Network Address Translation, hoặc NAT, cho phép nhiều máy tính chia sẻ
một địa chỉ IP duy nhất. Trong một thiết lập NAT, các máy client bên trong dịch vụ NAT có sự riêng tư, không định tuyến địa chỉ IP. NAT cung cấp 1 vấn đề cho Kerberos vì các vé yêu cầu đều chứa địa chỉ IP của người yêu cầu. Vì các client yêu cầu vé trong trường hợp sử dụng NAT, nên các địa chỉ IP client
cung cấp đến KDC sẽ không trong bảng định tuyến. Vì các địa chỉ riêng tư của
client không phụ hợp với địa chỉ public của NAT nên các dịch vụ Kerberized
sẽ không cấp bất kì vé nào cho khách hàng. Ví dụ: ở hình trên
Thiết bị NAT có public IP: 132.68.153.28
Mạng nội bộ có giá trị IP trong RFC 1918 là 192.168.1.0 to 192.168.1.255 Một client (sử dụng dịch vụ NAT) có địa chỉ IP là 192.168.1.2 yêu cầu 1 TGT đến KDC bên trong hệ thống tường lửa. 1 vé TGT có giá trị cho địa chỉ IP
client 192.168.1.2 không phù hợp với địa chỉ 132.168.153.28 của NAT, nên yêu cầu của client không được thực hiện.
Việc sử dụng các vé không có trường địa chỉ (để hỗ trợ cho các thiết bị NAT)
sẽ làm giảm đi tính bảo mật. Kẻ tấn công có thể tạo một bản sao lưu bộ nhớ
caches ticket và việc tấn công replay attack có thể dễ dàng hơn.
Auditing
Windows domain controllers
Mặc dù có 1 chắc chắn rằng máy tính của bạn đã được an toàn tấn công từ
bên ngoài, bạn cũng cần phải giám sát định kì hoạt động của KDC. Tùy thuộc
vào nhà cung cấp KDC, số lượng truy cập theo măc định có thể khác nhau từ
không (cấu hình mặc định của window 2000) đến rất nhiều (MIT và Hiemdal) Việc đăng nhập được thiết lập trong sự thực thi KDC không chỉ với mục đích giám sát, mà nó còn đòng vai trò gỡ rối trong suốt quá trình hoạt động
của hệ thống Kerberos.
Sự đăng nhập của một user vào máy chủ Windown Domain Controller trong Window server 2008:
Domain: CUONG.NET Client name: admin