從屬 KDC

就像主 KDC 一樣，從屬 KDC 也會為客戶端生成證書。從屬 KDC 可以作為主 KDC 無法使用時的備份。每個範疇都應該有至少一個從屬 KDC。根據下列各種因素，有時候甚至還需要更多的從屬 KDC﹕

• 範疇中實際分段的數目。一般而言，網路的設定應該使每一個分段都至少能夠在沒有其餘範疇的情況下正常運作。要這麼做，就必須可以從每個分段來存取 KDC。此範例中的 KDC 可能是主或是從屬 KDC。

• 範疇中客戶端的數目 。新增更多的從屬 KDC 伺服器可以減少目前伺服器之上的負荷。

也有可能會新增太多的從屬 KDC。請記住，KDC 資料庫必須傳播至每個伺服器，所以安裝的 KDC 伺服器越多，更新整個範疇的資料時所花的時間也就越長。同時因為每個從屬都保留一份 KDC 資料庫副本，多出來的從屬就會增加安全上的顧慮。

此外，應該設置一或多個從屬 KDC 能輕易地與主 KDC 交換。在其中至少一個從屬 KDC 上利用此程序的好處是，如果主 KDC 不慎失敗，您已經事先設置好另一個系統，可以很快地改換為主 KDC。請參見 "調換主與從屬 KDC" 中有關如何設置一個可交換從屬 KDC 的說明。