需求描述
客户在总部设有一套DC域（可读写），各分支设有RODC（只读），Clearpass在做peap-mschap认证的时候必须要加域，但不能使用RODC加入域，因为RODC无法创建用户。

背景描述

只读域控制器 (RODC-Read Only Domain Controller) 是 Windows Server 2008 操作系统中的一种新类型的域控制器。借助 RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory域服务 (AD DS) 数据库的只读分区。

因为DC和RODC是在不同的区域，为了实现RODC与DC失去连接时clearpass也能正常认证，所以有了如下方案。