基于RODC的身份验证过程2
2007-08-06   中国IT实验室

下一步，Bob必须得到一张服务票据使得BOB_WS能够工作，如下图所示：

1. BOB_WS将Bob的服务票据（service ticket）请求发送至RODC。这个请求包含了可写域控制器颁发的TGT。
2. RODC不知道可写域控制器使用的公共krbtgt账户密码；因此，它必须传递服务票据请求至可写域控制器。但是RODC上缓存着Bob的凭据。因此，因此它能满足Bob的服务票据请求。结果是，当可写域控制器成功的响应了传递的请求，RODC返回一条Kerberos错误信息而不是为BOB_WS请求的服务票据。这条错误消息说明Bob在服务票据请求中使用的TGT将不在有效而新的TGT必须被颁发。
3. 当收到这条错误消息后，BOB_WS放弃可写域控制器颁发的TGT。并重新向RODC请求新的TGT。
4. RODC上有Bob的凭据缓存，因此，它准备了TGT并使用它自己的krbtgt密码进行签名。
5. 随后RODC将新的TGT发送回BOB_WS。
6. BOB_WS再次将Bob的服务票据请求发送至RODC。现在，服务票据请求包含了RODC颁发的TGT。
7. RODC处理服务票据请求。因为它没有BOB_WS计算机账户的凭据缓存，它不能创建服务票据。它必须传递服务票据请求值可写域控制器。
8. 可写域控制器收到来自RODC的服务票据请求。随后可写域控制器进行了一下几步
　　1. 验证TGT。（可写域控制器之所以能验证TGT是因为它知道RODC特定的krbtgt账户密码。）
　　2. 根据密码复制策略决定是否允许RODC缓存Bob帐号的凭据。RODC只被允许创建允许在RODC上缓存凭据的账户的TGT。
　　3. 对Bob账户的成员关系进行评价并准备服务票据的特权认证证明（Privilege Authentication Certificate ，PAC）部分。它不使用由RODC准备的TGT的PAC部分。这防止了权限提升万一RODC遭受威胁以及在TGT的PAC部分中放置欺诈信息。
9. 可写域控制器创建服务票据并将它发送回RODC。
10. 随后RODC将服务票据传递给BOB_WS。
11. Bob能够在BOB_WS上开始工作。
12. 在RODC将服务票据发送回BOB_WS后，也向可写域控制器请求将BOB_WS的凭据复制至它的活动目录数据库的副本区（replica）
13. 当上游域控制器收到复制BOB_WS账户凭据至RODC的请求时，它会检查密码复制策略来查看RODC是否被允许缓存BOB_WS账户的凭据。
14. 如果凭据能被缓存，那么可写域控制器允许BOB_WS的账户凭据被复制到RODC。
15. 同时，可写域控制器将请求的凭据发送给RODC，可写域控制器向RODC计算机账户msDS-RevealedList属性写入了BOB_WS账户的相对可分辨名称（distinguished name，DN）。这在RODC上创建BOB_WS凭据被缓存的记录。
16. RODC在活动目录数据库的用户的合适属性中储存了BOB_WS的凭据。

此时：
Bob已经登录至BOB_WS工作站，他能够请求服务票据来访问位于服务器上的资源，同样的方式他为自己的工作站请求服务票据。
如果Bob访问的任何计算机允许在RODC上缓存凭据，RODC缓存凭据就如同它处理服务票据请求一样。
RODC缓存了BOB_WS计算机账户的凭据。
可写域控制器创建了一条记录并像RODC显示BOB_WS计算机账户的凭据。

当Bob下次尝试登录到BOB_WS工作站时，RODC将不必联系可写域控制器来处理登录请求因为它已经缓存了Bob账户及BOB_WS计算机账户的凭据，如下图所示：

1. RODC在分支机构宣告成为KDC。这意味着当BOB_WS搜索域控制器来认证Bob的登录请求时，它将找到并使用RODC作为KDC。BOB_WS 的Kerberos认证包准备了TGT请求并将它发送给RODC
2. RODC收到来自BOB_WS的TGT请求，因为已经知道Bob账户的密码，它能够为Bob创建TGT。RODC创建TGT时将使用它自己的krbtgt账户。
3. RODC将TGT发送回BOB_WS，BOB_WS在与Bob登录会话关联的票据缓存中存储了TGT。
4. 为了能在BOB_WS上工作，Bob需要服务票据来获得访问。在BOB_WS上的认证包准备TGT请求并将它发送至RODC。
5. RODC收到来自BOB_WS的服务票据请求，并且因为已知BOB_WS计算机账户的密码，它能够为Bob创建服务票据来访问BOB_WS。当创建TGT时，RODC使用它自身的krbtgt账户。
6. RODC将服务票据发送回BOB_WS，BOB_WS在与Bob登录会话关联的票据缓存中存储了服务票据。
7. Bob能够在BOB_WS上开始工作。