klist

Affiche une liste des tickets Kerberos actuellement mis en cache.

Important

Vous devez être au moins un Administration de domaine, ou équivalent, pour exécuter tous les paramètres de cette commande.

Syntaxe

klist [-lh <logonID.highpart>] [-li <logonID.lowpart>] tickets | tgt | purge | sessions | kcd_cache | get | add_bind | query_bind | purge_bind

Paramètres

Paramètre Description
-lh Indique la partie élevée de l’identificateur local unique (LUID) de l’utilisateur, exprimée en hexadécimal. Si ni –lh ni –li ne sont présents, la commande utilise par défaut le LUID de l’utilisateur actuellement connecté.
-li Indique la partie basse de l’identificateur local unique (LUID) de l’utilisateur, exprimée en hexadécimal. Si ni –lh ni –li ne sont présents, la commande utilise par défaut le LUID de l’utilisateur actuellement connecté.
tickets Répertorie les tickets d’octroi de tickets (TGT) actuellement mis en cache et les tickets de service de la session d’ouverture de session spécifiée. Il s'agit de l'option par défaut.
tgt Affiche le TGT Kerberos initial.
Purger Vous permet de supprimer tous les tickets de la session d’ouverture de session spécifiée.
sessions Affiche la liste des sessions d’ouverture de session sur cet ordinateur.
kcd_cache Affiche les informations du cache de délégation Kerberos contrainte.
get Vous permet de demander un ticket pour l’ordinateur cible spécifié par le nom du principal du service (SPN).
add_bind Vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos.
query_bind Affiche la liste des contrôleurs de domaine préférés mis en cache pour chaque domaine que Kerberos a contacté.
purge_bind Supprime les contrôleurs de domaine préférés mis en cache pour les domaines spécifiés.
kdcoptions Affiche les options du centre de distribution de clés (KDC) spécifiées dans la RFC 4120.
/? Affiche l’aide pour cette commande.

Notes

  • Si aucun paramètre n’est fourni, klist récupère tous les tickets pour l’utilisateur actuellement connecté.

  • Les paramètres affichent les informations suivantes :

    • tickets - Répertorie les tickets actuellement mis en cache des services auxquels vous vous êtes authentifié depuis l’ouverture de session. Affiche les attributs suivants de tous les tickets mis en cache :

      • LogonID : The LUID.

      • Client : Concaténation du nom du client et du nom de domaine du client.

      • Serveur : Concaténation du nom du service et du nom de domaine du service.

      • Type de chiffrement KerbTicket : Type de chiffrement utilisé pour chiffrer le ticket Kerberos.

      • Indicateurs de ticket : Indicateurs de ticket Kerberos.

      • Heure de début : Heure à partir de laquelle le ticket est valide.

      • Heure de fin : Heure à laquelle le ticket n’est plus valide. Lorsqu’un ticket est dépassé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service ou être utilisé pour le renouvellement.

      • Heure de renouvellement : Heure à laquelle une nouvelle authentification initiale est requise.

      • Type de clé de session : Algorithme de chiffrement utilisé pour la clé de session.

    • tgt - Répertorie le TGT Kerberos initial et les attributs suivants du ticket actuellement mis en cache :

      • LogonID : Identifié en hexadécimal.

      • ServiceName : krbtgt

      • TargetName <SPN>: krbtgt

      • DomainName : Nom du domaine qui émet le TGT.

      • TargetDomainName : Domaine pour lequel le TGT est émis.

      • AltTargetDomainName : Domaine pour lequel le TGT est émis.

      • Indicateurs de ticket : Actions et type d’adresse et de cible.

      • Clé de session : Longueur de clé et algorithme de chiffrement.

      • StartTime : Heure de l’ordinateur local à laquelle le ticket a été demandé.

      • Heure de fin : Heure à laquelle le ticket n’est plus valide. Lorsqu’un ticket est passé cette fois, il ne peut plus être utilisé pour s’authentifier auprès d’un service.

