Поделиться через

klist

Отображает список кэшированных в настоящее время билетов Kerberos.

Важный

Для выполнения всех параметров этой команды необходимо быть по крайней мереадминистратором домена или эквивалентом.

Синтаксис

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Параметры

Параметр Описание
-Левая Обозначает высокую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни –lh, ни –li присутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему.
-Литий Обозначает низкую часть локально уникального идентификатора пользователя (LUID), выраженную в шестнадцатеричном виде. Если ни –lh, ни –li присутствуют, команда по умолчанию использует LUID пользователя, вошедшего в систему.
Билеты Перечисляет кэшированные билеты с предоставлением билетов (TGTs) и запросы на обслуживание указанного сеанса входа. Это параметр по умолчанию.
tgt Отображает начальный TGT Kerberos.
чистка Позволяет удалить все билеты указанного сеанса входа.
Сеансов Отображает список сеансов входа на этом компьютере.
kcd_cache Отображает сведения о кэше ограниченного делегирования Kerberos.
Получить Позволяет запрашивать билет на целевой компьютер, указанный именем субъекта-службы (SPN).
add_bind Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.
query_bind Отображает список кэшированных предпочтительных контроллеров домена для каждого домена, к которому связался Kerberos.
purge_bind Удаляет кэшированные предпочтительные контроллеры домена для указанных доменов.
kdcoptions Отображает параметры Центра распространения ключей (KDC), указанные в RFC 4120.
/? Отображает справку для этой команды.

Замечания

  • Если параметры отсутствуют, klist извлекает все билеты для пользователя, вошедшего в систему.

  • Параметры отображают следующие сведения:

    • билетов . Выводит список кэшированных билетов служб, прошедших проверку подлинности с момента входа. Отображает следующие атрибуты всех кэшированных билетов:

      • имя входа: LUID.

      • клиент: объединение имени клиента и доменного имени клиента.

      • сервер : объединение имени службы и доменного имени службы.

      • Тип шифрования KerbTicket: Тип шифрования, используемый для шифрования билета Kerberos.

      • флаги билетов: флаги билета Kerberos.

      • время начала: время, с которого действителен билет.

      • время окончания: время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе или использования для продления.

      • время продления: время, необходимое для новой начальной проверки подлинности.

      • тип ключа сеанса: алгоритм шифрования, используемый для ключа сеанса.

    • tgt — перечисляет исходный TGT Kerberos и следующие атрибуты кэшированного билета:

      • входной идентификатор:, идентифицированный в шестнадцатеричном виде.

      • ServiceName: krbtgt

      • TargetName <SPN>: krbtgt

      • domainName: имя домена, который выдает TGT.

      • TargetDomainName: домен, в который выдан TGT.

      • AltTargetDomainName: домен, в который выдан TGT.

      • флаги билетов: адрес и целевые действия и тип.

      • ключ сеанса: длину ключа и алгоритм шифрования.

      • StartTime: время локального компьютера, запрошенное билетом.

      • EndTime: Время, когда билет становится недействительным. Когда билет истек на этот раз, он больше не может использоваться для проверки подлинности в службе.

      • продление подписки: крайний срок для продления билета.

      • TimeSkew: разница во времени с центром распространения ключей (KDC).

      • EncodedTicket: закодированный билет.

    • очистка . Позволяет удалить определенный билет. Очистка билетов уничтожает все билеты, которые вы кэшировали, поэтому используйте этот атрибут с осторожностью. Это может помешать вам пройти проверку подлинности в ресурсах. Если это произойдет, вам придется снова выйти из системы и войти в систему.

      • входной идентификатор:, идентифицированный в шестнадцатеричном виде.

    • сеансах . Позволяет отображать и отображать сведения для всех сеансов входа на этом компьютере.

      • Имя входа: Если указано, отображает сеанс входа только по указанному значению. Если это не указано, отображаются все сеансы входа на этом компьютере.

    • kcd_cache. Позволяет отображать сведения о кэше ограниченного делегирования Kerberos.

      • Имя входа: Если указано, отображает сведения о кэше для сеанса входа в систему по заданному значению. Если он не указан, отображает сведения о кэше для сеанса входа текущего пользователя.

    • получить — позволяет запрашивать запрос на целевой объект, указанный в имени субъекта-службы.

      • Имя входа: Если указано, запрашивает билет с помощью сеанса входа по заданному значению. Если это не указано, запросите билет с помощью сеанса входа текущего пользователя.

      • kdcoptions: запрашивает запрос с заданными параметрами KDC

    • add_bind. Позволяет указать предпочтительный контроллер домена для проверки подлинности Kerberos.

    • query_bind. Позволяет отображать кэшированные, предпочитаемые контроллеры домена для доменов.

    • purge_bind. Позволяет удалять кэшированные, предпочитаемые контроллеры домена для доменов.

    • kdcoptions — текущий список вариантов и их пояснений см. в RFC 4120.

Примеры

Чтобы запросить кэш билетов Kerberos, чтобы определить, отсутствуют ли билеты, если целевой сервер или учетная запись ошибаются, или если тип шифрования не поддерживается из-за ошибки События 27, введите:

klist

klist –li 0x3e7

Чтобы узнать о специфике каждого билета, который кэшируется на компьютере для сеанса входа, введите следующее:

klist tgt

Чтобы очистить кэш билетов Kerberos, выйдите из системы, а затем войдите в систему, введите следующее:

klist purge

klist purge –li 0x3e7

Чтобы диагностировать сеанс входа и найти идентификатор входа для пользователя или службы, введите следующее:

klist sessions

Чтобы диагностировать сбой ограниченного делегирования Kerberos, и найти последнюю ошибку, которая была обнаружена, введите:

klist kcd_cache

Чтобы диагностировать, может ли пользователь или служба получить билет на сервер или запросить билет для определенного субъекта-службы, введите:

klist get host/%computername%

Для диагностики проблем репликации между контроллерами домена обычно требуется клиентский компьютер для назначения определенного контроллера домена. Чтобы нацелить клиентский компьютер на конкретный контроллер домена, введите следующее:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Чтобы запросить, какие контроллеры домена недавно связались с этим компьютером, введите следующее:

klist query_bind

Для повторного обнаружения контроллеров домена или очистки кэша перед созданием новых привязок контроллера домена с помощью klist add_bindвведите:

klist purge_bind
  • ключа синтаксиса Command-Line