与主 KDC 一样,从 KDC 也能为客户机生成凭证。如果主 KDC 不可用,从 KDC 将会提供备份。规划时,应为每个领域创建至少一个从 KDC。
可能需要更多从 KDC,视以下因素而定:
领域中的物理段数。通常,应至少将网络设置为领域中其他组件不可用情况下,每个段仍可工作。为此,必须能够从每个段访问 KDC。该实例中的 KDC 可以是主 KDC 或从 KDC。
领域中的客户机数量。添加更多的从 KDC 服务器可以减少当前服务器的负荷。
应避免添加太多从 KDC。由于 KDC 数据库必须传播到每台服务器,因此,安装的 KDC 服务器越多,更新整个领域中的数据所用的时间就越长。另外,因为每个从 KDC 都会保存 KDC 数据库的副本,所以增加从 KDC 会增大安全违规的风险。
应配置一个或多个从 KDC 与主 KDC 交换。以这种方式配置至少一个从 KDC 的好处是:一旦主 KDC 由于任何原因而出现故障,可以将预先配置的系统变为主 KDC。有关说明,请参见交换主 KDC 服务器与从 KDC 服务器。