      • RenewUntil : Échéance pour le renouvellement des tickets.

      • TimeSkew : Différence de temps avec le Centre de distribution de clés (KDC).

      • EncodedTicket : Ticket encodé.

    • purge - Vous permet de supprimer un ticket spécifique. La purge des tickets détruit tous les tickets que vous avez mis en cache. Utilisez donc cet attribut avec précaution. Cela peut vous empêcher de vous authentifier auprès des ressources. Si cela se produit, vous devrez vous déconnecter et vous reconnecter.

      • LogonID : Identifié en hexadécimal.
    • sessions - Vous permet de répertorier et d’afficher les informations de toutes les sessions d’ouverture de session sur cet ordinateur.

      • LogonID : S’il est spécifié, affiche la session d’ouverture de session uniquement selon la valeur donnée. S’il n’est pas spécifié, affiche toutes les sessions d’ouverture de session sur cet ordinateur.
    • kcd_cache - Vous permet d’afficher les informations du cache de délégation Kerberos contrainte.

      • LogonID : Si elle est spécifiée, affiche les informations de cache pour la session d’ouverture de session en fonction de la valeur donnée. S’il n’est pas spécifié, affiche les informations de cache pour la session d’ouverture de session de l’utilisateur actuel.
    • get - Vous permet de demander un ticket pour la cible spécifiée par le SPN.

      • LogonID : S’il est spécifié, demande un ticket à l’aide de la session d’ouverture de session en fonction de la valeur donnée. S’il n’est pas spécifié, demande un ticket à l’aide de la session d’ouverture de session de l’utilisateur actuel.

      • kdcoptions : Demande un ticket avec les options KDC spécifiées

    • add_bind - Vous permet de spécifier un contrôleur de domaine préféré pour l’authentification Kerberos.

    • query_bind - Vous permet d’afficher les contrôleurs de domaine préférés mis en cache pour les domaines.

    • purge_bind - Vous permet de supprimer les contrôleurs de domaine préférés mis en cache pour les domaines.

    • kdcoptions - Pour obtenir la liste actuelle des options et leurs explications, consultez RFC 4120.

Exemples

Pour interroger le cache de tickets Kerberos afin de déterminer s’il manque des tickets, si le serveur ou le compte cible est en erreur ou si le type de chiffrement n’est pas pris en charge en raison d’une erreur d’ID d’événement 27, tapez :

klist
klist –li 0x3e7

Pour en savoir plus sur les spécificités de chaque ticket d’octroi de ticket mis en cache sur l’ordinateur pour une session d’ouverture de session, tapez :

klist tgt

Pour vider le cache de tickets Kerberos, déconnectez-vous, puis reconnectez-vous, tapez :

klist purge
klist purge –li 0x3e7

Pour diagnostiquer une session d’ouverture de session et localiser un ID d’ouverture de session pour un utilisateur ou un service, tapez :

klist sessions

Pour diagnostiquer l’échec de délégation Kerberos contrainte et rechercher la dernière erreur rencontrée, tapez :

klist kcd_cache

Pour diagnostiquer si un utilisateur ou un service peut obtenir un ticket pour un serveur, ou pour demander un ticket pour un SPN spécifique, tapez :

klist get host/%computername%

Pour diagnostiquer les problèmes de réplication entre les contrôleurs de domaine, vous avez généralement besoin de l’ordinateur client pour cibler un contrôleur de domaine spécifique. Pour cibler l’ordinateur client sur le contrôleur de domaine spécifique, tapez :

klist add_bind CONTOSO KDC.CONTOSO.COM
klist add_bind CONTOSO.COM KDC.CONTOSO.COM

Pour interroger les contrôleurs de domaine récemment contactés par cet ordinateur, tapez :

klist query_bind

Pour redécouvrir les contrôleurs de domaine ou pour vider le cache avant de créer de nouvelles liaisons de contrôleur de domaine avec klist add_bind, tapez :

klist purge_bind