19、密码更改并不总是由 RODC"有关"。为什么？

　 有些密码更改操作，如由用户按 Ctrl+Alt+Del 启动的密码更改请求，必须使用可写域控制器。当客户端计算机检测到 RODC 不是可写域控制器时，它会查找可写域控制器。其他密码更改操作（如用户的密码过期以及何时提示用户登录时更改密码）不需要专门使用可写域控制器来完成。

　 20、中心域控制器如何识别复制密码的请求是来自某个 RODC？

　 RODC 绑定并且调用"复制单个对象"应用程序编程接口 (API)。绑定句柄显示它是 RODC 帐户。

　 21、为什么 RODC 通过 RSO 操作和正常复制来复制缓存的密码？

　 当将单个对象复制到分支站点中的 RODC 时，将更新序列号 (USN)，但并不更新上限（最高纪录）。因此，之后会再次将该对象复制到分支站点。

　 22、即使在拥有某个用户的密码时，RODC 也会执行密码验证转发吗？

　 是的，因为这种情况下用户提供的密码与 RODC 本地存储的密码不匹配，因此 RODC 将转发身份验证请求。RODC 将请求转发给作为其复制伙伴的可写 Windows Server 2008 域控制器，如果需要，该域控制器会将该请求转发给 PDC 仿真器。如果在可写 Windows Server 2008 域控制器或 PDC 仿真器上完成了身份验证，则 RODC 将清除当前存储的密码，并通过 RSO 操作复制新的密码。

　 23、如果域中有未占用（或已禁用）的 RODC 帐户，那么可以删除域中最后一个域控制器吗？

　 对于所有以前版本的 Windows Server，要求先从域中删除所有其他域控制器，然后才能删除最后一个域控制器。对于 Windows Server 2008，该要求包括删除所有 RODC 以及删除任何预先创建的但未使用过的 RODC 帐户。

　 24、如果分支机构中 WAN 脱机，但 RODC 联机，哪些操作会失败？

　 如果 RODC 无法连接到中心站点中运行 Windows Server 2008 的可写域控制器，则以下分支机构操作会失败：

　 密码更改

　 尝试将计算机加入域

　 计算机重命名

　 对其凭据未在 RODC 上缓存的帐户进行的身份验证尝试

　 管理员可能通过运行 gpupdate /force 命令尝试的组策略更新

　 如果分支机构中 WAN 脱机，但 RODC 联机，哪些操作会成功？

　 如果 RODC 无法连接到中心站点中运行 Windows Server 2008 的可写域控制器，则以下分支机构操作会成功：

　 身份验证和登录尝试（如果已缓存资源和请求者的凭据）

　 本地 RODC 服务器管理（如果管理服务器的人是本地 Administrators 组的成员）

　 25、RODC 为什么没有相对 ID (RID) 池？

　 所有可写域控制器都可以从其各自的 RID 池分配 RID 以创建所需的安全主体。由于 RODC 无法创建安全主体，因此它不能提供任何 RID，并且永远不会为 RODC 分配 RID 池。