金鑰配送中心

密鑰配送中心 （KDC） 會實作為網域服務。 它會使用 Active Directory 作為其帳戶資料庫和全域編錄，將轉介導向至其他網域中的 KDC。

如同 Kerberos 通訊協定的其他實作，KDC 是提供兩項服務的單一程式：

• 驗證服務 （AS）

  此服務會發出票證授與票證（TGT），以聯機到其本身網域或任何受信任網域中的票證授與服務。 客戶端必須先向客戶端帳戶網域中的驗證服務要求 TGT，用戶端才能向另一部電腦要求票證。 驗證服務會針對目標計算機網域中的票證授與服務傳回 TGT。 TGT 可以重複使用，直到到期，但第一次存取任何網域的票證授與服務一律需要前往客戶端帳戶網域中的驗證服務。

• Ticket-Granting 服務 （TGS）

  此服務會發出與自己網域中計算機連線的票證。 當用戶端想要存取計算機時，他們會連絡目標計算機網域中的票證授與服務、出示 TGT，並要求計算機票證。 票證可以重複使用，直到到期，但第一次存取任何計算機時，一律需要前往目標計算機帳戶網域中的票證授與服務。

網域的 KDC 位於域控制器上，網域的 Active Directory 也一樣。 這兩項服務都會由域控制器的 Local Security Authority （LSA） 自動啟動，並作為 LSA 程式的一部分執行。 這兩個服務都無法停止。 如果 KDC 無法供網路用戶端使用，則 Active Directory 也無法使用，而且域控制器不再控制網域。 系統可讓每個網域有數個域控制器、所有對等，以確保這些和其他網域服務的可用性。 任何域控制器都可以接受向網域 KDC 尋址的驗證要求和票證授與要求。

任何網域中 KDC 所使用的 安全性主體 名稱為 “krbtgt”，如 rfC 4120 所指定。 建立新網域時，會自動建立此安全性主體的帳戶。 無法刪除帳戶，也無法變更名稱。 在建立網域期間，系統會自動將隨機密碼值指派給帳戶。 KDC 帳戶的密碼是用來衍生密碼編譯密鑰，以加密和解密所簽發的 TGT。 網域信任帳戶的密碼是用來衍生領域間密鑰來加密轉介票證。

網域內 KDC 的所有實例都會使用網域帳戶作為安全性主體 「krbtgt」。 用戶端會藉由同時包含服務的主體名稱 「krbtgt」 和網域名稱，將訊息尋址至網域的 KDC。 這兩個專案的資訊也會用於票證中，以識別發行授權單位。 如需名稱表單和尋址慣例的相關信息，請參閱 RFC 4120。