从 KDC

从 KDC 为客户机生成资格的情形，就类似于主 KDC。从 KDC 提供备份，以防主 KDC 不可用。每个区域应当拥有至少一个从 KDC。可能会要求有附加的从 KDC，这取决于下列因素:

• 区域中物理段的数目。通常，网络应当设置为没有区域的其它部分，每个段同样可以工作，至少在最低限度上如此。如要做到这一点，要求有一个可以从每个段进行访问的 KDC，本实例中的 KDC 既可以是一个主 KDC，也可以是一个从 KDC。

• 区域中客户机的数目。添加更多的从 KDC 服务器可以降低当前服务器上的负载。

所添加的从 KDC 有可能过多。请记住， KDC 数据库必须被传播到每个服务器，因而所安装的 KDC 服务器越多，其让数据在全区域范围内得到更新所花费的时间就可能越长。另外，因为每个从 KDC 均保留 KDC 数据库的一个副本，较多的从 KDC 增加了安全折衷的风险。

另外，可以将一个或多个从 KDC 配置为轻松地与主 KDC 进行交换。在至少一个从 KDC 上执行下列本步骤的优势在于，如果主 KDC 由于某种原因而出现故障，您将拥有一个经过预配置的系统，可以轻松地将其交换为主 KDC。请参见"交换主 KDC 和从 KDC"，了解有关如何配置一个可交换从 KDC 的操作指示。