客户端浏览器如何知道哪个KDC发送请求以获取票证？

Question

环境：SharePoint＆amp; Kerberos的

有人可以解释客户端浏览器如何知道在步骤3中发送获取Kerberos票证的请求的密钥分发中心（KDC）：

1. 用户在Internet Explorer中键入URL（例如http://intranet.domain.local）
2. 客户端浏览器构造服务主体名称（SPN），其中包含主机名和服务类型（SPN：http / intranet.domain.local - 服务类型：HTTP名称：intranet.domain.local）< / LI>
3. 客户端向KDC发送请求以获取此SPN的票证

请注意，domain.local不是KDC服务器主机名。

提前致谢， 弗兰克

Answer 1

算法非常类似：

1. 将请求发送到客户端正在与之通信的域控制器
2. 如果请求失败，客户端将向DNS查询包含_kerberos._udp. DnsDomainName的服务记录（SRV）。有关详细信息，请参阅http://technet.microsoft.com/en-us/library/cc961719.aspx。

如果您的DNS服务器已集成到Active Directory（AD）中，您几乎可以免费获得它们。如果不是，你必须自己设置它们。