klist

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Zeigt eine Liste der derzeit zwischengespeicherten Kerberos-Tickets an.

Wichtig

Sie müssen mindestens ein Domänenadministratoroder gleichwertig sein, um alle Parameter dieses Befehls auszuführen.

Syntax

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parameter

Parameter	Beschreibung
-Lh	Gibt den hohen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, ausgedrückt in hexadezimal. Wenn weder -lh noch –li vorhanden sind, wird standardmäßig die LUID des Aktuell angemeldeten Benutzers verwendet.
-Li	Gibt den niedrigen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, ausgedrückt in hexadezimal. Wenn weder -lh noch –li vorhanden sind, wird standardmäßig die LUID des Aktuell angemeldeten Benutzers verwendet.
Billette	Listet die derzeit zwischengespeicherten Ticketerteilungen (TGTs) und Servicetickets der angegebenen Anmeldesitzung auf. Dies ist die Standardoption.
Tgt	Zeigt die anfängliche Kerberos-TGT an.
säubern	Ermöglicht es Ihnen, alle Tickets der angegebenen Anmeldesitzung zu löschen.
Sitzungen	Zeigt eine Liste der Anmeldesitzungen auf diesem Computer an.
kcd_cache	Zeigt die Informationen zum eingeschränkten Kerberos-Delegierungscache an.
Erhalten	Ermöglicht es Ihnen, ein Ticket an den Zielcomputer anzufordern, der durch den Dienstprinzipalnamen (SPN) angegeben ist.
add_bind	Ermöglicht ihnen die Angabe eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung.
query_bind	Zeigt eine Liste der zwischengespeicherten bevorzugten Domänencontroller für jede Domäne an, die Kerberos kontaktiert hat.
purge_bind	Entfernt die zwischengespeicherten bevorzugten Domänencontroller für die angegebenen Domänen.
kdcoptions	Zeigt die in RFC 4120 angegebenen KDC-Optionen (Key Distribution Center) an.
/?	Zeigt die Hilfe für diesen Befehl an.

Bemerkungen

• Wenn keine Parameter angegeben werden, ruft klist alle Tickets für den aktuell angemeldeten Benutzer ab.

• Die Parameter zeigen die folgenden Informationen an:

  • Tickets – Listet die aktuell zwischengespeicherten Tickets von Diensten auf, die Sie seit der Anmeldung authentifiziert haben. Zeigt die folgenden Attribute aller zwischengespeicherten Tickets an:

    • Anmelde-ID: Die LUID.

    • Client: Die Verkettung des Clientnamens und des Domänennamens des Clients.

    • Server: Die Verkettung des Dienstnamens und des Domänennamens des Diensts.

    • KerbTicket-Verschlüsselungstyp: Der Verschlüsselungstyp, der zum Verschlüsseln des Kerberos-Tickets verwendet wird.

    • Ticketflags: Die Kerberos-Ticketkennzeichnungen.

    • Startzeit: Die Uhrzeit, zu der das Ticket gültig ist.

    • Endzeit: Die Uhrzeit, zu der das Ticket nicht mehr gültig ist. Wenn ein Ticket dieses Mal vorbei ist, kann es nicht mehr verwendet werden, um sich bei einem Dienst zu authentifizieren oder zur Verlängerung zu verwenden.

    • Verlängerungszeit: Die Zeit, zu der eine neue anfängliche Authentifizierung erforderlich ist.

    • Sitzungsschlüsseltyp: Der Verschlüsselungsalgorithmus, der für den Sitzungsschlüssel verwendet wird.

  • tgt – Listet die anfänglichen Kerberos-TGT und die folgenden Attribute des aktuell zwischengespeicherten Tickets auf:

    • LogonID: als hexadezimal identifiziert.

    • ServiceName: krbtgt

    • TargetName <SPN>: krbtgt

    • DomainName: Name der Domäne, die das TGT ausgibt.

    • TargetDomainName: Domäne, für die die TGT ausgegeben wird.

    • AltTargetDomainName: Domäne, für die die TGT ausgegeben wird.

    • Ticketkennzeichnungen: Adress- und Zielaktionen und -typ.

    • Sitzungsschlüssel: Schlüssellängen- und Verschlüsselungsalgorithmus.

    • StartTime: Zeit des lokalen Computers, zu der das Ticket angefordert wurde.

    • EndTime: Uhrzeit, zu der das Ticket nicht mehr gültig ist. Wenn ein Ticket dieses Mal vorbei ist, kann es nicht mehr für die Authentifizierung bei einem Dienst verwendet werden.

    • RenewUntil: Stichtag für die Ticketverlängerung.

