In fondo a questo articolo link
- If the RODC is configured to cache passwords, change the RODC’s krbtgt_###### account’s password on a regular basis (2x every year). Microsoft’s krbtgt change script is not geared for the RODC krbtgt account (the risk of changing the RODC krbtgt password is very low). In Active Directory Users and Computers, right-click on the krbtgt_###### and change the password (set it to pretty much anything, Windows should automatically set the password to a random value).
Se leggi l'articolo, l'account krbtgt su un RODC è simile a quello del dominio "reale" (DC scrivibile), limitato a diversi gruppi di utenti / computer, se è stato impostato correttamente. Quindi è opportuno anche resettare gli account krbtgt RODC.
(Mi chiedo perché qualcosa di simile non sia incorporato in AD. Una casella di controllo da qualche parte, per abilitare la rotazione automatica di tutti quegli account krbtgt .... sarebbe bello :))
Leggi altre domande sui tag active-directory kerberos domain-controller