客户端浏览器如何知道向哪个 KDC 发送请求以获取票证？

Question

环境：SharePoint 和 SharePoint Kerberos

有人可以解释一下客户端浏览器如何知道在步骤 3 中向哪个密钥分发中心 (KDC) 发送获取 Kerberos 票证的请求：

1. 用户在 Internet Explorer 中输入 URL（例如 http://intranet.domain.local)
2. 客户端浏览器构造服务主体名称 (SPN)，其中包含主机名称和服务类型 ( SPN：http/intranet.domain.local – 服务类型：HTTP 名称：intranet.domain.local)
3. 客户端向 KDC 发送请求以获取此 SPN 的票证

请注意，domain.local 是不是 KDC 服务器主机名。

提前致谢， 坦率

Answer 1

该算法非常类似于这样：

1. 首先，请求被发送到客户端正在通信的域控制器。
2. 如果请求失败，客户端将查询 DNS 以获取包含 _kerberos._udp 的服务记录 (SRV)。 DnsDomainName。请参阅 http://technet.microsoft.com/en-us/library/cc961719 .aspx 了解更多详细信息。

如果您的 DNS 服务器集成到 Active Directory (AD) 中，您几乎可以免费获得它们。如果没有，您就必须自己设置它们。