密钥分发中心

密钥分发中心（KDC）作为域服务实现。 它使用 Active Directory 作为其帐户数据库和全局目录，将引荐定向到其他域中的 KDC。

与 Kerberos 协议的其他实现一样，KDC 是提供两个服务的单个过程：

• 身份验证服务 （AS）

  此服务颁发票证授予票证（TGT），以便连接到其自己的域中或任何受信任域中的票证授予服务。 在客户端可以向另一台计算机请求票证之前，它必须从客户端帐户域中的身份验证服务请求 TGT。 身份验证服务返回目标计算机域中票证授予服务的 TGT。 TGT 可以重复使用，直到它过期，但首次访问任何域的票证授予服务始终需要访问客户端帐户域中的身份验证服务。

• Ticket-Granting 服务（TGS）

  此服务会颁发连接到其自己的域中的计算机的票证。 当客户端想要访问计算机时，他们联系目标计算机域中的票证授予服务，提供 TGT，并请求该计算机的票证。 可以在票证过期之前重复使用票证，但首次访问任何计算机始终需要访问目标计算机的帐户域中的票证授予服务。

域的 KDC 位于域控制器上，域的 Active Directory 也是该域的 Active Directory。 这两个服务由域控制器的 本地安全机构（LSA）自动启动，并作为 LSA 进程的一部分运行。 两个服务都无法停止。 如果 KDC 对网络客户端不可用，则 Active Directory 也不可用，并且域控制器不再控制域。 系统通过允许每个域具有多个域控制器（所有对等方）来确保这些和其他域服务的可用性。 任何域控制器都可以接受身份验证请求和针对域 KDC 的票证授予请求。

任何域中 KDC 使用的安全主体 名称是“krbtgt”，由 RFC 4120指定。 创建新域时，会自动创建此安全主体的帐户。 无法删除帐户，也不能更改名称。 在创建域期间，系统会自动将随机密码值分配给帐户。 KDC 帐户的密码用于派生加密密钥，用于加密和解密它颁发的 TGT。 域信任帐户的密码用于派生用于加密引荐票证的域间密钥。

域中 KDC 的所有实例都使用域帐户作为安全主体“krbtgt”。 客户端通过包括服务的主体名称“krbtgt”和域的名称，将消息发送到域的 KDC。 这两项信息也用于票证中，以标识颁发机构。 有关名称表单和寻址约定的信息，请参阅 RFC 4120。