用戶端/伺服器 Exchange

用戶擁有伺服器的票證之後，工作站用戶端就可以與該伺服器建立安全的通訊會話。

若要建立與伺服器 的安全通訊會話

1. 用戶端會將類型為 KRB_AP_REQ 的訊息傳送給伺服器（Kerberos 應用程式要求）。 此訊息包含驗證器訊息，此訊息會使用與伺服器會話的 密鑰發佈中心 傳送的金鑰加密、伺服器的會話票證，以及指出用戶端是否要求相互驗證的旗標。 設定要求相互驗證的旗標是設定 kerberos 的其中一個選項。 用戶永遠不會被問及是否應該使用相互驗證。
2. 伺服器會接收KRB_AP_REQ、解密票證，並擷取使用者的授權數據和 會話密鑰。
3. 伺服器會使用票證中的會話密鑰來解密使用者的驗證器訊息，並評估內部的時間戳。
4. 如果驗證器訊息有效，伺服器會檢查用戶端要求中的相互驗證旗標。
5. 如果已設定相互驗證旗標，伺服器會使用會話密鑰來加密使用者驗證器訊息的時間，並傳回類型為 KRB_AP_REP 的訊息結果（Kerberos 應用程式回復）。
6. 當用戶端收到KRB_AP_REP時，它會使用與伺服器共用的會話密鑰解密伺服器的驗證器訊息，並將服務所傳回的時間與其原始驗證器訊息中的時間進行比較。 如果相符，客戶端會確保服務是正版的，而且聯機會繼續進行。