Klist
Exibe uma lista de tíquetes Kerberos atualmente armazenados em cache.
Importante
Você deve ser pelo menos um Domain Admin, ou equivalente, para executar todos os parâmetros deste comando.
Sintaxe
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parâmetros
| Parâmetro | Descrição |
|---|---|
| -LH | Indica a parte alta do identificador localmente único (LUID) do usuário, expressa em hexadecimal. Se nem –lh nem –li estiverem presentes, o comando assume como padrão o LUID do usuário que está conectado no momento. |
| -li | Indica a parte baixa do identificador localmente exclusivo (LUID) do usuário, expressa em hexadecimal. Se nem –lh nem –li estiverem presentes, o comando assume como padrão o LUID do usuário que está conectado no momento. |
| bilhetes | Lista os TGTs (ticket-outing-tickets) atualmente armazenados em cache e os tíquetes de serviço da sessão de logon especificada. Esta é a opção padrão. |
| TGT | Exibe o TGT Kerberos inicial. |
| expurgo | Permite excluir todos os tíquetes da sessão de logon especificada. |
| sessões | Exibe uma lista de sessões de logon neste computador. |
| kcd_cache | Exibe as informações de cache de delegação restrita de Kerberos. |
| Obter | Permite solicitar um tíquete para o computador de destino especificado pelo SPN (nome da entidade de serviço). |
| add_bind | Permite especificar um controlador de domínio preferencial para autenticação Kerberos. |
| query_bind | Exibe uma lista de controladores de domínio preferenciais armazenados em cache para cada domínio contatado pelo Kerberos. |
| purge_bind | Remove os controladores de domínio preferenciais armazenados em cache para os domínios especificados. |
| kdcoptions | Exibe as opções do Centro de Distribuição de Chaves (KDC) especificadas na RFC 4120. |
| /? | Exibe a Ajuda para este comando. |
Comentários
Se nenhum parâmetro for fornecido, klist recuperará todos os tíquetes para o usuário conectado no momento.
Os parâmetros exibem as seguintes informações:
tickets - Lista os tíquetes atualmente armazenados em cache dos serviços nos quais você se autenticou desde o logon. Exibe os seguintes atributos de todos os tíquetes armazenados em cache:
LogonID: o LUID.
Cliente: A concatenação do nome do cliente e do nome de domínio do cliente.
Server: A concatenação do nome do serviço e do nome de domínio do serviço.
Tipo de criptografia KerbTicket: O tipo de criptografia usado para criptografar o tíquete Kerberos.
Bandeiras de ingresso: As bandeiras de tíquete Kerberos.
Hora de início: A hora a partir da qual o bilhete é válido.
Hora de Término: O tempo em que o bilhete deixa de ser válido. Quando um ticket já passou desse período, ele não pode mais ser usado para autenticar um serviço ou ser usado para renovação.
Tempo de renovação: O tempo em que uma nova autenticação inicial é necessária.
Tipo de chave de sessão: O algoritmo de encriptação utilizado para a chave de sessão.
tgt - Lista o TGT Kerberos inicial e os seguintes atributos do tíquete atualmente armazenado em cache:
LogonID: Identificado em hexadecimal.
ServiceName: krbtgt
TargetName
<SPN>: krbtgtDomainName: Nome do domínio que emite o TGT.
TargetDomainName: domínio para o qual o TGT é emitido.
AltTargetDomainName: domínio para o qual o TGT é emitido.
Sinalizadores de Ticket: Endereço e ações de destino e tipo.
Session Key: Comprimento da chave e algoritmo de encriptação.
StartTime: hora do computador local em que o bilhete foi solicitado.
EndTime: Hora em que o bilhete deixa de ser válido. Quando um ticket já passou desse período, ele não pode mais ser usado para autenticar um serviço.
RenovarAté: Prazo para renovação do bilhete.
TimeSkew: diferença de tempo com o Centro de Distribuição de Chaves (KDC).
EncodedTicket: Bilhete codificado.
limpar - Permite que você exclua um ticket específico. A limpeza de tíquetes destrói todos os tíquetes armazenados em cache, portanto, use esse atributo com cuidado. Isso pode impedir que você seja capaz de se autenticar em recursos. Se isso acontecer, você terá que fazer logoff e logon novamente.
- LogonID: Identificado em hexadecimal.
sessões - Permite listar e exibir as informações de todas as sessões de logon neste computador.
- LogonID: Se especificado, exibe a sessão de logon somente pelo valor fornecido. Se não for especificado, exibe todas as sessões de logon neste computador.
kcd_cache - Permite exibir as informações de cache de delegação restrita de Kerberos.
- LogonID: Se especificado, exibe as informações de cache para a sessão de logon pelo valor fornecido. Se não for especificado, exibe as informações de cache para a sessão de logon do usuário atual.
obter - Permite solicitar um ticket para o alvo especificado pelo SPN.
LogonID: Se especificado, solicita um tíquete usando a sessão de logon pelo valor fornecido. Se não for especificado, solicita um tíquete usando a sessão de logon do usuário atual.
kdcoptions: Solicita um ticket com as opções KDC fornecidas
add_bind - Permite especificar um controlador de domínio preferencial para autenticação Kerberos.
query_bind - Permite que você exiba em cache controladores de domínio preferenciais para os domínios.
purge_bind - Permite remover os controladores de domínio preferidos em cache para os domínios.
kdcoptions - Para obter a lista atual de opções e suas explicações, consulte RFC 4120.
Exemplos
Para consultar o cache de tíquetes Kerberos para determinar se algum tíquete está faltando, se o servidor ou a conta de destino está com erro ou se o tipo de criptografia não é suportado devido a um erro de ID de Evento 27, digite:
klist
klist –li 0x3e7
Para saber mais sobre as especificidades de cada tíquete de concessão de tíquete armazenado em cache no computador para uma sessão de logon, digite:
klist tgt
Para limpar o cache de tíquetes Kerberos, faça logoff e logon novamente, digite:
klist purge
klist purge –li 0x3e7
Para diagnosticar uma sessão de logon e localizar um ID de logon para um usuário ou um serviço, digite:
klist sessions
Para diagnosticar a falha de delegação restrita de Kerberos e localizar o último erro encontrado, digite:
klist kcd_cache
Para diagnosticar se um usuário ou um serviço pode obter um tíquete para um servidor ou solicitar um tíquete para um SPN específico, digite:
klist get host/%computername%
Para diagnosticar problemas de replicação em controladores de domínio, normalmente é necessário que o computador cliente tenha como destino um controlador de domínio específico. Para direcionar o computador cliente para o controlador de domínio específico, digite:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Para consultar quais controladores de domínio foram contatados recentemente por este computador, digite:
klist query_bind
Para redescobrir controladores de domínio ou liberar o cache antes de criar novas ligações de controlador de domínio com klist add_bind, digite:
klist purge_bind