klist
現在キャッシュされている Kerberos チケットの一覧を表示します。
重要
このコマンドのすべてのパラメーターを実行するには、少なくともドメイン管理者、または同等である必要があります。
構文
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
パラメーター
| パラメーター | 説明 |
|---|---|
| -lh | ユーザーのローカル一意識別子 (LUID) の高い部分を 16 進数で表します。 –lh も –li も指定されない場合、コマンドの既定値は、現在サインインしているユーザーの LUID になります。 |
| -li | ユーザーのローカル一意識別子 (LUID) の低い部分を 16 進数で表します。 –lh も –li も指定されない場合、コマンドの既定値は、現在サインインしているユーザーの LUID になります。 |
| チケット | 指定したログオン セッションの現在キャッシュされているチケット保証チケット (TGT) とサービス チケットを一覧表示します。 既定のオプションです。 |
| tgt | 初期 Kerberos TGT を表示します。 |
| 削除 | 指定したログオン セッションのすべてのチケットを削除できます。 |
| セッション | このコンピューター上のログオン セッションの一覧を表示します。 |
| kcd_cache | Kerberos の制約付き委任キャッシュ情報を表示します。 |
| get | サービス プリンシパル名 (SPN) で指定されたターゲット コンピューターへのチケットを要求できます。 |
| add_bind | Kerberos 認証用の優先ドメイン コントローラーを指定できます。 |
| query_bind | Kerberos が接続した各ドメインのキャッシュされた優先ドメイン コントローラーの一覧を表示します。 |
| purge_bind | 指定したドメインのキャッシュされた優先ドメイン コントローラーを削除します。 |
| kdcoptions | RFC 4120 に指定されたキー配布センター (KDC) オプションを表示します。 |
| /? | このコマンドのヘルプを表示します。 |
解説
パラメーターが指定されていない場合、klist は現在ログオンしているユーザーのすべてのチケットを取得します。
各パラメーターで表示される情報は次のとおりです。
tickets - ログオン後に認証したサービスの現在キャッシュされているチケットを一覧表示します。 キャッシュされたすべてのチケットについて次の属性を表示します。
LogonID: LUID。
クライアント: クライアント名とクライアントのドメイン名の連結。
サーバー: サービス名とサービスのドメイン名の連結。
KerbTicket 暗号化の種類: Kerberos チケットの暗号化に使用される暗号化の種類。
チケット フラグ: Kerberos チケット フラグ。
開始時刻: チケットが有効になり始める時刻。
終了時刻: チケットが有効でなくなる時刻。 この時間を過ぎたチケットは、サービスに対する認証や更新のために使用できなくなります。
更新時刻: 新しい初期認証が必要になる時間。
セッション キーの種類: セッション キーに使用される暗号化アルゴリズム。
tgt - 最初の Kerberos TGT と、現在キャッシュされているチケットの次の属性を一覧表示します。
LogonID: 16 進数で識別されます。
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: TGT を発行するドメインの名前。
TargetDomainName: TGT が発行されるドメイン。
AltTargetDomainName: TGT が発行されるドメイン。
チケット フラグ: アドレスとターゲットのアクションと種類。
セッション キー: キーの長さと暗号化アルゴリズム。
StartTime: チケットが要求されたローカル コンピューターの時刻。
EndTime: チケットが無効になった時刻。 この時間を過ぎたチケットは、サービスに対する認証に使用できなくなります。
RenewUntil: チケット更新の期限。
TimeSkew: キー配布センター (KDC) との時間差。
EncodedTicket: エンコードされたチケット。
purge - 特定のチケットを削除できます。 チケットを消去すると、キャッシュしたチケットはすべて破棄されます。そのため、この属性は注意して使用してください。 リソースに対する認証ができなくなる場合があります。 その場合は、ログオフして再度ログオンする必要があります。
- LogonID: 16 進数で識別されます。
sessions - このコンピューター上のすべてのログオン セッションの情報を一覧表示および表示できます。
- LogonID: 指定した場合は、指定された値でのみログオン セッションが表示されます。 指定しない場合は、このコンピューター上のすべてのログオン セッションが表示されます。
kcd_cache - Kerberos の制約付き委任キャッシュ情報を表示できます。
- LogonID: 指定した場合、指定された値でログオン セッションのキャッシュ情報が表示されます。 指定しない場合は、現在のユーザーのログオン セッションのキャッシュ情報が表示されます。
get - SPN で指定されたターゲットへのチケットを要求できます。
LogonID: 指定した場合は、指定された値のログオン セッションを使用してチケットを要求します。 指定しない場合は、現在のユーザーのログオン セッションを使用してチケットを要求します。
kdcoptions: 指定された KDC オプションを使用してチケットを要求します
add_bind - Kerberos 認証に優先ドメイン コントローラーを指定できます。
query_bind - ドメインのキャッシュされた優先ドメイン コントローラーを表示できます。
purge_bind - ドメインのキャッシュされた優先ドメイン コントローラーを削除できます。
kdcoptions - オプションの現在の一覧とその説明については、RFC 4120 を参照してください。
例
Kerberos チケット キャッシュに対してクエリを実行して、見つからないチケットがないか、ターゲット サーバーまたはアカウントにエラーが発生していないか、またはイベント ID 27 エラーが原因で暗号化の種類がサポートされていないかどうかを確認するには、次のコマンドを入力します。
klist
klist –li 0x3e7
ログオン セッションのためにコンピューターにキャッシュされる各チケット保証チケットの詳細を確認するには、次のコマンドを入力します。
klist tgt
Kerberos チケット キャッシュを消去し、ログオフしてから再びログオンするには、次のコマンドを入力します。
klist purge
klist purge –li 0x3e7
ログオン セッションを診断し、ユーザーまたはサービスの logonID を見つけるには、次のコマンドを入力します。
klist sessions
Kerberos の制約付き委任エラーを診断し、発生した最後のエラーを見つけるには、次のコマンドを入力します。
klist kcd_cache
ユーザーまたはサービスがサーバーへのチケットを取得できるのか、または特定の SPN のチケットを要求できるのかを診断するには、次のコマンドを入力します。
klist get host/%computername%
ドメイン コントローラー間のレプリケーションの問題を診断するには、通常、特定のドメイン コントローラーを対象とするクライアント コンピューターが必要です。 クライアント コンピューターが特定のドメイン コントローラーをターゲットにするには、次のコマンドを入力します。
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
このコンピューターから最近接続されたドメイン コントローラーを照会するには、次のコマンドを入力します。
klist query_bind
ドメイン コントローラーを再検出するか、klist add_bind を使用して新しいドメイン コントローラー バインドを作成する前にキャッシュをフラッシュするには、次のように入力します。
klist purge_bind