基于RODC的身份驗證過程

以下場景幫助解釋了基于RODC的身份驗證過程。在這個場景中：
    用戶Bob想要登錄到名稱為BOB_WS的工作站。
    安裝BOB_WS工作站子網(wǎng)由一臺RODC提供服務(wù)。
    Bob的用戶賬戶被允許在RODC上緩存憑據(jù)，但是憑據(jù)當前還沒有緩存。
    計算機賬戶BOB_WS被允許在RODC上緩存憑據(jù)，但是憑據(jù)當前還沒有緩存。
    Bob嘗試在工作站（BOB_WS）上登錄。首先，必須從域控制器處獲得TGT。在本場景中TGT的獲得過程如下圖所示
    1. RODC在分支機構(gòu)宣告成為KDC。這意味著當BOB_WS搜索域控制器來認證Bob的登錄請求時，它將找到并使用RODC作為KDC?！　　OB_WS 的Kerberos認證包準備了TGT請求并將它發(fā)送給RODC
    2. RODC收到來至BOB_WS的TGT請求。因為RODC不知道Bob的賬戶密碼，所以不能為Bob創(chuàng)建TGT。隨后RODC將TGT請求傳遞給運行Windows Server 2008的可寫域控制器。
    3. 運行Windows Server 2008的可寫域控制器驗證請求。
    4. 隨后結(jié)果返回給RODC。如果Bob提供了正確的憑據(jù)，那么結(jié)果就是獲得TGT。如果Bob的憑據(jù)驗證失敗，將會導(dǎo)致一條錯誤信息。在這個場景中，如果Bob在登錄時輸入了正確的用戶名及密碼，那么驗證過程將獲得成功。
    5. 同時，可寫域控制器返回TGT給RODC，它也向RODC計算機賬戶msDS-AuthenticatedToAccountList屬性添加了Bob賬戶的相對可分辨名稱（distinguished name，DN）。RODC創(chuàng)建了一條Bob已經(jīng)被驗證的記錄。
    6. 隨后RODC將結(jié)果傳遞給BOB_W S。
    7. 在RODC將TGT發(fā)送回BOB_WS以后，它也向可寫域控制器請求將Bob的憑據(jù)復(fù)制至它的活動目錄數(shù)據(jù)庫的副本區(qū)（replica）
    8. 當可寫域控制器收到將Bob的憑據(jù)復(fù)制到RODC的請求時，它會檢查密碼復(fù)制策略來查看RODC是否被允許緩存Bob賬戶的憑據(jù)。
    9. 如果檢查表明憑據(jù)能被緩存，那么可寫域控制器將會允許復(fù)制Bob賬戶的憑據(jù)至RODC。
    10. 在可寫域控制器發(fā)送RODC請求的憑據(jù)的同時，可寫域控制器在RODC計算機賬戶的msDS-RevealedList屬性中寫入Bob賬戶的相對可分辨名稱（DN）。這創(chuàng)建了一條說明Bob的賬戶憑據(jù)已被緩存在RODC上的記錄。
    11. RODC在活動目錄數(shù)據(jù)庫的用戶的合適屬性中儲存了Bob的憑據(jù)。
    此時：
    在可寫域控制器上有一條允許復(fù)制Bob的憑據(jù)至RODC的記錄。
    Bob賬戶憑據(jù)在RODC上已被緩存。
    Bob擁有可寫域控制器產(chǎn)生的TGT。