klist

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Visar en lista över för närvarande cachelagrade Kerberos-biljetter.

Viktig

Du måste vara minst en domänadministratör, eller motsvarande, för att köra alla parametrar för det här kommandot.

Syntax

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Parametrar

Parameter	Beskrivning
-Lh	Anger den höga delen av användarens lokalt unika identifierare (LUID), uttryckt i hexadecimalt. Om varken –lh eller –li finns, är kommandot standardinställningen luid för den användare som för närvarande är inloggad.
-li	Anger den låga delen av användarens lokalt unika identifierare (LUID), uttryckt i hexadecimalt. Om varken –lh eller –li finns, är kommandot standardinställningen luid för den användare som för närvarande är inloggad.
Biljetter	Visar en lista över för närvarande cachelagrade biljettbeviljande biljetter (TGT) och servicebiljetter för den angivna inloggningssessionen. Det här är standardalternativet.
Tgt	Visar den första Kerberos TGT.
rensa	Gör att du kan ta bort alla biljetter för den angivna inloggningssessionen.
Sessioner	Visar en lista över inloggningssessioner på den här datorn.
kcd_cache	Visar information om Kerberos-begränsad delegeringscache.
få	Gör att du kan begära ett ärende till måldatorn som anges av tjänstens huvudnamn (SPN).
add_bind	Gör att du kan ange en önskad domänkontrollant för Kerberos-autentisering.
query_bind	Visar en lista över cachelagrade önskade domänkontrollanter för varje domän som Kerberos har kontaktat.
purge_bind	Tar bort de cachelagrade önskade domänkontrollanterna för de angivna domänerna.
kdcoptions	Visar de KDC-alternativ (Key Distribution Center) som anges i RFC 4120.
/?	Visar Hjälp för det här kommandot.

Anmärkningar

• Om inga parametrar anges hämtar klist alla biljetter för den inloggade användaren.

• Parametrarna visar följande information:

  • biljetter – Visar en lista över de för närvarande cachelagrade biljetterna till tjänster som du har autentiserats till sedan inloggningen. Visar följande attribut för alla cachelagrade biljetter:

    • LogonID: LUID.

    • -klienten: Sammanlänkningen av klientnamnet och klientens domännamn.

    • Server: Sammanlänkningen av tjänstnamnet och tjänstens domännamn.

    • KerbTicket-krypteringstyp: Krypteringstypen som används för att kryptera Kerberos-biljetten.

    • Biljettflaggor: Kerberos-biljettflaggor.

    • Starttid: Den tid då biljetten är giltig.

    • Sluttid: Den tid då biljetten inte längre är giltig. När ett ärende har passerat den här gången kan det inte längre användas för att autentisera till en tjänst eller användas för förnyelse.

    • Förnya tid: Den tid då en ny inledande autentisering krävs.

    • Sessionsnyckeltyp: Krypteringsalgoritmen som används för sessionsnyckeln.

  • tgt – visar den första Kerberos-TGT:n och följande attribut för den för närvarande cachelagrade biljetten:

    • LogonID: identifierad i hexadecimalt.

    • ServiceName: krbtgt

    • TargetName <SPN>: krbtgt

    • DomainName: Namn på domänen som utfärdar TGT.

    • TargetDomainName: domän som TGT utfärdas till.

    • AltTargetDomainName: domän som TGT utfärdas till.

    • Biljettflaggor: Adress- och målåtgärder och typ.

    • Sessionsnyckel: nyckellängd och krypteringsalgoritm.

    • StartTime: lokal datortid som biljetten begärdes.

    • EndTime: Tid då biljetten inte längre är giltig. När ett ärende har passerat den här gången kan det inte längre användas för att autentisera till en tjänst.

    • RenewUntil: Deadline för biljettförnyelse.

    • TimeSkew: Tidsskillnad med Key Distribution Center (KDC).

    • EncodedTicket: Kodad biljett.

  • rensa – Gör att du kan ta bort en specifik biljett. Rensningsbiljetter förstör alla biljetter som du har cachelagrat, så använd det här attributet med försiktighet. Det kan hindra dig från att kunna autentisera till resurser. Om detta händer måste du logga ut och logga in igen.

    • LogonID: identifierad i hexadecimalt.

  • sessioner – Gör att du kan visa och visa information för alla inloggningssessioner på den här datorn.

    • LogonID: Om det anges visas inloggningssessionen endast med det angivna värdet. Om det inte anges visar du alla inloggningssessioner på den här datorn.

  • kcd_cache – Gör att du kan visa kerberos-begränsad delegeringscacheinformation.

    • LogonID: Om det anges visar cacheinformationen för inloggningssessionen med det angivna värdet. Om det inte anges visar cacheinformationen för den aktuella användarens inloggningssession.

  • hämta – Gör att du kan begära ett ärende till det mål som anges av SPN.

    • LogonID: Om det anges begärs ett ärende med hjälp av inloggningssessionen med det angivna värdet. Om det inte anges begär du ett ärende med hjälp av den aktuella användarens inloggningssession.

    • kdcoptions: Begär ett ärende med de angivna KDC-alternativen

  • add_bind – Gör att du kan ange en önskad domänkontrollant för Kerberos-autentisering.

  • query_bind – Gör att du kan visa cachelagrade, önskade domänkontrollanter för domänerna.

  • purge_bind – Gör att du kan ta bort cachelagrade, önskade domänkontrollanter för domänerna.

  • kdcoptions – Den aktuella listan över alternativ och deras förklaringar finns i RFC 4120.

Exempel

Om du vill fråga Kerberos-biljettcacheminnet för att avgöra om några biljetter saknas, om målservern eller kontot har fel eller om krypteringstypen inte stöds på grund av ett händelse-ID 27-fel skriver du:

klist

klist –li 0x3e7

Om du vill veta mer om detaljerna för varje biljettbeviljande-biljett som cachelagras på datorn för en inloggningssession skriver du:

klist tgt

Om du vill rensa Kerberos-biljettcachen loggar du ut och loggar sedan in igen genom att skriva:

klist purge

klist purge –li 0x3e7

Om du vill diagnostisera en inloggningssession och hitta ett inloggnings-ID för en användare eller en tjänst skriver du:

klist sessions

Om du vill diagnostisera Kerberos-begränsad delegeringsfel och för att hitta det senaste felet som påträffades skriver du:

klist kcd_cache

Om du vill diagnostisera om en användare eller en tjänst kan få ett ärende till en server, eller om du vill begära ett ärende för ett specifikt SPN, skriver du:

klist get host/%computername%

För att diagnostisera replikeringsproblem mellan domänkontrollanter behöver du vanligtvis klientdatorn för att rikta in dig på en specifik domänkontrollant. Om du vill rikta klientdatorn till den specifika domänkontrollanten skriver du:

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Om du vill fråga vilka domänkontrollanter som nyligen kontaktades av den här datorn skriver du:

klist query_bind

Om du vill återupptäcka domänkontrollanter eller rensa cacheminnet innan du skapar nya domänkontrollantbindningar med klist add_bindskriver du:

klist purge_bind

Relaterade länkar

• Command-Line syntaxnyckel