<div dir="ltr"><div>Hi,<br><br>I'm testing FreeIPA (v4.1.3, Centos 7) - AD (2012 R2) trust on branch site where only AD read-only domain controller (RODC) exists.<br>I'm aware that for initial establishing of trust I need access to writable domain controller so IPA can add trust to AD domains and trusts.<br>But after initial setup, can FreeIPA-AD trust continue to function with IPA access to RODC only? Will Kerberos authentication of AD users on IPA domain hosts work?<br></div><div>In this case, FreeIPA server should have DNS forward zone configured with RODC as a forwarder to AD?<br></div><div>AD users have cached passwords on RODC, so authentication is possible in case of WAN link failure.<br><br></div><div>Thanks!<br></div></div>