【IT168 专稿】前文我们介绍了RODC的基本安装（点击），与可写域控制器相比 RODC 需要较少的管理，这也是它在Windows Server2008中的一个重要优势。它仅需要入站复制，并且不能将错误信息写入 Active Directory 数据库。

　　本文以实例方式介绍如何使用 RODC 进行身份验证过程。在此方案中：

　　用户 Bob 想登录名为 BOB_WS 的工作站。

　　其中安装 BOB_WS 工作站的子网由 RODC 提供服务。

　　允许 Bob 的用户帐户将凭据缓存在 RODC 上，但凭据尚未缓存。

　　允许 BOB_WS 计算机帐户将凭据缓存在 RODC 上，但凭据尚未缓存。

　　Bob 尝试登录工作站 BOB_WS。首先，必须从域控制器中检索 TGT。此方案中的 TGT 检索过程如下图所示。（图1）

　　RODC 作为分支机构的 KDC 播发。这意味着当 BOB_WS 搜索域控制器以对 Bob 的登录请求进行身份验证时，它可以找到 RODC 并将其用作 KDC。BOB_WS 的 Kerberos 身份验证包准备 TGT 请求并将其发送给 RODC。

　　RODC 收到来自 BOB_WS 的 TGT 请求。由于 RODC 不知道 Bob 帐户的密码，因此无法为 Bob 创建 TGT。RODC 将此 TGT 请求转发给可写的 Windows Server 2008 域控制器。

　　可写的 Windows Server 2008 域控制器对请求进行身份验证。

　　然后将结果返回给 RODC。如果 Bob 提供正确的凭据，则结果为 TGT。如果 Bob 的凭据验证失败，则结果为错误消息。在此方案中，如果登录时 Bob 输入了有效的用户名和密码，则验证成功。