Recommandations pour installer les RODC (Read Only DC)

Il n'est pas conseillé d'installer les RODC sur le même site que les DC normaux. En effet, si le RODC se trouve dans le même site que les RWDC (read write DC), et si le RODC est compromis alors les RWDC du même site risquent d'être compromis parce que le RODC utilise un compte krbtgt (qui est différent de celui d'un RWDC), qui est utilisé pour encrypter ou signer les TGT, si le RWDC se trouve dans le même site que le RODC, alors le krbtgt peut être utilisé pour encrypter de décrypter les TGT permettant d'accéder au RWDC du même site que lui.

Le fait d'avoir des RODC sur des site isolés, ceci fournit une méthode d'isolation de la cryptographie entre les KDC qui tournent sur les RODC des différents sites.

D'où la recommandation de mettre les RODC dans des sites où il n'y a pas de RWDC.

. Que ce passe t-il quand la liaison entre le site avec le RODC et le site contenant les RWDC est rompue ?

Si les credentials des utilisateurs ne sont pas mis en cache sur les RODC, alors les utilisateurs du même site que le RODC ne peuvent pas être authentifiés.

En effet, si les credentials ne sont pas dans le cache du RODC, à chaque requête d'authentification, le RODC transferre la requête au RWDC.

Même problème lors des demandes de changement de mot de passe ou de déverrouillage de compte, le RODC doit contacter le RWDC pour ces opérations.