klist
現在キャッシュされている Kerberos チケットの一覧を表示します。
大事な
このコマンドのすべてのパラメーターを実行するには、少なくとも Domain Admin(またはそれと同等) である必要があります。
構文
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
パラメーター
| パラメーター | 形容 |
|---|---|
| -lh | ユーザーのローカル一意識別子 (LUID) の上位部分を 16 進数で表します。 –lh |
| -李 | ユーザーのローカル一意識別子 (LUID) の下位部分を 16 進数で表します。 –lh |
| チケット | 現在キャッシュされているチケット許可チケット (TGT) と、指定されたログオン セッションのサービス チケットを一覧表示します。 これが既定のオプションです。 |
| tgt | 初期 Kerberos TGT を表示します。 |
| 粛清 | 指定したログオン セッションのすべてのチケットを削除できます。 |
| セッション | このコンピューター上のログオン セッションの一覧を表示します。 |
| kcd_cache | Kerberos の制約付き委任キャッシュ情報を表示します。 |
| 取得 | サービス プリンシパル名 (SPN) で指定されたターゲット コンピューターにチケットを要求できます。 |
| add_bind | Kerberos 認証用の優先ドメイン コントローラーを指定できます。 |
| query_bind | Kerberos が接続した各ドメインについて、キャッシュされた優先ドメイン コントローラーの一覧を表示します。 |
| purge_bind | 指定されたドメインのキャッシュされた優先ドメイン コントローラーを削除します。 |
| kdcoptions | RFC 4120 で指定されているキー配布センター (KDC) オプションを表示します。 |
| /? | このコマンドのヘルプを表示します。 |
備考
パラメーターが指定されていない場合、klist は、現在ログオンしているユーザーのすべてのチケットを取得します。
パラメーターには、次の情報が表示されます。
チケット - ログオン後に認証されたサービスの現在キャッシュされているチケットを一覧表示します。 キャッシュされたすべてのチケットの次の属性を表示します。
LogonID: LUID を します。
クライアント: クライアント名とクライアントのドメイン名の連結。
サーバー: サービス名とサービスのドメイン名の連結。
KerbTicket 暗号化の種類: Kerberos チケットの暗号化に使用される暗号化の種類。
チケット フラグ: Kerberos チケット フラグを します。
開始時刻: チケットが有効な時刻。
終了時刻: チケットが無効になった時刻。 チケットが今回を過ぎると、サービスに対する認証や更新に使用できなくなります。
更新時刻: 新しい初期認証が必要な時刻。
セッション キーの種類: セッション キーに使用される暗号化アルゴリズム。
tgt - 初期 Kerberos TGT と、現在キャッシュされているチケットの次の属性を一覧表示します。
LogonID: 16 進数で識別されます。
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: TGT を発行するドメインの名前。
TargetDomainName: TGT が発行されるドメインを します。
AltTargetDomainName: TGT が発行されるドメインを します。
チケット フラグ: アドレスとターゲットのアクションと種類。
セッション キー: キーの長さと暗号化アルゴリズム。
StartTime: チケットが要求されたローカル コンピューター時刻を します。
EndTime: チケットが無効になった時刻。 チケットがこの時点を過ぎると、サービスに対する認証に使用できなくなります。
RenewUntil: チケットの更新期限。
TimeSkew: キー配布センター (KDC) との時間差を します。
EncodedTicket: エンコードされたチケット。
消去 - 特定のチケットを削除できます。 チケットを消去すると、キャッシュしたすべてのチケットが破棄されるため、この属性は注意して使用してください。 リソースに対する認証を行うことができなくなる可能性があります。 この場合は、ログオフしてもう一度ログオンする必要があります。
- LogonID: 16 進数で識別されます。
セッション - このコンピューター上のすべてのログオン セッションの情報を一覧表示および表示できます。
- LogonID: 指定した場合は、指定された値によってのみログオン セッションが表示されます。 指定しない場合は、このコンピューター上のすべてのログオン セッションが表示されます。
kcd_cache - Kerberos の制約付き委任キャッシュ情報を表示できます。
- LogonID: 指定した場合は、指定された値でログオン セッションのキャッシュ情報が表示されます。 指定しない場合は、現在のユーザーのログオン セッションのキャッシュ情報が表示されます。
を取得
- SPN で指定されたターゲットにチケットを要求できます。 LogonID: 指定した場合は、指定された値でログオン セッションを使用してチケットを要求します。 指定しない場合は、現在のユーザーのログオン セッションを使用してチケットを要求します。
kdcoptions: 指定された KDC オプションを使用してチケットを要求します
add_bind - Kerberos 認証用の優先ドメイン コントローラーを指定できます。
query_bind - ドメインのキャッシュされた優先ドメイン コントローラーを表示できます。
purge_bind - ドメインのキャッシュされた優先ドメイン コントローラーを削除できます。
kdcoptions - オプションとその説明の現在の一覧については、RFC 4120を参照してください。
例
Kerberos チケット キャッシュにクエリを実行して、チケットがないかどうか、ターゲット サーバーまたはアカウントがエラーになっているかどうか、またはイベント ID 27 エラーが原因で暗号化の種類がサポートされていないかどうかを判断するには、次のように入力します。
klist
klist –li 0x3e7
ログオン セッション用にコンピューターにキャッシュされる各チケット許可チケットの詳細については、次のように入力します。
klist tgt
Kerberos チケット キャッシュを消去し、ログオフしてからログオンし直すには、次のように入力します。
klist purge
klist purge –li 0x3e7
ログオン セッションを診断し、ユーザーまたはサービスの logonID を見つけるには、次のように入力します。
klist sessions
Kerberos の制約付き委任エラーを診断し、最後に発生したエラーを見つけるには、次のように入力します。
klist kcd_cache
ユーザーまたはサービスがサーバーへのチケットを取得できるかどうかを診断したり、特定の SPN のチケットを要求したりするには、次のように入力します。
klist get host/%computername%
ドメイン コントローラー間のレプリケーションの問題を診断するには、通常、特定のドメイン コントローラーを対象とするクライアント コンピューターが必要です。 クライアント コンピューターを特定のドメイン コントローラーの対象にするには、次のように入力します。
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
このコンピューターから最近接続されたドメイン コントローラーを照会するには、次のように入力します。
klist query_bind
klist add_bindを使用して新しいドメイン コントローラー バインドを作成する前に、ドメイン コントローラーを再検出したり、キャッシュをフラッシュしたりするには、次のように入力します。
klist purge_bind