我可以在 Active Directory 和 MIT KDC 之间创建单向信任,但我想知道的是,在这种情况下 Active Directory 是否也支持 Kerberos 引用(RFC 6806)。
这将允许客户端自动找出哪些主机属于哪个领域以及要联系哪个 KDC。
目前,我们总是必须在每个客户端上运行ksetup /addkdc <...>
,ksetup /addhosttorealmmap <...>
这有点繁琐(我不是 Windows 专家,但我认为这也可以使用组策略推广到所有客户端)