klist
Visar en lista över för närvarande cachelagrade Kerberos-biljetter.
Viktig
Du måste vara minst en domänadministratör, eller motsvarande, för att köra alla parametrar för det här kommandot.
Syntax
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parametrar
Parameter | Beskrivning |
---|---|
-Lh | Anger den höga delen av användarens lokalt unika identifierare (LUID), uttryckt i hexadecimalt. Om varken –lh eller –li finns, är kommandot standardinställningen luid för den användare som för närvarande är inloggad. |
-li | Anger den låga delen av användarens lokalt unika identifierare (LUID), uttryckt i hexadecimalt. Om varken –lh eller –li finns, är kommandot standardinställningen luid för den användare som för närvarande är inloggad. |
Biljetter | Visar en lista över för närvarande cachelagrade biljettbeviljande biljetter (TGT) och servicebiljetter för den angivna inloggningssessionen. Det här är standardalternativet. |
Tgt | Visar den första Kerberos TGT. |
rensa | Gör att du kan ta bort alla biljetter för den angivna inloggningssessionen. |
Sessioner | Visar en lista över inloggningssessioner på den här datorn. |
kcd_cache | Visar information om Kerberos-begränsad delegeringscache. |
få | Gör att du kan begära ett ärende till måldatorn som anges av tjänstens huvudnamn (SPN). |
add_bind | Gör att du kan ange en önskad domänkontrollant för Kerberos-autentisering. |
query_bind | Visar en lista över cachelagrade önskade domänkontrollanter för varje domän som Kerberos har kontaktat. |
purge_bind | Tar bort de cachelagrade önskade domänkontrollanterna för de angivna domänerna. |
kdcoptions | Visar de KDC-alternativ (Key Distribution Center) som anges i RFC 4120. |
/? | Visar Hjälp för det här kommandot. |
Anmärkningar
Om inga parametrar anges hämtar klist alla biljetter för den inloggade användaren.
Parametrarna visar följande information:
biljetter – Visar en lista över de för närvarande cachelagrade biljetterna till tjänster som du har autentiserats till sedan inloggningen. Visar följande attribut för alla cachelagrade biljetter:
LogonID: LUID.
-klienten: Sammanlänkningen av klientnamnet och klientens domännamn.
Server: Sammanlänkningen av tjänstnamnet och tjänstens domännamn.
KerbTicket-krypteringstyp: Krypteringstypen som används för att kryptera Kerberos-biljetten.
Biljettflaggor: Kerberos-biljettflaggor.
Starttid: Den tid då biljetten är giltig.
Sluttid: Den tid då biljetten inte längre är giltig. När ett ärende har passerat den här gången kan det inte längre användas för att autentisera till en tjänst eller användas för förnyelse.
Förnya tid: Den tid då en ny inledande autentisering krävs.
Sessionsnyckeltyp: Krypteringsalgoritmen som används för sessionsnyckeln.
tgt – visar den första Kerberos-TGT:n och följande attribut för den för närvarande cachelagrade biljetten:
LogonID: identifierad i hexadecimalt.
ServiceName: krbtgt
TargetName
<SPN>
: krbtgtDomainName: Namn på domänen som utfärdar TGT.
TargetDomainName: domän som TGT utfärdas till.
AltTargetDomainName: domän som TGT utfärdas till.
Biljettflaggor: Adress- och målåtgärder och typ.
Sessionsnyckel: nyckellängd och krypteringsalgoritm.
StartTime: lokal datortid som biljetten begärdes.
EndTime: Tid då biljetten inte längre är giltig. När ett ärende har passerat den här gången kan det inte längre användas för att autentisera till en tjänst.
RenewUntil: Deadline för biljettförnyelse.
TimeSkew: Tidsskillnad med Key Distribution Center (KDC).
EncodedTicket: Kodad biljett.
rensa – Gör att du kan ta bort en specifik biljett. Rensningsbiljetter förstör alla biljetter som du har cachelagrat, så använd det här attributet med försiktighet. Det kan hindra dig från att kunna autentisera till resurser. Om detta händer måste du logga ut och logga in igen.
- LogonID: identifierad i hexadecimalt.
sessioner – Gör att du kan visa och visa information för alla inloggningssessioner på den här datorn.
- LogonID: Om det anges visas inloggningssessionen endast med det angivna värdet. Om det inte anges visar du alla inloggningssessioner på den här datorn.
kcd_cache – Gör att du kan visa kerberos-begränsad delegeringscacheinformation.
- LogonID: Om det anges visar cacheinformationen för inloggningssessionen med det angivna värdet. Om det inte anges visar cacheinformationen för den aktuella användarens inloggningssession.
hämta – Gör att du kan begära ett ärende till det mål som anges av SPN.
LogonID: Om det anges begärs ett ärende med hjälp av inloggningssessionen med det angivna värdet. Om det inte anges begär du ett ärende med hjälp av den aktuella användarens inloggningssession.
kdcoptions: Begär ett ärende med de angivna KDC-alternativen
add_bind – Gör att du kan ange en önskad domänkontrollant för Kerberos-autentisering.
query_bind – Gör att du kan visa cachelagrade, önskade domänkontrollanter för domänerna.
purge_bind – Gör att du kan ta bort cachelagrade, önskade domänkontrollanter för domänerna.
kdcoptions – Den aktuella listan över alternativ och deras förklaringar finns i RFC 4120.
Exempel
Om du vill fråga Kerberos-biljettcacheminnet för att avgöra om några biljetter saknas, om målservern eller kontot har fel eller om krypteringstypen inte stöds på grund av ett händelse-ID 27-fel skriver du:
klist
klist –li 0x3e7
Om du vill veta mer om detaljerna för varje biljettbeviljande-biljett som cachelagras på datorn för en inloggningssession skriver du:
klist tgt
Om du vill rensa Kerberos-biljettcachen loggar du ut och loggar sedan in igen genom att skriva:
klist purge
klist purge –li 0x3e7
Om du vill diagnostisera en inloggningssession och hitta ett inloggnings-ID för en användare eller en tjänst skriver du:
klist sessions
Om du vill diagnostisera Kerberos-begränsad delegeringsfel och för att hitta det senaste felet som påträffades skriver du:
klist kcd_cache
Om du vill diagnostisera om en användare eller en tjänst kan få ett ärende till en server, eller om du vill begära ett ärende för ett specifikt SPN, skriver du:
klist get host/%computername%
För att diagnostisera replikeringsproblem mellan domänkontrollanter behöver du vanligtvis klientdatorn för att rikta in dig på en specifik domänkontrollant. Om du vill rikta klientdatorn till den specifika domänkontrollanten skriver du:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Om du vill fråga vilka domänkontrollanter som nyligen kontaktades av den här datorn skriver du:
klist query_bind
Om du vill återupptäcka domänkontrollanter eller rensa cacheminnet innan du skapar nya domänkontrollantbindningar med klist add_bind
skriver du:
klist purge_bind