klist
Wyświetla listę aktualnie buforowanych biletów Protokołu Kerberos.
Ważny
Aby uruchomić wszystkie parametry tego polecenia, musisz mieć co najmniej administratora domenylub równoważnego.
Składnia
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parametry
| Parametr | Opis |
|---|---|
| -LH | Określa wysoką część lokalnie unikatowego identyfikatora użytkownika (LUID) wyrażoną w szesnastkowym. Jeśli ani –lh, ani –li są obecne, domyślnie jest to identyfikator LUID użytkownika, który jest obecnie zalogowany. |
| -li | Określa niską część lokalnego unikatowego identyfikatora użytkownika (LUID) wyrażoną w szesnastkowym. Jeśli ani –lh, ani –li są obecne, domyślnie jest to identyfikator LUID użytkownika, który jest obecnie zalogowany. |
| Bilety | Wyświetla listę aktualnie buforowanych biletów przyznawania biletów (TGTs) i bilety usług określonej sesji logowania. Jest to opcja domyślna. |
| Tgt | Wyświetla początkowy bilet TGT protokołu Kerberos. |
| czystka | Umożliwia usunięcie wszystkich biletów określonej sesji logowania. |
| Sesji | Wyświetla listę sesji logowania na tym komputerze. |
| kcd_cache | Wyświetla informacje o ograniczonej pamięci podręcznej delegowania protokołu Kerberos. |
| Pobierz | Umożliwia zażądanie biletu na komputerze docelowym określonym przez nazwę główną usługi (SPN). |
| add_bind | Umożliwia określenie preferowanego kontrolera domeny na potrzeby uwierzytelniania Kerberos. |
| query_bind | Przedstawia listę buforowanych preferowanych kontrolerów domeny dla każdej domeny, z którą nawiązano kontakt z usługą Kerberos. |
| purge_bind | Usuwa buforowane preferowane kontrolery domeny dla określonych domen. |
| kdcoptions | Wyświetla opcje centrum dystrybucji kluczy (KDC) określone w RFC 4120. |
| /? | Wyświetla Pomoc dla tego polecenia. |
Uwagi
Jeśli nie podano żadnych parametrów, klist pobiera wszystkie bilety dla aktualnie zalogowanego użytkownika.
Parametry zawierają następujące informacje:
bilety — wyświetla listę aktualnie buforowanych biletów usług uwierzytelnionych od czasu logowania. Wyświetla następujące atrybuty wszystkich buforowanych biletów:
Identyfikator logowania: identyfikator LUID.
Client: Łączenie nazwy klienta i nazwy domeny klienta.
Server: Łączenie nazwy usługi i nazwy domeny usługi.
Typ szyfrowania KerbTicket: Typ szyfrowania używany do szyfrowania biletu protokołu Kerberos.
flagi biletów: flagi biletu protokołu Kerberos.
godzina rozpoczęcia: Godzina, od której bilet jest ważny.
godzina zakończenia: Czas, w jaki bilet nie jest już ważny. Gdy bilet jest przeszły tym razem, nie można go już używać do uwierzytelniania w usłudze ani do odnawiania.
czas odnowienia: czas wymagany do nowego uwierzytelniania początkowego.
Typ klucza sesji: Algorytm szyfrowania używany dla klucza sesji.
tgt — wyświetla listę początkowego biletu TGT protokołu Kerberos i następujące atrybuty aktualnie buforowanego biletu:
Identyfikator logowania: zidentyfikowany w szesnastkowym.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtNazwadomeny: nazwa domeny, która wystawia bilet TGT.
TargetDomainName: domena wystawiona przez TGT.
AltTargetDomainName: domena, do którego jest wystawiony TGT.
Flagi biletów: Adres i akcje docelowe oraz typ.
klucz sesji: długość klucza i algorytm szyfrowania.
Godzina rozpoczęcia: czas komputera lokalnego, o który zażądano biletu.
EndTime: Czas, w jaki bilet przestanie być ważny. Gdy bilet jest przeszły tym razem, nie można go już używać do uwierzytelniania w usłudze.
