Chà, một khả năng là máy có kadmind có thể có bản sao của riêng mình của cơ sở dữ liệu, bản sao chính và tất cả các KDC chỉ có bản sao của nó.
Cả MIT Krb5 và Heimdal Kerberos đều có các công cụ sao chép, chẳng hạn như kpropd, để xây dựng các cụm KDC dự phòng. Vì vậy, trong trường hợp đơn giản nhất, bạn có thể có ba KDC nhưng chỉ một trong số chúng chạy kaadmind, với kprop được sử dụng để chuyển các thay đổi. (Bản thân các KDC không thực hiện các bản cập nhật DB vĩnh viễn, ngoài việc theo dõi tùy chọn thời gian "đăng nhập lần cuối", do đó, việc sao chép có thể là một hướng.)
Theo cách tương tự, bạn cũng có thể có một thiết lập tương tự như "bậc thầy tàng hình" trong DNS, trong đó bản sao chính được quản lý từ một máy không tiếp xúc với máy khách và tất cả các thay đổi được đẩy ra KDC thông qua kprop (hoặc rsync hoặc cơ bản kết xuất + tải qua SSH).
Một khả năng khác là KDC đang không sử dụng bộ lưu trữ BerkeleyDB dựa trên tệp ngay từ đầu. Cả MIT Kerberos và Heimdal thực sự có thể sử dụng một máy chủ LDAP làm cơ sở dữ liệu KDC và khi bạn có cơ sở dữ liệu đó, kadmind quy trình có thể kết nối với máy chủ LDAP từ xa â sẽ không có hiệu trưởng tập tin nào cả.
(Một số máy chủ LDAP cũng hỗ trợ sao chép đa chủ, có thể được sử dụng để tạo tất cả các bản sao có thể ghi, ví dụ: bạn có thể có 3 máy chạy OpenLDAP + KDC + kadmind, tất cả chúng đều "chính" như nhau.
Thật vậy, nếu bạn nhìn vào Active Directory của Microsoft, nó hoàn toàn dựa trên một thư mục LDAP chứa tất cả thông tin â bao gồm dữ liệu KDC và DNS â và tất cả các DC sao chép các thay đổi theo mọi hướng. Nó không có quy trình 'kadmin' riêng biệt; thay vào đó, tiền gốc Kerberos được tạo thông qua LDAP như một phần của toàn bộ tài khoản người dùng hoặc tài khoản mcahine và bạn chỉ có thể tạo mục nhập đó trên bất kỳ DC nào bạn muốn.)
