在可写的域控制器将 TGT 返回给 RODC 的同时，还将 Bob 帐户的可分辨名称（也称为 DN）添加到 RODC 计算机帐户的 msDS-AuthenticatedToAccountList 属性。这将创建一条 Bob 已通过 RODC 的身份验证的记录。

　　然后 RODC 将结果传递给 BOB_WS。

　　RODC 将 TGT 发送回 BOB_WS 之后，还请求可写域控制器将 Bob 的凭据复制到 Active Directory 数据库的副本。

　　当可写域控制器收到将 Bob 的凭据复制到 RODC 的请求时，将检查密码复制策略，看是否允许 RODC 缓存 Bob 帐户的凭据。

　　如果检查指出可以缓存凭据，则可写域控制器允许将 Bob 的帐户凭据复制到 RODC。

　　在可写域控制器发送 RODC 请求的凭据的同时，可写域控制器将 Bob 帐户的可分辨名称写入 RODC 计算机帐户的 msDS-RevealedList 属性。这将创建一条 Bob 帐户的凭据现在已缓存在 RODC 上的记录。

　　RODC 将 Bob 的凭据存储在 Active Directory 数据库中其用户帐户的相应属性中。

　　此时：可写域控制器具有一条已允许将 Bob 的凭据复制到 RODC 的记录。

　　Bob 帐户的凭据缓存在 RODC 上。

　　Bob 具有可写域控制器生成的 TGT。

　　下一步，Bob 必须获得 BOB_WS 的服务票证才能对其进行操作，如下图所示。（图2）

　　BOB_WS 将 Bob 的服务票证请求发送给 RODC。该请求包含由可写域控制器颁发的 TGT。

　　RODC 不知道可写域控制器通常使用的 krbtgt 帐户的密码；因此，它必须将服务票证请求转发给可写域控制器。但是 RODC 已缓存了 Bob 的凭据；因此，它可以满足 Bob 的服务票证请求。因此，在可写域控制器成功响应转发的请求之后，RODC 向 BOB_WS 返回一条 Kerberos 错误消息而不是请求的服务票证。此错误消息指出 Bob 在服务票证请求中使用的 TGT 不再有效，因此必须颁发新的 TGT。

　　收到此错误消息之后，BOB_WS 丢弃可写域控制器颁发的 TGT，并从 RODC 请求新的 TGT。

　　RODC 已缓存了 Bob 的凭据，因此它准备一个 TGT 并用其自己 krbtgt 帐户的密码对其进行签名。

　　然后 RODC 将此新的 TGT 发送回 BOB_WS。

　　BOB_WS 将 Bob 的服务票证请求再次发送给 RODC。现在，服务票证请求包含由 RODC 颁发的 TGT。

　　RODC 处理服务票证请求。由于它没有缓存 BOB_WS 计算机帐户凭据，因此它无法创建服务票证。它必须将服务票证请求转发给某个可写域控制器。

　　可写域控制器收到来自 RODC 的服务票证请求。可写域控制器：

　　验证 TGT。（可写的域控制器可以验证 TGT，因为它知道特定于 RODC 的 krbtgt 帐户的密码。）

　　确定密码复制策略是否允许 RODC 缓存 Bob 帐户的凭据。允许 RODC 仅为允许将凭据缓存在其上的帐户创建 TGT。

　　评估 Bob 帐户的成员身份并准备服务票证的权限验证证书 (PAC) 部分。它不使用由 RODC 准备的 TGT 的 PAC 部分。这样可防止在 RODC 受到威胁以及向 TGT 的 PAC 部分放置虚假信息时提升权限。