klist
현재 캐시된 Kerberos 티켓의 목록을 표시합니다.
Important
이 명령의 모든 매개 변수를 실행하려면 도메인 관리자 이상이어야 합니다.
구문
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
매개 변수
| 매개 변수 | 설명 |
|---|---|
| -lh | 16진수로 표현되는 사용자의 LUID(로컬 고유 식별자)의 상위 부분을 표시합니다. –lh와 –li가 모두 없는 경우 기본적으로 현재 로그인한 사용자의 LUID로 설정됩니다. |
| -li | 16진수로 표현되는 사용자의 LUID(로컬 고유 식별자)의 하위 부분을 표시합니다. –lh와 –li가 모두 없는 경우 기본적으로 현재 로그인한 사용자의 LUID로 설정됩니다. |
| 티켓 | 현재 캐시된 TGT(Ticket-granting-tickets)와 지정된 로그온 세션의 서비스 티켓을 나열합니다. 이것이 기본 옵션입니다. |
| tgt | 초기 Kerberos TGT를 표시합니다. |
| 제거 | 지정된 로그온 세션의 티켓을 모두 삭제할 수 있습니다. |
| 순차 배달 | 이 컴퓨터의 로그온 세션의 목록을 표시합니다. |
| kcd_cache | Kerberos 제한된 위임 캐시 정보를 표시합니다. |
| get | SPN(서비스 주체 이름)에서 지정한 대상 컴퓨터에 대해 티켓을 요청할 수 있습니다. |
| add_bind | Kerberos 인증의 기본 도메인 컨트롤러를 지정할 수 있습니다. |
| query_bind | Kerberos에서 연결한 각 도메인에 대해 캐시된 기본 설정 도메인 컨트롤러 목록을 표시합니다. |
| purge_bind | 지정된 도메인의 캐시된 기본 설정 도메인 컨트롤러를 제거합니다. |
| kdcoptions | RFC 4120에서 지정된 KDC(키 배포 센터) 옵션을 표시합니다. |
| /? | 이 명령에 대 한 도움말을 표시합니다. |
설명
매개 변수가 제공되지 않은 경우 klist는 현재 로그온 사용자의 모든 티켓을 검색합니다.
이 매개 변수는 다음 정보를 표시합니다.
tickets - 로그온 이후 인증한 서비스의 현재 캐시된 티켓을 나열합니다. 캐시된 전체 티켓의 다음 특성을 표시합니다.
LogonID: LUID.
클라이언트: 클라이언트 이름과 클라이언트의 도메인 이름의 연결.
서버: 서비스 이름과 서비스의 도메인 이름의 연결.
KerbTicket 암호화 형식: Kerberos 티켓 암호화에 사용되는 암호화 형식.
티켓 플래그: Kerberos 티켓 플래그.
시작 시간: 티켓의 유효성이 시작하는 시간.
종료 시간: 티켓의 유효성이 종료되는 시간. 티켓이 이 시간을 지나면 더 이상 서비스를 인증하거나 갱신용으로 사용할 수 없습니다.
갱신 시간: 새로운 초기 인증이 필요한 시간.
세션 키 유형: 세션 키에 사용되는 암호화 알고리즘.
tgt - 초기 Kerberos TGT와 현재 캐시된 티켓의 다음과 같은 특성을 나열합니다.
LogonID: 16진수로 식별됩니다.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: TGT를 발급하는 도메인의 이름.
TargetDomainName: TGT가 발급되는 도메인.
AltTargetDomainName: TGT가 발급되는 도메인.
T티켓 플래그: 주소와 티켓 작업 및 형식.
세션 키: 키 길이와 암호화 알고리즘.
StartTime: 티켓을 요청한 로컬 컴퓨터 시간.
EndTime: 티켓의 유효성이 종료되는 시간. 티켓이 이 시간을 지나면 더 이상 서비스 인증에 사용할 수 없습니다.
RenewUntil: 티켓 갱신 기한.
