用戶端/伺服器 Exchange

使用者擁有伺服器的票證之後，工作站用戶端就可以建立與該伺服器的安全通訊會話。

若要建立與伺服器的安全通訊會話

1. 用戶端會傳送KRB_AP_REQ (Kerberos 應用程式要求) 類型的訊息給伺服器。 此訊息包含驗證器訊息，該訊息會使用 金鑰發佈中心 所傳送的金鑰加密， (KDC) 與伺服器會話的票證，以及指出用戶端是否要求相互驗證的旗標。 設定要求相互驗證的旗標是設定 Kerberos的其中一個選項。 永遠不會詢問使用者是否應該使用相互驗證。
2. 伺服器會收到KRB_AP_REQ、解密票證，以及擷取使用者的授權資料和 工作階段金鑰。
3. 伺服器會使用票證中的工作階段金鑰來解密使用者的驗證器訊息，並評估內的時間戳記。
4. 如果驗證器訊息有效，伺服器會檢查用戶端要求中的相互驗證旗標。
5. 如果已設定相互驗證旗標，伺服器會使用工作階段金鑰來加密使用者驗證器訊息的時間，並在 Kerberos 應用程式回復) 類型KRB_AP_REP (傳回結果。
6. 當用戶端收到KRB_AP_REP時，它會使用與伺服器共用的工作階段金鑰來解密伺服器的驗證器訊息，並將服務所傳回的時間與其原始驗證器訊息中的時間進行比較。 如果相符，用戶端可確保服務為正版，且連線會繼續進行。