Репликация паролей в открытом каталоге

Из-за требований безопасности у нас есть несколько отдельных сегментов сети для каждого уровня безопасности. В корпоративной сети есть сервер Apple macOS 10.11, на котором работает Open Directory Master. В защищенной производственной сети имеется открытая реплика каталогов (правила межсетевого экрана между производственным и корпоративным разрешают необходимые службы для репликации по сетям).

У пользователей есть два компьютера: один - это компьютер общего назначения в корпоративной сети, а другой - заблокированный рабочий компьютер в производственной сети. Общего назначения связаны с OD Master, производственные компьютеры связаны с репликой OD. Политика паролей в службе каталогов настроена на истечение срока действия паролей каждые 90 дней.

Похоже, что когда пользователь сбрасывает свой пароль с рабочего компьютера, привязанного к реплике OD, а затем пытается войти в свой компьютер общего назначения, связанный с мастером OD, пароль отклоняется.

Насколько я понимаю, сервер паролей Apple должен синхронизировать пароли в двух направлениях. Правильно ли мое понимание? Если да, то каково расписание репликации по умолчанию (время) для паролей и настраивается ли оно?