Replication do AD para o RODC; Failover para o RODC quando o DC não está disponível

Configurei com êxito um Roteador no palito e duas sub-redes:

1. 10,0 / 16
2. 10,1 / 16

As subinterfaces do meu roteador estão definidas como 10.0.0.1 e 10.1.0.1, respectivamente.

Meu controlador de domínio principal, executando o Windows Server 2008, está localizado em 10.0.0.3. Meu controlador de domínio somente leitura, também executando o Win 2008, está localizado em 10.1.0.3.

Além disso, tenho três estações de trabalho (Windows XP) nesta rede de laboratório. 1 estação de trabalho está na rede 10.0 / 16 e duas delas estão na rede 10.1 / 16.

Eu também tenho dois sites nessa floresta do Active Directory, e o site está emparelhado com a sub-rede e o controlador de domínio. Eu tenho um grupo para cada site, e tenho diferentes usuários adicionados a diferentes grupos, e assegurei que o grupo atribuído às senhas de rede 10.1 / 16 sejam "permitidos" para serem armazenados em cache pelo RODC.

Meta: Para replicar os usuários do site 10.1 / 16 (e, eventualmente, pastas, arquivos, etc ...) para o DC somente leitura no 10.1.0.3, para que o RODC manipule autenticação do usuário se o DC primário ficar indisponível.

Atualmente sou capaz de autenticar todas as estações de trabalho para o Controlador de Domínio Primário sem um problema. Também verifiquei que minhas contas de 10,1 / 16 usuários foram armazenadas em cache no RODC em 10.1.0.3.

No entanto, quando eu desconecto o Controlador de Domínio Primário da rede e tento acessar uma estação de trabalho na rede 10.1 como um usuário que nunca se autenticou naquele PC em particular (mas cujas contas ESTÃO armazenadas em cache no RODC), o login falha porque o domínio não está disponível.

Obviamente, não conheço meu objetivo e estou tentando descobrir o porquê. Alguma pista ou sugestão?