Sua pergunta é toda teoria. Então eu vou responder em espécie. O AS e o TGS são servidores lógicos e, como tal, eles poderiam teoricamente ser separados. Mas, na prática, não há boas razões para implementá-las em máquinas separadas, e ninguém faz isso na vida real. Mesmo as maiores e mais movimentadas redes do mundo em termos de autenticação Kerberos não precisam separar os componentes lógicos dos KDCs. Em implementações reais do Kerberos, todos os dados que o AS precisa e todos os dados que o TGS precisa são armazenados no mesmo banco de dados. Ele poderia, teoricamente, ser separado, mas simplesmente não há uma boa razão para fazê-lo e não faria nada além de complicar desnecessariamente a implementação.