deux conditions avant de pouvoir activer
Kerberos pour l’authentification entre un client et un serveur. D’abord, le SSP
(Security Support Provider) de Kerberos, c’est-à -dire le code qui fournit la logique
de Kerberos, doit se trouver à  la fois sur le client et le serveur. Deuxième condition,
les applications client et serveur doivent reconnaître les références de Kerberos
(par exemple les tickets, les authentificateurs, les TGT (ticket-granting tickets
– tickets accordant les tickets).

Kerberos existe sur toutes les plates-formes Windows 2000. Chaque service Exchange
2000 l’utilise pour s’authentifier vis-à -vis d’un domaine Windows 2000. Par défaut
les services Exchange 2000 utilisent les références du Compte système local (c’est-à -dire
le compte et le mot de passe de la machine) pour se connecter au domaine Windows
2000. Cette utilisation du Compte système local assure une meilleure sécurité
des mots de passe que les précédents compromis de sécurité d’Exchange, parce que
Windows 2000 génère automatiquement les mots de passe du compte système et les
renouvelle à  intervalles réguliers. Ce changement dans Exchange 2000 élimine nombre
de problèmes liés au compte de service d’Exchange Server 5.5. Dans Exchange Server
5.5 les administrateurs système utilisent parfois leur compte d’utilisateur pour
le compte du service, ce qui peut empêcher les services Exchange de démarrer si
le compte est verrouillé.

Kerberos existe sur toutes les plates-formes Windows 2000 et chaque service
Exchange 2000 l’utilise pour s’authentifier à  un domaine Windows 2000

Bien que les services d’Exchange 2000 utilisent Kerberos pour s’authentifier à 
un domaine Windows 2000, l’IS (Information Store) d’Exchange 2000 ne reconnaît
pas les références Kerberos. Les clients s’authentifiant vis-à -vis d’Exchange
2000 ne peuvent pas utiliser les fonctions Kerberos, comme la délégation de l’authentification
et l’authentification mutuelle. Un utilisateur se connectant à  une boîte aux lettres
d’Exchange 2000 utilise NTLM pour l’authentification.