RODC密码复制策略之实现本地登录

我们知道一个大型公司一般在各个地方都会有分部或者子公司，当这些分部或子公司的IT环境没有足够的IT支持能力或IT环境安全保障的时候，会考虑到在分部或子公司部署RODC（只读域控制器）。

但是部署RODC也会面对很对威胁，一个方面就是分部到总部网络链路的可靠性的威胁。我们可以想象由于RODC不在本地上存储用户和计算机密码的属性而此时网络链路出现中断时，会出现多大的生产问题。所以我在这里简单介绍一下如何在网络中断的情况下，依然保证用户能正常登陆到系统。

首先我们介绍下网络环境：

总部 可读写DC better-dca better-dcb

分部 RODC better-dcc

1、在better-dca上的 “Active directory 用户和计算机”的“domain controller”这个OU里找到“better-dcc”这个对象-属性-密码复制策略里，将需要在RODC上存储的用户和计算机账户添加到该列表里。





2、添加过程，注意添加的不仅仅是用户也需要添加计算机。



3、添加完之后，在cmd下输入：repadmin /syncall





3、设置之后，系统就能正常登陆了。但是当用户需要更改密码或计算机需要重新加入域时需要保证链路畅通，因为PDC模拟器在better-dca上，计算机加入域需要往AD的NTDS.DIT里写入信息，这些都是RODC无法做到的。

以下是网络链路不同时更改密码出现的错误信息：





本文出自 “为进步而学习” 博客，转载请与作者联系！