Читая Windows Server 2008 Active Directory Resource Kit наткнулся на забавный момент:

If a user has just changed his or her password using a down-level client, the change was made on the PDC emulator. The PDC emulator will replicate that change to a replication partner in the same site within a 15 seconds. If there is no replication partner in the same site, the password replication will not occur until the next schedule intersite replication.

Вроде бы странное утверждение. Давайте смотреть как у нас происходит распространение изменений. Всего существует три типа распространения изменений объектов AD в зависимости от типа изменения:

  • Обычная репликация. Изменения большинства объектов происходит следующим образом: на контроллере домена происходит изменение объекта, контроллер домена ждёт 15 секунд (если он на базе Windows 2000, то 300 секунд), затем пытается уведомлять ближайшего партнёра по репликации в сайте об изменении объекта. Затем с интервалом в 3 секунды ((если он на базе Windows 2000, то 30 секунд)) уведомляются остальные контроллеры домена в сайте. Изменения на другие сайты доходят через сервера-плацдармы в соответствии с расписанием, указанным в настройках межсайтового коннектора.
  • Срочная репликация. Происходит при осуществлении изменений следующих типов: блокировка учётной записи в результате превышения числа разрешённых попыток ввода пароля, изменение политик блокировки учётных записей, изменение доменных политик паролей, изменение пароля компьютерного объекта контроллера домена, изменение ключа LSA, смена владельца роли FSMO RID Master. Как следует из названия, репликация таких изменений внутри сайта происходит сразу же после их появления. Между сайтами репликация происходит сразу же только в случае включения уведомления об изменениях между сайтами (по умолчанию выключено на межсайтовом коннекторе). Иначе по расписанию.
  • Репликация изменения пароля. При изменении пароля, контроллер домена, на котором произошло изменение, сразу же пересылает его на контроллер домена с FSMO ролью PDC Emulator. Дальнейшее распространение изменения происходит через обычную репликацию. Почему не происходит распространения изменений дальше через срочную репликацию? Дело в том, что при попытке аутентификации с помощью нового пароля на контроллере домена, содержащем старую реплику пароля, он обратится к PDC Emulator’у и тот подтвердит актуальность вводимых пользователем данных. То есть пользователь сможет аутентифицироваться, даже если ближайший контроллер домена не содержит актуальную реплику пароля.

Интересные ссылки:
How the Active Directory Replication Model Works