klist

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

顯示目前快取的 Kerberos 票證清單。

重要

您必須至少是 Domain Admin或對等，才能執行此命令的所有參數。

語法

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

參數

參數	描述
-lh	表示使用者本機唯一標識碼 （LUID） 的高部分，以十六進位表示。 如果 –lh 或 –li 都不存在，則命令預設為目前登入的使用者 LUID。
-李	表示使用者本機唯一標識碼 （LUID） 的低部分，以十六進位表示。 如果 –lh 或 –li 都不存在，則命令預設為目前登入的使用者 LUID。
票	列出目前快取的票證授與票證（TGT），以及指定之登入會話的服務票證。 這是預設選項。
tgt	顯示初始 Kerberos TGT。
清除	可讓您刪除指定登入工作階段的所有票證。
會話	顯示這部電腦上的登入會話清單。
kcd_cache	顯示 Kerberos 限制委派快取資訊。
獲取	可讓您向服務主體名稱 （SPN） 所指定的目標計算機要求票證。
add_bind	可讓您指定 Kerberos 驗證的慣用域控制器。
query_bind	顯示 Kerberos 已連絡之每個網域的快取慣用域控制器清單。
purge_bind	拿掉所指定網域的快取慣用域控制器。
kdcoptions	顯示 RFC 4120 中指定的金鑰配送中心 （KDC） 選項。
/?	顯示此命令的說明。

言論

• 如果未提供任何參數，klist 擷取目前登入使用者的所有票證。

• 參數會顯示下列資訊：

  • 票證 - 列出您自登入以來已驗證的服務目前快取票證。 顯示所有快取票證的下列屬性：

    • LogonID： LUID。

    • 用戶端： 用戶端名稱和用戶端功能變數名稱的串連。

    • 伺服器： 服務名稱和服務的功能變數名稱串連。

    • KerbTicket 加密類型： 用來加密 Kerberos 票證的加密類型。

    • 票證旗標： Kerberos 票證旗標。

    • 開始時間： 票證的有效時間。

    • 結束時間： 票證不再有效的時間。 當票證在此時間過去時，就無法再用來向服務進行驗證或用於更新。

    • 更新時間： 需要新的初始驗證時間。

    • 工作階段金鑰類型： 用於工作階段金鑰的加密演算法。

  • tgt - 列出目前快取票證的初始 Kerberos TGT 和下列屬性：

    • LogonID： 十六進位識別。

    • ServiceName： krbtgt

    • TargetName <SPN>： krbtgt

    • DomainName： 發出 TGT 的網域名稱。

    • TargetDomainName： 發出 TGT 的網域。

    • AltTargetDomainName： TGT 發出的網域。

    • 票證旗標： 位址和目標動作和類型。

    • 會話金鑰： 金鑰長度和加密演算法。

    • StartTime： 要求票證的本機電腦時間。

    • EndTime： 票證不再有效的時間。 當票證這次過去時，就無法再用來向服務進行驗證。

    • RenewUntil： 票證續約的期限。

    • TimeSkew： 與金鑰配送中心（KDC）的時間差異。

    • EncodedTicket： 編碼票證。

  • 清除 - 可讓您刪除特定票證。 清除票證會終結您已快取的所有票證，因此請小心使用此屬性。 它可能會阻止您向資源進行驗證。 如果發生這種情況，您必須註銷並重新登入。

    • LogonID： 十六進位識別。

  • 工作階段 - 可讓您列出並顯示此電腦上所有登入作業階段的資訊。

    • LogonID： 如果指定，則只會以指定的值顯示登入會話。 如果未指定，則會顯示這部計算機上的所有登入會話。

  • kcd_cache - 可讓您顯示 Kerberos 限制委派快取資訊。

    • LogonID： 如果指定，則會依指定的值顯示登入會話的快取資訊。 如果未指定，會顯示目前使用者登入會話的快取資訊。

  • 取得 - 可讓您向 SPN 指定的目標要求票證。

    • LogonID： 如果指定，請使用指定的登入工作階段來要求票證。 如果未指定，請使用目前使用者的登入會話來要求票證。

    • kdcoptions： 要求具有指定 KDC 選項的票證

  • add_bind - 可讓您指定 Kerberos 驗證的慣用域控制器。

  • query_bind - 可讓您顯示網域的快取慣用域控制器。

  • purge_bind - 可讓您移除網域的快取慣用域控制器。

  • kdcoptions - 如需目前的選項清單及其說明，請參閱 RFC 4120。

例子

若要查詢 Kerberos 票證快取以判斷是否有任何票證遺失、目標伺服器或帳戶發生錯誤，或加密類型是否因事件識別碼 27 錯誤而不支援，請輸入：

klist

klist –li 0x3e7

若要了解計算機上針對登入會話快取的每個票證授與票證的詳細數據，請輸入：

klist tgt

若要清除 Kerberos 票證快取、註銷，然後重新登入，請輸入：

klist purge

klist purge –li 0x3e7

若要診斷登入會話，並找出用戶或服務的logonID，請輸入：

klist sessions

若要診斷 Kerberos 限制委派失敗，並尋找最後遇到的錯誤，請輸入：

klist kcd_cache

若要診斷使用者或服務是否可以取得伺服器的票證，或要求特定SPN的票證，請輸入：

klist get host/%computername%

若要診斷跨域控制器的復寫問題，您通常需要用戶端計算機以特定域控制器為目標。 若要將用戶端電腦設為特定的域控制器，請輸入：

klist add_bind CONTOSO KDC.CONTOSO.COM

klist add_bind CONTOSO.COM KDC.CONTOSO.COM

若要查詢這部電腦最近連絡的域控制器，請輸入：

klist query_bind

若要重新探索域控制器，或先排清快取，再使用 klist add_bind建立新的域控制器系結，請輸入：

klist purge_bind

相關連結

• Command-Line 語法索引鍵