2008 的可写域控制器,则以下分支机构操作会失败:

  • 密码更改
  • 尝试将计算机加入域
  • 计算机重命名
  • 对其凭据未在 RODC 上缓存的帐户进行的身份验证尝试
  • 管理员可能通过运行 gpupdate /force 命令尝试的组策略更新

Devin Zhang