Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zeigt eine Liste der derzeit zwischengespeicherten Kerberos-Tickets an.
Important
Sie müssen mindestens ein Domänenadministrator oder eine entsprechende Funktion sein, um alle Parameter dieses Befehls ausführen zu können.
Syntax
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parameters
| Parameter | Description |
|---|---|
| -lh | Gibt den hohen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, ausgedrückt in hexadezimal. Wenn weder -lh noch -li vorhanden sind, wird standardmäßig die LUID des Benutzers verwendet, der derzeit angemeldet ist. |
| -li | Gibt den niedrigen Teil des lokal eindeutigen Bezeichners (LUID) des Benutzers an, ausgedrückt in hexadezimal. Wenn weder -lh noch -li vorhanden sind, wird standardmäßig die LUID des Benutzers verwendet, der derzeit angemeldet ist. |
| tickets | Listet die derzeit zwischengespeicherten Ticketerteilungen (TGTs) und Servicetickets der angegebenen Anmeldesitzung auf. Dies ist die Standardoption. |
| tgt | Zeigt die anfängliche Kerberos-TGT an. |
| purge | Ermöglicht es Ihnen, alle Tickets der angegebenen Anmeldesitzung zu löschen. |
| sessions | Zeigt eine Liste der Anmeldesitzungen auf diesem Computer an. |
| kcd_cache | Zeigt die Informationen zum eingeschränkten Kerberos-Delegierungscache an. |
| get | Ermöglicht es Ihnen, ein Ticket an den Zielcomputer anzufordern, der durch den Dienstprinzipalnamen (SPN) angegeben ist. |
| add_bind | Ermöglicht ihnen die Angabe eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung. |
| query_bind | Zeigt eine Liste der zwischengespeicherten bevorzugten Domänencontroller für jede Domäne an, die Kerberos kontaktiert hat. |
| purge_bind | Entfernt die zwischengespeicherten bevorzugten Domänencontroller für die angegebenen Domänen. |
| kdcoptions | Zeigt die in RFC 4120 angegebenen KDC-Optionen (Key Distribution Center) an. |
| /? | Zeigt die Hilfe für diesen Befehl an. |
Remarks
Wenn keine Parameter angegeben sind, holt sich klist alle Tickets für den aktuell angemeldeten Benutzer.
Die Parameter zeigen die folgenden Informationen an:
tickets : Listet die aktuell zwischengespeicherten Tickets von Diensten auf, bei denen Sie sich seit der Anmeldung authentifiziert haben. Zeigt die folgenden Attribute aller zwischengespeicherten Tickets an:
Anmelde-ID: Die LUID.
Kunde: Die Verkettung des Client-Namens und des Domänennamens des Clients.
Server: Die Verkettung des Dienstnamens und des Domänennamens des Diensts.
KerbTicket-Verschlüsselungstyp: Der Verschlüsselungstyp, der zum Verschlüsseln des Kerberos-Tickets verwendet wird.
Ticket-Flaggen: Die Kerberos-Ticketflags.
Startzeit: Der Zeitpunkt, ab dem das Ticket gültig ist.
Endzeit: Der Zeitpunkt, zu dem das Ticket nicht mehr gültig ist. Wenn ein Ticket dieses Mal vorbei ist, kann es nicht mehr verwendet werden, um sich bei einem Dienst zu authentifizieren oder zur Verlängerung zu verwenden.
Zeit für die Erneuerung: Der Zeitpunkt, zu dem eine neue Erstauthentifizierung erforderlich ist.
Sitzungsschlüsseltyp: Der Verschlüsselungsalgorithmus, der für den Sitzungsschlüssel verwendet wird.
tgt - Listet das anfängliche Kerberos-TGT und die folgenden Attribute des aktuell zwischengespeicherten Tickets auf:
Anmelde-ID: Wird hexadezimal angegeben.
ServiceName: krbtgt
Zielname
<SPN>: krbtgtDomainname: Name der Domäne, die das TGT ausstellt.
Zieldomänenname: Domain, für die das TGT ausgestellt wird.
AltTargetDomainName: Domain, für die das TGT ausgestellt wird.
Ticket-Flaggen: Adressieren und Ausrichten von Aktionen und Typ.
Sitzungs-Schlüssel: Schlüssellänge und Verschlüsselungsalgorithmus.
Startzeit: Uhrzeit des lokalen Computers, zu der das Ticket angefordert wurde.
Endzeit: Zeitpunkt, zu dem das Ticket nicht mehr gültig ist. Wenn ein Ticket dieses Mal vorbei ist, kann es nicht mehr für die Authentifizierung bei einem Dienst verwendet werden.
