KDC esclavos

Los KDC esclavos generan credenciales para los clientes, al igual que el KDC maestro. Estos KDC esclavos sirven de reserva en caso de que el maestro no esté disponible. Cada ámbito debe tener un KDC esclavo como mínimo. Puede que se necesiten KDC esclavos adicionales, de acuerdo con estos factores:

• El número de segmentos físicos del ámbito. Normalmente, la red debería estar configurada para que cada segmento pueda funcionar de forma mínima, por lo menos, sin el resto del ámbito. Para ello, es necesario que haya accesible un KDC desde cada segmento. En este caso, el KDC podría ser un maestro o un esclavo.

• El número de clientes del ámbito. La adición de más servidores KDC esclavos puede reducir la carga de los servidores actuales.

Es posible agregar demasiados KDC esclavos. Recuerde que debe propagarse la base de datos de KDC a cada servidor, de forma que cuantos más servidores KDC hayan instalados, más se tardará en actualizar los datos a través del ámbito. Además, como cada esclavo conserva una copia de la base de datos de KDC, un número mayor de esclavos incrementa el riesgo de una infracción de seguridad.

Además, puede configurarse uno o varios de los KDC esclavos para intercambiarlo fácilmente con el KDC maestro. La ventaja de seguir este procedimiento en uno de los KDC esclavos como mínimo es que si el KDC maestro falla por cualquier motivo, tendrá preconfigurado un sistema que podrá intercambiar fácilmente por el maestro. Véase "Intercambio de KDC maestro y esclavo" para obtener instrucciones sobre cómo configurar un KDC esclavo intercambiable.