RODC_常见问题解答.docxVIP

引用：/zh-cn/library/cc754956(WS.10).aspxRODC 常见问题解答更新时间: 2009年5月应用到: Windows Server 2008本部分包括与 RODC 有关的常见问题及其解答。这些问题涵盖从一般的背景信息到深入的技术问题等方方面面的内容。哪些新属性支持 RODC 密码复制策略？密码复制策略是一种机制，用于确定是否允许将用户或计算机的凭据从可写域控制器复制到 RODC。在运行 Windows Server?2008 的可写域控制器上会始终设置密码复制策略。已将下列属性添加到 Active Directory 架构中，以便实现 RODC 缓存操作所需的功能：msDS-Reveal-OnDemandGroup。该属性指向允许列表的可分辨名称 (DN)。允许将允许列表中的成员的凭据复制到 RODC。msDS-NeverRevealGroup。该属性指向拒绝将其凭据复制到 RODC 的安全主体的可分辨名称。这对这些安全主体使用 RODC 进行身份验证的功能没有影响。RODC 从不缓存拒绝列表中的成员凭据。会提供拒绝将其凭据复制到 RODC 的安全主体默认列表。这样可以提高使用默认设置部署的 RODC 的安全性。msDS-RevealedList。该属性是其当前密码已被复制到 RODC 的安全主体的列表。msDS-AuthenticatedToAccountList。该属性包含本地域中已向 RODC 进行身份验证的安全主体的列表。该属性的目的是帮助管理员确定哪些计算机和用户使用 RODC 进行登录。这使管理员能够改进 RODC 的密码复制策略。一个 RODC 可以向其他 RODC 进行复制吗？不可以，同一站点中同一个域的两个 RODC 不能共享缓存的凭据。可以为同一站点中的同一个域部署多个 RODC，但如果中心站点的 WAN 脱机，这可能会导致用户的登录体验有所不同。如果分支机构中 WAN 脱机，但 RODC 联机，哪些操作会失败？如果 RODC 无法连接到中心站点中运行 Windows Server?2008 的可写域控制器，则以下分支机构操作会失败：密码更改尝试将计算机加入域计算机重命名对其凭据未在 RODC 上缓存的帐户进行的身份验证尝试管理员可能通过运行gpupdate /force命令尝试的组策略更新如果分支机构中 WAN 脱机，但 RODC 联机，哪些操作会成功？如果 RODC 无法连接到中心站点中运行 Windows Server?2008 的可写域控制器，则以下分支机构操作会成功：身份验证和登录尝试（如果已缓存资源和请求者的凭据）。委派的 RODC 服务器管理员执行的本地 RODC 服务器管理。RODC 支持我的 Active?Directory 集成应用程序吗？是的，如果应用程序符合以下规则，则 RODC 支持 Active?Directory 集成应用程序：如果应用程序执行写操作，则它必须支持参考功能（在客户端上默认情况下处于启用状态）。当中心站点脱机时，应用程序必须允许写入操作中断。RODC 包含可写域控制器包含的所有对象和属性吗？是的，RODC 包含可写域控制器包含的所有对象。如果您将可写域控制器上的 LDAP 存储与 RODC 上的 LDAP 存储相比较，它们是相同的，只是 RODC 不包含在 RODC 筛选的属性集中定义的所有凭据或属性。RODC 为什么没有相对 ID (RID) 池？所有可写域控制器都可以从其各自的 RID 池分配 RID 以创建所需的安全主体。由于 RODC 无法创建安全主体，因此它不能提供任何 RID，并且永远不会为 RODC 分配 RID 池。我可以列出域中每个 RODC 使用的krbtgt帐户吗？可以。若要列出域中每个 RODC 使用的krbtgt帐户，请在命令行键入以下命令，然后按 Enter：Repadmin /showattrWritableDcName域分区的可分辨名称/subtree /filter:((objectclass=computer)(msDS-Krbtgtlink=*)) /atts:msDS-krbtgtlink客户端 DNS 更新参考机制如何工作？由于运行在 RODC 上的 DNS 服务器不能直接注册客户端更新，因此它必须将客户端转介给承载区域文件的主要副本或 Active?Directory 集成副本的 DNS 服务器。此服务器有时也称为“可写 DNS 服务器”。当客户端提出一个“查找权威查询”（即更新请求的前身）时，RODC 上的 DNS 服务器会使用域控制器定位程序在最近的站点中查找域控制器。然后 RODC 将返回的域控制器列表与其拥有的名称服务器 (NS) 资源记录的列表相比较。RODC 将可写 DNS 服