klist
显示当前缓存的 Kerberos 票证列表。
重要
必须至少是域管理员或同等角色才能运行此命令的所有参数。
语法
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
参数
| 参数 | 说明 |
|---|---|
| -lh | 表示用户的本地唯一标识符(LUID)的高位部分,以十六进制表示。 如果未提供 –lh 和 –li 中的任何一个,该命令默认将使用当前已登录用户的 LUID。 |
| -li | 表示用户的本地唯一标识符(LUID)的位部分,以十六进制表示。 如果未提供 –lh 和 –li 中的任何一个,该命令默认将使用当前已登录用户的 LUID。 |
| tickets | 列出当前缓存的票证授予票证 (TGT),以及指定的登录会话的服务票证。 这是默认选项。 |
| tgt | 显示初始 Kerberos TGT。 |
| purge | 用于删除指定的登录会话的所有票证。 |
| 会话 | 显示此计算机上的登录会话列表。 |
| kcd_cache | 显示 Kerberos 约束委派缓存信息。 |
| get | 用于向服务主体名称 (SPN) 指定的目标计算机请求票证。 |
| add_bind | 用于为 Kerberos 身份验证指定首选的域控制器。 |
| query_bind | 显示 Kerberos 联系的每个域的缓存首选域控制器列表。 |
| purge_bind | 删除指定的域的缓存首选域控制器。 |
| kdcoptions | 显示 RFC 4120 中指定的密钥发行中心 (KDC) 选项。 |
| /? | 显示此命令的帮助。 |
注解
如果未提供任何参数,klist 将检索当前已登录用户的所有票证。
参数显示以下信息:
tickets - 列出自登录以来你已对其进行身份验证的服务的当前缓存票证。 显示所有缓存票证的以下属性:
LogonID:LUID。
客户端:客户端名称和客户端域名的串联形式。
服务器: 服务名称和服务域名的串联形式。
KerbTicket 加密类型:用于加密 Kerberos 票证的加密类型。
票证标志:Kerberos 票证标志。
开始时间:票证生效时间。
结束时间:票证失效时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证,也不可用于续订。
续订时间:需要进行新的初始身份验证的时间。
会话密钥类型:用于会话密钥的加密算法。
tgt - 列出当前缓存票证的初始 Kerberos TGT 和以下属性:
LogonID:以十六进制格式进行标识。
ServiceName:krbtgt
TargetName :krbtgt
<SPN>DomainName:颁发 TGT 的域的名称。
TargetDomainName:TGT 颁发到的域。
AltTargetDomainName:TGT 颁发到的域。
票证标志:地址和目标操作与类型。
会话密钥:密钥长度和加密算法。
StartTime:请求票证时的本地计算机时间。
EndTime:票证失效时间。 如果票证超过此时间,则它不再可用于对服务进行身份验证。
RenewUntil:票证续订的截止日期。
TimeSkew:与密钥发行中心 (KDC) 的时间差。
EncodedTicket:已编码的票证。
purge - 用于删除特定票证。 清除票证会销毁缓存的所有票证,因此请慎用此属性。 它可能会导致你无法对资源进行身份验证。 如果发生这种情况,必须注销并再次登录。
- LogonID:以十六进制格式进行标识。
sessions - 用于列出和显示此计算机上所有登录会话的信息。
- LogonID:如果指定,则只按给定的值显示登录会话。 如果未指定,则显示此计算机上的所有登录会话。
kcd_cache - 用于显示 Kerberos 约束委派缓存信息。
- LogonID:如果指定,则按给定的值显示登录会话的缓存信息。 如果未指定,则显示当前用户的登录会话的缓存信息。
get - 用于向 SPN 指定的目标请求票证。
LogonID:如果指定,则按照给定的值使用登录会话请求票证。 如果未指定,则使用当前用户的登录会话请求票证。
kdcoptions:使用给定的 KDC 选项请求票证
add_bind - 用于为 Kerberos 身份验证指定首选的域控制器。
query_bind - 用于显示域的缓存首选域控制器。
purge_bind - 用于删除域的缓存首选域控制器。
kdcoptions - 有关选项及其说明的当前列表,请参阅 RFC 4120。
示例
若要查询 Kerberos 票证缓存以确定是否缺少任何票证、目标服务器或帐户是否有错误,或者加密类型是否因出现事件 ID 27 错误而不受支持,请键入:
klist
klist –li 0x3e7
若要了解计算机上为登录会话缓存的每个票证授予票证的具体信息,请键入:
klist tgt
若要清除 Kerberos 票证缓存,注销然后重新登录,请键入:
klist purge
klist purge –li 0x3e7
若要诊断登录会话和查找某个用户或服务的 logonID,请键入:
klist sessions
若要诊断 Kerberos 约束委派失败和查找遇到的最后一个错误,请键入:
klist kcd_cache
若要诊断用户或服务是否可以在服务器上获取票证,或请求特定 SPN 的票证,请键入:
klist get host/%computername%
若要诊断跨域控制器复制问题,通常需要使客户端计算机以特定的域控制器为目标。 若要使客户端计算机以特定的域控制器为目标,请键入:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
若要查询此计算机最近联系的域控制器,请键入:
klist query_bind
若要重新发现域控制器,或者在使用 klist add_bind 创建新的域控制器绑定之前刷新缓存,请键入:
klist purge_bind