Erneuern bis: Frist für die Ticketverlängerung.
Zeitverzerrung: Zeitverschiebung mit dem Key Distribution Center (KDC).
EncodedTicket: Codiertes Ticket.
purge - Ermöglicht es Ihnen, ein bestimmtes Ticket zu löschen. Durch das Löschen von Tickets werden alle Tickets zerstört, die Sie zwischengespeichert haben. Verwenden Sie daher dieses Attribut mit Vorsicht. Möglicherweise wird verhindert, dass Sie sich bei Ressourcen authentifizieren können. In diesem Fall müssen Sie sich abmelden und sich erneut anmelden.
- Anmelde-ID: Wird hexadezimal angegeben.
Sitzungen - Ermöglicht das Auflisten und Anzeigen der Informationen für alle Anmeldesitzungen auf diesem Computer.
- Anmelde-ID: Falls angegeben, wird die Anmeldesitzung nur mit dem angegebenen Wert angezeigt. Wenn nicht angegeben, werden alle Anmeldesitzungen auf diesem Computer angezeigt.
kcd_cache – Ermöglicht das Anzeigen der Informationen zum eingeschränkten Kerberos-Delegierungscache.
- Anmelde-ID: Falls angegeben, werden die Cacheinformationen für die Anmeldesitzung anhand des angegebenen Werts angezeigt. Falls nicht angegeben, werden die Cacheinformationen für die Anmeldesitzung des aktuellen Benutzers angezeigt.
get : Ermöglicht es Ihnen, ein Ticket an das Ziel anzufordern, das vom SPN angegeben wird.
Anmelde-ID: Falls angegeben, wird ein Ticket über die Anmeldesitzung mit dem angegebenen Wert angefordert. Falls nicht angegeben, fordert ein Ticket mithilfe der Anmeldesitzung des aktuellen Benutzers an.
kdc-Optionen: Fordert ein Ticket mit den angegebenen KDC-Optionen an
add_bind – Ermöglicht das Angeben eines bevorzugten Domänencontrollers für die Kerberos-Authentifizierung.
query_bind – Ermöglicht die Anzeige zwischengespeicherter, bevorzugter Domänencontroller für die Domänen.
purge_bind – Ermöglicht das Entfernen zwischengespeicherter, bevorzugter Domänencontroller für die Domänen.
kdcoptions - Die aktuelle Liste der Optionen und deren Erläuterungen finden Sie unter RFC 4120.
Examples
Um den Kerberos-Ticketcache abzufragen, um festzustellen, ob Tickets fehlen, wenn der Zielserver oder das Konto fehlerhaft ist oder der Verschlüsselungstyp aufgrund eines Fehlers der Ereignis-ID 27 nicht unterstützt wird, geben Sie Folgendes ein:
klist
klist -li 0x3e7
Um mehr über die Besonderheiten der einzelnen Ticketerteilungstickets zu erfahren, die auf dem Computer für eine Anmeldesitzung zwischengespeichert werden, geben Sie Folgendes ein:
klist tgt
Um den Kerberos-Ticketcache zu löschen, melden Sie sich ab, und melden Sie sich dann wieder an, geben Sie Folgendes ein:
klist purge
klist purge -li 0x3e7
Um eine Anmeldesitzung zu diagnostizieren und eine Anmelde-ID für einen Benutzer oder einen Dienst zu suchen, geben Sie Folgendes ein:
klist sessions
Um kerberos-eingeschränkte Delegierungsfehler zu diagnostizieren und den letzten aufgetretenen Fehler zu finden, geben Sie Folgendes ein:
klist kcd_cache
Um zu diagnostizieren, ob ein Benutzer oder ein Dienst ein Ticket für einen Server erhalten kann, oder um ein Ticket für einen bestimmten SPN anzufordern, geben Sie Folgendes ein:
klist get host/%computername%
Um Replikationsprobleme über Domänencontroller hinweg zu diagnostizieren, benötigen Sie in der Regel den Clientcomputer, um einen bestimmten Domänencontroller als Ziel zu verwenden. Geben Sie Folgendes ein, um den Clientcomputer auf den bestimmten Domänencontroller zu richten:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Geben Sie Folgendes ein, um abzufragen, welche Domänencontroller kürzlich von diesem Computer kontaktiert wurden:
klist query_bind
Um Domänencontroller wiederzuentdecken oder den Cache vor dem Erstellen neuer Domänencontrollerbindungen mit klist add_bindzu leeren, geben Sie Folgendes ein:
klist purge_bind