klist
Muestra una lista de vales kerberos almacenados actualmente en caché.
Importante
Debe ser al menos un administrador de dominio, o equivalente, para ejecutar todos los parámetros de este comando.
Sintaxis
klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind
Parámetros
Parámetro | Descripción |
---|---|
-lh | Denota la parte alta del identificador único local (LUID) del usuario, expresado en hexadecimal. Si no están presentes –lhni –li , el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente. |
-li | Denota la parte baja del identificador único local (LUID) del usuario, expresado en hexadecimal. Si no están presentes –lhni –li , el comando tiene como valor predeterminado el LUID del usuario que ha iniciado sesión actualmente. |
vales | Enumera los vales de concesión de vales (TT) almacenados actualmente en caché y los vales de servicio de la sesión de inicio de sesión especificada. Ésta es la opción predeterminada. |
tgt | Muestra el TGT de Kerberos inicial. |
purga | Permite eliminar todos los vales de la sesión de inicio de sesión especificada. |
sesiones | Muestra una lista de sesiones de inicio de sesión en este equipo. |
kcd_cache | Muestra la información de caché de delegación restringida de Kerberos. |
get | Permite solicitar un vale al equipo de destino especificado por el nombre de entidad de seguridad de servicio (SPN). |
add_bind | Permite especificar un controlador de dominio preferido para la autenticación Kerberos. |
query_bind | Muestra una lista de controladores de dominio preferidos almacenados en caché para cada dominio con el que Kerberos se ha puesto en contacto. |
purge_bind | Quita los controladores de dominio preferidos almacenados en caché para los dominios especificados. |
kdcoptions | Muestra las Centro de distribución de claves (KDC) especificadas en RFC 4120. |
/? | Muestra la Ayuda de este comando. |
Notas
Si no se proporcionan parámetros, klist recupera todos los vales del usuario que ha iniciado sesión actualmente.
Los parámetros muestran la siguiente información:
tickets : enumera los vales almacenados actualmente en caché de los servicios en los que se ha autenticado desde el inicio de sesión. Muestra los siguientes atributos de todos los vales almacenados en caché:
LogonID: The LUID.
Cliente: Concatenación del nombre de cliente y el nombre de dominio del cliente.
Servidor: Concatenación del nombre del servicio y el nombre de dominio del servicio.
Tipo de cifrado KerbTicket: Tipo de cifrado que se usa para cifrar el vale kerberos.
Marcas de vales: Marcas de vales de Kerberos.
Hora de inicio: La hora desde la que el vale es válido.
Hora de finalización: El momento en que el vale deja de ser válido. Cuando un vale ha pasado este tiempo, ya no se puede usar para autenticarse en un servicio ni para la renovación.
Tiempo de renovación: Hora a la que se requiere una nueva autenticación inicial.
Tipo de clave de sesión: Algoritmo de cifrado que se usa para la clave de sesión.
tgt : enumera el TGT de Kerberos inicial y los siguientes atributos del vale almacenado actualmente en caché:
LogonID: Se identifica en hexadecimal.
ServiceName: krbtgt
TargetName : krbtgt
Nombrededominio: Nombre del dominio que emite el TGT.
TargetDomainName: Dominio al que se emite el TGT.
AltTargetDomainName: Dominio al que se emite el TGT.
Marcas de vales: Tipo y acciones de dirección y destino.
Clave de sesión: Longitud de clave y algoritmo de cifrado.
Starttime: Hora del equipo local a la que se solicitó el vale.
Endtime: Hora en que el vale deja de ser válido. Cuando un vale ha pasado este tiempo, ya no se puede usar para autenticarse en un servicio.
RenewUntil: Fecha límite para la renovación de entradas.
TimeSkew: Diferencia horaria con el Centro de distribución de claves (KDC).
EncodedTicket: Vale codificado.
purge : permite eliminar un vale específico. Purgar vales destruye todos los vales que ha almacenado en caché, así que use este atributo con precaución. Esto podría impedir que pueda autenticarse en los recursos. Si esto sucede, tendrá que cerrar sesión e iniciar sesión de nuevo.
- LogonID: Se identifica en hexadecimal.
sesiones : permite enumerar y mostrar la información de todas las sesiones de inicio de sesión en este equipo.
- LogonID: Si se especifica, muestra la sesión de inicio de sesión solo por el valor especificado. Si no se especifica, muestra todas las sesiones de inicio de sesión en este equipo.
kcd_cache : permite mostrar la información de caché de delegación restringida de Kerberos.
- LogonID: Si se especifica, muestra la información de caché de la sesión de inicio de sesión por el valor especificado. Si no se especifica, muestra la información de caché de la sesión de inicio de sesión del usuario actual.
get : permite solicitar un vale al destino especificado por el SPN.
LogonID: Si se especifica, solicita un vale mediante la sesión de inicio de sesión por el valor especificado. Si no se especifica, solicita un vale mediante la sesión de inicio de sesión del usuario actual.
kdcoptions: Solicita un vale con las opciones de KDC dadas
add_bind : permite especificar un controlador de dominio preferido para la autenticación Kerberos.
query_bind : permite mostrar controladores de dominio preferidos en caché para los dominios.
purge_bind : permite quitar controladores de dominio preferidos y almacenados en caché para los dominios.
kdcoptions : para obtener la lista actual de opciones y sus explicaciones, consulte RFC 4120.
Ejemplos
Para consultar la caché de vales de Kerberos para determinar si faltan vales, si el servidor o la cuenta de destino están en error o si no se admite el tipo de cifrado debido a un error de id. de evento 27, escriba:
klist
klist –li 0x3e7
Para obtener información sobre los detalles de cada vale de concesión de vales que se almacena en caché en el equipo para una sesión de inicio de sesión, escriba:
klist tgt
Para purgar la caché de vales de Kerberos, cierre la sesión y vuelva a iniciarla, escriba:
klist purge
klist purge –li 0x3e7
Para diagnosticar una sesión de inicio de sesión y buscar un logonID para un usuario o un servicio, escriba:
klist sessions
Para diagnosticar errores de delegación restringida de Kerberos y encontrar el último error que se encontró, escriba:
klist kcd_cache
Para diagnosticar si un usuario o un servicio puede obtener un vale a un servidor o solicitar un vale para un SPN específico, escriba:
klist get host/%computername%
Para diagnosticar problemas de replicación entre controladores de dominio, normalmente necesita que el equipo cliente tenga como destino un controlador de dominio específico. Para dirigir el equipo cliente al controlador de dominio específico, escriba:
klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM
Para consultar qué controladores de dominio se han contactado recientemente con este equipo, escriba:
klist query_bind
Para volver a detectar controladores de dominio o para vaciar la memoria caché antes de crear nuevos enlaces de controlador de dominio con klist add_bind
, escriba:
klist purge_bind