klist
Affiche la liste des tickets Kerberos actuellement mis en cache.
Important
Vous devez être au moins un administrateur de domaine, ou équivalent, pour exécuter tous les paramètres de cette commande.
Syntaxe
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Paramètres
| Paramètre | Description |
|---|---|
| -Lh | Indique la partie élevée de l’identificateur local unique (LUID) de l’utilisateur, exprimée en hexadécimal. Si aucune –lh ni –li ne sont présentes, la commande correspond par défaut à l’ÉLÉMENT LUID de l’utilisateur actuellement connecté. |
| -Li | Indique la partie basse de l’identificateur unique local de l’utilisateur (LUID), exprimée en hexadécimal. Si aucune –lh ni –li ne sont présentes, la commande correspond par défaut à l’ÉLÉMENT LUID de l’utilisateur actuellement connecté. |
| Billets | Répertorie les tickets de ticket actuellement mis en cache (TGT) et les tickets de service de la session d’ouverture de session spécifiée. Il s’agit de l’option par défaut. |
| Tgt | Affiche le TGT Kerberos initial. |
| purger | Vous permet de supprimer tous les tickets de la session d’ouverture de session spécifiée. |
| Sessions | Affiche la liste des sessions d’ouverture de session sur cet ordinateur. |
| kcd_cache | Affiche les informations du cache de délégation Kerberos contrainte. |
| Avoir | Vous permet de demander un ticket à l’ordinateur cible spécifié par le nom du principal de service (SPN). |
| add_bind | Vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos. |
| query_bind | Affiche la liste des contrôleurs de domaine préférés mis en cache pour chaque domaine que Kerberos a contacté. |
| purge_bind | Supprime les contrôleurs de domaine préférés mis en cache pour les domaines spécifiés. |
| kdcoptions | Affiche les options du Centre de distribution de clés (KDC) spécifiées dans RFC 4120. |
| /? | Affiche l’aide pour cette commande. |
Remarques
Si aucun paramètre n’est fourni, klist récupère tous les tickets pour l’utilisateur actuellement connecté.
Les paramètres affichent les informations suivantes :
tickets - Répertorie les tickets actuellement mis en cache des services auxquels vous avez été authentifié depuis l’ouverture de session. Affiche les attributs suivants de tous les tickets mis en cache :
LogonID : LUID.
client : la concaténation du nom du client et le nom de domaine du client.
Server : la concaténation du nom de service et le nom de domaine du service.
Type de chiffrement KerbTicket : Type de chiffrement utilisé pour chiffrer le ticket Kerberos.
indicateurs de ticket : les indicateurs de ticket Kerberos.
Heure de début : Heure à partir de laquelle le ticket est valide.
Heure de fin : l’heure à laquelle le ticket n’est plus valide. Lorsqu’un ticket est passé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service ou être utilisé pour le renouvellement.
Heure de renouvellement : heure à laquelle une nouvelle authentification initiale est requise.
type de clé de session : Algorithme de chiffrement utilisé pour la clé de session.
tgt : répertorie le TGT Kerberos initial et les attributs suivants du ticket actuellement mis en cache :
LogonID : identifié en hexadécimal.
ServiceName : krbtgt
TargetName
<SPN>: krbtgtDomainName : Nom du domaine qui émet le TGT.
TargetDomainName : domaine auquel le TGT est émis.
AltTargetDomainName : domaine auquel le TGT est émis.
indicateurs de ticket : Adresse et actions cibles et type.
Clé de session : algorithme de longueur et de chiffrement de clé.
StartTime : heure de l’ordinateur local demandée par le ticket.
EndTime : heure de l’absence de validité du ticket. Lorsqu’un ticket est passé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service.
RenewUntil : échéance pour le renouvellement des tickets.
TimeSkew : différence de temps avec le Centre de distribution de clés (KDC).
EncodedTicket : ticket encodé.
purge : vous permet de supprimer un ticket spécifique. Purger les tickets détruit tous les tickets que vous avez mis en cache, donc utilisez cet attribut avec prudence. Il peut vous empêcher de pouvoir vous authentifier auprès des ressources. Si cela se produit, vous devrez vous déconnecter et vous reconnecter.
- LogonID : identifié en hexadécimal.
sessions : vous permet de répertorier et d’afficher les informations de toutes les sessions d’ouverture de session sur cet ordinateur.
- LogonID : Si spécifié, affiche la session d’ouverture de session uniquement par la valeur donnée. S’il n’est pas spécifié, affiche toutes les sessions d’ouverture de session sur cet ordinateur.
kcd_cache : vous permet d’afficher les informations du cache de délégation Kerberos contraintes.
- LogonID : Si spécifié, affiche les informations de cache de la session d’ouverture de session par la valeur donnée. S’il n’est pas spécifié, affiche les informations de cache de la session d’ouverture de session de l’utilisateur actuel.
obtenir : vous permet de demander un ticket à la cible spécifiée par le SPN.
LogonID : Si spécifié, demande un ticket à l’aide de la session d’ouverture de session par la valeur donnée. Si ce n’est pas spécifié, demande un ticket à l’aide de la session d’ouverture de session de l’utilisateur actuel.
kdcoptions : demande un ticket avec les options de KDC données
add_bind : vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos.
query_bind : vous permet d’afficher les contrôleurs de domaine mis en cache, préférés pour les domaines.
purge_bind : vous permet de supprimer les contrôleurs de domaine mis en cache, préférés pour les domaines.
kdcoptions - Pour obtenir la liste actuelle des options et leurs explications, consultez RFC 4120.
Exemples
Pour interroger le cache de ticket Kerberos pour déterminer si des tickets sont manquants, si le serveur ou le compte cible est en erreur, ou si le type de chiffrement n’est pas pris en charge en raison d’une erreur ID d’événement 27, tapez :
klist
klist –li 0x3e7
Pour en savoir plus sur les spécificités de chaque ticket d’octroi de ticket mis en cache sur l’ordinateur pour une session d’ouverture de session, tapez :
klist tgt
Pour vider le cache de ticket Kerberos, déconnectez-vous, puis reconnectez-vous, tapez :
klist purge
klist purge –li 0x3e7
Pour diagnostiquer une session d’ouverture de session et localiser un ID d’ouverture de session pour un utilisateur ou un service, tapez :
klist sessions
Pour diagnostiquer l’échec de délégation Kerberos contrainte et rechercher la dernière erreur rencontrée, tapez :
klist kcd_cache
Pour diagnostiquer si un utilisateur ou un service peut obtenir un ticket sur un serveur ou demander un ticket pour un SPN spécifique, tapez :
klist get host/%computername%
Pour diagnostiquer les problèmes de réplication entre les contrôleurs de domaine, vous avez généralement besoin de l’ordinateur client pour cibler un contrôleur de domaine spécifique. Pour cibler l’ordinateur client vers le contrôleur de domaine spécifique, tapez :
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Pour interroger les contrôleurs de domaine récemment contactés par cet ordinateur, tapez :
klist query_bind
Pour redécouvrir les contrôleurs de domaine ou vider le cache avant de créer de nouvelles liaisons de contrôleur de domaine avec klist add_bind, tapez :
klist purge_bind