簡介唯讀網域控制站 RODC
唯讀網域控制站 (Read-Only Domain Controller，RODC) 是 Windows Server 2008 新類型的網站控制站，RODC在 Active Directory 中只可以讀取，不能被修改，其資料來自其他可寫式網路控制站複製資料過來。RODC 經常使用在遠端分公司網路，可以避免 Active Directory 資料庫被破壞而導致 AD DS 環境出問題。

RODC 的 AD 資料庫會儲存 AD DS 的所有物件與屬性，假如分公司使用 RODC，就可以透過它快速存取 AD 資料庫內的物件，但 RODC 不會儲存使用者帳戶密碼，因此為了要驗證使用者，還是必須要透過可寫式網域控制站來做驗證，且假如需要做物件修改或者使用者密碼修改的話，都必須透過總公司的可寫式網域控制站做修改，修改後再透過 AD 資料庫複製程式將異動資料複製到 RODC 中，這是屬於單向複製的情況。

而 RODC 為了提升使用者驗證的速度，我們可以將密碼儲存到 RODC 的認證快取區，但考慮安全性，請不要設定過多的密碼到認證區中。

網域控制站診斷工具 (dcdiag.exe) 會分析樹系中一個或所有網域控制站的狀態，並報告任何問題，以協助疑難排解。
網域控制站診斷工具 (dcdiag.exe) 會分析樹系中一個或所有網域控制站的狀態，並報告任何問題，以協助疑難排解。

相關指令可到 TechNet 論壇查詢

http://technet.microsoft.com/zh-tw/library/cc776854(WS.10).aspx

目前我有使用到的參數有

DCDIAG /v

詳細資訊。除了錯誤及警告的資訊外，也會呈現成功測試結果的資訊 (如果沒有使用 /v 參數，則只會呈現錯誤及警告資訊)。Microsoft 建議在摘要表格中報告錯誤或警告時，使用 /v 參數。

DCDIAG /TEST:DNS

用於確認 DNS 狀況。

DCDIAG /DnsBasic

執行基本 DNS 測試 (包括網路連線能力、DNS 用戶端設定、服務可用性及區域存在性)。

建立RODC需要Schema Admin 及 Enterprise Admins
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/deploy/rodc/install-a-windows-server-2012-active-directory-read-only-domain-controller--rodc---level-200-