Kerberos 安装的域被称为领域，并由一个名称来标识，如 FOOBAR.COM 或更简单的 ACCOUNTING。Kerberos 是区分大小写的，所以 foobar.com 实际上是一个与 FOOBAR.COM 不同的领域。您可根据自己的偏好选择使用大小写。但通常的做法是使用大写领域名。

使用您的 DNS 域名（或子域，如 ACCOUNTING.FOOBAR.COM）也是个不错的选择。如下所示，如果将 Kerberos 客户机配置为通过 DNS 来查找 KDC 和其他 Kerberos 服务，则系统管理员的工作就轻松多了。要做到这一点，则使您的领域名是 DNS 域名的子域。

与 DNS 名称空间不同，Kerberos 是不分级的。您不能设置一个名为 FOOBAR.COM 的领域并在其下设置两个名为 DEVELOPMENT 和 ACCOUNTING 的“子领域”并期望这两个从属领域会以某种方式从 FOOBAR.COM 继承主体。相反，应设置 3 个单独的领域，而且必须为其配置跨领域身份验证，这样，一个领域的用户才能与另一个领域的服务器或其他用户进行交互。

为了便于说明，假定您只为整个组织设置一个领域。在本章剩余部分中，将在所有示例中使用领域名 SAMPLE.COM。