从 KDC 数

与主 KDC 一样，从 KDC 也会为客户机生成凭证。如果主 KDC 不可用，则从 KDC 将提供备份。每个领域应至少有一个从 KDC。可能会需要其他从 KDC，这取决于以下因素：

• 领域中的物理段的个数。通常，应将网络设置为至少每个段都可以独立于领域的其他部分而单独工作。为此，必须能够从每个段访问 KDC。此实例中的 KDC 可以是主 KDC 或从 KDC。

• 领域中的客户机数。通过添加更多从 KDC 服务器，可以减少当前服务器的负荷。

可能会添加太多从 KDC。请记住，必须将 KDC 数据库传播到每台服务器，因此安装的 KDC 服务器越多，更新领域中的数据所用的时间就越长。此外，因为每个从 KDC 都会保存一份 KDC 数据库的副本，所以较多的从 KDC 会增加破坏安全性的风险。

另外，可以很容易地将一个或多个从 KDC 配置为与主 KDC 交换。采用这种方式配置至少一个从 KDC 的优点是：如果主 KDC 由于任何原因出现故障，则可以使用很容易交换为主 KDC 的预配置系统。有关如何配置可交换的从 KDC 的说明，请参见交换主 KDC 和从 KDC。