TimeSkew: KDC(키 배포 센터)와의 시간 차이.
EncodedTicket: 인코딩된 티켓.
purge - 특정 티켓을 삭제할 수 있습니다. 티켓을 제거하면 캐시한 모든 티켓이 삭제되므로 이 특성을 주의해서 사용해야 합니다. 리소스에 인증할 수 없게 될 수도 있습니다. 이 경우 로그오프했다가 다시 로그온해야 합니다.
- LogonID: 16진수로 식별됩니다.
sessions - 이 컴퓨터의 모든 로그온 세션을 나열하고 그 정보를 표시합니다.
- LogonID: 이것이 지정된 경우 지정된 값으로만 로그온 세션을 표시합니다. 지정되지 않은 경우에는 이 컴퓨터의 모든 로그온 세션을 표시합니다.
kcd_cache - Kerberos 제한 위임 캐시 정보를 표시할 수 있습니다.
- LogonID: 이것이 지정된 경우 지정된 값으로 로그온 세션에 대한 캐시 정보를 표시합니다. 지정되지 않은 경우에는 현재 사용자의 로그온 세션에 관한 캐시 정보를 표시합니다.
get - SPN에서 지정한 대상에 티켓을 요청할 수 있습니다.
LogonID: 이것이 지정된 경우 지정된 값으로 로그온 세션을 사용하여 티켓을 요청합니다. 지정되지 않은 경우에는 현재 사용자의 로그온 세션을 사용하여 티켓을 요청합니다.
kdcoptions: 지정된 KDC 옵션을 사용하여 티켓을 요청합니다.
add_bind - Kerberos 인증의 기본 도메인 컨트롤러를 지정할 수 있습니다.
query_bind - 도메인에 대해 캐시된 기본 설정 도메인 컨트롤러를 표시할 수 있습니다.
purge_bind - 도메인에 대해 캐시된 기본 설정 도메인 컨트롤러를 표시할 수 있습니다.
kdcoptions - 현재 옵션과 그 설명 목록은 RFC 4120을 참조하세요.
예제
Kerberos 티켓 캐시를 쿼리하여 티켓이 누락되었는지, 대상 서버나 계정이 오류인지, 이벤트 ID 27 오류로 인해 암호화 유형이 지원되지 않는지 여부를 확인하려면 다음을 입력합니다.
klist
klist –li 0x3e7
로그온 세션에 대해 컴퓨터에서 캐시되는 각 티켓 부여 티켓의 세부 사항에 대해 알아보려면 다음을 입력합니다.
klist tgt
Kerberos 티켓 캐시를 제거하고, 로그오프했다가 다시 로그온하려면 다음을 입력합니다.
klist purge
klist purge –li 0x3e7
로그온 세션을 진단하고 사용자 또는 서비스의 logonID를 찾으려면 다음을 입력합니다.
klist sessions
Kerberos 제한 위임 실패를 진단하고 마지막으로 발생한 오류를 찾으려면 다음을 입력합니다.
klist kcd_cache
사용자나 서비스가 서버로 티켓을 가져올 수 있는지 진단하거나 특정 SPN에 대한 티켓을 요청하려면 다음을 입력합니다.
klist get host/%computername%
도메인 컨트롤러에서 복제 문제를 진단하기 위해서는 일반적으로 클라이언트 컴퓨터가 특정 도메인 컨트롤러를 대상으로 지정해야 합니다. 클라이언트 컴퓨터를 특정 도메인 컨트롤러 대상으로 지정하려면 다음을 입력합니다.
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
이 컴퓨터에서 최근에 어떤 도메인 컨트롤러에 연락했는지를 쿼리하려면 다음을 입력합니다.
klist query_bind
도메인 컨트롤러를 다시 검색하거나 klist add_bind로 새로운 도메인 컨트롤러 바인딩을 만들기 전에 캐시를 플러시하려면 다음을 입력합니다.
klist purge_bind