klist
Visualizza un elenco dei ticket Kerberos attualmente memorizzati nella cache.
Importante
Per eseguire tutti i parametri di questo comando, è necessario essere almeno un amministratore di dominio
Sintassi
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parametri
| Parametro | Descrizione |
|---|---|
| -LH | Indica la parte alta dell'identificatore univoco locale (LUID) dell'utente, espressa in formato esadecimale. Se non sono presenti né –lh né –li, il comando viene impostato per impostazione predefinita sul LUID dell'utente che ha eseguito l'accesso. |
| -li | Indica la parte bassa dell'identificatore univoco locale (LUID) dell'utente, espressa in formato esadecimale. Se non sono presenti né –lh né –li, il comando viene impostato per impostazione predefinita sul LUID dell'utente che ha eseguito l'accesso. |
| Biglietti | Elenca i ticket attualmente memorizzati nella cache e i ticket di servizio della sessione di accesso specificata. Questa è l'opzione predefinita. |
| Tgt | Visualizza il TGT Kerberos iniziale. |
| epurazione | Consente di eliminare tutti i ticket della sessione di accesso specificata. |
| Sessioni | Visualizza un elenco di sessioni di accesso nel computer. |
| kcd_cache | Visualizza le informazioni sulla cache della delega vincolata Kerberos. |
| Ottieni | Consente di richiedere un ticket al computer di destinazione specificato dal nome dell'entità servizio (SPN). |
| add_bind | Consente di specificare un controller di dominio preferito per l'autenticazione Kerberos. |
| query_bind | Visualizza un elenco di controller di dominio preferiti memorizzati nella cache per ogni dominio contattato da Kerberos. |
| purge_bind | Rimuove i controller di dominio preferiti memorizzati nella cache per i domini specificati. |
| kdcoptions | Visualizza le opzioni del Centro distribuzione chiavi (KDC) specificate in RFC 4120. |
| /? | Visualizza la Guida per questo comando. |
Osservazioni
Se non vengono specificati parametri, klist recupera tutti i ticket per l'utente attualmente connesso.
I parametri visualizzano le informazioni seguenti:
ticket: elenca i ticket attualmente memorizzati nella cache dei servizi a cui è stata eseguita l'autenticazione dopo l'accesso. Visualizza gli attributi seguenti di tutti i ticket memorizzati nella cache:
LogonID: LUID.
Client: La concatenazione del nome client e del nome di dominio del client.
Server: La concatenazione del nome del servizio e il nome di dominio del servizio.
Tipo di crittografia KerbTicket: Tipo di crittografia usato per crittografare il ticket Kerberos.
flag ticket : i flag del ticket Kerberos.
ora di inizio: l'ora da cui il ticket è valido.
Ora di fine: L'ora in cui il ticket non è più valido. Quando un ticket è passato questa volta, non può più essere usato per eseguire l'autenticazione a un servizio o essere usato per il rinnovo.
tempo di rinnovo: l'ora in cui è necessaria una nuova autenticazione iniziale.
tipo di chiave di sessione: Algoritmo di crittografia usato per la chiave di sessione.
tgt : elenca il TGT Kerberos iniziale e gli attributi seguenti del ticket attualmente memorizzato nella cache:
LogonID: identificato in esadecimale.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: nome del dominio che rilascia il TGT.
TargetDomainName: dominio a cui viene emesso il TGT.
AltTargetDomainName: dominio a cui viene rilasciato il TGT.
Flag ticket: azioni e tipo di destinazione.
chiave di sessione: lunghezza della chiave e algoritmo di crittografia.
StartTime:'ora del computer locale richiesta dal ticket.
EndTime: Ora in cui il ticket non è più valido. Quando un ticket è passato questa volta, non può più essere usato per eseguire l'autenticazione a un servizio.
RenewUntil: scadenza per il rinnovo del ticket.
TimeSkew: differenza di tempo con il Centro distribuzione chiavi (KDC).
EncodedTicket: ticket codificato.
di eliminazione: consente di eliminare un ticket specifico. L'eliminazione dei ticket distrugge tutti i ticket memorizzati nella cache, quindi usare questo attributo con cautela. Potrebbe non essere possibile eseguire l'autenticazione alle risorse. In questo caso, sarà necessario disconnettersi e accedere di nuovo.
- LogonID: identificato in esadecimale.
sessioni: consente di elencare e visualizzare le informazioni per tutte le sessioni di accesso in questo computer.
- LogonID: Se specificato, visualizza la sessione di accesso solo in base al valore specificato. Se non specificato, visualizza tutte le sessioni di accesso nel computer.
kcd_cache: consente di visualizzare le informazioni sulla cache della delega vincolata Kerberos.
- LogonID: Se specificato, visualizza le informazioni della cache per la sessione di accesso in base al valore specificato. Se non specificato, visualizza le informazioni della cache per la sessione di accesso dell'utente corrente.
ottenere: consente di richiedere un ticket alla destinazione specificata dal nome SPN.
LogonID: Se specificato, richiede un ticket usando la sessione di accesso in base al valore specificato. Se non specificato, richiede un ticket usando la sessione di accesso dell'utente corrente.
kdcoptions: Richiede un ticket con le opzioni KDC specificate
add_bind: consente di specificare un controller di dominio preferito per l'autenticazione Kerberos.
query_bind: consente di visualizzare i controller di dominio preferiti memorizzati nella cache per i domini.
purge_bind: consente di rimuovere i controller di dominio preferiti memorizzati nella cache per i domini.
kdcoptions : per l'elenco corrente delle opzioni e le relative spiegazioni, vedere RFC 4120.
Esempi
Per eseguire una query nella cache dei ticket Kerberos per determinare se mancano ticket, se il server di destinazione o l'account è in errore o se il tipo di crittografia non è supportato a causa di un errore di ID evento 27, digitare:
klist
klist –li 0x3e7
Per informazioni sulle specifiche di ogni ticket-granting-ticket memorizzato nella cache nel computer per una sessione di accesso, digitare:
klist tgt
Per eliminare la cache dei ticket Kerberos, disconnettersi e quindi eseguire nuovamente l'accesso, digitare:
klist purge
klist purge –li 0x3e7
Per diagnosticare una sessione di accesso e individuare un LOGONID per un utente o un servizio, digitare:
klist sessions
Per diagnosticare l'errore di delega vincolata Kerberos e individuare l'ultimo errore rilevato, digitare:
klist kcd_cache
Per diagnosticare se un utente o un servizio può ottenere un ticket a un server o richiedere un ticket per un nome SPN specifico, digitare:
klist get host/%computername%
Per diagnosticare i problemi di replica tra i controller di dominio, in genere è necessario che il computer client di destinazione sia un controller di dominio specifico. Per impostare come destinazione il computer client al controller di dominio specifico, digitare:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Per eseguire una query sui controller di dominio contattati di recente dal computer, digitare:
klist query_bind
Per ritrovare i controller di dominio o per scaricare la cache prima di creare nuove associazioni di controller di dominio con klist add_bind, digitare:
klist purge_bind
Collegamenti correlati
- Command-Line della sintassi