    • TimeSkew: Zeitunterschied mit dem Key Distribution Center (KDC).

    • EncodedTicket: Codiertes Ticket.

  • löschen – Ermöglicht es Ihnen, ein bestimmtes Ticket zu löschen. Durch das Löschen von Tickets werden alle Tickets zerstört, die Sie zwischengespeichert haben. Verwenden Sie daher dieses Attribut mit Vorsicht. Möglicherweise wird verhindert, dass Sie sich bei Ressourcen authentifizieren können. In diesem Fall müssen Sie sich abmelden und sich erneut anmelden.

    • LogonID: als hexadezimal identifiziert.

  • Sitzungen – Ermöglicht es Ihnen, die Informationen für alle Anmeldesitzungen auf diesem Computer auflisten und anzuzeigen.

    • Anmelde-ID: Wenn angegeben, wird die Anmeldesitzung nur durch den angegebenen Wert angezeigt. Wenn nicht angegeben, werden alle Anmeldesitzungen auf diesem Computer angezeigt.

  • kcd_cache – Ermöglicht ihnen das Anzeigen der Eingeschränkten Kerberos-Delegierungscacheinformationen.

    • Anmelde-ID: Wenn angegeben, werden die Cacheinformationen für die Anmeldesitzung anhand des angegebenen Werts angezeigt. Falls nicht angegeben, werden die Cacheinformationen für die Anmeldesitzung des aktuellen Benutzers angezeigt.

  • abrufen – Ermöglicht es Ihnen, ein Ticket an das Ziel anzufordern, das vom SPN angegeben wird.

    • Anmelde-ID: Fordert ein Ticket mithilfe der Anmeldesitzung anhand des angegebenen Werts an. Falls nicht angegeben, fordert ein Ticket mithilfe der Anmeldesitzung des aktuellen Benutzers an.

    • kdcoptions: fordert ein Ticket mit den angegebenen KDC-Optionen an.

  • add_bind – Ermöglicht Ihnen die Angabe eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung.

  • query_bind – Ermöglicht es Ihnen, zwischengespeicherte, bevorzugte Domänencontroller für die Domänen anzuzeigen.

  • purge_bind – Ermöglicht es Ihnen, zwischengespeicherte, bevorzugte Domänencontroller für die Domänen zu entfernen.

  • kdcoptions – Die aktuelle Liste der Optionen und deren Erläuterungen finden Sie unter RFC 4120.

Beispiele

Um den Kerberos-Ticketcache abzufragen, um festzustellen, ob Tickets fehlen, wenn der Zielserver oder das Konto fehlerhaft ist oder der Verschlüsselungstyp aufgrund eines Fehlers der Ereignis-ID 27 nicht unterstützt wird, geben Sie Folgendes ein:

klist

klist –li 0x3e7

Um mehr über die Besonderheiten der einzelnen Ticketerteilungstickets zu erfahren, die auf dem Computer für eine Anmeldesitzung zwischengespeichert werden, geben Sie Folgendes ein:

klist tgt

Um den Kerberos-Ticketcache zu löschen, melden Sie sich ab, und melden Sie sich dann wieder an, geben Sie Folgendes ein:

klist purge

klist purge –li 0x3e7

Um eine Anmeldesitzung zu diagnostizieren und eine Anmelde-ID für einen Benutzer oder einen Dienst zu suchen, geben Sie Folgendes ein:

klist sessions

Um kerberos-eingeschränkte Delegierungsfehler zu diagnostizieren und den letzten aufgetretenen Fehler zu finden, geben Sie Folgendes ein:

klist kcd_cache

Um zu diagnostizieren, ob ein Benutzer oder ein Dienst ein Ticket für einen Server erhalten kann, oder um ein Ticket für einen bestimmten SPN anzufordern, geben Sie Folgendes ein:

klist get host/%computername%

Um Replikationsprobleme über Domänencontroller hinweg zu diagnostizieren, benötigen Sie in der Regel den Clientcomputer, um einen bestimmten Domänencontroller als Ziel zu verwenden. Geben Sie Folgendes ein, um den Clientcomputer auf den bestimmten Domänencontroller zu richten:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Geben Sie Folgendes ein, um abzufragen, welche Domänencontroller kürzlich von diesem Computer kontaktiert wurden:

klist query_bind

Um Domänencontroller wiederzuentdecken oder den Cache vor dem Erstellen neuer Domänencontrollerbindungen mit klist add_bindzu leeren, geben Sie Folgendes ein:

klist purge_bind

Verwandte Links

• Command-Line Syntaxschlüssel