klist
Exibe uma lista de tíquetes Kerberos armazenados em cache no momento.
Importante
Você deve ser pelo menos um de Administrador de Domínio, ou equivalente, para executar todos os parâmetros desse comando.
Sintaxe
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parâmetros
| Parâmetro | Descrição |
|---|---|
| -Lh | Indica a parte alta do LUID (identificador local exclusivo) do usuário, expressa em hexadecimal. Se nem –lh nem –li estiverem presentes, o comando usará como padrão o LUID do usuário que está conectado no momento. |
| -li | Indica a parte baixa do LUID (identificador local exclusivo) do usuário, expressa em hexadecimal. Se nem –lh nem –li estiverem presentes, o comando usará como padrão o LUID do usuário que está conectado no momento. |
| Bilhetes | Lista os TGTs (tíquetes de concessão de tíquetes) armazenados em cache no momento e os tíquetes de serviço da sessão de logon especificada. Essa é a opção padrão. |
| Tgt | Exibe o TGT do Kerberos inicial. |
| purgar | Permite que você exclua todos os tíquetes da sessão de logon especificada. |
| Sessões | Exibe uma lista de sessões de logon neste computador. |
| kcd_cache | Exibe as informações de cache de delegação restrita kerberos. |
| Obter | Permite solicitar um tíquete para o computador de destino especificado pelo SPN (nome da entidade de serviço). |
| add_bind | Permite que você especifique um controlador de domínio preferencial para autenticação Kerberos. |
| query_bind | Exibe uma lista de controladores de domínio preferenciais armazenados em cache para cada domínio que Kerberos contatou. |
| purge_bind | Remove os controladores de domínio preferenciais armazenados em cache para os domínios especificados. |
| kdcoptions | Exibe as opções do Centro de Distribuição de Chaves (KDC) especificadas no RFC 4120. |
| /? | Exibe a Ajuda para este comando. |
Observações
Se nenhum parâmetro for fornecido, klist recuperará todos os tíquetes do usuário conectado no momento.
Os parâmetros exibem as seguintes informações:
tíquetes - Lista os tíquetes de serviços autenticados no momento que você autenticou desde logon. Exibe os seguintes atributos de todos os tíquetes armazenados em cache:
LogonID: o LUID.
Cliente: a concatenação do nome do cliente e o nome de domínio do cliente.
Server: a concatenação do nome do serviço e o nome de domínio do serviço.
tipo de criptografia KerbTicket: o tipo de criptografia usado para criptografar o tíquete Kerberos.
sinalizadores de tíquete : os sinalizadores de tíquete Kerberos.
Hora de Início: A hora da qual o tíquete é válido.
Hora de Término: A hora em que o tíquete se torna não mais válido. Quando um tíquete é passado desta vez, ele não pode mais ser usado para autenticar em um serviço ou ser usado para renovação.
Tempo de Renovação: O tempo em que uma nova autenticação inicial é necessária.
Tipo de Chave de Sessão: o algoritmo de criptografia usado para a chave de sessão.
tgt - Lista os TGT kerberos iniciais e os seguintes atributos do tíquete armazenado em cache no momento:
LogonID: Identificado em hexadecimal.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: Nome do domínio que emite o TGT.
TargetDomainName: Domínio para o qual o TGT foi emitido.
AltTargetDomainName: domínio para o qual o TGT foi emitido.
Sinalizadores de Tíquete: Endereço e ações e tipo de destino.
chave de sessão : algoritmo de criptografia e comprimento da chave.
StartTime: hora do computador local em que o tíquete foi solicitado.
EndTime: Hora em que o tíquete não se torna mais válido. Quando um tíquete é passado desta vez, ele não pode mais ser usado para autenticar em um serviço.
RenewUntil: Prazo para renovação de tíquetes.
TimeSkew: Diferença de tempo com o KDC (Centro de Distribuição de Chaves).
EncodedTicket: tíquete codificado.
limpar – permite que você exclua um tíquete específico. A limpeza de tíquetes destrói todos os tíquetes armazenados em cache, portanto, use esse atributo com cuidado. Isso pode impedir que você possa se autenticar em recursos. Se isso acontecer, você terá que fazer logoff e fazer logon novamente.
- LogonID: Identificado em hexadecimal.
sessões – permite listar e exibir as informações de todas as sessões de logon neste computador.
- LogonID: Se especificado, exibe a sessão de logon somente pelo valor fornecido. Se não for especificado, exibirá todas as sessões de logon neste computador.
kcd_cache - Permite exibir as informações de cache de delegação restrita kerberos.
- LogonID: Se especificado, exibe as informações de cache da sessão de logon pelo valor fornecido. Se não for especificado, exibirá as informações de cache da sessão de logon do usuário atual.
obter – permite solicitar um tíquete para o destino especificado pelo SPN.
LogonID: Se especificado, solicita um tíquete usando a sessão de logon pelo valor fornecido. Se não for especificado, solicitará um tíquete usando a sessão de logon do usuário atual.
kdcoptions: solicita um tíquete com as opções de KDC fornecidas
add_bind - Permite que você especifique um controlador de domínio preferencial para autenticação Kerberos.
query_bind - Permite exibir controladores de domínio preferenciais em cache para os domínios.
purge_bind - Permite remover controladores de domínio preferenciais e armazenados em cache para os domínios.
kdcoptions – para obter a lista atual de opções e suas explicações, consulte RFC 4120.
Exemplos
Para consultar o cache de tíquetes Kerberos para determinar se algum tíquete está faltando, se o servidor de destino ou a conta está em erro ou se o tipo de criptografia não tem suporte devido a um erro de ID de Evento 27, digite:
klist
klist –li 0x3e7
Para saber mais sobre as especificidades de cada tíquete de concessão de tíquete armazenado em cache no computador para uma sessão de logon, digite:
klist tgt
Para limpar o cache de tíquetes Kerberos, faça logoff e faça logon novamente, digite:
klist purge
klist purge –li 0x3e7
Para diagnosticar uma sessão de logon e localizar uma logonID para um usuário ou serviço, digite:
klist sessions
Para diagnosticar a falha de delegação restrita do Kerberos e encontrar o último erro encontrado, digite:
klist kcd_cache
Para diagnosticar se um usuário ou serviço pode obter um tíquete para um servidor ou solicitar um tíquete para um SPN específico, digite:
klist get host/%computername%
Para diagnosticar problemas de replicação entre controladores de domínio, você normalmente precisa do computador cliente para direcionar um controlador de domínio específico. Para direcionar o computador cliente para o controlador de domínio específico, digite:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Para consultar quais controladores de domínio foram contatados recentemente por este computador, digite:
klist query_bind
Para redescobrir controladores de domínio ou liberar o cache antes de criar novas associações de controlador de domínio com klist add_bind, digite:
klist purge_bind
Links relacionados
- chave de sintaxe Command-Line