klist
Muestra una lista de vales Kerberos almacenados actualmente en caché.
Importante
Debe ser al menos un administrador de dominio, o equivalente, para ejecutar todos los parámetros de este comando.
Sintaxis
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parámetros
Parámetro | Descripción |
---|---|
-LH | Denota la parte alta del identificador único local (LUID) del usuario, expresado en hexadecimal. Si ni –lh ni –li están presentes, el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente. |
-Li | Denota la parte baja del identificador único local (LUID) del usuario, expresado en hexadecimal. Si ni –lh ni –li están presentes, el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente. |
Entradas | Enumera los vales de concesión de vales (TGT) almacenados actualmente en caché y los vales de servicio de la sesión de inicio de sesión especificada. Esta es la opción predeterminada. |
Tgt | Muestra el TGT de Kerberos inicial. |
purga | Permite eliminar todos los vales de la sesión de inicio de sesión especificada. |
Sesiones | Muestra una lista de sesiones de inicio de sesión en este equipo. |
kcd_cache | Muestra la información de caché de delegación restringida de Kerberos. |
Obtener | Permite solicitar un vale al equipo de destino especificado por el nombre de entidad de seguridad de servicio (SPN). |
add_bind | Permite especificar un controlador de dominio preferido para la autenticación Kerberos. |
query_bind | Muestra una lista de controladores de dominio preferidos almacenados en caché para cada dominio al que Se ha contactado Kerberos. |
purge_bind | Quita los controladores de dominio preferidos almacenados en caché para los dominios especificados. |
kdcoptions | Muestra las opciones del Centro de distribución de claves (KDC) especificadas en RFC 4120. |
/? | Muestra ayuda para este comando. |
Observaciones
Si no se proporciona ningún parámetro, klist recupera todos los vales para el usuario que ha iniciado sesión actualmente.
Los parámetros muestran la siguiente información:
vales: muestra los vales almacenados actualmente en caché de los servicios en los que se ha autenticado desde el inicio de sesión. Muestra los siguientes atributos de todos los vales almacenados en caché:
LogonID: el LUID.
Cliente: La concatenación del nombre de cliente y el nombre de dominio del cliente.
Server: La concatenación del nombre del servicio y el nombre de dominio del servicio.
tipo de cifrado KerbTicket: El tipo de cifrado que se usa para cifrar el vale kerberos.
marcas de vale: las marcas de vale de Kerberos.
hora de inicio: la hora desde la que el vale es válido.
hora de finalización: La hora en que el vale ya no es válido. Cuando un vale ha pasado esta vez, ya no se puede usar para autenticarse en un servicio o usarse para la renovación.
Tiempo de renovación: La hora en que se requiere una nueva autenticación inicial.
Tipo de clave de sesión: El algoritmo de cifrado que se usa para la clave de sesión.
tgt: muestra el TGT de Kerberos inicial y los siguientes atributos del vale actualmente almacenado en caché:
LogonID: identificado en hexadecimal.
ServiceName: krbtgt
TargetName
<SPN>
: krbtgtDomainName: Nombre del dominio que emite el TGT.
TargetDomainName: Dominio al que se emite el TGT.
AltTargetDomainName: Dominio al que se emite el TGT.
marcas de vale: Acciones y tipo de dirección y destino.
clave de sesión: algoritmo de cifrado y longitud de clave.
StartTime: hora del equipo local que se solicitó el vale.
EndTime: Hora en que el vale ya no es válido. Cuando un vale supera esta vez, ya no se puede usar para autenticarse en un servicio.
RenewUntil: Fecha límite para la renovación de vales.
TimeSkew: diferencia de tiempo con el Centro de distribución de claves (KDC).
EncodedTicket: vale codificado.
purga: permite eliminar un vale específico. Purgar vales destruye todos los vales que ha almacenado en caché, por lo que debe usar este atributo con precaución. Puede impedir que pueda autenticarse en los recursos. Si esto sucede, tendrá que cerrar sesión e iniciar sesión de nuevo.
- LogonID: identificado en hexadecimal.
sesiones: permite enumerar y mostrar la información de todas las sesiones de inicio de sesión en este equipo.
- LogonID: Si se especifica, muestra la sesión de inicio de sesión solo con el valor especificado. Si no se especifica, muestra todas las sesiones de inicio de sesión en este equipo.
kcd_cache: permite mostrar la información de caché de delegación restringida de Kerberos.
- LogonID: Si se especifica, muestra la información de caché de la sesión de inicio de sesión por el valor especificado. Si no se especifica, muestra la información de caché de la sesión de inicio de sesión del usuario actual.
obtener: permite solicitar un vale al destino especificado por el SPN.
LogonID: Si se especifica, solicita un vale mediante la sesión de inicio de sesión por el valor especificado. Si no se especifica, solicita un vale mediante la sesión de inicio de sesión del usuario actual.
kdcoptions: Solicita un vale con las opciones KDC especificadas
add_bind: permite especificar un controlador de dominio preferido para la autenticación Kerberos.
query_bind: permite mostrar controladores de dominio almacenados en caché y preferidos para los dominios.
purge_bind: permite quitar controladores de dominio almacenados en caché y preferidos para los dominios.
kdcoptions: para obtener la lista actual de opciones y sus explicaciones, vea RFC 4120.
Ejemplos
Para consultar la caché de vales kerberos para determinar si faltan vales, si el servidor de destino o la cuenta están en error o si el tipo de cifrado no se admite debido a un error de id. de evento 27, escriba:
klist
klist –li 0x3e7
Para obtener información sobre los detalles de cada vale de concesión de vales almacenado en caché en el equipo para una sesión de inicio de sesión, escriba:
klist tgt
Para purgar la caché de vales de Kerberos, cierre sesión y vuelva a iniciar sesión, escriba:
klist purge
klist purge –li 0x3e7
Para diagnosticar una sesión de inicio de sesión y localizar un logonID para un usuario o un servicio, escriba:
klist sessions
Para diagnosticar errores de delegación restringida de Kerberos y encontrar el último error que se encontró, escriba:
klist kcd_cache
Para diagnosticar si un usuario o un servicio pueden obtener un vale en un servidor o solicitar un vale para un SPN específico, escriba:
klist get host/%computername%
Para diagnosticar problemas de replicación entre controladores de dominio, normalmente necesita el equipo cliente para dirigirse a un controlador de dominio específico. Para dirigir el equipo cliente al controlador de dominio específico, escriba:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Para consultar qué controladores de dominio se han contactado recientemente con este equipo, escriba:
klist query_bind
Para volver a detectar controladores de dominio o vaciar la memoria caché antes de crear nuevos enlaces de controlador de dominio con klist add_bind
, escriba:
klist purge_bind
Vínculos relacionados
- de clave de sintaxis de
Command-Line