RenewUntil: Termin odnowienia biletu.
TimeSkew: Różnica czasu z centrum dystrybucji kluczy (KDC).
EncodedTicket: bilet zakodowany.
przeczyszczanie — umożliwia usunięcie określonego biletu. Przeczyszczanie biletów niszczy wszystkie buforowane bilety, więc użyj tego atrybutu z ostrożnością. Może to uniemożliwić uwierzytelnianie w zasobach. Jeśli tak się stanie, musisz wylogować się i zalogować się ponownie.
- Identyfikator logowania: zidentyfikowany w szesnastkowym.
sesji — umożliwia wyświetlanie i wyświetlanie informacji dotyczących wszystkich sesji logowania na tym komputerze.
- Identyfikator logowania: Jeśli określono, wyświetla sesję logowania tylko przez daną wartość. Jeśli nie zostanie określony, wyświetla wszystkie sesje logowania na tym komputerze.
kcd_cache — umożliwia wyświetlanie informacji o ograniczonej pamięci podręcznej delegowania Protokołu Kerberos.
- Identyfikator logowania: Jeśli określono, wyświetla informacje o pamięci podręcznej sesji logowania według danej wartości. Jeśli nie zostanie określony, wyświetla informacje o pamięci podręcznej dla sesji logowania bieżącego użytkownika.
uzyskać — umożliwia zażądanie biletu do obiektu docelowego określonego przez nazwę SPN.
Identyfikator logowania: Jeśli określono, żąda biletu przy użyciu sesji logowania przez daną wartość. Jeśli nie zostanie określony, zażąda biletu przy użyciu sesji logowania bieżącego użytkownika.
kdcoptions: Żąda biletu z podanymi opcjami centrum dystrybucji kluczy
add_bind — umożliwia określenie preferowanego kontrolera domeny na potrzeby uwierzytelniania Kerberos.
query_bind — umożliwia wyświetlanie buforowanych, preferowanych kontrolerów domeny dla domen.
purge_bind — umożliwia usunięcie buforowanych, preferowanych kontrolerów domeny dla domen.
kdcoptions — aby uzyskać bieżącą listę opcji i ich wyjaśnienia, zobacz RFC 4120.
Przykłady
Aby wykonać zapytanie dotyczące pamięci podręcznej biletów Protokołu Kerberos, aby określić, czy brakuje biletów, jeśli serwer docelowy lub konto jest w błędzie lub czy typ szyfrowania nie jest obsługiwany z powodu błędu o identyfikatorze zdarzenia 27, wpisz:
klist
klist –li 0x3e7
Aby dowiedzieć się więcej na temat specyfiki każdego biletu przyznawania biletu buforowanego na komputerze na potrzeby sesji logowania, wpisz:
klist tgt
Aby przeczyścić pamięć podręczną biletu Protokołu Kerberos, wyloguj się, a następnie zaloguj się ponownie, wpisz:
klist purge
klist purge –li 0x3e7
Aby zdiagnozować sesję logowania i zlokalizować identyfikator logowania dla użytkownika lub usługi, wpisz:
klist sessions
Aby zdiagnozować niepowodzenie ograniczonego delegowania protokołu Kerberos i znaleźć ostatni napotkany błąd, wpisz:
klist kcd_cache
Aby zdiagnozować, czy użytkownik lub usługa może uzyskać bilet na serwer lub zażądać biletu dla określonej nazwy SPN, wpisz:
klist get host/%computername%
Aby zdiagnozować problemy z replikacją na kontrolerach domeny, zazwyczaj komputer kliencki musi być przeznaczony dla określonego kontrolera domeny. Aby skierować komputer kliencki do określonego kontrolera domeny, wpisz:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Aby wysłać zapytanie dotyczące ostatnio kontaktowanych kontrolerów domeny przez ten komputer, wpisz:
klist query_bind
Aby ponownie odnaleźć kontrolery domeny lub opróżnić pamięć podręczną przed utworzeniem nowych powiązań kontrolera domeny przy użyciu klist add_bind, wpisz:
klist purge_bind